GoDaddy-hack toont zwakte aan van internetinfrastructuur

• Door
• Jeroen Mulder
• geplaatst op
• 12 september 2012 08:08 uur

Het zal even gedonderd hebben op het hoofdkantoor van ‘s werelds grootste hoster en registrar. Op maandagavond gingen de schermen bij GoDaddy op zwart: een lid van Anonymous twitterde dat hij de ‘security van GoDaddy’ wel eens wilde testen en derhalve DNS-servers van de hoster offline had gehaald.  Drie DNS-servers. Voldoende om miljoenen sites en e-mailadressen onbereikbaar te maken.  Voor de bepaling van de omvang: GoDaddy  beheert 53 miljoen domeinnamen voor 10,5 miljoen klanten wereldwijd. Dat doet dit bedrijf vanuit negen datacenters in de VS en India. Maar de backbone van GoDaddy blijkt dus akelig fragiel.

Natuurlijk klaagden veel klanten steen en been op Twitter: dit had GoDaddy moeten voorkomen. Immers, dit was bepaald niet voor het eerst dat deze moloch door hackers onder vuur werd genomen. In maart 2007 ging GoDaddy – ook toen al de grootste – vijf uur offline door een DDoS-aanval. Blijkbaar heeft het bedrijf nog steeds niets geleerd van deze outages. Immers, het onderuit halen van drie core-systemen blijkt kinderlijk eenvoudig. Techcrunch.com wist te melden dat het om CNS1.SECURESERVER.NET, CNS2. SECURESERVER.NET en CNS3. SECURESERVER.NET ging:  DNS-servers waarop letterlijk duizenden websites worden geresolved. En die dus ook allemaal onbereikbaar waren.

GoDaddy haastte zich de volgende ochtend om te melden dat ‘gevoelige data zoals creditcardgegevens, wachtwoorden, namen en adressen op geen enkel moment in gevaar zijn geweest’. Dat geldt in eerste plaats voor GoDaddy.com zelf, met bijvoorbeeld betaalmodules naar alle grote creditcardmaatschappijen. Maar natuurlijk geldt dat ook voor alle websites die via de servers worden geresolved. Op CNS1 draaien – met excuses voor dit verkeerde woord: feitelijk zorgt CNS1 er alleen maar voor dat de sites via het internet bereikt kunnen worden –  bijvoorbeeld nogal wat ‘cloud’toepassingen: applicaties waarmee faxen kunnen worden verstuurd via e-mail, betaalapplicaties, en filesites voor documenten en foto’s.

Shocking
Het was shocking, aldus een boze klant op Twitter. De vraag is even of het inderdaad zo shocking is. De wereld hangt nu eenmaal met een paar touwtjes aan elkaar, alles is met elkaar verbonden. Is het niet aan de voorkant van een – publieke – website, dan wel aan de achterkant door allerlei backend-systemen die elkaar in allerlei onderwaterprocessen voortdurend raadplegen, al dan niet getriggerd door een aanvraag via de voorkant. Het grootste deel van die systemen staat weliswaar opgesteld in De-Militarized Zones, bewaakt door firewalls, IPS- en IDS-systemen, proxy- en reversed-proxyserver, maar eenmaal binnen… lijken die complexe netwerkstructuren zorgwekkend snel op enorme gatenkazen.  En hoe kom je binnen? Via de deur. In de meeste gevallen een DNS-machine dat in deze gevallen als een soort stratengids fungeert. Dan moet je  nog blij zijn dat een hacker slechts wil aantonen dat de beveiliging van omgevingen niet deugt en verder de data die onder zijn handen ter beschikking komt, ongemoeid laat.

