Het leest weg als een spannend jongensboek, maar de effecten van de fittie tussen The Spamhaus Project en het Nederlandse bedrijf The Cyberbunker zijn voelbaar in de echte wereld. Tijdens een cyberaanval op die eerste partij die – tot nu toe – 9 dagen duurde had niet alleen doelwit Spamhaus last, maar ook jij, de willekeurige internetgebruiker kreeg te maken met een licht slomere internetverbinding dan je gewend bent. Wat gebeurde er nou eigenlijk?
De spelers
The spamhaus Project is een non-profit organisatie die al sinds 1998 een poging waagt om spammers van het web af te krijgen. Dat doen ze door deze op te sporen (sites die spam versturen) en vast te leggen en dan deze lijsten te publiceren. Dat alles in samenwerking met opsporingsdiensten uit de hele wereld. Zij beschermen op die manier circa 1,7 miljard mailboxen.
The Cyberbunker is een Nederlands data-opslag bedrijf dat belooft álles te hosten behalve – naar eigen zeggen – kinderporno en zaken gerelateerd aan terrorisme. De website van het bedrijf is inmiddels niet meer te bereiken, wat pijnlijk zal zijn voor een organisatie die in Google de volgende zin onder hun link heeft staan: “CyberBunker offers dedicated server hosting that allow clients to stay online, no matter what.”
Dan is er nog CloudFlare, dat is het bedrijf dat Spamhaus aanhaakte ter bescherming van hun site en de CEO van dat bedrijf Matthew Prince.
De aanval
Op 19 maart begonnen de Distributed Denial of Service-aanvallen op de Spamhaus-servers. Bij een DDoS-aanval worden grote hoeveelheden data-verzoeken naar servers gestuurd, vanaf een hele bak aan verschillende computers. In sommige gevallen doen deze computers mee zonder dat de eigenaar van de computer hier vanaf weet – doordat de computer in kwestie geïnfecteerd is met software die dit mogelijk maakt. In het geval van Spamhaus waren de aanvallen op het hoogtepunt in omvang zo’n 300 gigabits per seconde, zo’n zes keer groter dan andere aanvallen op goed beveiligde sites (zoals bijv. die van banken).
Omdat de DDoS-aanval Spamhaus niet uit de lucht kreeg, besloten de aanvallers de netwerken te pakken die aan CloudFlare (die Spamhaus dus beschermt) verbonden waren. Het internet is niet één digitale snelweg, maar eerder een heleboel hoofd- en zijwegen die via bruggen, tolhuizen en op andere manieren met elkaar verbonden zijn. Cloudflare is verbonden met een groot aantal netwerken, waaronder netwerken die bekend staan als Internet Exchanges: dat zijn plekken waar verschillende netwerken samenkomen op een centraal punt.
Grote steden hebben vaak een eigen Internet Exchange en de aanval op CyberFlare heeft dus op een aantal van deze Internet Exchanges effect gehad: die van Amsterdam (The Amsterdam Internet Exchange), die van Londen (London Internet Exchange) en die van Frankfurt (Frankfurt Internet Exchange). Volgens Cloudflare is het vooral de Londen Internet Exchange waar de problemen het grootst waren: “Afgelopen zaterdag zagen we een significante daling in het internetverkeer dat door die LINX (london Internet Exchange) kwam.”
De reden
Maar wat heeft Spamhaus nou precies gedaan om de aanvallers zo boos te maken. Volgens Spamhaus zijn ze inmiddels wel gewend aan bedreigingen en aanvallen. Spammers zijn geen lieverdjes en al in 2003 werd de non-profit voor het eerst met een DDoS-aanval geconfronteerd. En dat terwijl zij naar eigen zeggen verantwoordelijk zijn voor 80% van de geblokkeerde spam en 1,7 miljard mensen daarmee van dienst zijn.
