SIDN Labs jaaroverzicht 2023
De resultaten van het afgelopen jaar waar we het meest trots op zijn
Auteurs: het SIDN Labs-team
Traditioneel doen we aan het einde van het jaar verslag van de resultaten van het afgelopen jaar waar we het meest trots op zijn. Zo ook voor 2023 en natuurlijk geven we ook een overzicht van onze plannen voor 2024. Het doel van SIDN Labs en onze onderzoeksthema’s vind je elders op de website. We horen het graag als je feedback hebt, of interesse hebt in samenwerking!
Snel nieuwe malafide .nl-domeinnamen signaleren met RegCheck
RegCheck is een systeem dat risicoscores toekent aan nieuwe domeinnaamregistraties, zodat we potentieel malafide .nl-domeinnamen (bijv. phishingsites) nog sneller kunnen herkennen. RegCheck sluit ook aan op de Europese NIS2-directive, die van registry’s meer controle op domeinnaamregistraties gaat vragen.
In 2023 startte we een samenwerking met DNS Belgium, dat aan een vergelijkbaar system werkte voor .be. We ontwikkelden RegCheck samen verder door en maakten het bijvoorbeeld een stuk robuuster en generiek toepasbaarder voor andere registry’s. Ook troffen we voorbereidingen om de samenwerking uit te bereiden, omdat andere registry’s in Europa ook interesse in RegCheck hebben.
RegCheck is inmiddels in gebruik bij zowel SIDN als DNS Belgium. Het supportteam van SIDN zette RegCheck dit jaar veelvuldig in om onderzoeken naar domeinnaamhouders op te starten, bij het vermoeden van malafide intenties met de domeinnaamregistratie.
We presenteerden RegCheck op de Dag van de Domeinnaam en samen met DNS Belgium op ICANN78 en op verschillende CENTR-bijeenkomsten. Ook werkten we mee aan een artikel in AG Connect.
Beleef internetrouting met Packet Run
Ons PathVis-project uit 2022 leidde in samenwerking met SIDN fonds en Bureau Moeilijke Dingen tot Packet Run (zie figuur 1), een installatie waarmee mensen kunnen ervaren hoe het internet werkt. Packet Run gebruikt een knikkerbaan om principes zoals datapakketjes en routering tastbaar te maken. Bureau Moeilijke Dingen ontwierp en bouwde de installatie en we toonden het voor het eerst aan bezoekers van de Dutch Design Week (DDW).
Packet Run laat zien hoe het internet een datapakket (knikker) van beginpunt naar eindpunt verstuurt. DDW-bezoekers konden bij het beginstation een website invullen, waarna Packet Run de route naar de website bepaalde en op de knikkerbanen projecteerde. Bezoekers konden daarna de knikkerbanen gebruiken om de route te doorlopen tot aan het eindstation, waarna ze de website te zien kregen. Wij liepen enkele dagen mee op de DDW om bezoekers door de installatie te begeleiden en onze visie te delen over de toekomst van het internet.
Figuur 1. Packet Run op de Dutch Design Week. Bekijk ook de video op YouTube.
Samen tegen DDoS-aanvallen met het DDoS-clearinghouse
Het DDoS-clearinghouse is een systeem waarmee vitale aanbieders (bijvoorbeeld banken, ISP’s en overheden) voortdurend en geautomatiseerd informatie met elkaar delen over DDoS-aanvallen in de vorm van ‘DDoS-fingerprints’. Ontvangers van deze fingerprints zijn zo alvast voorbereid mochten ze zelf slachtoffer worden van deze aanvallen. Het onderzoek naar het DDoS-clearinghouse voerden we uit in het Europese project CONCORDIA samen met de beoogde gebruikers, de Nederlandse Anti-DDoS Coalitie (NL-ADC).
Samen met onze CONCORDIA-partners leverden we het DDoS-clearinghouse op en rondden we de technische pilot af. De reviewers van de Europese Commissie beoordeelden het clearinghouse als een van de highlights van het CONCORDIA-project. NBIP gaat het clearinghouse vanaf januari 2024 in productie draaien voor de NL-ADC. Als spin-off leverden we ook het DDoS-testbed op dat de NL-ADC-leden in staat stelt op kleine schaal en op eigen gelegenheid met DDoS-aanvallen te oefenen, naast de halfjaarlijkse grootschalige oefeningen die de NL-ADC organiseert.
We vatten ons werk samen in een ‘cookbook’ en een paper dat we indienden bij IEEE Communications Magazine. We presenteerden ons werk onder andere op de CONCORDIA Cyber Security Summit in Stockholm.
Verbeteren van de security van de NTP Pool
Tijddiensten, zoals ons eigen TimeNL, vormen samen met het DNS en het routeringssysteem de kern van het internet. Ze zijn cruciaal voor bijvoorbeeld het maken en valideren van digitale certificaten en voor de diensten van SIDN, zoals tijdstempels van registraties, DNSSEC en de Yivi-keyserver. De NTP Pool is een van deze tijdservices en maakt gebruik van een ‘pool’ van ongeveer 4.000 servers die vrijwilligers van over de hele wereld aanbieden. Andere tijdaanbieders zijn NIST en grote techbedrijven zoals Apple.
We lieten via metingen zien dat dat de NTP Pool de meest populaire tijdservice op het internet is. We identificeerden ook verschillende problemen in de manier waarop de NTP Pool NTP-servers toewijst aan clients. Een daarvan is dat clients uit 21 landen (bijv. Bolivia, Tunesië en Namibië) bij maar 2 NTP-servers terechtkomen. We stelden aan de operators van de NTP Pool technieken voor om deze toewijzingen te verbeteren om de weerbaarheid tegen verstoringen te vergroten en de kans op meerdere aanvallen te verminderen.
We vatten onze bevindingen samen in een technisch rapport en in een wetenschappelijk artikel dat werd geaccepteerd voor de ACM SIGMETRICS-conferentie.
Nieuwe naamgeving van de DNS-root: RSSAC028-studie
In opdracht voor ICANN onderzochten we met NLnet Labs de impact van nieuwe namen voor de DNS-rootservers. Die zijn nu van de vorm [a-m].root-servers.net, maar dat creëert bijvoorbeeld een afhankelijkheid van het .net-topleveldomein en biedt geen DNSSEC-bescherming. De Root Server System Advisory Committee (RSSAC) heeft in haar publicatie RSSAC028 daarom 5 alternatieve naamgevingsschema’s voorgesteld, zoals het beveiligen van de huidige root-servers.net-zone met DNSSEC of elke root server voorzien van een eigen topleveldomein (bijv. [a-m]).
In ons onderzoek voor ICANN ontwikkelden we een eigen resolvertestbed om de rootservers zo realistisch mogelijk te simuleren en om te valideren in hoeverre resolvers met de 5 alternatieve naamgevingschema succesvol informatie uit het DNS op kunnen vragen. Helaas blijkt uit onze experimenten dat het invoeren van de naamgevingsschema’s niet zonder problemen zal verlopen. Dit heeft te maken met het gedrag van sommige nameservers en resolvers, maar ook met de manier waarop sommige naamgevingschema’s zijn ontworpen.
Met dit onderzoek leverden we met onze collega’s van NLnet Labs een bijdrage aan de discussie hoe we de DNS-root nog veiliger en stabieler kunnen maken, wat ook cruciaal is voor topleveldomeinen zoals .nl.
Post-kwantumcryptografie in het DNS
PATAD (Post-quantum Algorithm Testing and Analysis for the DNS) is ons project om de impact van post-quantum cryptography (PQC) op DNSSEC inzichtelijk te maken. Kwantumcomputers kunnen PQC-algoritmes zoals SQIsign en Falcon niet snel kraken, wat wel het geval is voor huidige standaarden zoals RSA. Kwantumcomputers maken naar verwachting over 10 tot 20 jaar hun opwachting, maar het is belangrijk om nu al de effecten te onderzoeken omdat het jaren kan duren voordat een PQC-algoritme op relatief grote schaal in het internet beschikbaar is.
We rondden een eerste versie van ons PATAD-testbed af op basis van een PowerDNS-server en het Falcon PQC-algoritme. Het testbed vormt de basis voor de praktijktests en metingen die we in 2024 uit gaan voeren samen met de Universiteit Twente en Radboud Universiteit. Daarnaast werkten we aan wijzingen voor liboqs, een opensource bibliotheek voor PQC-algoritmes. We breidden ook onze resolver ‘DNS4ALL’ uit met ‘X25519Kyber768’, een kwantumveilig hybride algoritme.
We gaven een presentatie over onze plannen voor het PATAD-testbed op de Post-Quantum Cryptography Conference in Amsterdam.
Test je cloudstoringsprocedures met Cloudburst
Cloudburst is een tool die we dit jaar ontwikkelden om de uitval van (publieke) clouds te simuleren. Met Cloudburst kunnen bedrijven via een eenvoudige userinterface (zie figuur 2) hun verbinding met cloudoperators blokkeren (bijv. Google of AWS) en in de praktijk beoordelen in hoeverre ze daarvan afhankelijk zijn en kunnen omgaan met clouduitval. Cloudburst is bedoeld voor een breed publiek en vereist weinig technische kennis.
Figuur 2. Cloudburst userinterface.
We demonstreerden Cloudburst op de ICT.Open-conferentie, waarbij bezoekers zagen dat het offline-gaan van een cloudprovider leidt tot onbeschikbaarheid van tal van websites. Daarnaast hebben we Cloudburst laten zien op SIDN Inspire en op de PublicSpaces-conferentie. We ontvingen veel enthousiaste reacties.
We publiceren in de eerste helft van januari een blog over Cloudburst en publiceren dan ook de code zodat je het zelf kunt proberen.
DNS2Vec: effectievere AI/ML door toepassen van representation learning
Representation learning vormt de basis van veel AI/ML-successen van de afgelopen 10 jaar, maar is nog onbekend in de DNS-gemeenschap. We startten daarom het project DNS2Vec om te verkennen in hoeverre deze techniek toegevoegde waarde heeft voor het DNS.
We pasten de techniek ‘Word2Vec’ toe op onze DNS-data in ENTRADA en genereerden zo automatisch een lijst van kenmerken van iedere DNS-resolvers die een .nl-domeinnaam opvraagt. Deze kenmerken lijken veelbelovend te zijn voor verschillende-AI/ML vraagstukken, zoals het clusteren van resolvers. Begin januari publiceren we hier een blog over. Representation learning is ook een van onze speerpunten voor 2024 (zie ‘Outlook 2024’).
Vergelijken van phishing in .nl, .be en .ie
We onderzochten samen met DNS Belgium (.be) en IE Domain Registry (.ie) phishingaanvallen in het .nl-, .be- en .ie-domein. Ons doel is om te begrijpen hoe verschillende variabelen een rol spelen in de manier waarop kwaadwillenden phishingaanvallen uitvoeren. Bijvoorbeeld: welke soorten bedrijven vallen ze aan? Wat is het effect van een beperkte versus een open registratiebeleid?
Onze analyse toonde aan dat phishingaanvallen in Nederland en België vergelijkbare aanvalspatronen hebben. De meeste doelwitten zijn financiële instellingen en zijn Amerikaans of Nederlands/Belgisch. Aan de andere kant hebben Ierse phishingaanvallen een breder doelwitbereik. We denken dat dit komt doordat de registratie van .ie-domeinen beperkt is (alleen individuen en bedrijven die in Ierland gevestigd zijn kunnen .ie-domeinnamen registreren) en de meeste Ierse banken ook de .com-TLD gebruiken.
We vatten ons onderzoek samen in een paper dat we in januari insturen naar het toonaangevende ACM Conference on Computer and Communications Security.
Communityservice
We dragen niet alleen met onze onderzoeksresultaten bij aan een veiligere internetinfrastructuur, maar bijvoorbeeld ook via de Internet Engineering Task Force (IETF), onderwijs en expertcommissies. Onze communitybijdrages in 2023 waren:
Expertcommissies: teamlid Thijs werd lid van de Raad van Advies van SIDN fonds, vooral vanuit zijn technische expertise. Cristian werd lid van de Cyber Security Raad.
IETF: we stelden het concept van RESTfull EPP voor, dat brede steun heeft van CENTR-leden. Het is een update van ons eerdere voorstel uit 2012. We schreven mee aan een Internet Draft over een onderzoeksagenda voor post-kwantum DNSSEC.
Embedded onderzoekers: we leenden weer 4 teamleden 1 dag per week uit aan universiteiten voor gezamenlijk onderzoek en onderwijs: Technische Universiteit Delft (Gio), Universiteit van Amsterdam (Ralph) en de Universiteit Twente (Moritz en Cristian).
Onderwijs: we coördineerden en gaven de vakken Advanced Networking en Security Services for the IoT aan de Universiteit Twente. Ook gaven we gastcolleges, zoals op de Radboud Universiteit en de Universiteit Leiden.
