Goedwerkende internetverbindingen zijn cruciaal voor de Nederlandse samenleving. Storingen hebben grote effecten, zoals onbereikbaarheid van cruciale overheidsdiensten, onderwijsfaciliteiten en financiële instellingen. Hoe beschermen we het open internet in de huidige grimmige (geo)politieke situatie?
Inmiddels is duidelijk dat ontwrichting van de maatschappij een wapen in de hybride oorlogsvoering is dat kan worden ingezet zonder dat daadwerkelijk de oorlog wordt verklaard. Voorbeelden van ‘per ongeluk’ beschadigde glasvezelkabels in de Oostzee stapelen zich op. Het KRO-NCRV Onderzoeksprogramma Pointer sprak afgelopen zomer bijvoorbeeld een ex-bemanningslid van het Russisch spionageschip Sibiryakov die bevestigde dat het land de kritieke infrastructuur nauwkeurig in kaart brengt voor het geval er oorlog uitbreekt.
Fysieke sabotage is slechts een van de manieren om digitale ontwrichting te veroorzaken. Het internet bevat verschillende fundamentele kwetsbaarheden, omdat de oorspronkelijke ontwerpers van het netwerk nooit het huidige grootschalige gebruik konden voorzien. Proactief veiligheidsmaatregelen nemen is ingewikkeld omdat het internet eigenlijk bestaat uit een samenwerkingsverband van zo’n 75.000 autonome netwerken zonder overkoepelend gezag.
DDoS-aanvallen zijn onderdeel van een wapenwedloop
Een makkelijke manier voor kwaadwillenden om websites onbereikbaar te maken is domweg de toegangspoort blokkeren door er grote hoeveelheden nonsensberichten op af te sturen, ook wel een DDoS-aanval genoemd. Een groot aantal Nederlandse internetorganisaties heeft zich verenigd in de Anti-DDoS-Coalitie om dat probleem aan te pakken. Eén manier is om het verkeer om te leiden en te ontdoen van de nonsensberichten via bijvoorbeeld de NaWas, de Nationale Wasstraat. Deze dienstverlening is onderdeel van NBIP, de stichting Nationale Beheersorganisatie Internet Providers, in 2001 opgericht door internetaanbieders om aan de tapverplichtingen in de Telecommunicatiewet te voldoen. Inmiddels richt NBIP zich breder op de beveiliging van vast en mobiel internet in Nederland en Europa.
Sinds vorig jaar is er ook het DDoS Clearinghouse bijgekomen, ontwikkeld door SIDN Labs en nu beheerd door NBIP. De aangesloten organisaties delen daarin ‘vingerafdrukken’ met specifieke kenmerken van de aanvallen die op hen zijn gericht. Met die informatie kunnen de andere aangesloten organisaties zich voorbereiden en een aanval vroegtijdig afslaan.
Ondanks alle aandacht voor DDoS, lagen in januari verschillende universiteiten, hogescholen en academische ziekenhuizen plat door een grootschalige aanval op SURF, de ICT-coöperatie voor Nederlandse onderwijs- en onderzoeksinstellingen. “We hebben recent veel meer aanvallen op Nederlandse infrastructuur gezien,” zegt NBIP-directeur Octavia de Weerdt. “Je ziet steeds nieuwe typen aanvallen voorbijkomen, of een combinatie van aanvalsmethoden. Er zijn ook bijvoorbeeld aanvallen die op applicatieniveau plaatsvinden. Dat zijn ingewikkelde aanvallen want ze zijn niet heel groot, maar wel heel gericht. Zulke aanvallen kunnen best disruptief worden. Wij herkennen veel soorten aanvallen, die we kunnen afslaan. Alleen kan een nieuwe methode je altijd verrassen. Het is toch een wapenwedloop.”
NBIP werkt aan een doorontwikkeling van NaWas in het kader van het Europese IPCEI CIS-programma. Dat is opgezet om op termijn de Europese digitale soevereiniteit te waarborgen. Onderdeel van dit programma is het creëren van een netwerk van gedistribueerde, duurzame microdatacentra. “NBIP is nauw betrokken bij het ontwikkelen van de duurzame connectiviteit tussen die datacentra en de cybersecuritylaag daarbovenop. Zo is ook een testomgeving opgezet om de mogelijkheden van NaWas op microformaat naar de ‘edge’ van Europa te brengen.”
