PARAMARIBO, 2 juni 2024 – Het nieuws kwam uit het niets en dat is vaak het beste nieuws.
Onaangekondigd, rauw en verrassend – net als het nu volgende commentaar.
Suriname zou onder een grootschalige cyberaanval liggen en het nieuws werd gebracht alsof we allemaal spoedig zouden sterven. Maar klopt dat ook?
In de avond van 29 op 30 mei 2024 kwam het bericht dat "het overheidsnetwerk extreem vijandige aanvallen zou hebben te verduren".
Uit het niets lag Suriname wereldwijd onder een aanval...
De aanvallen werden met het uur heftiger en (ons zelfbedachte) "code geel" werd digitaal opgeschaald naar "code oranje" (nee, dat heeft niets met de ABOP en VHP te maken).
De justitiële autoriteiten verkeren momenteel in een volledig (!) verhoogde paraatheid!
De regering bleef strooien met inhoudsloze definities
Het Cyber Security Incident Response Team zit er bovenop! Ons Directoraat Nationale Veiligheid geeft aan de aanvallen expliciet gericht zijn op het overheidsnetwerk!!
De totaal onbekende dader kan toch alvast geclassificeerd worden als een Uncategorized Threat Group!!!
Bla bla bla
– onzinnig persbericht –
Suriname is under attack!!!!
Alle cyberattack-protocollen zijn geactiveerd! De relevante stakeholders zijn in opperste paraatheid bij elkaar gebracht!!!
En zo ging het totaal onzinnige persbericht van de Communicatiedienst Suriname oeverloos verder, zonder ook maar één bewijs of inhoudelijk argument te leveren.
Stakeholders, protocollen, threat groups... het hield niet op
Alle Surinaamse nieuwsmedia slikten het als zoete koek, deden zelf geen enkel onderzoek en brachten het nieuws alsof het echt gebeurd was.
En dat bleek een leugen.
De website van de overheid op www.gov.sr zou dus aangevallen worden door buitenlandse mogendheden.
Dat is interessant omdat de website al twee jaar niet is bijgewerkt en dus geen enkele waarde heeft. Los daarvan is er geen enkele koppeling tussen onze "digitale infrastructuur" (die er niet tot nauwelijks is), de ministeries, het bedrijfsleven en de burgermaatschappij.
Onze websites komen uit het jaar nul en zijn nooit bijgewerkt
Landen als Rusland en China werden er door de regering direct bijgehaald, vanwege de "enorme omvang en grote complexiteit van deze aanval op de cruciale netwerken van onze overheid".
Onzin.
China
China zit dieper in onze digitale systemen dan een kip wordt ondergedompeld in de olie van een locale KFC. Ze leveren nota bene zelf al onze laptops, routers, modems en Wifi-apparatuur.
Zogenaamd "gratis" en dan weet je dat alles dat ze overhandigen vol zit met spyware, rootkits, keyloggers en backdoors.
Oftewel; China weet zonder moeite al eerder wat er in ons parlement wordt besproken, dan de voorzitter ervan die op 15 meter afstand van het spreekgestoelte zit.
De overheid wist van niets, maar wel waar de "daders" zaten
En Rusland? Die heeft wel wat anders aan haar hoofd dan een "grootschalige en zeer complexe digitale cyberaanval op de staatssystemen van Suriname los te laten".
Sowieso worden dit soort aanvallen nooit vanuit een centraal punt gedaan, maar in de regel via complexe TOR-netwerken en overgenomen (geïnfecteerde) huis-PC's waardoor het bijna onmogelijk is een directe bron aan te wijzen.
Wat mijn onderzoek uitwijst, is dat er dan ook helemaal geen cyberattack gaande was.
Hoe ik zo zeker weet dat er helemaal geen "digitale aanval" op onze netwerken was?
Omdat je dat gewoon kan opzoeken op internet.
Realtime cyberattacks
– © netscout.com –
Er zijn een aantal, volledig gratis toegankelijke, gespecialiseerde site die realtime en 24/7 het internetverkeer ter wereld monitoren.