Afstudeerders: we begeleiden in 2023 in totaal 6 afstudeerders, waarvan 3 hun opdracht bij SIDN Labs uitvoer(d)en. (Heb je ook interesse om bij ons af te komen studeren, neem dan contact op met Elmer of check https://www.sidnlabs.nl/afstuderen.)
Workshops: we waren medeorganisator en moderator van het Collaborative DDoS Mitigation Event van de Nederlandse Anti-DDoS Coalitie. Ook organiseerden we de workhop ‘Operationalizing machine learning models for DNS security’ voor de AI-studievereniging van Radboud Universiteit.
Outlook 2024
Onze plannen voor 2024 verdelen we onder in onze 3 onderzoekslijnen: domeinnaamsecurity, infrastructuursecurity en emerging internet technologies. We geven 2 voorbeelden van projecten binnen elke onderzoekslijn:
Domeinnaamsecurity
RegCheck: we breiden de samenwerking met DNS Belgium uit met nog 1 of 2 andere Europese registry’s. We onderzoeken door middel van een pilot de mogelijkheid om RegCheck’s uitkomsten te delen met registrars en de informatie over domeinnaamregistraties waar registrars over beschikken mee te nemen in het proces. Tot slot verhogen we de impact van RegCheck voor SIDN door het automatisch opstarten van houderonderzoek te verkennen (de opvolging zoals het doorhalen van registraties blijft een beslissing van het supportteam van SIDN).
DNS2Vec: uit de eerste resultaten van ons onderzoek in 2023 bleek dat het toepassen van representation learning op DNS-data een toegevoegde waarde kan hebben. Komend jaar werken we een aantal use cases verder uit en bekijken we hoe we het kunnen inzetten in onze onderzoeksprojecten. Een voorbeeld van een use case is: het detecteren van ontregelde resolvers.
Infrastructuursecurity
Autocast: autocast (automatiseren van anycast) is een observabilityplatform voor SIDN’s DNS-operationsteam, dat hen gaat voorzien van actiegerichte waarnemingen, zoals alerts bij gebrekkige prestaties en aanbevelingen voor bijvoorbeeld het afschalen of toevoegen van .nl-anycastlocaties. Autocast maakt hiervoor gebruik van de DNS-data die we verzamelen met ENTRADA. In 2024 breiden we ons huidige eerste prototype uit en generaliseren we het voor andere DNS-operators en andere protocollen zoals NTP.
BGPsec-testbed: we zetten een testbed op om inzicht te krijgen in de operationele werking BGPsec. BGPsec is een beveiliging voor BGP, het routeringprotocol van het internet. BGP is ervoor verantwoordelijk om paden op het internet te vinden, bijvoorbeeld om DNS-servers te bereiken. Helaas is BGP ook kwetsbaar voor aanvallen, waardoor data bijvoorbeeld naar kwaadwillende sites kan worden omgeleid. BGPSec beveiligt BGP-informatie en kan veel aanvallen voorkomen, maar wordt tot het heden weinig gebruikt.
Emerging internet technologies
PATAD: we ontwikkelen ons PATAD-testbed volop door en voeren er diverse metingen mee uit om te impact van PQC-algoritmes op zowel SIDN als de DNS-community te bepalen. Denk voorbeeld aan hoe snel we de .nl-zonefile kunnen signen met een PQC-algoritme of wat de vereiste extra rekenkracht is voor resolvers. Ook werken we met onze partners verder aan een onderzoeksagenda voor PQC en DNSSEC.
SCION-NL: we koppelen het SCION-NL-testbed met het grotere (maar nog steeds beperkte) SCION-internet. SCION-NL bouwden we in 2023 samen met SURF en de UvA om te experimenteren met de SCION-internetarchitectuur. Met het testbed kunnen we geïnteresseerde onderzoekers en organisaties in Nederland makkelijker toegang geven tot deze technologie.
Fijne feestdagen!
We bedanken al onze SIDN-collega’s en onze onderzoekspartners in Nederland en daarbuiten voor de samenwerking en de mooie resultaten die we daardoor met elkaar hebben bereikt in 2023. We gaan voor een minstens zo succesvol 2024! Voor nu wensen we iedereen fijne feestdagen toe.
Het team van SIDN Labs
