Výstupy z projektu Turris: co prozradí tisíc sond?

Petr Krčmář 8. 12. 2014

Projekt Turris má dnes (nejen) v českém internetu zapojenou tisícovku sond, ze kterých je získáváno obrovské množství dat o síťovém provozu. Vznikají tak zajímavé bezpečnostní analýzy a například také veřejně dostupný seznam potenciálně nebezpečných IP adres. Co zajímavého už projekt přinesl?

Na podzimní konferenci Internet a Technologie 14.2 proběhl velký blok přednášek týkající se routeru Turris. Vývojáři, ale i uživatelé v něm představili výstupy, které už z projektu vyplynuly.

Jan Čermák: Zpracování dat z routerů Turris v kostce

Projekt Turris sbírá řadu zajímavých statistických dat z tisícovky českých sítí. Sbírají se tři typy dat: logy týkající se relevantních služeb a provozní informace o zdraví routeru, data z nástroje uCollect (anomálie, statistiky a flows) a záznamy z firewallu. Jsou to informace o zakázaném provozu nebo provoz na vybrané podezřelé IP adresy, na kterých sídlí třeba C&C servery různých botnetů, vysvětlil Čermák.

Globální statistiky jsou veřejně dostupné na www.turris.cz/cs/global-stats/.

Jednotlivé routery komunikují s veřejným API serverem a příjem dat je autentizován pomocí ATSHA čipu, ve kterém jsou uloženy šifrovací klíče. Zlomyslný uživatel tak nemůže podvrhnout falešná data a ovlivnit statistiky. Z API serveru data putují do databázového serveru, který je už neveřejný a data v něm vydrží 10 dní. Po zpracování pak anonymizované informace doputují na veřejný server se statistikami.


Autor: Igor Kytka

Na základě získávaných informací vzniká takzvaný greylist – seznam adres, které se snažily získat přístup nebo informace o službách, které jsou na routeru provozovány. Využíváme informace o tom, kdo a jak často přistupoval na jaký port. Rozlišují se přitom specifické vzorce chování, jako například to, zda je z některé adresy kontaktováno více routerů. Každý měsíc se více než 8000 adres snaží komunikovat nejméně s dvaceti routery Turris. Poté proběhne hodnocení podle zákeřnosti chování a případně jsou adresy přidány na greylist, který je možné získat i z veřejného webu.

Vývojáři ale chtějí z údajů získat ještě více a plánuji další metody analýzy firewallového logu. Takto můžeme sledovat například IP adresy, které nemají na první pohled nic společného. Detailní vzorec chování ale odhalí, že jde o stejného útočníka používajícího více adres, vysvětlil další plány Čermák.

Pavel Bašta: Zajímavé výstupy z projektu Turris

Na přednášku Jana Čermáka navázal Pavel Bašta, který je bezpečnostním analytikem CZ.NIC. Hovořil o tom, jak je možné globální data získaná ze sítě Turris využít ke sledování mnoha bezpečnostních anomálií. Je tak možné například sledovat klienty botnetů jako je Zeus, Reveton, SpyEye a podobně. Snažíme se aktivně komunikovat s klienty, u kterých vidíme, že jsou jejich počítače součástí botnetu, vysvětlil Bašta. Celkem 12 klientů už potvrdilo, že jejich antivirus objevil klienta botnetu, další čtyři uživatelé pak raději přeinstalovali počítač.

Zajímavostí je objevení klienta botnetu i mimo síť routerů Turris. Jeden z uživatelů ze sítě odesílal informace pro botnet, ale na základě upozornění zjistil, že komunikaci iniciuje jeho NAS server. Na něm ale běžel OpenVPN server, ke kterému se nedávno připojoval od kamaráda z Windows. Tento kamarád pak skutečně na svém počítači našel malware, který sestavené VPN spojení využil pro komunikaci s botnetem.

Samostatnou kapitolou byl útok na NAS servery společnosti Synology. Využit k tomu byl nový typ ransomware cryptolocker, který napadal síťová úložiště, zašifroval jejich soubory a po uživatelích požadoval výkupné v bitcoinech. K šíření byla zneužívána díra v aplikaci běžící na portech 5000 a 5001. Ve dnech, kdy probíhal útok, jsme zaznamenali zvýšenou aktivitu na těchto portech z několika IP adres.


