10 jaar SIDN Labs
Van weblog naar researchcentrum op het gebied van internetsecurity
Auteur: Cristian Hesselman, namens het hele SIDN Labs-team.
Naast 35 jaar .nl en 25 jaar SIDN vieren we in 2021 nog een derde jubileum: op 1 december bestond SIDN Labs 10 jaar. In deze blog blikken we terug op deze periode, waarin SIDN Labs uitgroeide van een weblog naar een centrum voor toegepast technisch onderzoek op het gebied van internetsecurity. We bespreken onze belangrijkste mijlpalen, de resultaten waar we trots op zijn en de werkwijze waarmee we deze weg aflegden. Ook kijken we maar meteen vooruit naar de volgende 10 jaar :-)
De start: SIDN Labs als weblog
SIDN Labs startte begin 2011 als weblog (zie figuur 1), met als doel de technische expertise van SIDN breder toegankelijk te maken op een informele en interactieve manier. Onderwerpen die in die dagen op de weblog voorbijkwamen waren bijvoorbeeld DNSSEC-validatie, LDNS, NSEC3 en verslagen van IETF-meetings. De bloggers waren collega’s vanuit de verschillende SIDN-teams, zoals het operationsteam.
Figuur 1. SIDN Labs startte als weblog (september 2011).
SIDN Labs als researchprogramma
Vanaf december 2011 (vandaar deze blog ;-)) gaven we SIDN Labs een nieuwe lading: het werd een onderzoeksprogramma. Daaronder vielen zowel samenwerkingsprojecten als projecten die we zelfstandig uitvoerden. Een voorbeeld van die eerste was het Privacy & Identity Lab, een samenwerkingsverband met de Radboud Universiteit, Universiteit Tilburg en TNO, dat we hielpen starten door 3 Ph.D.-studenten te co-financieren. Een soloproject uit die tijd was ‘.nl zone profiling’ (een ‘pre-Snowden’ naam die we nu niet meer zouden gebruiken), dat de voorloper was van ons latere werk op het gebied van data-analyse. We pasten toen ook het doel van SIDN Labs aan. We wilden niet alleen maar informeren, maar SIDN ook ontwikkelen als onafhankelijke autoriteit voor technische en maatschappelijke internetthema’s, relevant onderzoek op die gebieden stimuleren en erin participeren en een bijdrage leveren aan het verbeteren van SIDN’s dienstverlening. 3 collega’s van verschillende afdelingen besteedden een deel van hun tijd aan projecten van SIDN Labs. We zetten een computernetwerk op waarmee we konden experimenteren met nieuwe technieken en systemen. Dit ‘labnetwerk’ staat los van SIDN’s productiesystemen en is ook vandaag nog onmisbaar voor ons onderzoek. We kozen voor collega’s uit verschillende teams om de overdracht van nieuwe kennis te bevorderen en projectresultaten te borgen. Figuur 2 geeft een overzicht van de onderzoeksthema’s die we eind 2011 op onze radar hadden staan. Aan een deel ervan werken we ook nu nog, al zijn er we soms pas veel later mee aan de slag gegaan, bijvoorbeeld als nieuwe collega’s het team kwamen versterken (bijv. ‘DNS algoritmes en visualisaties’ vanaf rond 2016 en ‘the future internet’ vanaf eind 2018). Met onderwerpen zoals ‘DNS look-alikes’ en ‘evolutie van gebruikersinterfaces’ zijn we niet verdergegaan.
Figuur 2. Programmathema’s van SIDN Lab (1 december 2011).
