Onderzoek veiligheid bij brute force wachtwoord achterhalen

logo
door: Patrick 26-05-2016| Leestijd: 6 minuten| Categorie: SSL / veiligheid

Brute force aanvallen op internet zijn ontzettend effectief en aan de orde van de dag. Vaak zijn webapplicaties zoals WordPress, Joomla en Drupal (CMS’en) het doelwit.

Hosting2GO is continu bezig met het verder verbeteren van haar netwerkveiligheid. Daarom hebben we onlangs meegewerkt aan een onderzoek van de Universiteit Twente naar brute force wachtwoord achterhalen.

Zodra een webapplicatie zoals WordPress, Joomla of Drupal via brute force hacking is aangetast, dan hebben kwaadwillenden de beschikking over een systeem dat ze kunnen misbruiken voor malafide toepassingen. Denk aan de distributie van illegale software, het versturen van spamberichten of plaatsen van phishing sites.

Brute force een wachtwoord achterhalen, hoe werkt het?

Een wachtwoord achterhalen via brute force is een populaire en veelgebruikte methode. In het kort: met een snel tempo worden er verschillende combinaties van tekst geprobeerd.

Woorden, cijfers, leestekens en letters worden losgelaten op het inlogvenster van jouw website.

Op het internet vind je diverse programma’s die je helpen brute force hacking uit te voeren.

Wachtwoorden die bestaan uit weinig karakters of woorden die in het woordenboek te vinden zijn, worden erg snel gekraakt met deze methode. De computer heeft hier zelfs minder dan een seconde voor nodig!

Om dit soort aanvallen te saboteren, wordt er altijd aangeraden om een wachtwoord te maken dat bestaat uit cijfers, hoofdletters, kleine letters en leestekens. Gebruik het alle vier in het wachtwoord.

Vervolgens is het snel detecteren van deze brute force aanvallen van groot belang om de veiligheid van onze systemen en de webapplicatie die daarop draaien te waarborgen.

Brute force wachtwoord achterhalen, wat is er onderzocht?

Het detecteren van brute force hacking is een tak van sport waar al veelvuldig onderzoek naar is geweest. Hosting2GO implementeert beschikbare methoden ook al lange tijd op haar infrastructuur.

Wat dit onderzoek zo vernieuwend maakt, is de manier waarop de data, die voor detectie van wachtwoord kraken wordt gebruikt, wordt verzameld.

Om ervoor te zorgen dat we steeds geavanceerdere aanvallen kunnen herkennen en de privacy van onze klanten optimaal kunnen beschermen, kijkt het onderzoek alleen naar zogenaamde meta-data.

Daarbij gebruikten we één detectiesysteem in het totale netwerk, in plaats van één detectiesysteem per server.

“Deze meta-data wordt verkregen via een protocol genaamd IP Flow Information eXport (IPFIX). Dit stelt ons in staat om op een efficiënte manier naar verbindingen te kijken.

Normaal gebeurt dat door het bekijken van individuele netwerk-pakketten, wat inefficiënt en tijdrovend is”, aldus onderzoekers Rick Hofstede en Mattijs Jonker van de Universiteit Twente.

Op deze manier laten we eerst ontzettend veel informatie ‘door onze vingers glippen’. Dit doen we om zo min mogelijk data te hoeven analyseren en de privacy te kunnen waarborgen. Vervolgens proberen we toch een goede detectie van brute force hacking voor elkaar te krijgen.

Alleen succesvolle brute force aanvallen

Naast detectie op basis van meta-data, richt het onderzoek zich in het bijzonder op het detecteren van succesvolle aanvallen en simpelweg niet alle aanvallen die te maken hebben met het wachtwoord achterhalen.

Dat lijkt banaal en misschien zelfs wel logisch, maar dat is het verre van.

Hofstede: “Doordat wij namelijk alleen anonieme meta-data tot onze beschikking hebben, wordt het nóg lastiger om alleen die aanvallen eruit te pikken die een zogenaamde compromise tot gevolg hadden.

Dit betekent dat het systeem onder aanval is gecompromitteerd en op dat moment dus ter beschikking staat aan de aanvaller.”

Binnen alle data van het onderzoek zijn 469 aanvallen succesvol gedetecteerd, waarvan er slechts één een compromise bleek. Door het inzetten van deze ‘meetmethode’ hoefde er dus nog maar één inbreuk op de beveiliging te worden bekeken, in plaats van alle 496.