Autor: Igor Kytka

Router Turris umožňuje odhalovat také manipulaci se síťovým provozem ze strany poskytovatelů připojení. Sondy sledují odpovědi na ping a certifikáty vybraných služeb a bankovních stránek, popsal činnost Bašta. Cílem je odhalit manipulaci s DNS nebo SSL certifikáty. Objevili jsme několik sítí, které pro známé poštovní servery vracely jiné certifikáty. Ukázalo se, že jde o přesměrování kvůli ochraně proti odesílání spamu.

Projekt také sleduje nebezpečné webové stránky, které jsou většinou využívány k šíření malware. Obvykle je napaden web a útočník vloží přes iframe odkaz na server, který pak do prohlížeče návštěvníka dodává malware. Tyto servery je pak možné najít, prozkoumat a případně přidat mezi blokované adresy. Průměrně je každý den objeveno 45 napadených domén, každý měsíc je takto získáno 60 nových nebezpečných adres.

Vývojáři mají dále v plánu rozšířit seznam sledovaných botnetů, získávat další zdroje informací o nebezpečných IP adresách, či porovnávat anomálie z Turrisu s ostatními zdroji dat. Rádi bychom také lépe spolupracovali s uživateli, kteří by nám chtěli pomoci identifikovat napadené weby, které slouží jako zdroje šíření malware, dodal Pavel Bašta.

TurriSoutěž aneb Ukažte, co umí jen váš Turris

V rámci projektu Turris bylo spuštěno také uživatelské fórum, na kterém se objevila řada nápadů na hardwarové a softwarové vylepšení routeru. Od začátku jsme svůj router koncipovali tak, aby byl otevřený a rozšiřitelný. Vyhlásili jsme proto soutěž, která umožní předvést, co všechno už uživatelé vymysleli, řekl na začátku bloku Bedřich Košata. Nakonec se přihlásili jen čtyři odvážní účastníci, tři z nich pak prezentovali svůj projekt na konferenci Internet a Technologie 14.2.

Jan Fíla předvedl několik různých využití routeru Turris: příjem televize přes DVB-S, ukládání pořadů na síťový disk a streamování videa uživatelům. Použil jsem různé přijímací karty, nakonec jsem ze čtyř rozchodil tři, takže základní multiplexy v síti přijímám. Dále byla zmíněna komunikace s chytrým elektroměrem, která umožňuje sledovat přesně příkon domu. Dokážu odečítat hodnoty rychleji než jednou za sekundu a teď třeba vím, že posekání naší zahrady stojí necelou pětikorunu. Klasikou je pak měření teploty na různých místech v domě. Tohle má snad na svém routeru každý turrista, uzavřel přednášku Fíla.


Autor: Igor Kytka

Druhým přednášejícím tvůrcem byl Jan Horáček, který Turris využil pro domácí automatizaci pomocí 1-Wire. Stačí k tomu jednoduchý a levný převodník z USB na UART. Rád bych předvedl, že k tomu nebudete potřebovat nic složitého. Horáček má k Turrisu připojena teplotní čidla, PIR čidla a krabičku s tlačítky. Je to univerzální řešení, ovládat se tím dá cokoliv a záleží na software, k čemu výstupy z tlačítek použije. Ve spojení s levnou zvukovou kartou do USB je možné tlačítky ovládat třeba přehrávač internetového rádia.


Autor: Igor Kytka

Posledním prezentujícím byl Ondřej Caletka, který předvedl Turrisem řízené hodiny. Klasické rádiem řízené hodiny jsou poměrně drahé, špatně se shání a často nefungují uvnitř budov. Proto Caletka upravil levné hodiny tak, aby byly řízené NTP klientem, který je automaticky nainstalován uvnitř Turrisu. Koupil jsem levné hodiny za 59 Kč a odstranil jsem z nich elektroniku, aby s novým ovládáním neinterferovala. Hodiny jsou pak připojeny ke GPIO rozhraní Turrise přes jednoduchý budič.


Autor: Igor Kytka

Ovládací software musí udržovat aktuální stav ručiček v paměti, zjišťuje systémový čas a posílá impulzy motorku v hodinkách. Hodiny pak umí řadu zajímavých věcí, jako je vypínání v noci nebo signalizace různých stavů routeru. Když vám třeba vypadne internet, poskočí hodiny každých pět sekund právě o pět sekund. Celý projekt byl zveřejněn na GitHubu.

Našli jste v článku chybu?
Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

DigiZone.cz: Vláda schválila digitální vysílání ČRo

Vláda schválila digitální vysílání ČRo

120na80.cz: Kam umístit silikony?

Kam umístit silikony?

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Podnikatel.cz: Youtuber? Za 15 tisíc dělat nebude

Youtuber? Za 15 tisíc dělat nebude

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie