Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Cloud Based Security krijgt dikke onvoldoende in universitair onderzoek

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 31 december 2015 08:00 uur

Eigenlijk is het rapport vernietigend voor CloudFlare en vergelijkbare diensten: onderzoekers van de Universiteit van Leuven dweilen de vloer aan met de technologie waarvan Cloud Based Security Providers zich doorgaans bedienen. DNS-rerouting om DDoS-aanvallen te voorkomen, werkt niet. Zo hard is de conclusie in het rapport ‘Manouvring Around Clouds: Bypassing Cloud-based Security Providers’ (pdf). Tip: lees vooral het hele rapport.

De onderzoekers keken naar de grotere CBSP’s, waaronder CloudFlare, Incapsula, DOSarrest, Prolexic en Sucuri. Geen van deze partijen komt er goed vanaf, alle scoren de partijen niet op alle ‘onderdelen’ even slecht. DNS-reroutering is bij alle partijen eenvoudig te omzeilen, waarbij opvalt dat het bij Sucuri bijvoorbeeld simpel is door de IP-geschiedenis van de aan te vallen website te scannen. Bij DOSarrest is nog dramatischer: ruim 92 procent van het verkeer kan ondanks DNS-reroutering naar het originele IP-adres van de site worden geleid. Daarmee doen Sucuri en DOSarrest het slechter dan CloudFlare, maar die laatste heeft de pech dat het de partij is met de grootste volumes.

Probleem met CBSP is dat DNS-reroutering alleen werkt als het originele IP-adres van de aangevallen website daadwerkelijk verborgen blijft. Dat is dus niet het geval. Zelfs met echt simpele methoden als pingback of omdat het originele IP-adres in de content is opgenomen, bieden CBSP’s geen bescherming. Klanten kiezen liever voor een goedkopere clouddienst dan stevige investeringen in eigen infrastructuur: dat verklaart het succes van deze diensten.

Het baart de onderzoekers in de conclusie van het rapport duidelijk zorgen. Ze wijzen erop dat door geavanceerde technologie, bijvoorbeeld in netwerkscanning, CBSP eigenlijk voortdurend achter de feiten aanlopen. Kwaadwillenden kunnen met ZMAP en goede verbindingen een volledige IPv4-adresscan op een poort uitvoeren in 45 minuten. “De resultaten laten zien dat het probleem zeer ernstig is: 71,5% van de 17.877 websites die door CBSP worden beschermd, lekten hun originele IP-adres via een van de onderzochte methoden”, staat in het rapport.

De onderzoekers maakten gebruik van een zelf ontwikkelde tool: de CloudPiercer. Dit scant naar IP-adressen in databases, subdomeinen en ook in SSL-certificaten. De CloudPiercer is inmiddels voor iedereen beschikbaar. En dat is mooi. Want hoe gedegen het onderzoek ook is, het is te gemakkelijk om met de vinger alleen naar partijen als CloudFlare te wijzen. Veiligheid van de website begint toch ook en bovenal bij de eigenaar van de site zelf. Bij een goede site valt alles netjes in elkaar: goede code en – natuurlijk – professionele hosting met aandacht voor security in alle lagen. En dat vergt dan weer klanten die bereid zijn om iets meer te investeren in echt professionele diensten. Anderzijds: de dienst die DDoS-bescherming biedt (Business) bij CloudFlare kost 200 dollar per maand – met 100% uptime garantie. Zuur geld als het niet de bescherming biedt die je denkt te kopen.

Nog geen reacties

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.