In meer dan 70% van de gevallen kan het beveiligingsmechanisme DNS redirection, omzeild worden. Dat stelt iMinds – KU Leuven op basis van een grootschalig onderzoek. De tactiek wordt vaak gebruikt door cloud based security providers. Hierbij wordt het verkeer dat een DDOS (distributed denial-of-service)-aanvaller genereert omgeleid.
“Eigenaars van websites kunnen zich tegen zulke aanvallen beschermen door specifieke hardware te installeren, maar dat is een oplossing die voor velen te duur en te complex is. Vandaar dat ze vaak een beroep doen op de beveiligingsdiensten van cloud-based security providers. Zij beschermen websites, onder meer door het inkomende webverkeer af te leiden via hun eigen infrastructuur; een infrastructuur die robuust genoeg is om cyberaanvallen te detecteren en te absorberen,” legt Thomas Vissers van iMinds – KU Leuven uit. “Maar die strategie staat of valt met hoe goed het originele IP-adres van de te beschermen website kan worden afgeschermd. Als dat kan worden achterhaald, kunnen de beveiligingsmechanismen immers makkelijk omzeild worden.”
Volgens de onderzoekers van iMinds – KU Leuven knelt daar het schoentje. Door middel van het eerste grootschalige onderzoek in dit domein gingen zij actief op zoek naar zwakke plekken in de populaire ‘DNS redirection’-strategie die door vele cloud-based security providers wordt gebruikt om het webverkeer naar hun klanten te onderscheppen. Het meer robuuste alternatief, BGP redirection, is voor de meeste organisaties immers opnieuw te duur en te complex.
Concreet werden bijna 18.000 websites, beschermd door vijf verschillende providers, onderzocht op hun kwetsbaarheid inzake DNS redirection. De onderzoekers bouwden daarvoor de CLOUDPIERCER tool, die het originele IP-adres van websites automatisch probeert te achterhalen op basis van acht verschillende methodes – zoals historische data over het webdomein en IP-adres, of het gebruik van onbeschermde subdomeinen.
“Voorgaande studies hadden al een aantal strategieën beschreven die kunnen worden gebruikt om het originele IP-adres van een website te achterhalen. Wij hebben daar een aantal extra methodes aan toegevoegd, en zijn bovendien de eersten die de exacte impact van die methodes op grote schaal hebben gemeten en geverifieerd,” zegt Thomas Vissers. “En de resultaten waren toch wel confronterend: in meer dan 70% van de gevallen kon CLOUDPIERCER effectief het originele IP-adres van de betrokken websites achterhalen, en de info aanleveren die nodig is om een succesvolle cyberaanval uit te voeren. Daaruit blijkt duidelijk dat de DNS redirection-strategie die vandaag massaal gebruikt wordt toch een aantal ernstige tekortkomingen vertoont.”
Aanbevelingen
De onderzoeksresultaten werden alvast gedeeld met de betrokken cloud-based security providers, zodat zij kunnen inspelen op het risico dat hun klanten nog steeds lopen.
De onderzoekers willen echter ook het bredere publiek – en meer specifiek de eigenaars van websites – informeren over de tekortkomingen van de populaire DNS redirection-strategie. Onder meer daarom stellen ze hun CLOUDPIERCER-tool gratis ter beschikking.
“Met CLOUDPIERCER kunnen mensen hun eigen website testen tegen de acht methodes die ook wij tijdens ons onderzoek hebben gebruikt. CLOUDPIERCER scant de website in kwestie en geeft aan voor welke IP-opsporingsmethode de website het meest kwetsbaar is,” besluit Thomas Vissers.
Wanneer websites gebruik maken van DNS redirection als verdedigingsmechanisme tegen cyberaanvallen, kunnen er volgens de onderzoekers alvast twee eenvoudige maatregelen genomen worden om te vermijden dat het originele IP-adres van de website toch kan worden achterhaald –
Enerzijds kunnen de firewall-instellingen van de website zo geprogrammeerd worden dat enkel webverkeer vanaf de cloud-based security provider wordt toegelaten Anderzijds kan het IP-adres van de website veranderd worden van zodra het contract met de cloud-based security provider ingaat.
De CLOUDPIERCER-tool is gratis beschikbaar via https://cloudpiercer.org/
Bezoek ook iMinds The Conference (donderdag 28 april, Square Brussel).