Výstupy z projektu Turris: co prozradí tisíc sond?

Petr Krčmář 8. 12. 2014

Projekt Turris má dnes (nejen) v českém internetu zapojenou tisícovku sond, ze kterých je získáváno obrovské množství dat o síťovém provozu. Vznikají tak zajímavé bezpečnostní analýzy a například také veřejně dostupný seznam potenciálně nebezpečných IP adres. Co zajímavého už projekt přinesl?

Na podzimní konferenci Internet a Technologie 14.2 proběhl velký blok přednášek týkající se routeru Turris. Vývojáři, ale i uživatelé v něm představili výstupy, které už z projektu vyplynuly.

Jan Čermák: Zpracování dat z routerů Turris v kostce

Projekt Turris sbírá řadu zajímavých statistických dat z tisícovky českých sítí. Sbírají se tři typy dat: logy týkající se relevantních služeb a provozní informace o zdraví routeru, data z nástroje uCollect (anomálie, statistiky a flows) a záznamy z firewallu. Jsou to informace o zakázaném provozu nebo provoz na vybrané podezřelé IP adresy, na kterých sídlí třeba C&C servery různých botnetů, vysvětlil Čermák.

Globální statistiky jsou veřejně dostupné na www.turris.cz/cs/global-stats/.

Jednotlivé routery komunikují s veřejným API serverem a příjem dat je autentizován pomocí ATSHA čipu, ve kterém jsou uloženy šifrovací klíče. Zlomyslný uživatel tak nemůže podvrhnout falešná data a ovlivnit statistiky. Z API serveru data putují do databázového serveru, který je už neveřejný a data v něm vydrží 10 dní. Po zpracování pak anonymizované informace doputují na veřejný server se statistikami.


Autor: Igor Kytka

Na základě získávaných informací vzniká takzvaný greylist – seznam adres, které se snažily získat přístup nebo informace o službách, které jsou na routeru provozovány. Využíváme informace o tom, kdo a jak často přistupoval na jaký port. Rozlišují se přitom specifické vzorce chování, jako například to, zda je z některé adresy kontaktováno více routerů. Každý měsíc se více než 8000 adres snaží komunikovat nejméně s dvaceti routery Turris. Poté proběhne hodnocení podle zákeřnosti chování a případně jsou adresy přidány na greylist, který je možné získat i z veřejného webu.

Vývojáři ale chtějí z údajů získat ještě více a plánuji další metody analýzy firewallového logu. Takto můžeme sledovat například IP adresy, které nemají na první pohled nic společného. Detailní vzorec chování ale odhalí, že jde o stejného útočníka používajícího více adres, vysvětlil další plány Čermák.

Pavel Bašta: Zajímavé výstupy z projektu Turris

Na přednášku Jana Čermáka navázal Pavel Bašta, který je bezpečnostním analytikem CZ.NIC. Hovořil o tom, jak je možné globální data získaná ze sítě Turris využít ke sledování mnoha bezpečnostních anomálií. Je tak možné například sledovat klienty botnetů jako je Zeus, Reveton, SpyEye a podobně. Snažíme se aktivně komunikovat s klienty, u kterých vidíme, že jsou jejich počítače součástí botnetu, vysvětlil Bašta. Celkem 12 klientů už potvrdilo, že jejich antivirus objevil klienta botnetu, další čtyři uživatelé pak raději přeinstalovali počítač.

Zajímavostí je objevení klienta botnetu i mimo síť routerů Turris. Jeden z uživatelů ze sítě odesílal informace pro botnet, ale na základě upozornění zjistil, že komunikaci iniciuje jeho NAS server. Na něm ale běžel OpenVPN server, ke kterému se nedávno připojoval od kamaráda z Windows. Tento kamarád pak skutečně na svém počítači našel malware, který sestavené VPN spojení využil pro komunikaci s botnetem.

Samostatnou kapitolou byl útok na NAS servery společnosti Synology. Využit k tomu byl nový typ ransomware cryptolocker, který napadal síťová úložiště, zašifroval jejich soubory a po uživatelích požadoval výkupné v bitcoinech. K šíření byla zneužívána díra v aplikaci běžící na portech 5000 a 5001. Ve dnech, kdy probíhal útok, jsme zaznamenali zvýšenou aktivitu na těchto portech z několika IP adres.


Autor: Igor Kytka

Router Turris umožňuje odhalovat také manipulaci se síťovým provozem ze strany poskytovatelů připojení. Sondy sledují odpovědi na ping a certifikáty vybraných služeb a bankovních stránek, popsal činnost Bašta. Cílem je odhalit manipulaci s DNS nebo SSL certifikáty. Objevili jsme několik sítí, které pro známé poštovní servery vracely jiné certifikáty. Ukázalo se, že jde o přesměrování kvůli ochraně proti odesílání spamu.

Projekt také sleduje nebezpečné webové stránky, které jsou většinou využívány k šíření malware. Obvykle je napaden web a útočník vloží přes iframe odkaz na server, který pak do prohlížeče návštěvníka dodává malware. Tyto servery je pak možné najít, prozkoumat a případně přidat mezi blokované adresy. Průměrně je každý den objeveno 45 napadených domén, každý měsíc je takto získáno 60 nových nebezpečných adres.