Op het moment dat dit verkeer uit de hand loopt en van reguliere traffic dreigt te verzanden in een cyberaanval, wordt dat direct gelogd en met mooie graphics in beeld gebracht.
Wie een bijvoorbeeld een bezoekje brengt aan www.netscout.com kan live meekijken hoe onze digitale wereld wordt aangevallen.
Europe under attack!
– live, 2 juni 2024 –
In bovenstaande animatie zie je goed hoe zo'n cyberaanval werkt, in dit geval voor het vaste land van de Europa.
Aanvankelijk is het er rustig, dan zie je binnenkomende aanvallen van verre mogendheden, de Europese computers worden even stil, groeperen zich en slaan vervolgens hard terug.
Het is net echte oorlog, en feitelijk is het dat ook.
Met een gratis account kan je op bovenvermelde site ook terugkijken in de tijd, en dat heb ik gedaan.
Wie terugkeert naar de nacht van 29 op 30 mei (het moment dat de regering riep dat we werden aangevallen) ziet echter dat er geen enkele "aanval" op ons land heeft plaatsgevonden.
Suriname slaapt
– 29 / 30 mei 2024 –
Sterker nog; het is op dat moment vooral Zuid-Amerika dat uitgaande aanvallen pleegt op andere continenten.
Tijdens "de aanval" gebeurde er helemaal niets bij ons
Na verloop van tijd zie je wel dat zij weer 'terugschieten', maar daarbij wordt vooral Brazilië hard geraakt. Vanuit ons land en naar ons land is – letterlijk – geen enkel agressief internetverkeer vastgelegd.
"Aanvallen" op Suriname
– © cybermap.kaspersky.com –
Andere websites laten hetzelfde beeld zien; er zijn geen aanvallen geregistereerd op onze "overheidsnetwerken" ten tijde van 29 en 30 mei 2024. De spaarzame aanvallen die er (deze twee dagen) waren, trokken stilletjes ons land voorbij en vielen vooral aan de verre horizon waar te nemen.
Suriname scoorde met slechts nul aanvallen zeer goed
Ons land scoorde die dagen "slechts" een 173e plek van cyberattacks wereldwijd... in lijst die 175 landen telt.
Nog vreemder wordt het wanneer je niet alleen de cyberattacks van die dag terugkijkt, maar ook de bijbehorende persberichten.
Vlak na "de grote aanval" meldde de Surinaamse politie namelijk dat "al haar systemen waren aangevallen en niet meer functioneerden".
Onze politie : "we worden aangevallen!!! o nee, toch niet..."
De hele gemeeenschap (de tikfout zat in het persbericht) is op de hoogte gesteld van deze ongekende aanval. luidde het bericht van de Communicatiedienst Suriname.
Police under fire!
– o nee, toch niet –
Nog geen 24 uur later werd de digitale keutel alweer ingetrokken; er was een vergissing gemaakt en de politie bleek helemaal niet onder vijandelijk digitaal vuur te liggen...
Blijkbaar functioneren hun digitale systemen zo slecht dat het er op lijkt dat ze dagelijks worden aangevallen, maar bleek dat later bussiness as usual te zijn.
Het feit dat er wereldwijd geen enkele indicatie is van wat voor aanval op ons land dan ook, kan twee dingen betekenen;
In het eerste geval liegt de regering en in het tweede geval zegt het meer over de kracht van onze verdediging, dan de kracht van de aanvaller.
Het account van de overheid was offline en bleek verbannen
Wie op het moment van de "aanval" een kijkje nam op de webserver van onze overheid zag dat deze inderdaad offline was.
Ook stond er een melding dat er misbruik was geconstateerd en dat het account daarom was verbannen.
Account Surinaamse regering
– verbannen van internet –
Dat reden voor dat "verbannen" kan overigens van alles zijn.
Een niet betaalde rekening, een onveilige website, het hosten van illegale content, etc... Het zijn allemaal zaken waardoor je verbannen kan worden en waaraan onze overheid zich wellicht schuldig heeft gemaakt.