SIDN Labs als researchteam
Begin 2013 maakten we van SIDN Labs een apart team, omdat het ‘lenen’ van mensen uit andere teams onvoldoende werkte. De collega’s konden zo namelijk onvoldoende tijd voor onderzoek en experimenteren vrijmaken, omdat hun reguliere werk voor .nl vanzelfsprekend altijd voorrang had. Het eerste grote nieuwe onderwerp waar we ons als nieuwbakken team op stortten was ‘DNS big data’: het verhogen van de veiligheid en weerbaarheid van .nl en het internet door de grote hoeveelheid DNS-query’s en responses te analyseren die we verwerken op de nameservers van .nl. Dat was een hele uitdaging, omdat het toen al ging om ongeveer 15.000 query’s per seconde, wat neerkwam op 39 miljard query’s (en responses) per maand of 60 gigabyte per dag per nameserver. We ontwikkelden hiervoor ons opensource dataplatform ENTRADA en tegelijk een bijbehorend privacyraamwerk. We gebruikten ENTRADA bijvoorbeeld om domeinnaammisbuik in de .nl-zone op te sporen (bijv. phishing en botnets) en later ook om datalekken als gevolg van opgeheven domeinnamen te helpen voorkomen en stabiliteitsrisco’s in het DNS aan te pakken. Daarnaast gebruikten we verschillende andere meettools zoals RIPE Atlas en Verfploeter om knelpunten in de veiligheid en stabiliteit van het DNS op te sporen, bijvoorbeeld bij de DDoS-aanvallen op de DNS-root in 2015. De hoeveelheid data die we in ENTRADA opsloegen groeide snel en het Hadoop-cluster dat we ervoor hebben gebouwd bestaat inmiddels uit 14 nodes en slaat dagelijks gemiddeld 2 miljard query’s en responses op (figuur 3 toont de uitbreiding van december 2016, 108TB).
Lange-ademprojecten
Begin 2017 en eind 2018 breidden we ons werkterrein uit met 2 langetermijnprojecten, respectievelijk SPIN en 2STiC.
SPIN
SPIN is een opensourcesysteem voor de ‘randen’ van het internet (bijv. thuisnetwerken) dat we ontwikkelden om de veiligheid en transparantie van het Internet of Things (IoT) te verhogen. We startten hiermee na de grote verstoringen bij DNS-operator Dyn in oktober 2016. Die werden veroorzaakt door DDoS-aanvallen vanaf honderdduizenden IoT-apparaten besmet door de Mirai-botnet. SPIN probeert dit soort aanvallen bij de bron te stoppen door apparaten met afwijkend netwerkgedrag te blokkeren. Het maakt daarnaast het IoT transparanter door gebruikers eenvoudig inzicht te geven in de servers waarmee hun IoT-apparaten communiceren, vaak ongemerkt. Zie het architectuurplaatje in figuur 4 :-)
In 2019 integreerde routerfabrikant Embedd SPIN in haar software en publiceerden we een productiewaardige versie voor OpenWRT voor andere routerfabrikanten. Zelf gingen we met SPIN verder als meettool, bijvoorbeeld voor onderwijsdoeleinden.
2STiC
Eind 2018 startten we samen met 3 universiteiten en 4 internetoperators het onderzoeksprogramma 2STiC. Het heeft als doel een gezamenlijk onderzoekscentrum op te zetten dat nieuwe technieken ontwikkelt die de betrouwbaarheid van de internetinfrastructuur verhogen. Dit deden we omdat we het strategisch belangrijk vinden om in Nederland en Europa over dit soort expertise te beschikken. Bijvoorbeeld om de digitale autonomie van individuen, organisaties en de samenleving te versterken. Dit is belangrijk omdat we verwachten dat het internet in de toekomst nog belangrijker wordt voor onze samenleving, bijvoorbeeld voor vitale diensten zoals slimme energienetwerken, intelligente vervoerssystemen, 5G-netwerken en de aansturing op afstand van sluizen en waterkeringen. Het Future Network Services-positionpaper dat TNO afgelopen november publiceerde benadrukt de relevantie van ons initiatief verder. 2STiC volgt een hands-on benadering met behulp van testbeds en experimenten en verkent zowel internetuitbreidingen als ‘clean-slate’ architecturen zoals SCION. Het maakt gebruik van open programmeerbare netwerken als belangrijke enabler. Figuur 5 toont de programmeerbare switch in ons lab, die verbonden is met het 2STiC P4-netwerk.
SIDN Labs vandaag
In 2021 bestaat ons team uit 12 experts die zich elke dag met grote bevlogenheid en betrokkenheid inzetten voor 1 doel: het verder verhogen van de betrouwbaarheid van de internetinfrastructuur voor Nederland, Europa en de wereld.