Vývojáři mají dále v plánu rozšířit seznam sledovaných botnetů, získávat další zdroje informací o nebezpečných IP adresách, či porovnávat anomálie z Turrisu s ostatními zdroji dat. Rádi bychom také lépe spolupracovali s uživateli, kteří by nám chtěli pomoci identifikovat napadené weby, které slouží jako zdroje šíření malware, dodal Pavel Bašta.

TurriSoutěž aneb Ukažte, co umí jen váš Turris

V rámci projektu Turris bylo spuštěno také uživatelské fórum, na kterém se objevila řada nápadů na hardwarové a softwarové vylepšení routeru. Od začátku jsme svůj router koncipovali tak, aby byl otevřený a rozšiřitelný. Vyhlásili jsme proto soutěž, která umožní předvést, co všechno už uživatelé vymysleli, řekl na začátku bloku Bedřich Košata. Nakonec se přihlásili jen čtyři odvážní účastníci, tři z nich pak prezentovali svůj projekt na konferenci Internet a Technologie 14.2.

Jan Fíla předvedl několik různých využití routeru Turris: příjem televize přes DVB-S, ukládání pořadů na síťový disk a streamování videa uživatelům. Použil jsem různé přijímací karty, nakonec jsem ze čtyř rozchodil tři, takže základní multiplexy v síti přijímám. Dále byla zmíněna komunikace s chytrým elektroměrem, která umožňuje sledovat přesně příkon domu. Dokážu odečítat hodnoty rychleji než jednou za sekundu a teď třeba vím, že posekání naší zahrady stojí necelou pětikorunu. Klasikou je pak měření teploty na různých místech v domě. Tohle má snad na svém routeru každý turrista, uzavřel přednášku Fíla.


Autor: Igor Kytka

Druhým přednášejícím tvůrcem byl Jan Horáček, který Turris využil pro domácí automatizaci pomocí 1-Wire. Stačí k tomu jednoduchý a levný převodník z USB na UART. Rád bych předvedl, že k tomu nebudete potřebovat nic složitého. Horáček má k Turrisu připojena teplotní čidla, PIR čidla a krabičku s tlačítky. Je to univerzální řešení, ovládat se tím dá cokoliv a záleží na software, k čemu výstupy z tlačítek použije. Ve spojení s levnou zvukovou kartou do USB je možné tlačítky ovládat třeba přehrávač internetového rádia.


Autor: Igor Kytka

Posledním prezentujícím byl Ondřej Caletka, který předvedl Turrisem řízené hodiny. Klasické rádiem řízené hodiny jsou poměrně drahé, špatně se shání a často nefungují uvnitř budov. Proto Caletka upravil levné hodiny tak, aby byly řízené NTP klientem, který je automaticky nainstalován uvnitř Turrisu. Koupil jsem levné hodiny za 59 Kč a odstranil jsem z nich elektroniku, aby s novým ovládáním neinterferovala. Hodiny jsou pak připojeny ke GPIO rozhraní Turrise přes jednoduchý budič.


Autor: Igor Kytka

Ovládací software musí udržovat aktuální stav ručiček v paměti, zjišťuje systémový čas a posílá impulzy motorku v hodinkách. Hodiny pak umí řadu zajímavých věcí, jako je vypínání v noci nebo signalizace různých stavů routeru. Když vám třeba vypadne internet, poskočí hodiny každých pět sekund právě o pět sekund. Celý projekt byl zveřejněn na GitHubu.

Ohodnoťte jako ve škole:

Průměrná známka 1,47

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: 10 nej přípravků na holení

10 nej přípravků na holení

DigiZone.cz: UPC umí televizi sedm dní nazpět

UPC umí televizi sedm dní nazpět

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Podnikatel.cz: Podání k DPH jinak než online jsou neúčinná

Podání k DPH jinak než online jsou neúčinná

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou

Root.cz: DDoS útoky aneb když vám zahltí dráty

DDoS útoky aneb když vám zahltí dráty

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

Podnikatel.cz: Proměny stavebnice Seva. Znáte ji?

Proměny stavebnice Seva. Znáte ji?

Vitalia.cz: Muži kouří 24 cigaret denně, ženy o dost míň

Muži kouří 24 cigaret denně, ženy o dost míň

Podnikatel.cz: Heureka pod Rockaway? Tohle musí splnit

Heureka pod Rockaway? Tohle musí splnit

Vitalia.cz: Mražené ryby z Makra byly falšované

Mražené ryby z Makra byly falšované

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

Lupa.cz: Babiš: nevím o návodu, jak obejít blokování webů

Babiš: nevím o návodu, jak obejít blokování webů

Vitalia.cz: SÚKL: vakcíny jsou bezpečné a s autismem nesouvisí

SÚKL: vakcíny jsou bezpečné a s autismem nesouvisí

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

Lupa.cz: Schváleno: Rockaway může převzít Heureku

Schváleno: Rockaway může převzít Heureku