Computerwetenschappers van de KU Leuven en het onderzoekscentrum iMinds ontwikkelden de cloudpierce-tool. Deze tool test de beveiligingsmethodes van cloud-based security providers. Hieruit blijkt dat in 70 procent van de gevallen de beveiligingsmechanismen niet waterdicht waren. De tool kon het originele ip-adres van de betrokken websites achterhalen en de benodigde informatie leveren om een succesvolle cyberaanval uit te voeren.
Cloud-based security providers bieden een DNS redirection-strategie. Hierbij wordt het inkomende webverkeer geleid via hun eigen infrastructuur. ‘Die strategie staat of valt met hoe goed het originele ip-adres van de website in kwestie kan worden afgeschermd. Als dat ip-adres kan worden achterhaald, kunnen de beveiligingsmechanismen immers makkelijk omzeild worden’, vertelt Thomas Vissers, van het Departement Computerwetenschappen en iMinds.
De onderzoekers ontwikkelden een tool om de zwakke plekken bij de DNS redirection-strategie te testen. De Cloudpiercer-tool probeert het originele ip-adres van websites te achterhalen op basis van acht verschillende methodes.
In totaal werden de kwetsbaarheid van bijna achttienduizend websites getest. Deze werden beschermd door vijf verschillende providers. De resultaten waren toch wel confronterend, meent Vissers. In meer dan 70 procent van de gevallen kon de tool effectief het originele ip-adres van de betrokken websites achterhalen, en de info leveren die nodig is om een succesvolle cyberaanval uit te voeren. ‘Daaruit blijkt duidelijk dat de massaal gebruikte DNS redirection-strategie toch een aantal ernstige tekortkomingen vertoont.’
De onderzoeksresultaten zijn gedeeld met de betrokken cloud-based security providers, zodat zij kunnen inspelen op het risico dat hun klanten lopen. Daarnaast stellen ze de tool gratis beschikbaar, zodat mensen hun eigen website kunnen testen.
Een onafhankelijke test zoals deze lijkt me altijd zinvol en constructief al is het alleen maar om ‘wakker’ te blijven. Professioneel gezien moeten de cloud-based security providers aan de bak om minstens te bezien of dit bij hen ook speelt.
Aan de andere kant een beetje jammer dat het getal weer eens zo hoog is. 70%, give or take een paar procentjes, is enorm getal wat mij nog steeds zegt, cloud, voor mij voorlopig nog maar niet. Niet vanwege dit gegeven maar meer dat wanneer je zaken op straat liggen, dit met je naam ook het nodige doet natuurlijk.
Ik hoop dat de betreffende bedrijven wel werden benaderd door KUL om ze van de constateringen op de hoogte te brengen. Beste IT pro, werk aan de winkel dus.