Botnet-bescherming bij TU Delft op de proef gesteld
Een groot deel van de slimme apparaten is slecht beveiligd en daardoor vatbaar voor malware-infecties. Daarom onderzoekt hoogleraar Michel van Eeten van de TU Delft de komende jaren in opdracht van de Nederlandse regering hoe providers hun abonnees het best kunnen helpen bij botnet-bescherming.
In een kelder van de Technische Universiteit Delft zoemen zo’n vijftig apparaten achter een router. Van speelgoed tot routers, printers, satelliet-tv’s en beveiligingscamera’s. Ze wachten af. Het zijn ‘honeypots’: apparaten die ongenode bezoekers moeten lokken. Ze zijn onderdeel van een experiment van de TU Delft, dat wordt uitgevoerd onder leiding van hoogleraar Technische Bestuurskunde Michel van Eeten.
In 2020 zijn wereldwijd miljarden apparaten verbonden met het internet, van thermostaten, koelkasten, speelgoed tot tv’s. De TU Delft onderzoekt tot 2021 in opdracht van de Nederlandse overheid hoeveel apparaten in Nederlandse privénetwerken geïnfecteerd zijn met malware. Het onderzoeksteam spreekt daarbij ook wel van het ‘Internet of Evil Things.’
“Het duurt meestal zo’n tien minuutjes voordat kwetsbare apparaten via het internet geïnfecteerd raken”, zegt van Eeten. “Dat weten we uit eerder onderzoek, in samenwerking met een onderzoeksteam van de Yokohama National University.”
Door te kijken waar de besmetting vandaan komt, kan het onderzoeksteam ip-adressen achterhalen, waarachter zich IoT-apparaten moeten bevinden die deel uitmaken van botnets zoals Mirai. Behalve met lokapparaten speurt het team naar botnets via zogeheten netwerk-telescopen. Dat zijn netwerken met ongebruikte ip-adressen die alleen ongevraagd verkeer ontvangen. “Sommige botnets doorzoeken namelijk dag en nacht agressief het hele internet, inclusief deze telescoopnetwerken, op zoek naar kwetsbare IoT-apparaten.”
Camera's en meters
Het team van Van Eeten wil het experiment ook gebruiken om te ontdekken welke apparaten vooral kwetsbaar zijn voor IoT-infecties. Door op afstand besmette ip-adressen te onderzoeken, lukt dat namelijk niet. “Als een ip-adres ‘besmet’ is, dan kun je niet zien welk apparaat in het netwerk daarvoor verantwoordelijk is.” En al zou je wel de bron kunnen achterhalen, dan nog laten IoT-apparaten bij nader onderzoek op afstand vaak weinig los over hun identiteit. “Slechts in ongeveer een kwart van de gevallen kun je bijvoorbeeld aan een inlogscherm zien wat voor type apparaat het is, of wie de fabrikant is.”
Behalve fysieke apparaten staan er in de kelder ook computers met virtuele IoT-apparaten: dat is software die het gedrag van echte apparaten nabootst. “Zo kunnen we van nog meer IoT-devices testen hoe kwetsbaar ze zijn voor botnetinfectie.”
Van sommige apparaten – zoals beveiligingscamera’s en routers – is bekend dat het populaire doelwitten zijn van cybercriminelen, vermoedelijk omdat er bekende kwetsbaarheden in zitten die eenvoudig te misbruiken zijn. Er zijn overigens ook apparaten die minder zorgen baren: “Denk aan slimme meters. Die worden goed beheerd door energiemaatschappijen. Securityexperts houden voortdurend een oogje in het zeil. Hetzelfde geldt voor een deel van de home automation systemen, maar ongetwijfeld niet voor alle. Het hangt allemaal erg af van de fabrikant en het specifieke apparaat.”
Als een netwerkapparaat geïnfecteerd is geraakt met malware, kan er daarna van alles gebeuren. Het kan zijn dat het apparaat opeens niet meer werkt, of dat een virus ook de rest van het netwerk binnendringt. Op die manier kan bijvoorbeeld ransomware een pc bereiken, of kan de rekenkracht van de pc stiekem worden gebruikt voor de berekening van cryptovaluta’s.
Ook kan het apparaat onderdeel worden van een botnetwerk: een netwerk van geïnfecteerde apparaten dat op afstand wordt gecommandeerd door een ‘botmaster’. Die dringt zijn wil op aan een grote verzameling gekaapte apparaten, zonder dat hun eigenaren daar meestal van weten. Hun IoT-device voert activiteiten uit waarvan ze niet op de hoogte zijn. En dat zijn eigenlijk altijd illegale activiteiten.