Dit doen we door pionierend toegepast technisch onderzoek op 3 terreinen:
Netwerksecurity: grootschalige internetmetingen (bijv. via RIPE Atlas en ENTRADA) om knelpunten in de veiligheid en weerbaarheid van de kernsystemen het internet (bijv. DNS en NTP) in kaart te brengen en op te lossen.
Domeinnaam- en IoT-security: ontwikkelen en evalueren van algoritmes en tools om cybercriminaliteit via domeinnamen en IoT-devices te detecteren en aan te pakken, zoals phishing, nepwebwinkels, DDoS-aanvallen en datalekken.
Secure future internet: ontwikkelen en pilotten van mechanismen voor een betrouwbaar toekomstig internet, bijvoorbeeld met meer digitale autonomie voor individuen, organisaties en onze samenleving.
Tabel 1 geeft per thema een overzicht van de resultaten van de afgelopen paar jaar waar we het meest trots op zijn. Veel van dit werk wisten we ook gepubliceerd te krijgen op internationaal hoogstaande wetenschappelijke conferenties, zoals de Internet Measurement Conference. Een compleet overzicht vind je op onze publicatiepagina.
Thema | Key-resultaat |
|---|---|
Netwerksecurity | DNSSEC roll-over monitor, tools waarmee .br, .se en .dk hun DNSSEC key- en algoritme-rollovers monitorden; |
Metingen voor DNS anycast engineering, tools daarvoor zoals Anteater en Anycast2020 en gebruik daarvan door SIDN’s operations-team; | |
Metingen die de centralisatie van de internetinfrastructuur laten zien, bijv. van het DNS, NTP, IXP leveranciers, CA’s; | |
Metingen van securityincidenten, zoals de DDoS-aanval op de DNS root in 2015 en de tsuNAME-kwetsbaarheid; | |
Time.nl, onze NTP-service voor de internetgemeenschap en gebruik daarvan door SIDN en vele anderen. | |
Domeinnaam- en IoT-security | Algoritmes om cybercriminaliteit tegen te gaan en gebruik daarvan bij SIDN, zoals voor de reductie van nepwebwinkels, detectie van potentiële datalekken en SIDN Merkbewaking; |
Dataopslag- en retrievalsystemen ENTRADA (passieve DNS-metingen) en DMAP (crawler) en gebruik daarvan bij SIDN, privacy-by-design aanpak; | |
Tools voor ons supportteam om cybercriminaliteit beter aan te pakken, zoals DEX en COMAR; | |
Grootschalige meetstudie van cybercriminaliteit in gTLD’s, input voor de evaluatie van ICANN’s new gTLD-programma; | |
Tools om de security van het IoT te verhogen en het transparanter te maken, zoals SPIN en DRR. | |
Secure future internet | Het Responsible Internet, de gezamenlijk visie van ons en onze onderzoekspartners op het internet van de toekomst; |
Onze P4-implementatie van SCION, een mogelijke architectuur om het Responsible Internet mee te realiseren; | |
Mede-ontwikkeling van CATRIN, een onderzoeksproject met universiteiten en de industrie dat 1,9 miljoen euro van NWO ontving om een eerste versie van het Responsible Internet te ontwikkelen. |
Tabel 1. Key-resultaten van de afgelopen jaren.
Ons werk op het gebied van IoT-security hebben we met de v1.0 release van SPIN in oktober 2021 overgedragen aan de internetgemeenschap zodat we meer kunnen inzetten op de thema’s domeinnaamsecurity en secure future internet. We leveren nog wel ondersteuning voor SPIN, bijvoorbeeld voor onderwijsdoeleinden.
Ons onderzoek gevisualiseerd
Figuur 6 toont de onderwerpen waar we sinds 2015 over hebben geblogd in de vorm van een graaf. Iedere knoop staat voor een woord dat als een van de 7 meest kenmerkende woorden uit onze blogs naar voren komt (berekend met TF-IDF). De grootte van een knoop geeft aan bij hoeveel blogs een woord kenmerkend was. De lijnen tussen de knopen worden dikker als 2 termen vaker samen genoemd worden. Populaire onderwerpen zijn bijvoorbeeld DNS, DDoS, anycast, internet, IoT, domein en SCION. We schrijven dus inderdaad veel over de internetinfrastructuur. :-)
Figuur 6. Visuele weergave van onze blogs sinds 2015 (klik door, duurt ±10 seconden om te laden).
