SIDN Labs-jaaroverzicht 2024: onze top 10-resultaten
Nieuwe inzichten en technieken voor een veiliger internet
Auteurs: SIDN Labs-team
Jaarlijks doen we voor gebruikers, houders en registrars van .nl-domeinnamen en voor de bredere Nederlandse internetgemeenschap verslag van de belangrijkste resultaten van SIDN Labs in het afgelopen jaar. In deze terugblik op 2024 onderscheiden we onderzoeksresultaten die (1) nieuwe inzichten bieden in de veiligheid van het internet voor bijvoorbeeld beleidsmakers (gelabeld met een I) en (2) resultaten waarin we nieuwe technieken ontwerpen en evalueren die de internetveiligheid verhogen voor bijvoorbeeld DNS- en netwerkoperators (label T). Voor de technische details kun je per resultaat doorklikken naar onze blogs van 2024. We beschrijven ook kort onze plannen voor 2025 en horen zoals gebruikelijk graag je feedback.
Tabel 1. Overzicht van onze belangrijkste resultaten in 2024 (klikbaar). De volgorde per I en T is grofweg van meest recent naar eerder in het jaar.
I1: Beschikbaarheid van de DNS-rootservers in kaart brengen
Met NLnet Labs voerden we contractonderzoek uit voor rootserveroperators Versign en ISC. Onze taak was onafhankelijk de metingen van ICANN te verifiëren, die aangaven dat het rootserversysteem haar vereiste beschikbaarheidsniveau regelmatig niet haalde.
Onze metingen toonden aan dat een groot deel van de problemen werden veroorzaakt door het meetplatform van ICANN of door het netwerkpad tussen het meetplatform en de root servers. Daarnaast identificeerden en repareerden we een bug in de meetsoftware die ervoor zorgde dat de responsetijden van de root servers slechter leken dan ze daadwerkelijk waren. We sloten het project naar tevredenheid van de rootserveroperators af.
Met dit derde onderzoek naar de veiligheid en stabiliteit van de DNS-root laten we zien dat we inmiddels worden gezien als experts op dit gebied. Vorig jaar onderzochten we voor ICANN het effect van nieuwe naamgeving van de rootservers op nameservers en resolvers.
I2: Meer veiligheid voor het routeringssyteem van het internet
BGP (Border Gateway Protocol) routeert data van A naar B over de ruim 75.000 netwerken die samen het internet vormen. De security van BGP is cruciaal voor het hele internet, waaronder voor andere kernsystemen zoals het DNS. Helaas lossen bestaande technieken om de veiligheid van BGP te verhogen nog niet alle problemen op en daarom hebben we BGP-security in 2024 aan ons onderzoeksportfolio toegevoegd.
We ontwikkelden een onderzoeksagenda voor BGP-security en versterkten onze samenwerking met de Universiteit Twente op dit gebied. Met hen liet we bijvoorbeeld zien dat het internet langdurig last heeft van het fenomeen ‘serial hijackers’: netwerken die regelmatig het verkeer bestemd voor andere netwerken ongeautoriseerd naar zich toe proberen te trekken. Ook toonden we aan dat de netwerken op het pad tussen een kritische infrastructuurpartijen in Nederland en de veelgebruikte mailservice van Microsoft niet altijd gebruikmaken de beveiligingstechniek ‘rout origin validation’. Tot slot onderzochten we welke routerimplementaties BGPsec ondersteunen en hoe we een lokaal BGPsec-testbed in kunnen richten om mee te experimenteren. Hierover vertellen we begin 2025 meer in een van onze blogs.
I3: Kan digitaal Nederland tegen een stootje?
We brachten de weerbaarheid van de DNS-infrastructuur van 700 organisaties en 6.2 miljoen .nl-domeinnamen in kaart voor bijvoorbeeld beleidsmakers en CTO’s. We maten daarvoor het gebruik van 3 bewezen effectieve maatregelen die de beschikbaarheid van publieke DNS-servers verhogen: het verspreiden van DNS-servers over meerdere netwerken, het gebruik van meerdere IP-prefixen en het gebruik van anycast.
