HomeShare
Artikel

Veelgebruikte strategie van cloud-based security providers om websites te beschermen is niet waterdicht

Uit grootschalig onderzoek van iMinds - KU Leuven en Stony Brook University (New York) blijkt dat in meer dan 70% van de gevallen één van de voornaamste beveiligingsmechanismen, DNS redirection, omzeild kan worden.

Scroll

Achtergrond

Websites en online diensten zijn steeds vaker het slachtoffer van cyberaanvallen. Een sprekend voorbeeld zijn de zogenaamde ‘distributed denial-of-service’ (DDoS)-aanvallen: de site of dienst wordt doelbewust bestookt met enorme aantallen malafide communicatieverzoeken vanaf verschillende computers, en begeeft onder de druk.

“Eigenaars van websites kunnen zich tegen zulke aanvallen beschermen door specifieke hardware te installeren, maar dat is een oplossing die voor velen te duur en te complex is. Vandaar dat ze vaak een beroep doen op de beveiligingsdiensten van cloud-based security providers. Zij beschermen websites, onder meer door het inkomende webverkeer af te leiden via hun eigen infrastructuur; een infrastructuur die robuust genoeg is om cyberaanvallen te detecteren en te absorberen,” legt Thomas Vissers van imec - KU Leuven uit. “Maar die strategie staat of valt met hoe goed het originele IP-adres van de te beschermen website kan worden afgeschermd. Als dat kan worden achterhaald, kunnen de beveiligingsmechanismen immers makkelijk omzeild worden.”

Volgens Thomas Vissers en Nick Nikiforakis, assistent prof Computerwetenschappen aan de Stony Brook University in New York, knelt daar het schoentje. Door middel van het eerste grootschalige onderzoek in dit domein gingen zij actief op zoek naar zwakke plekken in de populaire ‘DNS redirection’-strategie die door vele cloud-based security providers wordt gebruikt om het webverkeer naar hun klanten te onderscheppen. Het meer robuuste alternatief, BGP redirection, is voor de meeste organisaties immers opnieuw te duur en te complex.

Onderzoek & onderzoeksresultaten

Concreet werden bijna 18.000 websites, beschermd door vijf verschillende providers, onderzocht op hun kwetsbaarheid inzake DNS redirection. De onderzoekers bouwden daarvoor de CLOUDPIERCER tool, die het originele IP-adres van websites automatisch probeert te achterhalen op basis van acht verschillende methodes – zoals historische data over het webdomein en IP-adres, of het gebruik van onbeschermde subdomeinen.

“Voorgaande studies hadden al een aantal strategieën beschreven die kunnen worden gebruikt om het originele IP-adres van een website te achterhalen. Wij hebben daar een aantal extra methodes aan toegevoegd, en zijn bovendien de eersten die de exacte impact van die methodes op grote schaal hebben gemeten en geverifieerd,” zegt Thomas Vissers. “En de resultaten waren toch wel confronterend: in meer dan 70% van de gevallen kon CLOUDPIERCER effectief het originele IP-adres van de betrokken websites achterhalen, en de info aanleveren die nodig is om een succesvolle cyberaanval uit te voeren. Daaruit blijkt duidelijk dat de DNS redirection-strategie die vandaag massaal gebruikt wordt toch een aantal ernstige tekortkomingen vertoont.”

Aanbevelingen

De onderzoeksresultaten werden alvast gedeeld met de betrokken cloud-based security providers, zodat zij kunnen inspelen op het risico dat hun klanten nog steeds lopen.

De onderzoekers willen echter ook het bredere publiek – en meer specifiek de eigenaars van websites – informeren over de tekortkomingen van de populaire DNS redirection-strategie. Onder meer daarom stellen ze hun CLOUDPIERCER-tool gratis ter beschikking.

“Met CLOUDPIERCER kunnen mensen hun eigen website testen tegen de acht methodes die ook wij tijdens ons onderzoek hebben gebruikt. CLOUDPIERCER scant de website in kwestie en geeft aan voor welke IP-opsporingsmethode de website het meest kwetsbaar is,” besluit Thomas Vissers.

Wanneer websites gebruik maken van DNS redirection als verdedigingsmechanisme tegen cyberaanvallen, kunnen er volgens de onderzoekers alvast twee eenvoudige maatregelen genomen worden om te vermijden dat het originele IP-adres van de website toch kan worden achterhaald –

  • Enerzijds kunnen de firewall-instellingen van de website zo geprogrammeerd worden dat enkel webverkeer vanaf de cloud-based security provider wordt toegelaten
  • Anderzijds kan het IP-adres van de website veranderd worden van zodra het contract met de cloud-based security provider ingaat.

Meer Info

 

Gerelateerd

Deze website maakt gebruik van cookies met als enige doel het analyseren van surfgedrag, zonder enige commerciële insteek. Lees er hier meer over.

Accepteer cookies