Onze manier van werken
De route van een weblog naar een expertisecentrum legden we af op basis van 5 werkprincipes. Die delen we hier graag zodat andere organisaties er gebruik van kunnen maken om hun eigen researchteam op te zetten (natuurlijk graag in lijn met ons eerste principe ;-))
Resultaten zijn open en generiek: we maken onze resultaten (bijv. software en papers) publiek beschikbaar en breed toepasbaar, zodat ook anderen ze kunnen gebruiken om de veiligheid van het internet te verhogen. Zo is ENTRADA o.a. in gebruik bij de registry’s voor .nz, .be en .ch en zetten br, .se en .dk onze DNSSEC-tools in om hun key- en algoritme-rollovers te monitoren. Daarnaast passen we onze resultaten ook zelf toe, bijvoorbeeld bij SIDN in de vorm van tools als Anteater (in gebruik bij ons operationsteam) en DEX (bij ons supportteam). Deze open en generieke aanpak hebben we gekozen omdat het aansluit bij SIDN’s publieke rol en de verantwoordelijkheid van ccTLD-operators (‘to serve the community’).
Samenwerking: we werken intensief samen met de academische wereld en de operationele gemeenschap om expertise en middelen bij elkaar te brengen. Zo brengt het 2STiC-programma experts uit deze 2 werelden bij elkaar om gezamenlijk onderzoek te doen aan toekomstige internetinfrastructuren. De universiteiten (Universiteit Twente, Universiteit van Amsterdam en Techniche Universiteit Delft) richten zich daarbij vooral op het ontwikkelen van nieuwe kennis op basis van hun disciplines (bijv. internetmetingen en open programmeerbare netwerken), de operators (SURF, AMS-IX, NDIX, NLnet Labs en SIDN) zorgen voor bijvoorbeeld testbeds en operationele expertise.
Proefondervindelijke aanpak: we bestuderen de veiligheid en stabiliteit van het internet op basis van grootschalige metingen en experimenteren met nieuwe systemen door het ontwikkelen van prototypes (bijv. DRR), gefocuste pilots (bijv. voor de detectie van nepwebwinkels) en testbeds (bijv. het DDoS-clearinghouse). Onmisbaar daarbij is ons labnetwerk, dat los staat van de productiesystemen van SIDN. Hierdoor kunnen research en operations op hun eigen snelheid vooruit. We richten ons op de lagere Technolgy Readiness Levels (TRLs), ongeveer tussen TRL2 en TRL6. Projecten mogen falen.
Lange adem: we nemen ook projecten op ons die een lange adem vereisen, bijvoorbeeld omdat ze grote infrastructuurwijzigingen vereisen, zoals SPIN voor IoT-devices of wijzigingen aan routers voor het Responsible Internet of SCION. SIDN zet vanuit haar publieke rol hiervoor haar financiële middelen in om zo een bijdrage te leveren aan de continuïteit van strategisch belangrijke onderwerpen voor Nederland en Europa, zoals digitale autonomie. Dit is vaak lastiger voor bijvoorbeeld de typisch 4-jarige financieringscyclus van universiteiten.
Onze experts slaan de brug: we zijn een team waarbij de vaardigheden van een deel van het team meer aan de academische kant zitten, van een ander deel meer aan de operationele of engineering kant en van sommigen daartussenin. ‘Gemiddeld’ komen we zo uit tussen de academische en de operationele gemeenschap, wat ons als team in staat stelt een brug daartussen te slaan. Iedereen heeft ook een eigen (internationaal) netwerk en weet op die manier wat actuele maatschappelijke en technische problemen zijn. Teamleden werken aan 2 thema’s tegelijk voor afwisseling en kruisbestuiving. We zijn plat georganiseerd, waarbij management alleen high-level guidance geeft en faciliteert. Studenten helpen ons (en wij hen) via hun afstudeeronderzoek.
