Veelgebruikte strategie om websites te beschermen niet waterdicht

Computerwetenschappers verbonden aan de KU Leuven en onderzoekscentrum iMinds hebben aangetoond dat één van de populairste beveiligingsmechanismen tegen cyberaanvallen in meer dan 70% van de gevallen omzeild kan worden. Het afschermen van het IP-adres blijkt cruciaal om dat te voorkomen.

In meer dan 70% van de gevallen kon de tool van de onderzoekers het originele IP-adres van de betrokken websites achterhalen, en de info leveren die nodig is om een succesvolle cyberaanval uit te voeren.

Websites en online diensten zijn steeds vaker het slachtoffer van cyberaanvallen. Een typisch voorbeeld zijn de 'distributed denial-of-service'-aanvallen (DDoS): de site of dienst wordt doelbewust bestookt met enorme aantallen malafide communicatieverzoeken vanaf verschillende computers, en begeeft onder de druk.

"Eigenaars van websites kunnen zich tegen zulke aanvallen beschermen door specifieke hardware te installeren, maar die oplossing is voor velen te duur en te complex", zegt Thomas Vissers van het Departement Computerwetenschappen en iMinds.

"Daarom doen ze vaak een beroep op de beveiligingsdiensten van cloud-based security providers. Zij beschermen websites onder meer door het inkomende webverkeer af te leiden via hun eigen infrastructuur, die robuust genoeg is om cyberaanvallen te detecteren en te absorberen. Maar die strategie staat of valt met hoe goed het originele IP-adres van de website in kwestie kan worden afgeschermd.

Als dat IP-adres kan worden achterhaald, kunnen de beveiligingsmechanismen immers makkelijk omzeild worden."

De onderzoekers namen die achilleshiel onder de loep en speurden naar zwakke plekken bij de populaire DNS redirection-strategie, die door vele cloud-based security providers wordt gebruikt om het webverkeer naar hun klanten te onderscheppen.

De onderzoekers testten de kwetsbaarheid van bijna 18.000 websites, beschermd door vijf verschillende providers. Daarvoor bouwden ze de CLOUDPIERCER-tool, die het originele IP-adres van websites automatisch probeert te achterhalen op basis van acht verschillende methodes – zoals historische data over het webdomein en IP-adres, of het gebruik van onbeschermde subdomeinen.

"Voorgaande studies hadden al een aantal strategieën beschreven die kunnen worden gebruikt om het originele IP-adres van een website te achterhalen. Wij hebben daar een aantal extra methodes aan toegevoegd, en we zijn de eersten die de exacte impact van die methodes op grote schaal hebben gemeten en geverifieerd", zegt Thomas Vissers.

"De resultaten waren toch wel confronterend: in meer dan 70% van de gevallen kon CLOUDPIERCER effectief het originele IP-adres van de betrokken websites achterhalen, en de info leveren die nodig is om een succesvolle cyberaanval uit te voeren. Daaruit blijkt duidelijk dat de massaal gebruikte DNS redirection-strategie toch een aantal ernstige tekortkomingen vertoont."

De onderzoeksresultaten werden gedeeld met de betrokken cloud-based security providers, zodat zij kunnen inspelen op het risico dat hun klanten lopen. Maar de onderzoekers willen ook het brede publiek – en meer specifiek de eigenaars van websites – informeren over de tekortkomingen van de DNS redirection-strategie. Daarom stellen ze hun CLOUDPIERCER-tool gratis ter beschikking.

"Zo kunnen mensen hun eigen website testen op de acht methodes die ook wij tijdens ons onderzoek hebben gebruikt. Onze tool scant de website in kwestie en geeft aan voor welke IP-opsporingsmethode de website het meest kwetsbaar is," zegt Thomas Vissers.

De onderzoekers bevelen twee maatregelen aan om te vermijden dat het originele IP-adres van een website te achterhalen is. De firewall-instellingen van de website kunnen zo geprogrammeerd worden dat alleen webverkeer vanaf de cloud-based security provider wordt toegelaten.

De andere oplossing is het IP-adres van de website veranderen zodra het contract met de cloud-based security provider ingaat.