Lappen en plakken
De Amerikaanse securityspecialist Winn Schwartau pleit ervoor om het internet te ‘herbouwen’ – juist om dit soort hacks te voorkomen. Herbouwen dus, maar dan goed. Dat is ook de boodschap die deze adviseur van de Amerikaanse overheid gaat verkondigen in zijn toespraak tijdens het Data Center World Fall Congres dat tussen 30 september en 3 oktober plaatsvindt.  Hij waarschuwt al jaren voor verwoestende aanvallen op internetinfrastructuren en vergelijkt grote IT-omgevingen niet zelden met Pearl Harbor: snel en eenvoudig te vernietigen. Probleem is dat het internet wordt gebruikt waarvoor het niet is ontworpen en dat we daarom voortdurend achter de feiten aanlopen. We blijven lappen en plakken, aldus Schwartau.

Heeft hij gelijk? Terug naar de basis: het internet – voor zover dat bestaat, een geheel andere discussie – is bedacht als netwerk van computers op verschillende plaatsen die met elkaar kunnen communiceren. Sec. Meer is het niet. Ook anno 2012 niet. Het zijn alleen heel veel computers geworden die met elkaar communiceren.  Maakt het dan nog verschil wat de inhoud is van de communicatie? Wis en waarachtig. We delen vrijwel alles over het internet: wetenschappelijke data, financiële data, technische data, procesdata, persoonlijke data. En alles staat met elkaar in verbinding. Sterker: juist door al deze verbindingen is er een complete eigen systeem ontstaan. Een systeem waarin alles wordt gedaan zoals dat ook in het reële bestaan wordt gedaan.  Daarmee is het internet een eigen economisch systeem geworden – dat wel weer is verbonden met de echte economie. En dat vindt Schwartau gevaarlijk.

Noodzaak applicatiebeveiliging
Is dat voldoende voor een pleidooi om het internet af te breken en opnieuw te bouwen? Schwartau weet als geen ander dat dit een utopie is. Maar dat er iets moet gebeuren, wordt met elke geslaagde hackpoging-formaat-GoDaddy pijnlijk duidelijk. We zullen op een andere manier naar security moeten kijken: integraal, door de hele OSI-stack. Niet alleen maar op netwerk- en transportlaag, maar ook op de applicatielagen (applicatie, presentatie en sessie). Zeker met de groei van cloudapplicaties, wordt applicatiebeveiliging in toenemende mate belangrijk.  Want de structuur van ‘het’ internet zal niet wezenlijk veranderen. DNS-resolving zal de toegangspoort blijven, tenzij we iedereen leren om in IP-reeksen te denken. Meteen wordt daarmee duidelijk dat security niet alleen het probleem is van datacenterleveranciers, netwerkproviders en hosters. Integendeel. Meer en meer schuift de verantwoordelijkheid ook door naar de applicatiebouwers.

In die zin heeft Schwartau wel gelijk: nieuwbouw is iets dat de gehele keten aangaat: applicatiebouwers, netwerkproviders, internetproviders, hosters, datacenters. Applicatiebouwers zullen veel meer met de jongens van de ‘harde techniek’ om tafel moeten om met name de beveiliging van omgevingen van meet af aan goed aan te pakken, zodat diverse beveiligingsmethodieken – ‘deviced’ met firewalls, proxy’s, etc en ‘programmed’ binnen de applicatiesoftware – goed op elkaar worden afgestemd. Daar valt nog heel wat te winnen.

En toch… het feit dat de grootste hoster ter wereld met het offline halen van drie DNS-machines op zwart gaat, baart grote zorgen. Meer dan vijftig miljoen sites wereldwijd onbereikbaar. Georganiseerd moet het dus niet eens heel erg moeilijk zijn om het internet letterlijk lam te leggen door de ‘GoDaddy’s’ van deze wereld aan te vallen. Daar is bijna geen kruid tegen gewassen. Maar als het gebeurt, laat het dan in elk geval zo zijn dat data binnen (cloud)applicaties niet meteen voor het graaien ligt.

Misschien moeten ze bij GoDaddy.com toch eens een telefoontje plegen met Winn Schwartau. Pearl Harbor lag maandagavond namelijk heel even in Scottsdale, Arizona.