De samenwerking met Universiteit Twente naar brute force wachtwoord achterhalen maakt de Hosting2GO Web Apps veiliger

Voorbeeld van compromitteren

Compromitteren is het aantasten van de integriteit/vertrouwelijkheid van een webapplicatie. Een buitenstaander heeft dus toegang tot jouw applicatie en data.

Stel je stuurt een e-mail met een afbeelding in de bijlage, dan bestaat deze e-mail uit honderden verschillende pakketten. Al die pakketten bij elkaar maken jouw digitale bericht.

Typische systemen om netwerken te monitoren kijken zowel naar de envelop (adressering) en de inhoud. “Wij kijken in ons onderzoek alleen naar de envelop/adressering en maken op basis van gedragingen een inschatting van malafide gedrag”, licht Mattijs toe.

Wat kan er met de uitkomsten worden gedaan?

Het verrichte onderzoek naar brute force wachtwoord achterhalen stelt Hosting2GO in staat om (succesvolle) brute force aanvallen beter en sneller te detecteren op webapplicaties als WordPress, Joomla of Drupal.

Het signaleren van bijvoorbeeld een WordPress brute force gebeurt op een manier die momenteel state-of-the-art is. Normaliter zou een verbeterde detectie van het kraken van wachtwoorden (via brute force) juist ten koste gaan van bijvoorbeeld de privacy en serverprestaties, maar dat is met deze nieuwe methode juist niet het geval.

“Door alleen meta-data te analyseren, zal er een nieuwe beveiligingslaag tegen brute force aanvallen kunnen worden gerealiseerd. Het belangrijkste doel hierbij is de veiligheid van webapplicaties van klanten te kunnen waarborgen. Dat kan dus ook jouw CMS op de servers van Hosting2GO zijn”, licht Hofstede toe.

Meteen actie

Concreet kunnen we nu door de uitkomsten van dit onderzoek meteen een compromise detecteren. Dat gebeurt dus op het moment dat deze plaatsvindt, in plaats van achteraf.

Daarnaast kan de samenhang van de netwerkgegevens van verschillende servers van Hosting2GO worden bekeken, om de nauwkeurigheid van de detectie te verbeteren.

Als een detective zien we compromises op ons hostingnetwerk. Zo gaan we wachtwoord kraken tegen.

Waarom werkt Hosting2GO mee aan dit onderzoek?

De vakgroep ‘Design & Analysis of Communication Systems’ aan de Universiteit Twente doet al jaren onderzoek naar de genoemde aanvallen en de detectie hiervan.

Het is voor onderzoekers bijzonder lastig om aan representatieve data te komen om onderzoek te ‘valideren’. Dit is het op een wetenschappelijke wijze aantonen dat wat je hebt bedacht ook daadwerkelijk werkt.

Hosting2GO heeft besloten deel te nemen aan het onderzoek vanwege een interessante win-winsituatie. De onderzoekers hebben de beschikking over een optimaal representatief netwerk terwijl wij de onderzoeksresultaten kunnen gebruiken voor het verder verbeteren van de veiligheidsvoorzieningen van ons netwerk en jouw CMS / Webapplicatie.


De samenwerking tussen Universiteit Twente en Hosting2GO is onderdeel van het promotie-onderzoek en -proefschrift van Rick Hofstede. De verdediging en publicatie van zijn proefschrift vindt op 29 juni 2016 plaats.

Vermoeden

Hosting2GO is, mede door dit onderzoek, continu bezig met het verder verbeteren van de veiligheid van haar netwerk. Ook jij kan zelf jouw website CMS goed beveiligen met diverse plug-ins, om zo ongenode gasten buiten te houden. Op deze manier werken we samen aan het weren van hackers.

Heb je toch het vermoeden dat je website is gehackt, leer dit dan herkennen en op te lossen. Gebruik onze onmisbare gids om snel te kunnen anticiperen.

Leer een websitehack herkennen en oplossen!
logo
Over: Patrick

Patrick is altijd op zoek naar mooie technische oplossingen. Zo maakt hij ingewikkelde processen gemakkelijker voor onze klanten. Fotografie is helemaal zijn ding, dus ook voor vragen over objectieven en flitsers kun je bij hem terecht.