Zie Nieuws

Internetaanvallen: pik die ene effectieve eruit UT-onderzoeker kijkt naar verdachte patronen in verkeer

De brute kracht en schaalgrootte van de huidige aanvallen op Internet, maken dat de klassieke detectie nauwelijks nog voldoet. Zeker als het aantal apparaten dat ‘connected’ is, nog drastisch toeneemt. Promovendus Rick Hofstede van de Universiteit Twente (CTIT) kijkt op een andere manier naar het dataverkeer en pikt de aanvallen eruit die écht effect hebben. Zijn open source software wordt al door verschillende organisaties in de wereld gebruikt. Hofstede promoveert op 29 juni.

Botweg een groot aantal combinaties van gebruikersnaam en wachtwoord uitproberen tot je beet hebt: dat is een ‘brute force’ aanval op internet. Eenmaal ‘binnen’ in de computer van de gebruiker, kan die op zijn beurt gebruikt  worden voor bijvoorbeeld het verspreiden van illegale content of voor het uitvoeren van de beruchte DDoS aanvallen. De nietsvermoedende gebruiker wordt dan zelf ook een aanvaller. De ‘brute force’ aanvallen vinden bijvoorbeeld plaats via relatief kwetsbare web-applicaties zoals WordPress of Joomla, maar ook via de Secure Shell (SSH) waarmee op afstand is in te loggen op een computer. De meest voor de hand liggende manier om mogelijke aanvallen te detecteren is het analyseren van netwerkverkeer en log-bestanden op iedere computer. Deze klassieke benadering kijkt dus vooral naar de inhoud van het verkeer.

Centraal punt

Dit betekent volgens Hofstede wel dat heel veel data wordt geanalyseerd die nooit effect zal hebben. Een netwerk van een grote organisatie, met daarop tienduizenden computers en smartphones is onmogelijk te beveiligen door op elk apparaat te kijken wat er gebeurt. Hofstede kiest daarom een ‘flow-based’ benadering: hij kijkt op een hoger niveau naar de datastromen en herkent daarin patronen. Zoals je de verspreiding van een reclamefolder kunt herkennen zonder naar de inhoud van de folder te kijken, herkent hij verdacht internetverkeer door naar de manier van verzenden te kijken, en naar de afzender. Het mooie is dat dit op een centraal punt kan plaatsvinden, bijvoorbeeld bij een router die het internetverkeer regelt. Zelfs als het aantal aangesloten apparaten toeneemt – en dat zal gebeuren met bijvoorbeeld Internet of Things -, is deze detectie gemakkelijk op te schalen. Daarnaast kijkt Hofstede niet naar álle aanvalspogingen, maar naar die ene aanval die daadwerkelijk effect heeft en tot een ‘compromise’ leidt, een echt beveiligings-issue waarin ingrijpen noodzakelijk is. Dankzij zijn combinatie ‘flow-based compromise detection’ is ook sneller te achterhalen of er meer aanvallen komen van dezelfde afzender.

Open source

Hofstede heeft zijn aanpak niet alleen in het lab uitgetest, hij heeft de bijbehorende software SSHCure ook ‘open source’ ter beschikking gesteld aan Computer Emergency Response Teams van verschillende organisaties. Hieruit blijkt dat zijn aanpak kansrijk is en tot beduidend minder incidenten leidt, met detectienauwkeurigheden tot 100 procent – afhankelijk van onder meer de applicatie en het type netwerk. Een deel van het werk is uitgevoerd in samenwerking met de grote Nederlandse web-hoster Hosting2GO.Toekomstige, krachtige routers zouden de detectie al zelfstandig, dus zonder tussenkomst van extra apparatuur, kunnen uitvoeren, verwacht Hofstede.

Joint PhD

Het proefschrift van Rick Hofstede is getiteld ‘Flow-based compromise detection’. Hij heeft zijn onderzoek uitgevoerd in de groep Design and Analysis of Communication Systems, met als promotor prof.dr.ir. Aiko Pras. De promotie is een ‘joint PhD’ met de Universität der Bundeswehr in München. Hofstede, die zijn proefschrift op 29 juni verdedigt, werkt inmiddels bij het internet securitybedrijf RedSocks.

ir. W.R. van der Veen (Wiebe)
Persvoorlichter (aanwezig ma-vr)