Na podzimní konferenci Internet a Technologie 14.2 proběhl velký blok přednášek týkající se routeru Turris. Vývojáři, ale i uživatelé v něm představili výstupy, které už z projektu vyplynuly.
Jan Čermák: Zpracování dat z routerů Turris v kostce
Projekt Turris sbírá řadu zajímavých statistických dat z tisícovky českých sítí. Sbírají se tři typy dat: logy týkající se relevantních služeb a provozní informace o zdraví routeru, data z nástroje uCollect (anomálie, statistiky a flows) a záznamy z firewallu. Jsou to informace o zakázaném provozu nebo provoz na vybrané podezřelé IP adresy, na kterých sídlí třeba C&C servery různých botnetů,
vysvětlil Čermák.
Globální statistiky jsou veřejně dostupné na www.turris.cz/cs/global-stats/.
Jednotlivé routery komunikují s veřejným API serverem a příjem dat je autentizován pomocí ATSHA čipu, ve kterém jsou uloženy šifrovací klíče. Zlomyslný uživatel tak nemůže podvrhnout falešná data a ovlivnit statistiky. Z API serveru data putují do databázového serveru, který je už neveřejný a data v něm vydrží 10 dní. Po zpracování pak anonymizované informace doputují na veřejný server se statistikami.
Na základě získávaných informací vzniká takzvaný greylist – seznam adres, které se snažily získat přístup nebo informace o službách, které jsou na routeru provozovány. Využíváme informace o tom, kdo a jak často přistupoval na jaký port.
Rozlišují se přitom specifické vzorce chování, jako například to, zda je z některé adresy kontaktováno více routerů. Každý měsíc se více než 8000 adres snaží komunikovat nejméně s dvaceti routery Turris.
Poté proběhne hodnocení podle zákeřnosti chování a případně jsou adresy přidány na greylist, který je možné získat i z veřejného webu.
Vývojáři ale chtějí z údajů získat ještě více a plánuji další metody analýzy firewallového logu. Takto můžeme sledovat například IP adresy, které nemají na první pohled nic společného. Detailní vzorec chování ale odhalí, že jde o stejného útočníka používajícího více adres,
vysvětlil další plány Čermák.
Pavel Bašta: Zajímavé výstupy z projektu Turris
Na přednášku Jana Čermáka navázal Pavel Bašta, který je bezpečnostním analytikem CZ.NIC. Hovořil o tom, jak je možné globální data získaná ze sítě Turris využít ke sledování mnoha bezpečnostních anomálií. Je tak možné například sledovat klienty botnetů jako je Zeus, Reveton, SpyEye a podobně. Snažíme se aktivně komunikovat s klienty, u kterých vidíme, že jsou jejich počítače součástí botnetu,
vysvětlil Bašta. Celkem 12 klientů už potvrdilo, že jejich antivirus objevil klienta botnetu, další čtyři uživatelé pak raději přeinstalovali počítač.
Zajímavostí je objevení klienta botnetu i mimo síť routerů Turris. Jeden z uživatelů ze sítě odesílal informace pro botnet, ale na základě upozornění zjistil, že komunikaci iniciuje jeho NAS server. Na něm ale běžel OpenVPN server, ke kterému se nedávno připojoval od kamaráda z Windows. Tento kamarád pak skutečně na svém počítači našel malware, který sestavené VPN spojení využil pro komunikaci s botnetem.
Samostatnou kapitolou byl útok na NAS servery společnosti Synology. Využit k tomu byl nový typ ransomware cryptolocker, který napadal síťová úložiště, zašifroval jejich soubory a po uživatelích požadoval výkupné v bitcoinech. K šíření byla zneužívána díra v aplikaci běžící na portech 5000 a 5001. Ve dnech, kdy probíhal útok, jsme zaznamenali zvýšenou aktivitu na těchto portech z několika IP adres.
