Populaire cloudbeveiliging van websites zit vol gaten
Belgisch onderzoek heeft aangetoond dat DNS redirection, één van de voornaamste beveiligingsmechanismen voor websites tegen cyberaanvallen, in meer dan 70 procent van de gevallen omzeild kan worden.
Het onderzoek werd uitgevoerd door een team computerwetenschappers van de KU Leuven, in samenwerking met onderzoekscentrum iMinds. De wetenschappers onderzochten de robuustheid van DNS redirection bij 18.000 websites, beschermd door vijf verschillende cloud-based security providers.
DNS redirection wordt onder meer gebruikt als bescherming tegen DDoS-aanvallen, waarbij een site doelbewust bestookt wordt met gigantische aantallen malafide communicatieverzoeken afkomstig van verschillende computers, waardoor de website het uiteindelijk onder de druk begeeft. Vorige week nog werden de online diensten van BNP Paribas Fortis door zo’n aanval getroffen, waardoor klanten urenlang niet konden online bankieren.
“Eigenaars van websites kunnen zich tegen zulke aanvallen beschermen door specifieke hardware te installeren, maar die oplossing is voor velen te duur en te complex,” zegt Thomas Vissers van het Departement Computerwetenschappen en iMinds. Website-eigenaars doen daarom vaak beroep op gespecialiseerde bedrijven die hen tegen dit soort aanvallen beschermt door het inkomende webverkeer af te leiden naar hun eigen infrastructuur via DNS redirection.
[related_article id=”176311″]Cloudpiercer
“Die strategie staat of valt met hoe goed het originele IP-adres van de website in kwestie kan worden afgeschermd,” legt Vissers uit. “Als dat IP-adres kan worden achterhaald, kunnen de beveiligingsmechanismen immers makkelijk omzeild worden.” Het is net daar dat het schoentje knelt en de focus van de onderzoekers naar uitging. Daarvoor bouwden ze de Cloudpiercer-tool, die het originele IP-adres van websites automatisch probeert te achterhalen op basis van acht verschillende methodes, waaronder historische data over het webdomein en IP-adres, of het gebruik van onbeschermde subdomeinen.
Het is de eerste keer dat dergelijk ondezoek op deze schaal werd uitgevoerd en de resultaten (PDF) tonen aan dat de DNS redirection-strategie toch een aantal terkortkomingen kent. “In meer dan 70 procent van de gevallen kon Cloudpiercer effectief het originele IP-adres van de betrokken websites achterhalen, en de info leveren die nodig is om een succesvolle cyberaanval uit te voeren,” vertelt Vissers.
De onderzoekers hebben hun bevindingen onmiddellijk gedeeld met de betrokken cloud-based security providers, maar willen ook het brede publiek – en meer specifiek de eigenaars van websites – informeren over de risico’s. Daarom stellen ze de Cloudpiercer-tool gratis ter beschikking, zodat iedereen zijn website kan testen op eventuele kwetsbaarheden.
Wie wil vermijden dat het originele IP-adres van zijn website kan worden achterhaald, kan de firewall-instellingen zo programmeren dat alleen webverkeer vanaf de cloud-based security provider wordt toegestaan. Een andere oplossing is op het IP-adres van de website te veranderen van zodra het contract met de security provider ingaat.