Výstupy z projektu Turris: co prozradí tisíc sond?

Petr Krčmář 8. 12. 2014

Projekt Turris má dnes (nejen) v českém internetu zapojenou tisícovku sond, ze kterých je získáváno obrovské množství dat o síťovém provozu. Vznikají tak zajímavé bezpečnostní analýzy a například také veřejně dostupný seznam potenciálně nebezpečných IP adres. Co zajímavého už projekt přinesl?

Na podzimní konferenci Internet a Technologie 14.2 proběhl velký blok přednášek týkající se routeru Turris. Vývojáři, ale i uživatelé v něm představili výstupy, které už z projektu vyplynuly.

Jan Čermák: Zpracování dat z routerů Turris v kostce

Projekt Turris sbírá řadu zajímavých statistických dat z tisícovky českých sítí. Sbírají se tři typy dat: logy týkající se relevantních služeb a provozní informace o zdraví routeru, data z nástroje uCollect (anomálie, statistiky a flows) a záznamy z firewallu. Jsou to informace o zakázaném provozu nebo provoz na vybrané podezřelé IP adresy, na kterých sídlí třeba C&C servery různých botnetů, vysvětlil Čermák.

Globální statistiky jsou veřejně dostupné na www.turris.cz/cs/global-stats/.

Jednotlivé routery komunikují s veřejným API serverem a příjem dat je autentizován pomocí ATSHA čipu, ve kterém jsou uloženy šifrovací klíče. Zlomyslný uživatel tak nemůže podvrhnout falešná data a ovlivnit statistiky. Z API serveru data putují do databázového serveru, který je už neveřejný a data v něm vydrží 10 dní. Po zpracování pak anonymizované informace doputují na veřejný server se statistikami.


Autor: Igor Kytka

Na základě získávaných informací vzniká takzvaný greylist – seznam adres, které se snažily získat přístup nebo informace o službách, které jsou na routeru provozovány. Využíváme informace o tom, kdo a jak často přistupoval na jaký port. Rozlišují se přitom specifické vzorce chování, jako například to, zda je z některé adresy kontaktováno více routerů. Každý měsíc se více než 8000 adres snaží komunikovat nejméně s dvaceti routery Turris. Poté proběhne hodnocení podle zákeřnosti chování a případně jsou adresy přidány na greylist, který je možné získat i z veřejného webu.

Vývojáři ale chtějí z údajů získat ještě více a plánuji další metody analýzy firewallového logu. Takto můžeme sledovat například IP adresy, které nemají na první pohled nic společného. Detailní vzorec chování ale odhalí, že jde o stejného útočníka používajícího více adres, vysvětlil další plány Čermák.

Pavel Bašta: Zajímavé výstupy z projektu Turris

Na přednášku Jana Čermáka navázal Pavel Bašta, který je bezpečnostním analytikem CZ.NIC. Hovořil o tom, jak je možné globální data získaná ze sítě Turris využít ke sledování mnoha bezpečnostních anomálií. Je tak možné například sledovat klienty botnetů jako je Zeus, Reveton, SpyEye a podobně. Snažíme se aktivně komunikovat s klienty, u kterých vidíme, že jsou jejich počítače součástí botnetu, vysvětlil Bašta. Celkem 12 klientů už potvrdilo, že jejich antivirus objevil klienta botnetu, další čtyři uživatelé pak raději přeinstalovali počítač.

Zajímavostí je objevení klienta botnetu i mimo síť routerů Turris. Jeden z uživatelů ze sítě odesílal informace pro botnet, ale na základě upozornění zjistil, že komunikaci iniciuje jeho NAS server. Na něm ale běžel OpenVPN server, ke kterému se nedávno připojoval od kamaráda z Windows. Tento kamarád pak skutečně na svém počítači našel malware, který sestavené VPN spojení využil pro komunikaci s botnetem.

Samostatnou kapitolou byl útok na NAS servery společnosti Synology. Využit k tomu byl nový typ ransomware cryptolocker, který napadal síťová úložiště, zašifroval jejich soubory a po uživatelích požadoval výkupné v bitcoinech. K šíření byla zneužívána díra v aplikaci běžící na portech 5000 a 5001. Ve dnech, kdy probíhal útok, jsme zaznamenali zvýšenou aktivitu na těchto portech z několika IP adres.


Autor: Igor Kytka

Router Turris umožňuje odhalovat také manipulaci se síťovým provozem ze strany poskytovatelů připojení. Sondy sledují odpovědi na ping a certifikáty vybraných služeb a bankovních stránek, popsal činnost Bašta. Cílem je odhalit manipulaci s DNS nebo SSL certifikáty. Objevili jsme několik sítí, které pro známé poštovní servery vracely jiné certifikáty. Ukázalo se, že jde o přesměrování kvůli ochraně proti odesílání spamu.

Projekt také sleduje nebezpečné webové stránky, které jsou většinou využívány k šíření malware. Obvykle je napaden web a útočník vloží přes iframe odkaz na server, který pak do prohlížeče návštěvníka dodává malware. Tyto servery je pak možné najít, prozkoumat a případně přidat mezi blokované adresy. Průměrně je každý den objeveno 45 napadených domén, každý měsíc je takto získáno 60 nových nebezpečných adres.

Vývojáři mají dále v plánu rozšířit seznam sledovaných botnetů, získávat další zdroje informací o nebezpečných IP adresách, či porovnávat anomálie z Turrisu s ostatními zdroji dat. Rádi bychom také lépe spolupracovali s uživateli, kteří by nám chtěli pomoci identifikovat napadené weby, které slouží jako zdroje šíření malware, dodal Pavel Bašta.

TurriSoutěž aneb Ukažte, co umí jen váš Turris

V rámci projektu Turris bylo spuštěno také uživatelské fórum, na kterém se objevila řada nápadů na hardwarové a softwarové vylepšení routeru. Od začátku jsme svůj router koncipovali tak, aby byl otevřený a rozšiřitelný. Vyhlásili jsme proto soutěž, která umožní předvést, co všechno už uživatelé vymysleli, řekl na začátku bloku Bedřich Košata. Nakonec se přihlásili jen čtyři odvážní účastníci, tři z nich pak prezentovali svůj projekt na konferenci Internet a Technologie 14.2.

Jan Fíla předvedl několik různých využití routeru Turris: příjem televize přes DVB-S, ukládání pořadů na síťový disk a streamování videa uživatelům. Použil jsem různé přijímací karty, nakonec jsem ze čtyř rozchodil tři, takže základní multiplexy v síti přijímám. Dále byla zmíněna komunikace s chytrým elektroměrem, která umožňuje sledovat přesně příkon domu. Dokážu odečítat hodnoty rychleji než jednou za sekundu a teď třeba vím, že posekání naší zahrady stojí necelou pětikorunu. Klasikou je pak měření teploty na různých místech v domě. Tohle má snad na svém routeru každý turrista, uzavřel přednášku Fíla.


Autor: Igor Kytka

Druhým přednášejícím tvůrcem byl Jan Horáček, který Turris využil pro domácí automatizaci pomocí 1-Wire. Stačí k tomu jednoduchý a levný převodník z USB na UART. Rád bych předvedl, že k tomu nebudete potřebovat nic složitého. Horáček má k Turrisu připojena teplotní čidla, PIR čidla a krabičku s tlačítky. Je to univerzální řešení, ovládat se tím dá cokoliv a záleží na software, k čemu výstupy z tlačítek použije. Ve spojení s levnou zvukovou kartou do USB je možné tlačítky ovládat třeba přehrávač internetového rádia.

widgety


Autor: Igor Kytka

Posledním prezentujícím byl Ondřej Caletka, který předvedl Turrisem řízené hodiny. Klasické rádiem řízené hodiny jsou poměrně drahé, špatně se shání a často nefungují uvnitř budov. Proto Caletka upravil levné hodiny tak, aby byly řízené NTP klientem, který je automaticky nainstalován uvnitř Turrisu. Koupil jsem levné hodiny za 59 Kč a odstranil jsem z nich elektroniku, aby s novým ovládáním neinterferovala. Hodiny jsou pak připojeny ke GPIO rozhraní Turrise přes jednoduchý budič.


Autor: Igor Kytka

Ovládací software musí udržovat aktuální stav ručiček v paměti, zjišťuje systémový čas a posílá impulzy motorku v hodinkách. Hodiny pak umí řadu zajímavých věcí, jako je vypínání v noci nebo signalizace různých stavů routeru. Když vám třeba vypadne internet, poskočí hodiny každých pět sekund právě o pět sekund. Celý projekt byl zveřejněn na GitHubu.

Našli jste v článku chybu?
120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

DigiZone.cz: Ultra HD v praxi a v Portugalsku

Ultra HD v praxi a v Portugalsku

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře