Nieuwe aanpak bruteforceaanvallen internet maakt kans

Promovendus Rick Hofstede van de Universiteit Twente (CTIT) denkt dat een ‘flow-based’ benadering beter in staat is om zogeheten brute force-aanvallen op internet af te slaan.

Botweg een groot aantal combinaties van gebruikersnaam en wachtwoord uitproberen tot je beet hebt: dat is een brute force-aanval op internet. Daarna kan nagenoeg iedere computer worden gebruikt voor het verspreiden van illegale content of voor het uitvoeren van de beruchte DDoS-aanvallen.

De ‘brute force’ aanvallen vinden bijvoorbeeld plaats via relatief kwetsbare webapplicaties zoals WordPress of Joomla, maar ook via de Secure Shell (SSH), waarmee op afstand is in te loggen op een computer.

De meest voor de hand liggende manier om mogelijke aanvallen te detecteren is het analyseren van netwerkverkeer en logbestanden op iedere computer. Deze klassieke benadering kijkt dus vooral naar de inhoud van het verkeer. Een netwerk van een grote organisatie, met daarop tienduizenden computers en smartphones is onmogelijk te beveiligen door op elk apparaat te kijken wat er gebeurt.

Hofstede kijkt op een hoger niveau naar de datastromen en herkent daarin patronen. Dat kan op een centraal punt plaatsvinden, bijvoorbeeld bij een router die het internetverkeer regelt.

Hofstede heeft zijn aanpak niet alleen in het lab uitgetest, hij heeft de bijbehorende software SSHCure inmiddels ook ‘open source’ ter beschikking gesteld aan Computer Emergency Response Teams van verschillende organisaties. Hieruit blijkt dat zijn aanpak kansrijk is en tot beduidend minder incidenten leidt, met detectienauwkeurigheden tot 100 procent. Toekomstige, krachtige routers zouden de detectie al zelfstandig kunnen uitvoeren, verwacht Hofstede.