Wanneer er overigens daadwerkelijk een aanval heeft plaatsgevonden, heb ik slecht nieuws voor de overheid; this was just the beginning.
Een openbare DDOS-aanval (waarbij zoveel verkeer wordt gegenereerd dat de webserver bezwijkt – redactie) is namelijk nooit het doel, maar slechts een middel om de kracht van onze digitale defensie te testen.
Een aanval van deze kleine omvang is gewoon een testje
Dit soort speldenprikjes (want dat zijn het) moeten gezien worden als testcase of pentest; een penetratie-test om te zien waar de zwaktes zich in het systeem bevinden, hoe men er op reageert en welke initiële schade er wordt veroorzaakt.
De aanvallers laten een kortstondige en kleinschalige aanval los, monitoren vervolgens waar het begint te roken en beslissen op basis van die informatie waar de volgende, echte aanval plaats gaat vinden.
Deze attack was hooguit de voorbode van ergere zaken
Als de regering nu dus al moord en brand schreeuwt, staat ons nog wat te wachten wanneer "de buitenlandse vijand" straks écht toe gaat slaan.
Maar laten we er vanuit gaan dat er toch een aanval heeft plaats gevonden. Dan moet deze dus van extreem kleine schaal zijn geweest, anders was hij – letterlijk – nooit onder de radar gebleven van de internationale, digitale waakhonden.
Het opzetten van zo'n cyberattack is heel simpel, kan gratis en zelfs professioneel voor nog geen US$ 25,-
Op een illegale marktplaats als het darkweb kan je kant en klare "aanvalpakketten" kopen met fancy namen als de Low Orbit Ion Canon (een bestaand wapen uit de gamefranchise van de populaire reeks Command & Conquer).
Als er al een aanval was, dan stelde deze totaal niets voor
Elke scriptkid (een student die zich verveelt) is in staat met twee muisklikken zo'n pakketje aan te schaffen, een willekeurige website als doelwit in te stellen en de "aanval" te openen.
Biertje er bij, je vrienden live laten meekijken, goede muziek op de achtergrond en je hebt toch een leuke avond met je mati's.
Defensief
Aanvallen als dit sla je zeer eenvoudig af met bijvoorbeeld een simpele loadbalancer. Dat is feitelijk een deur die je voor je website zet en alleen opent voor goed publiek.
Als er wordt aangeklopt op die deur, en je vertrouwt het bezoek niet, dan laat je de deur dicht en sla je de aanval dus af.
Blijkbaar hebben onze high-tech digital attack stakeholders bovenstaande basiskennis niet, anders zouden ze niet zo een compleet onzinnig bericht de wereld in slingeren (en zichzelf onsterfelijk belachelijk maken).
Wie even doorgraaft op de "server" van onze overheid ziet dat deze theorie de meest logisch is.
De website(s) worden namelijk gehost (ondergebracht) bij een extreem amateuristische en zeer goedkope derde partij in Amerika; Greengeeks, een zogenaamde cheap-ass hostingpartij.
Greengeeks
– cheap-ass hostingpartij –
Bij Greengeeks krijg je "veel website voor weinig".
Voor nog geen US$ 3,– per maand kan de bakker op de hoek, de hobbyist op zijn zolder en tante Loes van twee straten verderop een eigen site samenstellen.
De overheid betaalt nog geen US$ 3,– per maand aan de site
Dat is leuk voor onze tante Loes, want zij maakt graag eigen ontworpen pangi's en verkoopt die vanuit Suriname graag aan haar vriendinnen in Nederland. Kortom; een leuk product voor de reguliere huis-tuin-en-keuken-websites, maar niet voor een freaking overheidsplatform.
Maar met zo'n partij doe je geen zaken als serieuze overheid zijnde.
Als 5 mensen de site bezoeken, is er al een "aanval" gaande
Behalve de onze, want het blijkt dat het hele Surinaamse E-Gov (en overigen) is ondergebracht bij deze goedkope en amateuristische hostingpartij.
Cyberaanval?