Een nieuwe aanvalsmethode kan je altijd verrassen. Het is toch een wapenwedloop.”
Tijd is cruciaal
Uit een storing bij het extra beveiligde militaire netwerk NAFIN vorig jaar bleek al hoe belangrijk tijdsynchronisatie is om computers met elkaar te laten samenwerken. Door een softwarefout raakte de digitale klok van alle computers in het netwerk van slag. Het gevolg: communicatieproblemen op bij de hulpdiensten en de kustwacht, het vliegverkeer op Eindhoven Airport viel stil en inloggen met DigiD op overheidsdiensten lukte vaak niet.
Veel organisaties hebben eigen tijdservers om computers en de eigen dienstverlening volgens eigen specificaties te synchroniseren. Zo wordt bijvoorbeeld de inlogtijd op een webdienst bijgehouden of de geldigheid van digitale certificaten bepaald. Voor de ene tijdservice is een nauwkeurigheid in uren genoeg, maar bijvoorbeeld de flitshandel op de beurs werkt met een precisie van microseconden.
Veel tijdservers worden gesynchroniseerd met het tijdsignaal dat de GPS-satellieten uitzenden. Om met verstoring daarvan om te kunnen gaan, vallen sommige tijdbronnen tijdelijk terug op een mini-atoomklok. “Die kunnen enkele weken of maanden de tijd met hoge precisie blijven leveren, afhankelijk van de kwaliteit van de atoomklok”, zegt Cristian Hesselman, directeur van SIDN Labs en hoogleraar Trusted Open Networking aan de Universiteit Twente. SIDN heeft zelf de tijdservice TimeNL opgezet om een goed beheerde en transparante publieke tijdsdienst te bieden en om er zelf gebruik van te maken, bijvoorbeeld om het tijdstip van een domeinregistratie in het .nl-domein vast te leggen. Om de weerbaarheid te vergroten heeft de Zwitser Adrian von Bidder in 2003 al het NTP (Network Time Protocol) Pool Project opgezet. Dat is een systeem van enkele duizenden tijdservers die de beheerders op vrijwillige basis hebben gekoppeld. Vanwege het decentrale karakter levert het systeem een nauwkeurige en betrouwbare tijddienst aanbiedt aan belanghebbenden. “Samen met een PhD-student van de Universiteit Twente kijken we bij SIDN Labs naar de kwetsbaarheden van tijddiensten en de risico’s die het ecosysteem bevat, zoals die van de NTP Pool.”
Routering verkeer kapen
Dataverkeer over internet is ook relatief eenvoudig om te leiden. Om dataverkeer tussen netwerken te routeren, werd in 1989 het border gateway protocol (BGP) bedacht. Elk netwerk meldt hiermee aan alle andere netwerken welke computers (IP-adressen) bereikbaar zijn binnen het eigen netwerk. Vervolgens kiest ieder netwerk individueel de weg naar de juiste bestemming op basis van een routeringsalgoritme. “Het oorspronkelijke BGP is niet ontworpen met integriteit in gedachte, alleen met beschikbaarheid”, memoreert Hesselman. Iedereen kan zich dus voordoen als een ander netwerk door de IP-adressen daarvan te ‘adverteren’ via het BGP. Het routeringsmechanisme van de betrokken netwerken kiest dan makkelijk de verkeerde bestemming. “Uit recent onderzoek van SIDN Labs en de Universiteit Twente blijkt dat er organisaties zijn die al jarenlang regelmatig het systeem op deze manier misbruiken.” Het is blijkbaar lastig deze partijen te blokkeren, zegt Hesselman. “Het zou kunnen via de Regional Internet Registry (RIR). In Europa is dat RIPE NCC. Dan krijg je een soort routingpolitie. Dat druist echter in tegen het fundamentele principe van een open en decentraal internet.”