Router Turris umožňuje odhalovat také manipulaci se síťovým provozem ze strany poskytovatelů připojení. Sondy sledují odpovědi na ping a certifikáty vybraných služeb a bankovních stránek,
popsal činnost Bašta. Cílem je odhalit manipulaci s DNS nebo SSL certifikáty. Objevili jsme několik sítí, které pro známé poštovní servery vracely jiné certifikáty. Ukázalo se, že jde o přesměrování kvůli ochraně proti odesílání spamu.
Projekt také sleduje nebezpečné webové stránky, které jsou většinou využívány k šíření malware. Obvykle je napaden web a útočník vloží přes iframe odkaz na server, který pak do prohlížeče návštěvníka dodává malware.
Tyto servery je pak možné najít, prozkoumat a případně přidat mezi blokované adresy. Průměrně je každý den objeveno 45 napadených domén, každý měsíc je takto získáno 60 nových nebezpečných adres.
Vývojáři mají dále v plánu rozšířit seznam sledovaných botnetů, získávat další zdroje informací o nebezpečných IP adresách, či porovnávat anomálie z Turrisu s ostatními zdroji dat. Rádi bychom také lépe spolupracovali s uživateli, kteří by nám chtěli pomoci identifikovat napadené weby, které slouží jako zdroje šíření malware,
dodal Pavel Bašta.
TurriSoutěž aneb Ukažte, co umí jen váš Turris
V rámci projektu Turris bylo spuštěno také uživatelské fórum, na kterém se objevila řada nápadů na hardwarové a softwarové vylepšení routeru. Od začátku jsme svůj router koncipovali tak, aby byl otevřený a rozšiřitelný. Vyhlásili jsme proto soutěž, která umožní předvést, co všechno už uživatelé vymysleli,
řekl na začátku bloku Bedřich Košata. Nakonec se přihlásili jen čtyři odvážní účastníci, tři z nich pak prezentovali svůj projekt na konferenci Internet a Technologie 14.2.
Jan Fíla předvedl několik různých využití routeru Turris: příjem televize přes DVB-S, ukládání pořadů na síťový disk a streamování videa uživatelům. Použil jsem různé přijímací karty, nakonec jsem ze čtyř rozchodil tři, takže základní multiplexy v síti přijímám.
Dále byla zmíněna komunikace s chytrým elektroměrem, která umožňuje sledovat přesně příkon domu. Dokážu odečítat hodnoty rychleji než jednou za sekundu a teď třeba vím, že posekání naší zahrady stojí necelou pětikorunu.
Klasikou je pak měření teploty na různých místech v domě. Tohle má snad na svém routeru každý turrista,
uzavřel přednášku Fíla.
Druhým přednášejícím tvůrcem byl Jan Horáček, který Turris využil pro domácí automatizaci pomocí 1-Wire. Stačí k tomu jednoduchý a levný převodník z USB na UART. Rád bych předvedl, že k tomu nebudete potřebovat nic složitého.
Horáček má k Turrisu připojena teplotní čidla, PIR čidla a krabičku s tlačítky. Je to univerzální řešení, ovládat se tím dá cokoliv a záleží na software, k čemu výstupy z tlačítek použije.
Ve spojení s levnou zvukovou kartou do USB je možné tlačítky ovládat třeba přehrávač internetového rádia.
Posledním prezentujícím byl Ondřej Caletka, který předvedl Turrisem řízené hodiny. Klasické rádiem řízené hodiny jsou poměrně drahé, špatně se shání a často nefungují uvnitř budov.
Proto Caletka upravil levné hodiny tak, aby byly řízené NTP klientem, který je automaticky nainstalován uvnitř Turrisu. Koupil jsem levné hodiny za 59 Kč a odstranil jsem z nich elektroniku, aby s novým ovládáním neinterferovala.
Hodiny jsou pak připojeny ke GPIO rozhraní Turrise přes jednoduchý budič.
Ovládací software musí udržovat aktuální stav ručiček v paměti, zjišťuje systémový čas a posílá impulzy motorku v hodinkách. Hodiny pak umí řadu zajímavých věcí, jako je vypínání v noci nebo signalizace různých stavů routeru. Když vám třeba vypadne internet, poskočí hodiny každých pět sekund právě o pět sekund.
Celý projekt byl zveřejněn na GitHubu.