Dertigduizend DoS-aanvallen per dag
Elke dag vinden er bijvoorbeeld gemiddeld dertigduizend Denial of Service (DoS)-aanvallen plaatsvinden over de hele wereld. Dat is mede te wijten aan ‘booters’: online services die zijn opgezet door botnetbeheerders. Het zijn websites waarop iedereen voor een vast bedrag per maand het recht koopt op een bepaalde hoeveelheid data voor DoS-aanvallen. Een beetje alsof je een data-abonnement afsluit voor je telefoon. Technische kennis is voor een aanval niet nodig. Gebruikers hoeven alleen maar de naam van een internetdomein in te voeren dat ze graag plat zouden willen leggen. De booter-website geeft daarna opdracht aan een netwerk van geïnfecteerde apparaten om een DoS-aanval uit te voeren.
Als één of meer apparaten onderdeel uitmaken van een botnetwerk, kun je daardoor voor onaangename verrassingen komen te staan. De provider kan je als abonnee dan in quarantaine plaatsen, omdat jouw ip-adres op zwarte lijsten terecht is gekomen. In het allerergste geval kan de politie op de stoep staan, omdat er criminele handelingen worden verricht vanuit je netwerk.
Voor een gewone computergebruiker is het niet eenvoudig een botnetbesmetting te ontdekken. Dat kan eigenlijk alleen door met een kennersoog naar het internetverkeer te kijken en naar de poorten die open staan. Meestal merken providers daardoor als eerste dat er iets mis is met het netwerk van een internetabonnee. Dat blijkt ofwel omdat er vanaf een bepaald ip-adres zichtbaar onfrisse activiteiten plaatsvinden die wijzen op botnet-activiteit, ofwel doordat het ip-adres opeens op allerlei zwarte lijsten opduikt.
Het team uit Delft gaat daarom samen met KPN onderzoeken op welke manier providers hun abonnees kunnen informeren over een botnetbesmetting. Van Eeten: “Moet je een mailtje sturen? Of is het beter om klanten in quarantaine te plaatsen, ook om erger te voorkomen?”
Als een internetaansluiting in quarantaine wordt geplaatst, heeft de internetabonnee alleen toegang tot de meest elementaire websites, voor bijvoorbeeld internetbankieren, Windowsupdates en antivirus-software. Tegelijkertijd toont de browser een boodschap: uw internetaansluiting is in quarantaine geplaatst. Van Eeten: “Consumenten kunnen de quarantaine onmiddellijk opheffen, door op een noodknop te drukken. Maar als ze het probleem daarna niet oplossen, kunnen ze nogmaals in quarantaine geplaatst worden.” Na een aantal malen werkt de noodknop bovendien niet meer.
De provider geeft ondertussen in de browser adviezen over hoe de besmetting kan worden verholpen. “Mocht de internetabonnee daar niet uitkomen, dan kan hij of zij de helpdesk bellen, mailen of onmiddellijk contact leggen via een speciale link.”
Ruim tien jaar geleden experimenteerden providers voor het eerst met quarantaineplaatsingen van internetabonnees, toen nog naar aanleiding van botnetbesmettingen van Windows-pc’s. Deze experimenten gebeurden naar aanleiding van onderzoek door Van Eeten. “In eerste instantie waren providers bang om abonnees daarmee te veel te irriteren, naar de concurrentie te jagen, of hun eigen helpdesk te overbelasten.”
Maar in de praktijk blijken klanten het meestal te waarderen om gewaarschuwd te worden. “En in het geval van Windowsbesmettingen kun je ook heel duidelijke aanwijzingen geven aan klanten over hoe ze hun pc’s kunnen opschonen, onder meer door het uitvoeren van de nieuwste Windowsupdates en het installeren van antivirus-software. In het geval van het Internet of Things ligt dat een stuk lastiger.”
Geen antivirussoftware voor IoT-apparaten
Dat het zo moeilijk is om IoT-infecties te behandelen, komt ten eerste omdat er geen antivirussoftware voor IoT-apparaten bestaat. “Er zijn wel securitybedrijven die netwerkapparatuur verkopen om IoT-hacks te ontdekken en verhelpen, maar ik heb er weinig vertrouwen in dat die doen wat ze beloven. De werking van die apparaten is nooit goed getest, voor zover ik weet.”
De beste manier om een infectie te behandelen, verschilt bovendien per apparaat en fabrikant. Maar omdat de provider in driekwart van de gevallen niet kan zien welk apparaat er binnen het netwerk geïnfecteerd is, kan deze alleen algemene suggesties geven. Eén zo’n advies is bijvoorbeeld om het IoT-apparaat te rebooten, zodat het werkgeheugen wordt gewist. “In veel gevallen is de infectie dan verdwenen.”