Een beheerder van een netwerk zou ook zelf kunnen besluiten geen verkeer meer uit te wisselen met dat netwerk wanneer dat vaak foute BGP-informatie adverteert. Als verschillende netwerken dat doen, is het mogelijk zo’n slecht netwerk buiten te sluiten. “Mijn beeld is dat het een greenfield-situatie betreft waarbij niemand eigenlijk weet hoe hiermee om te gaan. Er is geen beleid en voor beleidsontwikkeling heb je eerst data nodig. Het onderzoek dat wij hebben gedaan, kan daarbij helpen.” Volgens Hesselman is het ook onduidelijk wie in de routinggemeenschap dat beleid zou moeten ontwikkelen. Dat zou mogelijk een taak voor de Address Support Organization (ASO) van ICANN zijn, dat het hele routeringssysteem overziet, of voor de RIR’s.
Sleutelen aan de basis betekent risico
De beste oplossing is het gebruik van het Border Gateway Protocol te voorzien van integriteitschecks. Die mogelijkheid is beschikbaar in de vorm van de Resource Public Key Infrastructure (RPKI). Hesselman: “Dat wordt steeds meer gebruikt, maar is nog niet 100% geïmplementeerd. Wil je het BGP helemaal kunnen beveiligen, moeten alle netwerken het gebruiken en heb je ook nog technieken zoals BGPsec nodig.” BPGsec is een beveiligde versie van het Border Gateway Protocol. Het probleem is dat het sleutelen aan zo’n cruciaal protocol een risico oplevert voor het functioneren van het netwerk. Bovendien kost het tijd en geld, waardoor de implementatie langzaam verloopt.
DNSSEC-beveiliging ingehaald door quantumtechnologie
Het gedistribueerde adresboek van internet – het Domain Name System (DNS) – is nog een voorbeeld van een onveilig internetprotocol. Het systeem koppelt webadressen (bijvoorbeeld www.tw.nl) aan IP-adressen van servers met de gevraagde informatie. Inmiddels is er een beveiligde vorm van het DNS, genaamd DNSSEC. Deze beveiliging dekt de risico’s af door gebruik te maken van een digitale handtekening bij het doorgeven van de adresinformatie. Inmiddels is zo’n 60% van de .nl-domeinnamen beveiligd met DNSSEC. De handtekening is echter kwetsbaar wanneer quantumcomputers beschikbaar komen. DNSSEC moet dus een nieuwe quantumveilige encryptie krijgen, de zogeheten post-quantumcryptography (PQC-algoritmen). “Een probleem met PQC-gebaseerde handtekeningen is dat ze mogelijk niet meer passen in de adrespakketjes (UDP) die het DNS meestal gebruikt”, zegt Hesselman. “Dat kan gevolgen hebben voor de schaalbaarheid van het systeem. Wij hebben vorig jaar een testomgeving ontwikkeld, zodat we gemakkelijk experimenten kunnen uitvoeren om de impact van post-quantum cryptografie op het DNS te meten.”
Het is belangrijk nu al voorbereidingen te treffen en niet pas over tien jaar.”
Ook al komen nieuwe beveiligingen beschikbaar, de implementatie is altijd een tijdrovend proces. Zo moeten nieuwe PQC-algoritmen altijd eerst door het National Institute of Standards and Technology (NIST) worden gestandaardiseerd en daarna door de Internet Engineering Task Force (IETF) worden toegevoegd aan protocolstandaarden zoals DNSSEC. Daarna moeten ze nog in de software van verschillende partijen terechtkomen en in gebruik worden genomen. “Daarom is het belangrijk nu al voorbereidingen te treffen en niet pas over tien jaar”, waarschuwt Hesselman.
Kansen voor Nederland
Nederland heeft een goede reputatie wat betreft de beschikbaarheid van digitale diensten en kan een voortrekkersrol spelen in Europa bij de ontwikkeling van innovatieve cybersecurity-oplossingen, constateert De Weerdt. “Door de politieke omstandigheden is een perfect storm ontstaan langs de lijnen van edge, connectiviteit, digitale soevereiniteit en open source. Daar kunnen we het beste maar goed op aanhaken.”