Onze resultaten lieten zien dat organisaties in Nederland deze maatregelen al veelal inzetten, maar dat er ook ruimte is voor verbetering, bijvoorbeeld bij ziekenhuizen. We maakten onze meetsoftware opensource beschikbaar, zodat organisaties zelf hun DNS-weerbaarheid kunnen testen. We presenteerden onze bevindingen op het ECP Jaarfestival.
I4: Meerjarige analyse van phishing in .nl, .be, en .ie
Samen met de registry’s van België (.be) en Ierland (.ie) en 4 universiteiten (Twente, Delft, Leuven en Grenoble Alps) publiceerden we een peer-reviewed artikel waarin we verslag doen van onze studie naar de evolutie van phishingaanvallen in .nl, .be en .ie. We voerden de studie grotendeels eind 2023 uit en analyseerden daarvoor 28,754 phishingmeldingen van securitybedrijf Netcraft in de periode van 2013 tot 2023. We vergeleken ook het registratie- en mitigatiebeleid van .nl, .be en .ie, dat als input dient voor het mogelijk versnellen van phishingmitigatie voor .nl.
We presenteerden de resultaten op meerdere bijeenkomsten van de operatorcommunity (bijv. RIPE, DNS-OARC en CENTR) en op ACM Computer and Communications Security, een gerenommeerde wetenschappelijke conferentie waarvoor ons paper werd geaccepteerd.
I5: De effectiviteit van internetsancties
We maten via het DNS de effectiviteit van EU-sancties om nieuwsdiensten zoals Russia Today te blokkeren. We werkten daarvoor samen met onderzoekers van de Universiteit van Twente, University of Illinois at Chicago, de Open Observatory of Network Interference en de Universiteit van Amsterdam.
We vatten onze bevindingen samen in een peer-reviewed paper dat een van onze partners presenteerde op de conferentie Free and Open Communications on the Internet . Onze studie is multidisciplinair, want het combineert internetmetingen met bijvoorbeeld expertise op het gebied van Europese- en mediastudies. Het illustreert ook hoe metingen kunnen helpen bij het evalueren van beleid, in dit geval vanuit de EU.
T1: Experimenteren met post-kwantumcryptografie voor het DNS
We evalueren empirisch de impact van post-kwantumcryptografie (PQC) op het DNS door middel van ons testbed met de naam ‘Post-quantum Algorithm Testing and Analysis for the DNS’ (PATAD). De afkorting past mooi bij één van de PQC-algoritmes: MAYO ;-).
Een belangrijke mijlpaal dit jaar was dat we de software van ons testbed open source beschikbaar maakten, zodat ook andere DNS-onderzoekers en operators met PQC-algoritmes in het DNS kunnen experimenteren, bijvoorbeeld met hun performance. Onze software omvat extensies om 3 PQC-algoritmes (MAYO, Falcon en SQISign) als DNSSEC-algoritmes te integreren in de resolvers en autoratieve DNS-servers van PowerDNS. Daarnaast bestaat het uit componenten voor het programmatisch en dynamisch opzetten van realistische DNS-topologieën, met bijvoorbeeld een root en topleveldomeinen zoals .nl. We voerden eerste metingen uit op ons testbed, waaronder een vergelijking van het ondertekenen van verschillende zonefiles met 2 PQC-algoritmes (MAYO en Falcon) en 2 traditionele algoritmes (RSA en ECDSA). We publiceren hier begin 2025 meer over.
T2: Intelligenter DNS-management met Autocast
Autocast (‘automatiseren van anycast’) is een dashboardconcept voor DNS-operationsteams zoals die van SIDN. Het biedt geautomatiseerde aanbevelingen voor bijvoorbeeld het af- en bijschakelen van anycastnodes of -sites op basis van veel gedetailleerdere internetmetingen (bijv. land, regio en round-triptijd) dan traditionele monitoringsystemen. Autocast maakt hiervoor gebruik van passieve en actieve internetmetingen uit ENTRADA en Verfploeter.
We verbeterden het inzicht in de round-trip time van .nl-query’s op basis van ENTRADA-data en draaiden samen met het DNS-team van SIDN dagelijks een actieve internetmeting vanaf de productienameservers van .nl. De resultaten gaven ons extra inzicht in de status van .nl in het DNS en extra data om de plaatsing van de .nl-nameservers verder te optimaliseren.
Komend jaar opensourcen we de Autocast-dashboards en het datamodel erachter als extensie van ENTRADA. Een blog met meer details staat voor begin 2025 op de planning.
T3: RESTful Provisioning Protocol naar de IETF voor standaardisatie
RESTful Provisioning Protocol (RPP) is een door ons geïnitieerde standaard in ontwikkeling voor een nieuwe domeinnaamregistratie-API. Het is eenvoudiger te gebruiken voor registrars dan het traditionele EPP en biedt voor domeinregistry’s verhoogde schaalbaarheid en betere performance en security. Ook sluit het statelesskarakter van RPP beter aan bij nieuwe software-engineeringtechnologieën zoals containerisatie en Kubernetes. Het is een doorstart van ons werk uit 2012 (geen typo ;-)
Op IETF121 in Dublin organiseerden we een succesvol verlopen ‘Birds of a Feather’-bijeenkomst met engineers die geïnteresseerd zijn in RPP, waaronder die van Europese collegaregistry’s. Er bleek voldoende consensus om een nieuwe IETF-werkgroep te starten, waarvoor de nu met de community het charter ontwikkelen. We schrijven in 2025 mee aan de standaard.
T4: Sneller domeinnaammisbruik afhandelen met RegCheck-verbeteringen
Registration Checker (RegCheck) is een machinelearningsysteem dat risicoscores toekent aan nieuwe domeinnaamregistraties om potentieel malafide domeinnamen (bijvoorbeeld phishingsites) al bij registratie te herkennen. Het supportteam van SIDN kan hiermee nog proactiever handelen, bijvoorbeeld door alvast een houderonderzoek te starten. RegCheck sluit ook aan op de NIS2-directive, die van registry’s meer controle op domeinnaamregistraties gaat vragen.
We stapten over op een nieuw classificatiealgoritme, gebaseerd op beslisbomen. We maakten het dashboard gebruikersvriendelijker en koppelden RegCheck aan Dynamics, zodat SIDN’s supportteam sneller houderonderzoeken kan starten op basis van RegCheck-scores. We moderniseerden en automatiseerden we de uitrol en training van RegCheck via technologieën zoals containers, zodat het flexibel inzetbaar is op elk modern computingplatform.
T5: DDoS-clearinghouse van onderzoek naar productie
Het DDoS-clearinghouse is een systeem waarmee vitale aanbieders (bijvoorbeeld banken, ISP’s en overheden) voortdurend informatie met elkaar delen over DDoS-aanvallen in de vorm van ‘DDoS-fingerprints’. Ontvangers van deze fingerprints zijn zo alvast voorbereid mochten ze zelf slachtoffer worden van deze aanvallen.
In april nam de Nederlandse Anti-DDoS Coalitie (NL-ADC) het DDoS-clearinghouse in productie bij NBIP. Wij leidden de afgelopen jaren het onderzoek voor en de ontwikkeling van het clearinghouse, dat we uitvoerden samen met vooral SURF en de Universiteit Twente. Ons artikel over het DDoS-clearinghouse werd geaccepteerd voor het gerenommeerd technisch peer-reviewed blad IEEE Communications Magazine. De nieuwe werkgroep ‘intel en attributie’ in de NL-ADC gaat DDoS-fingerprints inzetten voor intel- en attributiedoeleinden.
Communityservice
We dragen ook bij aan een veiligere internetinfrastructuur door onze expertise in te brengen in bijvoorbeeld internetexpertgroepen en vakgroepen bij universiteiten. Tabel 2 geeft een overzicht wie van ons team waar bijdroeg in 2024.
Tabel 2. Communitybijdrages van SIDN Labs in 2024.
Rol | Teamlid | Onderzoekspartner/organisatie |
|---|---|---|
Technisch expert | Maarten en Marco | RPP Working Group, IETF |
Caspar, Elmer, Ralph | PQC in DNS, IETF | |
Marco | Internet.nl | |
Thijs | SIDN fonds | |
Moritz | ICANN RSSAC-caucus | |
Cristian | Cyber Security Raad (namens de wetenschap) | |
Werkgroep co-chair | Moritz | DNS Working Group, RIPE |
Thymen | R&D Working Group, CENTR | |
Embedded researcher | Giovane | Technische Universiteit Delft |
Moritz, Cristian | Universiteit Twente | |
Ralph | Universiteit van Amsterdam | |
Docent | Giovane | Technische Universiteit Delft |
Cristian | Universiteit Twente | |
Ph.D.-begeleider | Moritz en Cristian | Universiteit Twente |
M.Sc.-begeleider | Moritz, Ralph, Caspar en Thymen | Radboud Universiteit (studenten Damianos en Alessandra), Universiteit van Amsterdam (Lisa) en Universität Münster (Pascal), TU Delft (Nathan) |
Teamontwikkeling
Lisa Bruder startte in november in ons team. Zij studeerde Security and Network Engineering aan de Universiteit van Amsterdam en werd bij haar afstuderen begeleid door Ralph en Moritz. We heten haar van harte welkom in ons team.
Onderzoeksplan 2025
Onze onderzoeksplannen voor 2025 verdelen we weer onder in onze 3 onderzoekslijnen: domeinnaamsecurity, infrastructuursecurity en emerging internet technologies. Daarnaast onderscheiden we vanaf 2025 de lijn ‘research infrastructure operations’, met activiteiten om ons onderzoeksnetwerk te managen en voortdurend te verbeteren.
Infrastructuursecurity
We ontwikkelen Autocast door van een observabilitydashboard naar een ‘anycast control center’ voor het DNS-team van SIDN en vergelijkbare teams elders, waarmee ze bijvoorbeeld de catchments van hun anycastplatform kunnen verbeteren. Voor BGP-security onderzoeken we hoe we de weerbaarheid van de RPKI kunnen verhogen, bijvoorbeeld door de connectiviteit van de publication points te meten en best common practices te evalueren. Voor NTP brengen we de (on)nauwkeurig van de huidige tijdssynchronisatie op het internet in kaart, want dat is op die moment onduidelijk. RPP specificeren en testen we verder, waarmee we de problemen met de schaalbaarheid van EPP aanpakken.
Domeinnaamsecurity
In 2025 pakken we door op het succes van RegCheck en onze eerste verkenning van representation learning door RegCheck te verbeteren met DNS-query-informatie. Daarnaast onderzoeken we in hoeverre we phishing- en andere malafide websites sneller kunnen vinden op basis van informatie uit DMAP, onze webcrawler. We werken we aan een vervolg van onze phishingstudie waarbij we naast .nl, .ie en .be ook .eu en .br betrekken. Tot slot versterken we intern de samenwerking met de Business & Support-afdeling in een gezamenlijk onderzoek naar domeinnaamopzeggingen.
Emerging internet technologies
We voeren met SURF en de Universiteit Twente metingen uit om te bepalen welke nieuwe maar nog niet gestandaardiseerde PQC-algoritmes geschikt kunnen zijn voor DNSSEC, zodat we dit kunnen terugkoppelen aan NIST en de community. We breiden ons PATAD-testbed uit om onze metingen te ondersteunen. De resultaten en analyse daarvan publiceren we via een of meer peer-reviewed papers of tech reports.
Research infrastructure operations
We verhuizen onze onderzoeksinfrastructuur naar onderzoeksinstituut Nikhef in Amsterdam. Daar hebben we bijvoorbeeld de beschikking over een eigen AS, waarmee we zelf BGPsec-software kunnen installeren en ermee kunnen experimenteren. De DNS-query-data die we gebruiken voor onze onderzoeken slaan we op bij SURF, de operator van het Nederlandse onderzoeks- en onderwijsnetwerk. We maken de data toegankelijk op onze servers bij Nikhef via een snelle verbinding met SURF.
De beste wensen voor 2025!
We bedanken al onze SIDN-collega’s en onze onderzoekspartners in Nederland en daarbuiten voor de fijne samenwerking in 2024 en kijken uit naar verdere samenwerking in 2025!
Team SIDN Labs
