Al eerder schreven we over ons onderzoeksplatform ENTRADA. Dat is een op Hadoop gebaseerd ‘big data’-systeem, waarmee we DNS-data opslaan en analyseren. Alles bij elkaar slaan we heel wat DNS-queries op; gemiddeld zo’n 166 miljoen per dag.
Verstopt in deze berg data zit informatie, waarmee we het internet een beetje beter en veiliger kunnen maken. Een voorbeeld daarvan is onze koppeling met de AbuseHUB.
Abuse Information Exchange
De Vereniging ‘Abuse Information Exchange’ is een initiatief van KPN, SIDN, Solcon, Tele2, XS4ALL, Zeelandnet en Ziggo/UPC. Het doel is om de informatievoorziening over botnets en andere vormen van internetmisbruik in Nederland te stroomlijnen en zo te verbeteren. Dit gebeurt door meldingen te verzamelen in een centraal systeem (de AbuseHUB) en deze te correleren. SIDN is de operationeel beheerder van dit systeem. De AbuseHUB is sinds juni 2014 operationeel. Gegevens over botnetbesmettingen komen volledig geautomatiseerd binnen via zogenaamde reliable notifiers. Dat zijn partijen met wie een overeenkomst is afgesloten en waarvan is vastgesteld dat ze over betrouwbare, actuele informatie beschikken van botnetbesmettingen en andere informatie in relatie tot internetveiligheid. Meldingen van deze reliable notifiers worden geanalyseerd en op een slimme manier (geprioriteerd en zonder ‘ruis’ zoals dubbele meldingen) verstrekt aan de desbetreffende internetproviders, zodat die actie kunnen ondernemen.Daarnaast is de Abuse Information Exchange een forum waar de leden relevante kennis en informatie kunnen uitwisselen. Door deze samenwerking kunnen botnetbesmettingen effectiever worden bestreden, waardoor de veiligheid van het internet verbetert.
SIDN Labs als reliable notifier
Bij SIDN Labs hebben we, op basis van de data in ENTRADA, een algoritme ontwikkeld, waarmee we bepaalde botnets kunnen opsporen. Het onderzoek hiernaar was onderdeel van het ‘ResRep’-project, wat staat voor: ‘Resolver Reputation’. Zoals de naam al suggereert, kennen we aan de DNS-resolvers die voorbij komen op onze autoritatieve nameservers een bepaalde reputatie toe. Dat doen we op basis van hun gedrag. Het is als het ware een vorm van ‘profiling’ of ‘fingerprinting, waarbij we uiteraard de nodige zorgvuldigheid in acht nemen. Door gedetailleerd het gedrag van het DNS te bestuderen, zijn we in staat om bepaalde patronen in het verkeer als verdacht aan te merken. Helaas kunnen we niet teveel in detail treden over hoe we dit exact doen, omdat we geen slapende honden wakker willen maken. Maar in elk geval zijn we in staat om in ENTRADA heel precies te constateren wanneer een bepaald botnet actief wordt en vanaf welk IP-adres. Als dat een Nederlands IP-adres betreft, rapporteren we die informatie als een ‘reliable notifier’ aan de AbueHUB, waarna de desbetreffende isp onmiddellijk in actie kan komen. Dit proces verloopt uiteraard geheel geautomatiseerd, 24 uur per dag en 7 dagen in de week.
Sneller, dus efficiënter
Het voordeel van ons systeem ten opzichte van andere systemen, is vooral de snelheid en de volledigheid. Wij constateren het botnet-gedrag vrijwel op het moment dat het plaatsvindt. Andere ‘reliable notifiers’, zo ze al wat zien, detecteren het misbruik met een grotere vertraging. De ResRep-feed aan de AbuseHUB is daarmee een mooi voorbeeld van de veelzijdigheid van ons ENTRADA-systeem.Heb je zelf nog suggesties of ideeën voor mooie nieuwe toepassingen, schroom dan niet om daarover met ons te sparen.
