Computable.be
  • Thema’s
    • Security & Awareness
    • Cloud & Infrastructuur
    • Data & AI
    • Software Innovation
  • Computable Awards
    • Nieuws Computable Awards
    • Hall of Fame
  • Cybersec e-Magazine
  • Kennisbank
  • Inlog
  • Nieuwsbrief
Cybersecurity

‘Beveiliging van security providers deugt niet’

14 april 2016 - 06:42ActueelSecurity & Awareness
Kevin Stickens
Kevin Stickens

Computerwetenschappers van de KU Leuven en het onderzoekscentrum iMinds ontwikkelden de cloudpierce-tool. Deze tool test de beveiligingsmethodes van cloud-based security providers. Hieruit blijkt dat in 70 procent van de gevallen de beveiligingsmechanismen niet waterdicht waren. De tool kon het originele ip-adres van de betrokken websites achterhalen en de benodigde informatie leveren om een succesvolle cyberaanval uit te voeren.

Cloud-based security providers bieden een DNS redirection-strategie. Hierbij wordt het inkomende webverkeer geleid via hun eigen infrastructuur. ‘Die strategie staat of valt met hoe goed het originele ip-adres van de website in kwestie kan worden afgeschermd. Als dat ip-adres kan worden achterhaald, kunnen de beveiligingsmechanismen immers makkelijk omzeild worden’, vertelt Thomas Vissers, van het Departement Computerwetenschappen en iMinds.

De onderzoekers ontwikkelden een tool  om de zwakke plekken bij de DNS redirection-strategie te testen. De Cloudpiercer-tool probeert het originele ip-adres van websites te achterhalen op basis van acht verschillende methodes.

In totaal werden de kwetsbaarheid van bijna achttienduizend websites getest. Deze werden beschermd door vijf verschillende providers. De resultaten waren toch wel confronterend, meent Vissers. In meer dan 70 procent van de gevallen kon de tool effectief het originele ip-adres van de betrokken websites achterhalen, en de info leveren die nodig is om een succesvolle cyberaanval uit te voeren. ‘Daaruit blijkt duidelijk dat de massaal gebruikte DNS redirection-strategie toch een aantal ernstige tekortkomingen vertoont.’

De onderzoeksresultaten zijn gedeeld met de betrokken cloud-based security providers, zodat zij kunnen inspelen op het risico dat hun klanten lopen. Daarnaast stellen ze de tool gratis beschikbaar, zodat mensen hun eigen website kunnen testen.

Meer over

DNS

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Meer lezen

    Kennis cybersecurity bij organisaties laag
    EventsSecurity & Awareness

    Waarom Amerikaanse techreuzen geen soevereiniteit kunnen garanderen

    CISO
    ActueelSecurity & Awareness

    Nova Advisor Agent: gamechanger voor ciso of ai-hype?

    ActueelSecurity & Awareness

    Belang digitale soevereiniteit in Europese cybersecurity neemt toe

    ActueelData & AI

    Kort: Bedrijven schalen gebruik agentic ai op, Panasonic helpt The AA (en meer)

    ActueelCarrière

    Kort: Najaarsdag GTIA Benelux in Eindhoven, opnieuw banen weg bij Microsoft (en meer)

    ActueelSecurity & Awareness

    Vaarwel C++ en C: VS zetten in op memory safe-programmeertalen

    Eén reactie op “‘Beveiliging van security providers deugt niet’”

    1. René Civile schreef:
      14 april 2016 om 11:26

      Een onafhankelijke test zoals deze lijkt me altijd zinvol en constructief al is het alleen maar om ‘wakker’ te blijven. Professioneel gezien moeten de cloud-based security providers aan de bak om minstens te bezien of dit bij hen ook speelt.

      Aan de andere kant een beetje jammer dat het getal weer eens zo hoog is. 70%, give or take een paar procentjes, is enorm getal wat mij nog steeds zegt, cloud, voor mij voorlopig nog maar niet. Niet vanwege dit gegeven maar meer dat wanneer je zaken op straat liggen, dit met je naam ook het nodige doet natuurlijk.

      Ik hoop dat de betreffende bedrijven wel werden benaderd door KUL om ze van de constateringen op de hoogte te brengen. Beste IT pro, werk aan de winkel dus.

      Beantwoorden

    Geef een reactie Reactie annuleren

    Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Kennisbank
    • Computable Awards
    • Colofon
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Persberichten

    Contact

    • Contact
    • Nieuwsbrief

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.be is een product van Jaarbeurs