Om te voorkomen dat het device opnieuw geïnfecteerd raakt, kun je een nieuw wachtwoord instellen en kijken of de fabrikant beveiligings-updates aanbiedt. Ter preventie helpt het om de firewall op je router goed te configureren. “Sommige IoT-apparaten vragen namelijk op eigen houtje aan firewalls of er een extra internetpoortje open mag. Dat kun je alleen voorkomen door je firewall handmatig streng in te stellen.”
In de praktijk gaat het om zoveel verschillende apparaten en besturingssystemen, dat providers eigenlijk nooit garanties kunnen geven dat maatregelen ook echt effect hebben.
Quarantaine heeft effect
Als providers ook niet exact kunnen uitleggen hoe je een infectie kan verhelpen, waarom zou je een abonnee dan toch willen waarschuwen over een malwareinfectie in zijn of haar netwerk? Toch heeft zo’n waarschuwing vreemd genoeg effect, zo ontdekte Van Eeten in eerder onderzoek in samenwerking met KPN, in 2017 en 2018. Het hing er alleen heel erg vanaf welke vorm die waarschuwing kreeg. “We hebben 220 internetabonnees met een Mirai-infectie in drie groepen verdeeld. Ze werden ofwel in strikte quarantaine geplaatst, ofwel kregen een mailtje, ofwel ze ontvingen in eerste instantie helemaal geen bericht.”
Een mail sturen bleek niet of nauwelijks iets uit te halen. “Als we deze mensen later opbelden, kon de helft zich dat mailtje niet herinneren. De rest had het soms weggegooid, of was er nog niet aan toe gekomen er iets mee te doen.”
Zo’n twee procent van de mensen dacht zelfs dat ze een phishingmail hadden ontvangen en waarschuwde de provider. Maar wanneer abonnees in quarantaine werden geplaatst en dezelfde instructies kregen als de mensen in de mailgroep, bleek in 92 procent van de gevallen dat de besmetting verdwenen was. “We zagen hun ip-adressen niet meer terug in de maanden erna.”
Antivirusscan helpt niet
Hoe kan het dat de netwerken van in quarantaine geplaatste internetabonnees na afloop grotendeels opgeschoond bleken? Eeten: “Dat weten we niet goed. We hebben er wel geprobeerd er achter te komen, door enkele tientallen mensen te bellen. Een deel van de respondenten zei dat ze een handige kennis hadden opgebeld, hun provider om hulp gevraagd, of een hulpdienst hadden ingeschakeld. Een ander deel had zelf actie ondernomen, maar hun maatregelen klonken niet altijd zinvol. Zo hadden sommige mensen een antivirusscan op hun pc gedaan. Dat kan nooit kwaad, maar helpt niet tegen besmetting met het Mirai-virus van een IoT-apparaat in het netwerk.”
Anderen zeiden dat ze één of meer IoT-apparaten uit het netwerk hadden verwijderd, zoals een camera, videorecorder of Network Attached Storage (NAS). “Dat helpt natuurlijk. Er was zelfs een persoon die zei dat hij zijn IoT-apparaat in de vuilnisbak had gegooid. Hoe dan ook, van de antwoorden van de meeste internetabonnees werden we nauwelijks wijzer.” Waarom de besmetting na twee weken dan toch verdwenen was, gaat het onderzoeksteam nu met vervolgonderzoek proberen te ontdekken.
Dan hoopt het team ook beter te begrijpen waarom in meer dan de helft van de gevallen besmettingen bij vervolgmetingen ‘vanzelf’ zijn verdwenen, ook als de provider daarover geen enkele waarschuwing stuurt. “Mogelijk worden IoT-apparaten regelmatig uitgeplugd, uitgeschakeld of gereboot, waardoor de besmetting verdwijnt. Of misschien ging het om Netwerk Attached Storage (NAS), die mensen tijdelijk op het netwerk van vrienden hadden aangesloten om een film te zien. En zo zijn er meer theorieën die we in ons lab willen onderzoeken.”
Daarnaast gaat het onderzoeksteam ook proefpersonen in het laboratorium uitnodigen. “Zo kunnen we niet alleen ontdekken wat ze zeggen, maar ook wat ze doen. We schotelen ze een quarantaine-melding voor en observeren dan welke acties ze uitvoeren om de situatie in het testnetwerk op te lossen. Omdat we ze tegelijkertijd vragen om hardop na te denken, kunnen we ook leren welke technische misverstanden er leven over het Internet of Things.” Welke misverstanden zouden dat zijn? “Ik vermoed dat mensen vaak wel beseffen dat een IoT-apparaat aan hun privénetwerk hangt, maar dat ze zich niet altijd realiseren dat zo’n apparaat daardoor ook vaak vanaf het internet te bereiken is.”
Tekst: Jolein de Rooij