– zelfs Pinokkio lacht er om –
Op het moment dat de site vijf bezoekers heeft, in plaats van de geraamde vier, ligt hij er al uit en spreekt de regering van een "ongekende aanval", blijkbaar...
Wat het allemaal nog erger maakt, is dat de site niet goed beveiligd is en zelfs wordt gedeeld met duizenden (!) andere partijen.
Jawel, de "cruciale infrastructuur" van onze overheid wordt uitbesteed aan een partij die daar US$ 3,– per maand voor vraagt EN dat nog eens deelt met duizenden andere websites tegelijk... hoe dom kan je dan zijn?
Je kan gratis zien welke sites er op "jouw computer" staan
En voor de critici; ook deze informatie kan je gewoon opvragen.
Via een website als www.viewdns.info kan je eenvoudig een bestaande site intikken en dan zien "wie de buren zijn".
Oftewel, welke andere sites er ook nog staan op de computer waarop de site van onze overheid draait.
De Nederlandse overheid heeft 2 sites op haar server draaien
Als test heb ik eerst de site van de Nederlandse overheid ingevoerd.
Nederlandse overheid
– 3 sites op 1 server –
De resultaten daarvan zijn weinig verrassend en zoals het hoort bij een belangrijke, en serieuze website. Op de computer (server) waarop hun website draait, staan in totaal drie sites.
Feitelijk maar twee (overheid.nl en rijksbegroting.nl) aangezien de derde site een "controle" site is die de andere twee in de gaten houdt (maar zelfstandig niets doet).
Surinaamse overheid
– ruim 4500 sites op 1 server –
De resultaten van de Surinaamse overheid zijn ook weinig verrassend, maar dan in negatieve zin.
Op de "cruciale computer" van onze regering draaien niet 1, 2 of 3 andere websites simultaan, maar zeker 4.500 stuks!
De site van onze overheid wordt gedeeld met 4.500 anderen
Als 1 site (van een totaal andere partij) dus "onder aanval" komt te liggen, sleurt deze – bij een slecht geconfigureerde webserver – de overige sites met zich mee; ze delen immers de complete infrastructuur.
Juist omdat er zoveel websites op een en dezelfde computer staan, weet je nooit welke site er wordt aangevallen als toevallig jou digitale pagina stopt met functioneren.
Het feit dat onze overheid nu zogenaamd onder vuur lag, kan dus net zo goed een typisch gevalletje zijn van een digitale vergismoord.
De aanval kan per definitie nooit specifiek zijn bedoeld
De aanvaller richt zich daarbij op website A, schiet niet met scherp maar met hagel en neemt de sites B tot en met Z automatisch mee als ingecalculeerde colateral damage.
Wellicht zakt persoon A na het schieten inderdaad met lede knieën richting het trottoir, maar daarbij neemt hij de onschuldige omstanders dan wel mee.
Het hele verhaal is klinkklare en bewezen onzin
Door te zeggen dat dit een zeer gerichte aanval was op de specifieke systemen van de overheid is dus aantoonbare onzin aangezien er – vanwege de 4500 andere sites op dezelfde computer – helemaal geen specifieke site bestaat; ze delen allemaal dezelfde, digitale voordeur.
Dat onze regering bij de eerste de beste digitale scheet al spreekt van een (niet bestaande) cyberaanval is dus zeer verontrustend.
Maar nog verontrustender is het absolute gebrek aan kennis, de onwil om te investeren in goede systemen en de leugenachtige berichten die ze vervolgens ongecontroleerd over onze hoofden uitkotsten.
Niemand nam de moeite om de loze leugens te onderzoeken
Dat geen enkele journalist vervolgens even uitzoekt wat er nu echt speelde, is wellicht nog verontrustender, maar tegelijk ook weinig opzienbarend.
Net als tijdens de zogenaamde digitale aanval blijkt immers dat Suriname liever slaapt dan actief optreed.
Bron : Kees C. Donk / 3e jaars student computerwetenschappen en IT-security
Denkt u dat er een cyberaanval plaats vond?
Wilt u reageren op de vraag?
Lees verder in de gratis app!