Op naar 2031
Bij 10 jaar terugblikken hoort natuurlijk ook een vooruitblik. De komende jaren richten we ons op onderwerpen die het vertrouwen in het internet verder vergroten zodat gebruikers (individuen en organisaties) er met een gerust hart nog afhankelijker van kunnen worden, bijvoorbeeld voor ‘safety-cricital’ toepassingen zoals intelligente vervoerssystemen. Een van de uitdagingen daarbij is het verhogen van de ‘responsibility’ van het internet, een eigenschap die ook relevant is voor andere lagen van onze digitale infrastructuur, zoals apps, besturingssystemen en opslag (zie figuur 7). Hieraan dragen we bij via ons werk om de veiligheid van de internetinfrastructuur te verhogen (eerste 2 rijen van tabel 1) alsook via ons recentere werk aan het Responsible Internet om de internetinfrastructuur transparanter te maken met meer grip voor gebruikers (onderste rij van tabel 1). Zo helpen we het tij van dalende digitale autonomie van individuen, organisaties en onze samenleving te keren, wat een urgent maatschappelijk probleem is. Met SIDN fonds willen we ook grote internetgerelateerde problemen op hogere lagen van onze digitale infrastructuur aanpakken, zoals blackbox algoritmes, gebrek aan data-autonomie (bijv. voor gebruikersidentificatie) en generieke data exchanges (bijv. voor het uitwisselen van security-data), desinformatie en verankering van publieke waarden. SIDN Labs richt zich daarbij vooral op de internetinfrastructuur, het fonds op eindgebruikers.
Figuur 7. Uitdagingen voor onze digitale infrastructuur (verticaal) en de verschillende lagen van onze digitale infrastructuur (horizontaal). Uit: “Future Computer Systems and Networking Research in the Netherlands: A Manifesto”, oktober 2021. Een andere uitdaging is het beheersbaar houden van het internet (‘manageability’ in figuur 7) terwijl het blijft groeien in omvang en complexiteit. Dat kan via systemen die netwerken en services semiautomatisch managen. Bijvoorbeeld via machine learning-algoritmes die operations-teams helpen gevirtualiseerde nameservers dynamisch op- en af te schakelen afhankelijk van de hoeveelheid DNS-verkeer en anycast-catchments (zie ook onze visie op de registry van de toekomst). We ontwikkelden hiervoor al eerder een testbed en we gaan volgend jaar aan de slag met de algoritmes. Op organisatorisch vlak willen we de komende jaren met een externe klankbordgroep gaan werken om ons van extra feedback te voorzien over onze inhoudelijke richting en manier van werken. Voor de klankbordgroep willen we externe experts uit de wetenschap en internetindustrie uitnodigen.
Ons team
Tot slot hadden we de weg van een weblog naar een expertisecentrum nooit af kunnen leggen zonder een hecht team dat elkaar ook informeel weet te vinden, zoals voor een potje tafelvoetbal in de SIDN-kantine of een middagje schaatsen (figuur 8).
Ook onze oud-collega’s, afstudeerders en onderzoekspartners speelden een belangrijk rol en we bedanken hen graag voor hun bijdrages en samenwerking:
Voormalige collega’s João Ceron, Joeri de Ruiter, Victor Reijs, Ricardo de Oliveira Schmidt, Antoin Verschuren en Miek Gieben;
Afstudeerders Christian Scholten, Thijs van den Hout, Erwin Janssen, Robin de Heer, Joost Prins, Metin Açıkalın, Thijs Brands, Caspar Schutijser, Mick Cox, Sjors Haanen, Jan Harm Kuipers, Maarten Aertsen, Lars Bade, Xander Lammertink, Auke Zwaan en Moritz Müller;
Onze partners, zoals AFNIC, AMS-IX, Argeweb, CAIDA, ETH Zürich, Grenoble Alps University, ICANN, InternetNZ, NCSC, NBIP, NDIX, Nederlandse Betaalvereniging, NLnet Labs, OpenProvider, Rijksoverheid, Radboud Universiteit, Realtime Register, SURF, Technische Universiteit Delft, Thuiswinkel Waarborg, Universiteit Twente, Universiteit van Amsterdam, University of California, University of San Diego, University of Southern California, University of Passo Fundo, University of Zürich.
Op naar 2031 :-)
