Onderzoek: Grote ddos-aanval kostte IoT-eigenaren 323.000 dollar
Een grote ddos-aanval die eind 2016 op een weblog werd uitgevoerd kostte eigenaren van Internet of Things-apparaten in totaal 323.000 dollar, zo hebben onderzoekers van de University of California, Berkeley berekend. De onderzoekers hebben een methode ontwikkeld die berekent hoeveel een ddos-aanval de eigenaar van een gehackt apparaat kost. Bij veel ddos-aanvallen worden namelijk gehackte apparaten ingezet.
De onderzoekers houden in hun methode rekening met kosten voor bandbreedte en elektriciteit, alsmede het aantal apparaten dat aan de aanval meedoet en duur van de aanval. Gehackte IoT-apparaten die bij een ddos-aanval worden ingezet geven eigenaren een slechtere gebruikerservaring en kunnen ook invloed hebben op het gebruik van het lokale netwerk waarmee het apparaat verbonden is.
Op 20 september 2016 werd het weblog KrebsOnSecurity aangevallen door het Mirai-botnet, dat uit gehackte digitale videorecorders en camera's bestond. Aan de aanval, die zo'n 77 uur duurde, deden 24.000 apparaten mee. Wanneer de ontwikkelde rekenmethode op deze aanval wordt toegepast komen de onderzoekers uit op een totale rekening van 323.000 dollar.
Dit bedrag wordt voornamelijk veroorzaakt door de kosten voor bandbreedte en lange duur van de aanval. Per apparaat gaat het om een bedrag van 13,50 dollar. Naast de aanval op KrebsOnSecurity berekenden de onderzoekers ook de schade van de aanval op dns-provider Dyn. Hierbij ging het om kortstondige aanvallen uitgevoerd door meer dan 100.000 apparaten. De totale kosten voor deze aanval worden voor eindgebruikers op 115.000 dollar geschat.
Volgens de onderzoekers verbruiken IoT-apparaten die voor een ddos-aanval worden gebruikt iets meer stroom, maar valt het effect te verwaarlozen. Als het echter gaat om bandbreedte en vertragingen op het netwerk, en daarmee een slechtere gebruikerservaring, is dit een ander verhaal. Daar zijn de gevolgen van een ddos-aanval wel duidelijk meetbaar, aldus de onderzoekers in hun conclusie (pdf).
Voor de berekening van de gebruikte hoeveelheid data geeft het onderzoek niet aan dat per device bekend was hoeveel data er verbruikt is. Er is toen de aanname gedaan dat er per scenario met een gemiddelde hoeveelheid data per device kon worden volstaan. Er is duidelijk dat het om een gemiddelde gaat en de totale hoeveelheid data is gegeven. Iedereen die dat wil kan met die gegeven de andere mogelijke uitkomsten berekenen.
Bij het berekenen van de financiele kosten hanteren de onderzoekers gegevens die incompleet zijn en niet correct. Het rapport wat ze gebruiken omschrijft bij de resultaten dat alleen van een aantal abonnementen achterhaald kon worden of er een data cap bestond. Van de abonnementen waar het wel van kon worden achterhaald had 65% geen data cap. En als er al een data cap was dan waren er geen gegevens bekend of die cap gehaald werd bij het gedrag van de gebruiker of dat een gebruiker nog ruimte over had.
Daarop baseren wat de financiele kosten zijn maakt het een zwakke conclusie. De conclusie is niet te herleiden naar de werkelijkheid en niet te herleiden naar de ddos-situaties die onderzocht zijn. Het is speculatief. Dit is niet de manier om te bewijzen dat een ddos gebruikers geld kost en hoeveel.
Bij de conclusies over de mogelijke ervaring voor de gebruiker doet het onderzoek het een stuk beter. Daar maken ze duidelijk dat ze het niet kunnen meten maar dat de tests die ze uitgevoerd hadden resultaten gaf die gewoon gebruik zou verstoren. Wat ze niet uitleggen is hoe het kan dat bij een aanval van dagen met een device van een gebruiker wel zou zorgen voor duidelijke verstoring maar een gebruiker er dagen niets aan zou doen. Ervaart die gebruiker dan wel een verstoring?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
