De TU Delft onderzoekt momenteel wie er achter de DDoS-aanval van eind mei zat. Voor dat onderzoek is de universiteit afhankelijk van de medewerking van hostingpartijen en clouddiensten.
De DDoS-aanval die begon in de nacht van maandag 27 mei op dinsdag 28 mei was gericht op het overbelasten van de nameservers van de TU Delft. “Dat is zeg maar het adresboek van het netwerk en door dat te overbelasten wordt het hele netwerk traag en kan het uiteindelijk omvallen”, legt chief information security officer Jérôme Zijderveld uit.
De universiteit kwalificeert de DDoS-aanval als zwaar vanwege de duur van de aanval, het aantal punten waar deze vandaan kwam en de hoeveelheid verzoeken die de nameservers kregen te verwerken. Het ging om 2,8 biljoen verzoeken per half uur, waar dat er normaliter zo’n 12 miljoen per half uur zijn.
Geïnfecteerde computers
Over de herkomst van de aanval wil ICT alleen kwijt dat die uit meerdere landen kwam. “Maar”, voegt Zijderveld toe, “de herkomstlanden zeggen vrijwel niets over de nationaliteit van de aanvallers of hun motief.” Bij dit soort aanvallen worden namelijk doorgaans bot-netwerken gebruikt, dat is een verzameling van computers die zijn geïnfecteerd met malware zonder dat de eigenaren van die computers dat weten. De geïnfecteerde computers vormen een netwerk en worden centraal aangestuurd via een server. Eind mei heeft Europol nog een groot internationaal botnet opgerold waarbij honderd servers betrokken waren.
‘In de regel moeten we ons erbij neerleggen dat aanvallers niet worden opgespoord’
Veel van die botnets maken misbruik van de servers van grote hostingspartijen en aanbieders van clouddiensten. Dat was bij deze aanval ook het geval. “Daarom zijn we afhankelijk van de medewerking van dit soort partijen als we willen onderzoeken wie er achter de aanval zit.” Volgens Zijderveld heeft de universiteit momenteel onderzoeksvragen uit staan bij deze partijen over de identiteit van de aanvallers.
Druk uitoefenen
“Soms krijgen we antwoord, maar in de regel blijft het stil en moeten we ons erbij neerleggen dat de aanvallers niet worden opgespoord. Wel kunnen we de druk opvoeren via Surf (het samenwerkingsplatform van onderwijsinstelling op het gebied van digitale diensten, red.). Surf kan namelijk contact opnemen met het Nationaal Cyber Security Centrum, dat meer druk kan uitoefenen op hostingpartijen en clouddiensten.” Wel weet ICT dat de aanval specifiek was gericht op de TU Delft door navraag te doen bij andere universiteiten en Surf .
De universiteit krijgt ‘meerdere malen per jaar’ te maken met DDoS-aanvallen. Hoewel deze doorgaans kort van duur zijn, ziet de afdeling ICT dat ze steeds geavanceerder worden. “Het is een wedloop”, aldus Zijderveld. Om zich zo goed mogelijk te wapenen, werkt ICT samen met onderzoekers van de faculteiten Techniek, Bestuur en Management (TBM) en Elektrotechniek, Wiskunde en Informatica (EWI). “Zo is er eens per kwartaal een cyber security roundtable waar we de laatste ontwikkelingen op het vlak van cyberveiligheid bespreken.”
Heb je een vraag of opmerking over dit artikel?
a.m.debruijn@tudelft.nl
Comments are closed.