Ook in 2018 richtte het onderzoek van SIDN Labs zich op het verder verhogen van de veiligheid en stabiliteit van .nl, het DNS en het internet. We werkten bijvoorbeeld aan de DNSSEC root keyroll, DDoS-aanvallen, IoT security, fakewebshops en nieuwe vormen van inter-networking. In deze blog onze top 8 resultaten op een rijtje.
Keep ‘m rolling
Op 11 oktober gebruikten we de Root Canary-tool om de DNS root key rollover te monitoren. Dit internet-brede event verliep grotendeels vlekkeloos en we publiceerden de output van de tool in real-time op ons twitteraccount zodat iedereen het verloop ervan kon volgen. Ook presenteerden we onze resultaten een dag later op OARC29 (ook bijna real-time dus ;-), die toevallig in dezelfde periode plaatsvond in Amsterdam.
De root keyroll was niet alleen technisch belangrijk (hoe ouder de sleutel, hoe groter de kans dat-ie wordt gekraakt), maar ook om het vertrouwen van de internetgemeenschap in het DNS en haar multistakeholder besturingsmodel te behouden. ICANN stelde de keyroll in oktober 2017 nog uit, omdat ze vermoedden dat een te groot aantal resolvers de nieuwe Key Signing Key (KSK) nog niet had opgepikt. Hierdoor zouden DNS-zoekopdrachten voor domeinnamen die met DNSSEC zijn beveiligd vanaf die resolvers niet meer werken en zouden de diensten (bijv. websites of mailservers) onbereikbaar worden.
We gebruikten de Root Canary-tool ook om de algoritmerollover bij de collega’s van .se (Zweden) en .br (Brazilië) te monitoren.
De Root Canary-tool is open source en is een samenwerkingsproject van SURFnet, Universiteit Twente, Northeastern University, NLnet Labs, SIDN Labs, RIPE NCC en ICANN.
DNS-weerbaarheid tegen DDoS-aanvallen
In november presenteerden we ons artikel “When the Dike Breaks: Dissecting DNS Defenses During DDoS” op de ACM Internet Measurement Conference (IMC 2018). We rapporteerden daarin over onze experimenten met het gedrag van DNS resolvers als autoratieve servers een DDoS-aanval te verwerken krijgen.
In ons onderzoek kwantificeerden we hoe caching van DNS-verzoeken in DNS resolvers de weerbaarheid van het DNS verhoogt en lieten bijvoorbeeld zien dat eindgebruikers vaak geen last hebben van DDoS-aanvallen, zelfs als 90% van legitieme DNS-verzoeken de autoratieve servers niet meer bereikt. We lieten daarnaast zien dat de keuze voor de time-to-live (TTL) die resolvers gebruiken voor hun caches hierbij een cruciale rol speelt. Grote TTLs (bijv. 1-6 dagen voor root records) zorgen ervoor dat resolvers DNS-verzoeken lang vasthouden en dat helpt om een DDoS-aanval op autoratieve servers te overleven. Tegelijkertijd kunnen te kleine TTLs (bijv. van een minuut) DDoS-aanvallen juist erger maken. Dit omdat resolvers aan het eind van de TTL extra berichten gaan versturen om toch autoritatives te bereiken die niet meer reageren, bijvoorbeeld als gevolg van een DDoS-aanval. Hierdoor ontstaat een extra influx van DNS-verkeer bovenop het DDoS-verkeer dat de server te verwerken krijgt en dit soort “friendly fire” kan oplopen tot 8 keer het volume van het normale DNS-verkeer dat een resolver van clients ontvangt. Op basis van onze experimenten lijkt voor bijvoorbeeld CDNs 30 minuten de optimale waarde voor een resolver TTLs, maar we hebben meer onderzoek nodig om tot een echte aanbeveling te komen.
IMC is een prestigieuze internationale conferentie en dit is het derde jaar op rij dat we erin slaagden ons werk daar gepubliceerd te krijgen. Het onderzoek voerden we uit samen met collega’s van de Universiteit Twente, University of Southern California/Information Sciences Institute, University of Passo Fundo (Brazilië) en NLnet Labs. We zijn op dit moment in IETF-verband bezig om ons onderzoek van de afgelopen jaren samen te vatten in de vorm van een Informational Draft voor operators van autoratieve DNS servers.
Een andere highlight is dat onze collega’s van het DNS-operationsteam mede op basis van ons IMC2017-paper begin dit jaar naar een volledige DNS anycast infrastructuur voor .nl overgingen en ook het aantal anycast-nodes verhoogden.
In 2019 gaan we proberen een begin te maken met onze volgende IMC-hattrick. :-)
Een veiliger IoT: meer flexibiliteit en anomaly detection
In het eerste kwartaal voerden we een nieuw ontwerp door voor SPIN, ons open source-platform om het Internet en eindgebruikers te beschermen tegen onveilige IoT-apparaten in kleine netwerken, zoals thuisnetwerken. Met het nieuwe ontwerp is SPIN op meerdere manieren in te zetten (bijv. centraal op een homerouter of decentraal met verschillende meetpunten in het netwerk), waarmee we denken dat het aantrekkelijker wordt om als basiscomponent op te nemen in bijvoorbeeld netwerkapparatuur (bijv. op de Turris router).
We maakten dit jaar ook onze eerste stappen op het gebied van de automatische detectie van onveilige IoT-apparaten. Dit deden we bijvoorbeeld door een bibliotheek te ontwikkelen om MUD-profielen te verwerken, waarmee slimmeapparaten een digitale beschrijving leveren van hun netwerkgedrag (bijv. met welke cloud services een apparaat verbindt en via welke poorten). Ook ontwikkelden we een tool die automatisch MUD-profielen genereert op basis van het normale netwerkverkeer van een apparaat en het vervolgens blokkeert als het daarvan afwijkt. We maakten daarnaast een network measurement center voor SPIN, dat een dynamisch model van de communicatie op het netwerk bijhoudt en die informatie aanbiedt aan anomaly detectiemodules. In 2019 gaan we in samenwerking met de TU Delft een paar van dit soort modules ontwikkelen en evalueren.
We presenteerden SPIN op verschillende congressen, zoals de CENTR R&D workshop, het RIOT-congres, ICT.Open en het Innovatiecongres van het ministerie van Justitie en Veiligheid. Naar aanleiding van SPIN ontwikkelden we verder het vak “Security Services for the IoT” (SSI), dat we gaven op de Universiteit Twente. De studenten werken voor hun Master Cybersecurity en beoordeelden SSI met een 8.
Ook startten we het MINIONS-project samen met de TU Delft, dat zich o.a. richt op het meten van concentraties van onveilige IoT-apparaten op het internet, het in kaart brengen van IoT botnets en het herstellen van de veiligheid van geïnfecteerde apparaten.
Tot slot werkten we samen met SIDN’s productdevelopmentteam om op basis van de SPIN-software een product te bedenken om de uitrol van SPIN te versnellen. Dit doen we samen met EmbeDD, een Zwitserse leverancier van open source software voor modems en routers.
Minder fakewebshops, meer DMAP
We zetten onze DMAP-crawlertool in om automatisch mogelijke fakewebshops te herkennen in de 5.8 miljoen domeinnamen in de .nl-zone. Deze informatie maakten we beschikbaar voor onze registratie- en servicedesk, waarmee zij samen met onze registrars de fakewebshops uit de lucht proberen te halen, wat in 2018 ruim 5.200 keer lukte (januari t/m september). We presenteerden ons werk op het gebied van fakewebshopbestrijding op verschillende conferenties, zoals het ECP Jaarcongres en de DHPA Tech Day. De fake webshopdetector ontwikkelden we eind 2017 en zetten we dit jaar structureel in.
Daarnaast breidden we DMAP zelf uit, bijvoorbeeld om meer security-gerelateerde eigenschappen per domeinnaam te verzamelen. Deze informatie gebruiken we niet alleen om fake webshops te detecteren, maar ook om security-trends te signaleren in de .nl-zone (bijv. gebruik van DDoS-diensten en certificaten) en om in ons Registrar Score Card-programma te bepalen welke domeinnamen bereikbaar zijn via IPv6. De upgrade van het SIDN Labs-netwerk met een nieuwe firewall stelde ons in staat DMAP-crawls nog efficiënter uit te voeren.
Tot slot schreven we een researchpaper over DMAP, dat werd geaccepteerd en gepubliceerd in de IFIP/IEEE Network Traffic Measurement and Analysis Conference (TMA 2018).
Nieuwe internetten
In het 4e kwartaal startten we met een project om onderzoek te doen naar nieuwe open inter-netwerken (‘internetten’) zoals NDN, SCION en RINA. Deze systemen zijn gebaseerd op een andere technologie dan het Internet Protocol (IP) van het huidige Internet en verkeren op dit moment in een experimenteel stadium.
