De 18-jarige jongen uit Oosterhout die maandag werd opgepakt voor een reeks DDoS-aanvallen op de Bunq-bank, Belastingdienst en techwebsite Tweakers.net, is dan ook geen hacker. Niet per se, althans. 

“Dat is een misverstand: wat hij deed is geen hacken”, vertelt Schoonbrood. “Hij heeft een DDOS-aanval uitgevoerd. Dan wordt een site overspoeld met heel veel inkomend verkeer, waardoor de site in principe onbereikbaar wordt. Echt inbreken bij zo’n instantie, dat is heel ander verhaal.”

Voor het overspoelen van zo’n site worden over het algemeen gehackte pc’s van derden gebruikt. Die computers zijn eerder besmet met een virus waardoor ze zich onder controle bevinden van een aanvaller. Zo kan die aanvaller het verkeer redigeren naar een site, bijvoorbeeld die van de Belastingdienst.

DDoS bestrijden?
De kunst bij het afslaan van een DDoS-aanval is het scheiden van het legitieme verkeer van het verkeer van de aanvaller. “Daarvoor moeten er actieve analyses plaatsvinden,” legt Schoonbrood uit, “en op basis van zo’n analyse moet er een scheiding tussen goed- en kwaadwillende bezoekers worden vastgesteld.”

“Er bestaan eenvoudige oplossingen, zoals met firewalls. Die kun je configureren om dat verkeer automatisch te detecteren. Maar de aanvallen worden steeds complexer, waardoor de identificatie steeds moeilijker wordt. In de praktijk vergt het afslaan van een DDoS-aanval dus tijd en personeel.”

Wat dat zegt over de beveiliging bij de Belastingdienst? Niet veel, zegt Schoonbrood. “In theorie is ieder bedrijf vatbaar voor een DDoS-aanval. Als er maar genoeg verkeer binnenkomt, bezwijken de servers het uiteindelijk. Alles blijft relatief. Je weet nooit hoe zo’n aanval er van te voren uit gaat zien.”