- Door
- Jeroen Mulder
- geplaatst op
- 31 december 2015 08:00 uur
Eigenlijk is het rapport vernietigend voor CloudFlare en vergelijkbare diensten: onderzoekers van de Universiteit van Leuven dweilen de vloer aan met de technologie waarvan Cloud Based Security Providers zich doorgaans bedienen. DNS-rerouting om DDoS-aanvallen te voorkomen, werkt niet. Zo hard is de conclusie in het rapport ‘Manouvring Around Clouds: Bypassing Cloud-based Security Providers’ (pdf). Tip: lees vooral het hele rapport.
De onderzoekers keken naar de grotere CBSP’s, waaronder CloudFlare, Incapsula, DOSarrest, Prolexic en Sucuri. Geen van deze partijen komt er goed vanaf, alle scoren de partijen niet op alle ‘onderdelen’ even slecht. DNS-reroutering is bij alle partijen eenvoudig te omzeilen, waarbij opvalt dat het bij Sucuri bijvoorbeeld simpel is door de IP-geschiedenis van de aan te vallen website te scannen. Bij DOSarrest is nog dramatischer: ruim 92 procent van het verkeer kan ondanks DNS-reroutering naar het originele IP-adres van de site worden geleid. Daarmee doen Sucuri en DOSarrest het slechter dan CloudFlare, maar die laatste heeft de pech dat het de partij is met de grootste volumes.
Probleem met CBSP is dat DNS-reroutering alleen werkt als het originele IP-adres van de aangevallen website daadwerkelijk verborgen blijft. Dat is dus niet het geval. Zelfs met echt simpele methoden als pingback of omdat het originele IP-adres in de content is opgenomen, bieden CBSP’s geen bescherming. Klanten kiezen liever voor een goedkopere clouddienst dan stevige investeringen in eigen infrastructuur: dat verklaart het succes van deze diensten.
Het baart de onderzoekers in de conclusie van het rapport duidelijk zorgen. Ze wijzen erop dat door geavanceerde technologie, bijvoorbeeld in netwerkscanning, CBSP eigenlijk voortdurend achter de feiten aanlopen. Kwaadwillenden kunnen met ZMAP en goede verbindingen een volledige IPv4-adresscan op een poort uitvoeren in 45 minuten. “De resultaten laten zien dat het probleem zeer ernstig is: 71,5% van de 17.877 websites die door CBSP worden beschermd, lekten hun originele IP-adres via een van de onderzochte methoden”, staat in het rapport.
De onderzoekers maakten gebruik van een zelf ontwikkelde tool: de CloudPiercer. Dit scant naar IP-adressen in databases, subdomeinen en ook in SSL-certificaten. De CloudPiercer is inmiddels voor iedereen beschikbaar. En dat is mooi. Want hoe gedegen het onderzoek ook is, het is te gemakkelijk om met de vinger alleen naar partijen als CloudFlare te wijzen. Veiligheid van de website begint toch ook en bovenal bij de eigenaar van de site zelf. Bij een goede site valt alles netjes in elkaar: goede code en – natuurlijk – professionele hosting met aandacht voor security in alle lagen. En dat vergt dan weer klanten die bereid zijn om iets meer te investeren in echt professionele diensten. Anderzijds: de dienst die DDoS-bescherming biedt (Business) bij CloudFlare kost 200 dollar per maand – met 100% uptime garantie. Zuur geld als het niet de bescherming biedt die je denkt te kopen.