De SIDN Labs top 8 van 2018

Ook in 2018 richtte het onderzoek van SIDN Labs zich op het verder verhogen van de veiligheid en stabiliteit van .nl, het DNS en het internet. We werkten bijvoorbeeld aan de DNSSEC root keyroll, DDoS-aanvallen, IoT security, fakewebshops en nieuwe vormen van inter-networking. In deze blog onze top 8 resultaten op een rijtje.

Keep ‘m rolling

Op 11 oktober gebruikten we de Root Canary-tool om de DNS root key rollover te monitoren. Dit internet-brede event verliep grotendeels vlekkeloos en we publiceerden de output van de tool in real-time op ons twitteraccountLink opent in een nieuwe browsertab zodat iedereen het verloop ervan kon volgen. Ook presenteerden we onze resultatenLink opent in een nieuwe browsertab een dag later op OARC29Link opent in een nieuwe browsertab (ook bijna real-time dus ;-), die toevallig in dezelfde periode plaatsvond in Amsterdam.

De root keyroll was niet alleen technisch belangrijk (hoe ouder de sleutel, hoe groter de kans dat-ie wordt gekraakt), maar ook om het vertrouwen van de internetgemeenschap in het DNS en haar multistakeholder besturingsmodel te behouden. ICANN stelde de keyroll in oktober 2017 nog uitLink opent in een nieuwe browsertab, omdat ze vermoedden dat een te groot aantal resolvers de nieuwe Key Signing KeyLink opent in een nieuwe browsertab (KSK) nog niet had opgepikt. Hierdoor zouden DNS-zoekopdrachten voor domeinnamen die met DNSSEC zijn beveiligd vanaf die resolvers niet meer werken en zouden de diensten (bijv. websites of mailservers) onbereikbaar worden.

We gebruikten de Root Canary-tool ook om de algoritmerollover bij de collega’s van .se (Zweden) en .br (Brazilië) te monitoren.

De Root Canary-tool is open sourceLink opent in een nieuwe browsertab en is een samenwerkingsprojectLink opent in een nieuwe browsertab van SURFnet, Universiteit Twente, Northeastern University, NLnet Labs, SIDN Labs, RIPE NCC en ICANN.

DNS-weerbaarheid tegen DDoS-aanvallen

In november presenteerden we ons artikel “When the Dike Breaks: Dissecting DNS Defenses During DDoS” op de ACM Internet Measurement Conference (IMC 2018Link opent in een nieuwe browsertab). We rapporteerden daarin over onze experimenten met het gedrag van DNS resolvers als autoratieve servers een DDoS-aanval te verwerken krijgen.

In ons onderzoek kwantificeerden we hoe caching van DNS-verzoeken in DNS resolvers de weerbaarheid van het DNS verhoogt en lieten bijvoorbeeld zien dat eindgebruikers vaak geen last hebben van DDoS-aanvallen, zelfs als 90% van legitieme DNS-verzoeken de autoratieve servers niet meer bereikt. We lieten daarnaast zien dat de keuze voor de time-to-live (TTL) die resolvers gebruiken voor hun caches hierbij een cruciale rol speelt. Grote TTLs (bijv. 1-6 dagen voor root records) zorgen ervoor dat resolvers DNS-verzoeken lang vasthouden en dat helpt om een DDoS-aanval op autoratieve servers te overleven. Tegelijkertijd kunnen te kleine TTLs (bijv. van een minuut) DDoS-aanvallen juist erger maken. Dit omdat resolvers aan het eind van de TTL extra berichten gaan versturen om toch autoritatives te bereiken die niet meer reageren, bijvoorbeeld als gevolg van een DDoS-aanval. Hierdoor ontstaat een extra influx van DNS-verkeer bovenop het DDoS-verkeer dat de server te verwerken krijgt en dit soort “friendly fire” kan oplopen tot 8 keer het volume van het normale DNS-verkeer dat een resolver van clients ontvangt. Op basis van onze experimenten lijkt voor bijvoorbeeld CDNsLink opent in een nieuwe browsertab 30 minuten de optimale waarde voor een resolver TTLs, maar we hebben meer onderzoek nodig om tot een echte aanbeveling te komen.

IMC is een prestigieuze internationale conferentie en dit is het derde jaar op rij dat we erin slaagden ons werk daar gepubliceerd te krijgen. Het onderzoek voerden we uit samen met collega’s van de Universiteit Twente, University of Southern California/Information Sciences InstituteLink opent in een nieuwe browsertab, University of Passo FundoLink opent in een nieuwe browsertab (Brazilië) en NLnet Labs. We zijn op dit moment in IETFLink opent in een nieuwe browsertab-verband bezig om ons onderzoek van de afgelopen jaren samen te vatten in de vorm van een   Informational DraftLink opent in een nieuwe browsertab voor operators van autoratieve DNS servers.

Een andere highlight is dat onze collega’s van het DNS-operationsteam mede op basis van ons IMC2017-paper begin dit jaar naar een volledige DNS anycast infrastructuur voor .nl overgingen en ook het aantal anycast-nodes verhoogden.

In 2019 gaan we proberen een begin te maken met onze volgende IMC-hattrick. :-)

Een veiliger IoT: meer flexibiliteit en anomaly detection

In het eerste kwartaal voerden we een nieuw ontwerp door voor SPIN, ons open sourceLink opent in een nieuwe browsertab-platform om het Internet en eindgebruikers te beschermen tegen onveilige IoT-apparaten in kleine netwerken, zoals thuisnetwerken. Met het nieuwe ontwerp is SPIN op meerdere manieren in te zetten (bijv. centraal op een homerouter of decentraal met verschillende meetpunten in het netwerk), waarmee we denken dat het aantrekkelijker wordt om als basiscomponent op te nemen in bijvoorbeeld netwerkapparatuur (bijv. op de TurrisLink opent in een nieuwe browsertab router).

We maakten dit jaar ook onze eerste stappen op het gebied van de automatische detectie van onveilige IoT-apparaten. Dit deden we bijvoorbeeld door een bibliotheek te ontwikkelen om MUD-profielenLink opent in een nieuwe browsertab te verwerken, waarmee slimmeapparaten een digitale beschrijving leveren van hun netwerkgedrag (bijv. met welke cloud services een apparaat verbindt en via welke poorten). Ook ontwikkelden we een tool die automatisch MUD-profielen genereert op basis van het normale netwerkverkeer van een apparaat en het vervolgens blokkeert als het daarvan afwijkt. We maakten daarnaast een network measurement center voor SPIN, dat een dynamisch model van de communicatie op het netwerk bijhoudt en die informatie aanbiedt aan anomaly detectiemodules. In 2019 gaan we in samenwerking met de TU DelftLink opent in een nieuwe browsertab een paar van dit soort modules ontwikkelen en evalueren.

We presenteerden SPIN op verschillende congressen, zoals de CENTR R&D workshop, het RIOT-congres, ICT.OpenLink opent in een nieuwe browsertab en het Innovatiecongres van het ministerie van Justitie en Veiligheid. Naar aanleiding van SPIN ontwikkelden we verder het vak “Security Services for the IoT”Link opent in een nieuwe browsertab (SSI), dat we gaven op de Universiteit Twente. De studenten werken voor hun Master CybersecurityLink opent in een nieuwe browsertab en beoordeelden SSI met een 8.

Ook startten we het MINIONS-project samen met de TU Delft, dat zich o.a. richt op het meten van concentraties van onveilige IoT-apparaten op het internet, het in kaart brengen van IoT botnets en het herstellen van de veiligheid van geïnfecteerde apparaten.

Tot slot werkten we samen met SIDN’s productdevelopmentteam om op basis van de SPIN-software een product te bedenken om de uitrol van SPIN te versnellen. Dit doen we samen met EmbeDDLink opent in een nieuwe browsertab, een Zwitserse leverancier van open source software voor modems en routers.

Minder fakewebshops, meer DMAP

We zetten onze DMAP-crawlertoolLink opent in een nieuwe browsertab in om automatisch mogelijke fakewebshops te herkennen in de 5.8 miljoen domeinnamen in de .nl-zone. Deze informatie maakten we beschikbaar voor onze registratie- en servicedeskLink opent in een nieuwe browsertab, waarmee zij samen met onze registrars de fakewebshops uit de lucht proberen te halen, wat in 2018 ruim 5.200 keer lukte (januari t/m september). We presenteerden ons werk op het gebied van fakewebshopbestrijding op verschillende conferenties, zoals het ECP JaarcongresLink opent in een nieuwe browsertab en de DHPA Tech DayLink opent in een nieuwe browsertab. De fake webshopdetector ontwikkelden we eind 2017 en zetten we dit jaar structureel in.

Daarnaast breidden we DMAP zelf uit, bijvoorbeeld om meer security-gerelateerde eigenschappen per domeinnaam te verzamelen. Deze informatie gebruiken we niet alleen om fake webshops te detecteren, maar ook om security-trends te signaleren in de .nl-zoneLink opent in een nieuwe browsertab (bijv. gebruik van DDoS-diensten en certificaten) en om in ons Registrar Score Card-programma te bepalen welke domeinnamen bereikbaar zijn via IPv6Link opent in een nieuwe browsertab. De upgrade van het SIDN Labs-netwerk met een nieuwe firewall stelde ons in staat DMAP-crawls nog efficiënter uit te voeren.

Tot slot schreven we een researchpaper over DMAP, dat werd geaccepteerd en gepubliceerd in de IFIP/IEEE Network Traffic Measurement and Analysis Conference (TMA 2018Link opent in een nieuwe browsertab).

Nieuwe internetten

In het 4e kwartaal startten we met een project om onderzoek te doen naar nieuwe open inter-netwerkenLink opent in een nieuwe browsertab (‘internetten’) zoals NDNLink opent in een nieuwe browsertab, SCIONLink opent in een nieuwe browsertab en RINALink opent in een nieuwe browsertab. Deze systemen zijn gebaseerd op een andere technologie dan het Internet Protocol (IP) van het huidige Internet en verkeren op dit moment in een experimenteel stadium.