Ons doel is Nederland (en Europa) op dit gebied voorop te laten lopen en vroegtijdig op deze systemen aan te sluiten. We doen dit omdat we denken dat deze inter-netwerken de komende jaren tractie gaan krijgen door bijvoorbeeld de opkomst van programmeerbare netwerken en de groeiende maatschappelijke vraag naar een nog veiligere, beschikbaardere en transparantere communicatie-infrastructuur.
We richten ons in het project op security en resilience-aspecten, omdat dit maatschappelijk relevant is en omdat het goed bij SIDN past. Daarnaast concentreren we ons op initiatieven met een operationeel ‘testbed’ (proeftuin) en een actieve community, waar mogelijk met een link met de huidige internetgemeenschap (bijv. NDN, waarvoor een gerelateerde werkgroep in de IRTF bestaat). Onze aanpak is hands-on met running code, prototypes en experimenten, ondanks dat het onderwerp een inspanning van meerdere jaren vereist.
Als eerste stap sloten we ons labnetwerk half december aan op het testbed van SCION. Ook gaven we 3 workshops om community-feedback te verzamelen: op het OpenProvider-partnerevent, het ECP-jaarcongres en bij SIDN Connect.
Begin januari publiceren we een blog met meer details over het project samen met onze onderzoekpartners: Universiteit Twente (DACS-groep), Universiteit van Amsterdam (SNE-groep), SURFnet en NLnet Labs.
Samen tegen DDoS-aanvallen
In april schreven we samen met de Universiteit Twente en SURFnet een open brief met een voorstel voor een proactieve en collectieve anti-DDoS-strategie voor de Nederlandse vitale infrastructuur. Ons voorstel draaide om een ‘DDoS clearinghouse’ (in de brief: DDoS radar), een systeem waarmee serviceproviders voortdurend en automatisch de karakteristieken van DDoS aanvallen met elkaar te delen in de vorm van zogenaamde ‘DDoS fingerprints’. Dit stelt hen in staat om proactief hun infrastructuur daarop aan te passen, bijvoorbeeld door traffic filtering rules op routers aan te brengen. Het DDoS clearinghouse is daarmee een extra securitylaag en is een aanvulling op bestaande anti-DDoS-oplossing zoals de NaWas en commerciële scrubbing centers.
Ons voorstel genereerde hernieuwde aandacht voor het probleem van DDoS-aanvallen en de maatschappelijke impact daarvan. Mede hierdoor lanceerden zo’n 25 partijen uit de Nederlandse industrie, overheid en anti-DDoS-samenwerkingen een nieuw nationaal initiatief om gezamenlijk de nieuwe anti-DDoS-strategie te realiseren, inclusief het clearing house. Hoewel er nog veel werk verzet moet worden lijkt het oude model waarbij partijen alleen individueel en reactief DDoS-aanvallen bestrijden hiermee op zijn retour.
We brachten het concept van het DDoS clearinghouse ook onder in Concordia, een nieuw Europees onderzoeksproject in het H2020-programma dat in januari van start gaat. Het idee is de onderzoeksresultaten die hier uitkomen direct toe te passen op het Nederlandse initiatief, waardoor er een wisselwerking ontstaat tussen een operationeel systeem (in Nederland) en onderzoek (in Concordia).
Het DDoS clearinghouse is een voorbeeld van een mechanisme voor collaborative internet security, een gezamenlijk onderzoeksonderwerp van SIDN Labs en de Universiteit Twente.
Meer inzicht in .nl en het internet
We ontwikkelden een nieuwe look en feel voor onze statistiekensite en maakten de data die we daar tonen over .nl en het Internet op een aantrekkelijkere en begrijpelijkere manier beschikbaar. Daarnaast kunnen we met de nieuwe site ook gemakkelijker metingen uit onze onderzoeksprojecten toevoegen, zoals de uptake van DNS-based anti-DDoS services in de .nl-zone.
Feedback en samenwerking
We zijn bij SIDN Labs altijd op zoek naar manieren om ons werk verder te verbeteren, dus aarzel niet contact met ons op te nemen als je suggesties hebt. Als we een toegevoegde waarde kunnen bieden in een relevant onderzoeksproject, dan horen we dat ook graag.
Goed uiteinde!
Tot slot wens ik iedereen namens het hele SIDN Labs-team een mooi uiteinde van 2018 en veel geluk voor 2019!
Het SIDN Labs-team,
Maarten, Giovane, Elmer, Moritz, Marco, Jelte, Caspar, Thymen en Cristian