Van hobbyproject tot DDoS Alerting Service

In zijn vrije tijd bouwde Lennart Haagsma een systeem dat DDoS-aanvallen detecteert en ISP’s, hosters en andere organisaties kan inlichten. Met ondersteuning van  SIDN fonds wil hij zijn DDoS Alerting Service verder brengen. “Voor kleinere partijen voor wie dure detectiesoftware te duur is, is dit een uitkomst.”

Een interessant project

Zo’n 3 jaar geleden kreeg Lennart Haagsma het idee dat ten grondslag ligt aan de DDoS Alerting Service. “Ik zag steeds meer berichten over DDoS-aanvallen. Het leek me interessant om daar meer inzicht in te krijgen. Door een server anders in te richten maakte ik een honeypot, een soort valkuil. Het idee is dat DDoS-aanvallen die server gebruiken bij hun aanval.”

Lennart Haagsma

HoneyNED

Een half jaar geleden zag Lennart veel aanvallen voorbijkomen. Al snel merkte hij dat anderen ook geïnteresseerd waren in zijn informatie. Een van die mensen was Rogier Spoor, de voorzitter van HoneyNED, een Nederlandse community voor mensen die zich bezighouden met honeypots. Samen met Rogier ontwikkelde Lennart het idee om die informatie uit het systeem als een service te gaan delen.

Data goed presenteren

“Het bouwen van een honeypot is niet enorm gecompliceerd. De data toegankelijk maken en op een goede manier presenteren, vind ik een stuk moeilijker. Ik had zoiets nog nooit eerder gedaan.” Daar ging heel wat tijd en geld inzitten. Rogier kwam met het idee om contact op te nemen met SIDN fonds. De ondersteuning van SIDN fonds helpt Lennart om de kosten voor hosting en arbeidsuren te dragen. “Met dit geld kan ik de informatie die uit het systeem komt gebruiksvriendelijker maken.”

Meer partijen

Op dit moment stuurt de DDoS Alerting Service informatie naar een handvol partijen . Deze informatie helpt hen om te beslissen of iets een echte aanval is of een storing. “Voor kleinere partijen voor wie dure detectiesoftware te duur is, is dit een uitkomst.” Het is dan ook de bedoeling om snel informatie te gaan delen met meerdere partijen. Een flinke uitdaging, vertelt Lennart. “Ik bekijk nu hoe ik partijen geautomatiseerd toegang kan geven. Dat moet echter wel goed gebeuren. Ik wil geen informatiebron worden voor aanvallers!”

Inzicht in trends

De DDoS Alerting Service geeft ook inzicht in trends. Welke doelwitten zijn bijvoorbeeld populair? In welke landen? “Een van de weergaven die ik aanbied, is een wereldkaart waarop je live kunt zien waar slachtoffers van DDoS-aanvallen zich bevinden. Dit is voor velen nuttige informatie. Ik wil in de toekomst meer van zulke informatie gaan delen. Maar ook hier geldt dat ik criminelen niet wijzer wil maken. En ik wil ook niet dat anderen geld gaan verdienen met informatie die ik gratis deel.”

Honeypots

Lennart was niet de eerste die honeypots inzette. In de IT-beveiliging worden ze vaker gebruikt, meestal om hackers te vangen. Het idee is dat je iets bewust slecht beveiligt en dan goed in de gaten houdt of iemand van dat zwakke punt gebruikmaakt. “Je bouwt als het ware een extra deur in een huis, een deur die makkelijk open te maken is, maar die nergens op uitkomt.”

Het begon als hobbyproject

Hoewel hij de informatie die het systeem hem opleverde ook in zijn werk gebruikte – Lennart is security analist bij Fox-IT – begon het echt als een hobbyproject. De ene week besteedde hij er bijna geen tijd aan, de andere week enkele uren. “Technisch was het ook niet enorm moeilijk. Je moet alleen wel van meerdere disciplines verstand hebben. Je moet iets van servers weten, je moet een beetje kunnen programmeren, websites kunnen maken…”

SIDN fonds

Mensen en organisaties verbinden voor een onbezorgd digitaal bestaan, dat is de missie van SIDN. Het SIDN fonds, dat  in 2014 op initiatief van SIDN is  gestart, draagt hieraan bij. SIDN fonds staat voor een sterk internet voor iedereen en geeft geld aan projecten die het internet versterken, bijdragen aan empowerment van de gebruikers of die internet op een vernieuwende manier inzetten. Zo dragen we bij aan de welvaart en het welzijn in Nederland.

Inzet op internet

De manier waarop de DDoS Alerting Service honeypots gebruikt, is net anders. “Ik richt me op zogenaamde reflective amplification DDoS-attacks. Deze aanvallen maken gebruik van ‘middle men’; ze sturen servers op internet een kleine vraag waarop ze een groter antwoord terugkrijgen. De truc is dat de antwoorden naar het slachtoffer van de aanval gaan. Die wordt dan overspoeld met data en krijgt problemen. Mijn honeypots doen zich voor als slecht geconfigureerde servers op internet. Ik hoop dat aanvallers ze misbruiken voor hun aanvallen.”

SIDN fonds

Lennarts ervaringen met het fonds zijn heel goed. “Het eerste gesprek beviel meteen al. Ik heb ook meegedaan aan een workshop met andere partijen die het fonds ondersteunt. Dat was erg interessant. Het mooie is dat het allemaal positieve projecten zijn. Projecten die het internet beter en veiliger maken. Dat spreekt mij enorm aan.”

Reacties

  • vrijdag 1 juni 2018

    Over SIDN

    AI-Pioniers met steun van SIDN fonds van start

    Thumb+logo+SIDN+fonds

    8 projecten op het gebied van Responsible AI

    Lees meer
  • dinsdag 3 april 2018

    Over SIDN

    Whois niet beschikbaar op 3 april van 05.00 -08.00 uur

    nl-thumbnail_36

    Door onderhoudswerkzaamheden is de Whois tijdelijk niet beschikbaar.

    Lees meer
  • maandag 15 april 2019

    Veilig internet

    Vergroot je veiligheidsbewustzijn!

    iStock-876819100-laptop-inloggen-met-mobiel-thumbnail

    Check de tips om bewuster om te gaan met online veiligheid in je onderneming.

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.