Ons doel is Nederland (en Europa) op dit gebied voorop te laten lopen en vroegtijdig op deze systemen aan te sluiten. We doen dit omdat we denken dat deze inter-netwerken de komende jaren tractie gaan krijgen door bijvoorbeeld de opkomst van programmeerbare netwerken en de groeiende maatschappelijke vraag naar een nog veiligere, beschikbaardere en transparantere communicatie-infrastructuur.

We richten ons in het project op security en resilience-aspecten, omdat dit maatschappelijk relevant is en omdat het goed bij SIDN past. Daarnaast concentreren we ons op initiatieven met een operationeel ‘testbed’ (proeftuin) en een actieve community, waar mogelijk met een link met de huidige internetgemeenschap (bijv. NDN, waarvoor een gerelateerde werkgroepLink opent in een nieuwe browsertab in de IRTFLink opent in een nieuwe browsertab bestaat). Onze aanpak is hands-on met running code, prototypes en experimenten, ondanks dat het onderwerp een inspanning van meerdere jaren vereist.

Als eerste stap sloten we ons labnetwerk half december aan op het testbed van SCION. Ook gaven we 3 workshops om community-feedback te verzamelen: op het OpenProvider-partnereventLink opent in een nieuwe browsertab, het ECP-jaarcongresLink opent in een nieuwe browsertab en bij SIDN Connect.

Begin januari publiceren we een blog met meer details over het project samen met onze onderzoekpartners: Universiteit Twente (DACS-groepLink opent in een nieuwe browsertab), Universiteit van Amsterdam (SNE-groepLink opent in een nieuwe browsertab), SURFnetLink opent in een nieuwe browsertab en NLnet LabsLink opent in een nieuwe browsertab

Samen tegen DDoS-aanvallen

In april schreven we samen met de Universiteit Twente en SURFnet een open brief met een voorstel voor een proactieve en collectieve anti-DDoS-strategie voor de Nederlandse vitale infrastructuur. Ons voorstel draaide om een ‘DDoS clearinghouse’ (in de brief: DDoS radar), een systeem waarmee serviceproviders voortdurend en automatisch de karakteristieken van DDoS aanvallen met elkaar te delen in de vorm van zogenaamde ‘DDoS fingerprints’. Dit stelt hen in staat om proactief hun infrastructuur daarop aan te passen, bijvoorbeeld door traffic filtering rules op routers aan te brengen. Het DDoS clearinghouse is daarmee een extra securitylaag en is een aanvulling op bestaande anti-DDoS-oplossing zoals de NaWasLink opent in een nieuwe browsertab en commerciële scrubbing centers.

Ons voorstel genereerde hernieuwde aandachtLink opent in een nieuwe browsertab voor het probleem van DDoS-aanvallen en de maatschappelijke impact daarvan. Mede hierdoor lanceerden zo’n 25 partijen uit de Nederlandse industrie, overheid en anti-DDoS-samenwerkingen een nieuw nationaal initiatief om gezamenlijk de nieuwe anti-DDoS-strategie te realiseren, inclusief het clearing house. Hoewel er nog veel werk verzet moet worden lijkt het oude model waarbij partijen alleen individueel en reactief DDoS-aanvallen bestrijden hiermee op zijn retour.

We brachten het concept van het DDoS clearinghouse ook onder in Concordia, een nieuw Europees onderzoeksproject in het H2020-programmaLink opent in een nieuwe browsertab dat in januari van start gaat. Het idee is de onderzoeksresultaten die hier uitkomen direct toe te passen op het Nederlandse initiatief, waardoor er een wisselwerking ontstaat tussen een operationeel systeem (in Nederland) en onderzoek (in Concordia).

Het DDoS clearinghouse is een voorbeeld van een mechanisme voor collaborative internet security, een gezamenlijk onderzoeksonderwerp van SIDN Labs en de Universiteit Twente.

Meer inzicht in .nl en het internet

We ontwikkelden een nieuwe look en feel voor onze statistiekensite en maakten de data die we daar tonen over .nl en het Internet op een aantrekkelijkere en begrijpelijkere manier beschikbaar. Daarnaast kunnen we met de nieuwe site ook gemakkelijker metingen uit onze onderzoeksprojecten toevoegen, zoals de uptake van DNS-based anti-DDoS services in de .nl-zoneLink opent in een nieuwe browsertab.

Feedback en samenwerking

We zijn bij SIDN Labs altijd op zoek naar manieren om ons werk verder te verbeteren, dus aarzel niet contact met ons op te nemen als je suggesties hebt. Als we een toegevoegde waarde kunnen bieden in een relevant onderzoeksproject, dan horen we dat ook graag.

Goed uiteinde!

Tot slot wens ik iedereen namens het hele SIDN Labs-team een mooi uiteinde van 2018 en veel geluk voor 2019!

Het SIDN Labs-team,

Maarten, Giovane, Elmer, Moritz, Marco, Jelte, Caspar, Thymen en Cristian