Sven Olaf Kamphuis, woordvoerder van The Cyberbunker ziet dat anders. Volgens hem is Spamhaus een grotere bedreiging voor de vrijheid van het internet dan spam zelf. hij – en ook andere critici vinden de macht van Spamhaus te groot en claimen dat Spamhaus ook onschuldige sites vernietigt in hun streven de wereld spam-vrij te maken. Tegen CNN zei Kamphuis: “Spamhaus is een veel acuter gevaar. Ze wijzen naar websites, die dan zonder tussenkomst van een rechter offline worden gehaald. Dat is een significant grotere bedreiging voor het internet en vrijheid van meningsuiting dan netneutraliteit of wat dan ook.”
Kamphuis wijst hiermee op de werkwijze van Spamhaus: zonder waarschuwing worden sites geblokkeerd en de enige manier waarop site-eigenaren daar iets aan kunnen doen is achteraf een aanvraag indienen bij Spamhaus om hun naam van de lijst te halen. Maar tegen die tijd is het leed al geschied. De data van Spamhaus wordt namelijk gebruikt als basis voor o.a. spamfilters en real time bloklijsten. Eenmaal op die lijst(en), moet je aardig je best doen om er weer af te komen.
The Cyberbunker en Spamhaus hebben al tijdenlang een fittie met elkaar over sites die door Cyberbunker worden gehost en door Spamhaus worden aangewezen als schuldige van spammen.
Who dunnit?
Kamphuis neemt niet echt verantwoordelijkheid voor de aanvallen op Spamhaus: “Dit is de internet community die Spamhaus uitkotst,” aldus Kamphuis:”We hebben het met deze mensen gehad. Wat we hier zien is het internet dat een kanker uitkotst.”
Kamphuis schetst tegen CNN een scenario waarin verschillende website-eigenaren die zich in het dispuut tussen beide partijen schaarden achter Cyberbunker (onder de naam StopHaus) elkaar spraken op Skype en besloten de aanval in te zetten. Volgens hem duurde die aanval “slechts” drie dagen, daarna werd het stokje – vrijwillig – opgepakt door verschillende andere hackers en hacktivisten.
Gevoel voor drama
De mannen van Cloudflare kopten gisteren op hun blog “The DDoS That Almost Broke the Internet“, En hoewel de aanval groot was, zijn de proporties door Cloudflare lichtelijk overdreven. Het internet ging niet stuk. Het internet gaat niet stuk. En er is echt meer voor nodig om het internet stuk te krijgen. Wel werd deze toon door kranten en sites overgenomen. En toen de Amerikanen begonnen te claimen dat ook Netflix last had van haperend verkeer, was de paniek compleet. Volgens berichten op CNet zijn die mensen die buiten Nederland, Engeland en Duitsland last hebben gehad echter nog niet echt gevonden. Dat de aanval consequenties heeft staat vast, maar wat exact de omvang van die consequenties is, is niet perse duidelijk.
Sterker nog verschillende organisaties die internetsnelheid-metingen doen melden geen bijzonderheden tegen te zijn gekomen.
Tsja…
Een spannend jongensboek inderdaad en de schade voor jou – de gebruiker – lijkt vooralsnog mee te vallen. Toch moet The Cyberbunker zich maar eens stevig achter de oren krabben: de klacht dat Spamhaus eigen (rijdende) rechter speelt is misschien terecht. Maar The Cyberbunker doet dat nu zelf ook een beetje: politie, rechter en beul in één.
Wie zich nog meer achter de oren mag krabben zijn de beheerders van al die servers. Al in 2000 werden de basisprincipes vastgelegd om dit soort aanvallen te pareren. Het document – dat bekend is als BCP 38 – legt richtlijnen vast die internetbedrijven en service providers kunnen volgen om deze aanvallen tegen te gaan. Slechts een relatief klein aantal bedrijven volgt deze richtlijnen ook daadwerkelijk, de rest is niet bereid erin te investeren of er moeite voor te doen.
En nu?
Cloudflare is ervan overtuigd dat de aanvallen niet zullen ophouden en waarschuwt voor meer last. Intussen is het OM in Nederland een strafrechtelijk onderzoek gestart naar de aanvallen, waarbij ze benadrukken nog geen specifiek onderzoek te doen naar Cyberbunker.
Bronnen: CNet, Mercury News, New York Times, Reuters,