Hlavní navigace

Výstupy z projektu Turris: co prozradí tisíc sond?

Petr Krčmář 8. 12. 2014

Projekt Turris má dnes (nejen) v českém internetu zapojenou tisícovku sond, ze kterých je získáváno obrovské množství dat o síťovém provozu. Vznikají tak zajímavé bezpečnostní analýzy a například také veřejně dostupný seznam potenciálně nebezpečných IP adres. Co zajímavého už projekt přinesl?

Na podzimní konferenci Internet a Technologie 14.2 proběhl velký blok přednášek týkající se routeru Turris. Vývojáři, ale i uživatelé v něm představili výstupy, které už z projektu vyplynuly.

Jan Čermák: Zpracování dat z routerů Turris v kostce

Projekt Turris sbírá řadu zajímavých statistických dat z tisícovky českých sítí. Sbírají se tři typy dat: logy týkající se relevantních služeb a provozní informace o zdraví routeru, data z nástroje uCollect (anomálie, statistiky a flows) a záznamy z firewallu. Jsou to informace o zakázaném provozu nebo provoz na vybrané podezřelé IP adresy, na kterých sídlí třeba C&C servery různých botnetů, vysvětlil Čermák.

Globální statistiky jsou veřejně dostupné na www.turris.cz/cs/global-stats/.

Jednotlivé routery komunikují s veřejným API serverem a příjem dat je autentizován pomocí ATSHA čipu, ve kterém jsou uloženy šifrovací klíče. Zlomyslný uživatel tak nemůže podvrhnout falešná data a ovlivnit statistiky. Z API serveru data putují do databázového serveru, který je už neveřejný a data v něm vydrží 10 dní. Po zpracování pak anonymizované informace doputují na veřejný server se statistikami.


Autor: Igor Kytka

Na základě získávaných informací vzniká takzvaný greylist – seznam adres, které se snažily získat přístup nebo informace o službách, které jsou na routeru provozovány. Využíváme informace o tom, kdo a jak často přistupoval na jaký port. Rozlišují se přitom specifické vzorce chování, jako například to, zda je z některé adresy kontaktováno více routerů. Každý měsíc se více než 8000 adres snaží komunikovat nejméně s dvaceti routery Turris. Poté proběhne hodnocení podle zákeřnosti chování a případně jsou adresy přidány na greylist, který je možné získat i z veřejného webu.

Vývojáři ale chtějí z údajů získat ještě více a plánuji další metody analýzy firewallového logu. Takto můžeme sledovat například IP adresy, které nemají na první pohled nic společného. Detailní vzorec chování ale odhalí, že jde o stejného útočníka používajícího více adres, vysvětlil další plány Čermák.

Pavel Bašta: Zajímavé výstupy z projektu Turris

Na přednášku Jana Čermáka navázal Pavel Bašta, který je bezpečnostním analytikem CZ.NIC. Hovořil o tom, jak je možné globální data získaná ze sítě Turris využít ke sledování mnoha bezpečnostních anomálií. Je tak možné například sledovat klienty botnetů jako je Zeus, Reveton, SpyEye a podobně. Snažíme se aktivně komunikovat s klienty, u kterých vidíme, že jsou jejich počítače součástí botnetu, vysvětlil Bašta. Celkem 12 klientů už potvrdilo, že jejich antivirus objevil klienta botnetu, další čtyři uživatelé pak raději přeinstalovali počítač.

Zajímavostí je objevení klienta botnetu i mimo síť routerů Turris. Jeden z uživatelů ze sítě odesílal informace pro botnet, ale na základě upozornění zjistil, že komunikaci iniciuje jeho NAS server. Na něm ale běžel OpenVPN server, ke kterému se nedávno připojoval od kamaráda z Windows. Tento kamarád pak skutečně na svém počítači našel malware, který sestavené VPN spojení využil pro komunikaci s botnetem.

Samostatnou kapitolou byl útok na NAS servery společnosti Synology. Využit k tomu byl nový typ ransomware cryptolocker, který napadal síťová úložiště, zašifroval jejich soubory a po uživatelích požadoval výkupné v bitcoinech. K šíření byla zneužívána díra v aplikaci běžící na portech 5000 a 5001. Ve dnech, kdy probíhal útok, jsme zaznamenali zvýšenou aktivitu na těchto portech z několika IP adres.


Autor: Igor Kytka

Router Turris umožňuje odhalovat také manipulaci se síťovým provozem ze strany poskytovatelů připojení. Sondy sledují odpovědi na ping a certifikáty vybraných služeb a bankovních stránek, popsal činnost Bašta. Cílem je odhalit manipulaci s DNS nebo SSL certifikáty. Objevili jsme několik sítí, které pro známé poštovní servery vracely jiné certifikáty. Ukázalo se, že jde o přesměrování kvůli ochraně proti odesílání spamu.

Projekt také sleduje nebezpečné webové stránky, které jsou většinou využívány k šíření malware. Obvykle je napaden web a útočník vloží přes iframe odkaz na server, který pak do prohlížeče návštěvníka dodává malware. Tyto servery je pak možné najít, prozkoumat a případně přidat mezi blokované adresy. Průměrně je každý den objeveno 45 napadených domén, každý měsíc je takto získáno 60 nových nebezpečných adres.

Vývojáři mají dále v plánu rozšířit seznam sledovaných botnetů, získávat další zdroje informací o nebezpečných IP adresách, či porovnávat anomálie z Turrisu s ostatními zdroji dat. Rádi bychom také lépe spolupracovali s uživateli, kteří by nám chtěli pomoci identifikovat napadené weby, které slouží jako zdroje šíření malware, dodal Pavel Bašta.

TurriSoutěž aneb Ukažte, co umí jen váš Turris

V rámci projektu Turris bylo spuštěno také uživatelské fórum, na kterém se objevila řada nápadů na hardwarové a softwarové vylepšení routeru. Od začátku jsme svůj router koncipovali tak, aby byl otevřený a rozšiřitelný. Vyhlásili jsme proto soutěž, která umožní předvést, co všechno už uživatelé vymysleli, řekl na začátku bloku Bedřich Košata. Nakonec se přihlásili jen čtyři odvážní účastníci, tři z nich pak prezentovali svůj projekt na konferenci Internet a Technologie 14.2.

Jan Fíla předvedl několik různých využití routeru Turris: příjem televize přes DVB-S, ukládání pořadů na síťový disk a streamování videa uživatelům. Použil jsem různé přijímací karty, nakonec jsem ze čtyř rozchodil tři, takže základní multiplexy v síti přijímám. Dále byla zmíněna komunikace s chytrým elektroměrem, která umožňuje sledovat přesně příkon domu. Dokážu odečítat hodnoty rychleji než jednou za sekundu a teď třeba vím, že posekání naší zahrady stojí necelou pětikorunu. Klasikou je pak měření teploty na různých místech v domě. Tohle má snad na svém routeru každý turrista, uzavřel přednášku Fíla.


Autor: Igor Kytka

Druhým přednášejícím tvůrcem byl Jan Horáček, který Turris využil pro domácí automatizaci pomocí 1-Wire. Stačí k tomu jednoduchý a levný převodník z USB na UART. Rád bych předvedl, že k tomu nebudete potřebovat nic složitého. Horáček má k Turrisu připojena teplotní čidla, PIR čidla a krabičku s tlačítky. Je to univerzální řešení, ovládat se tím dá cokoliv a záleží na software, k čemu výstupy z tlačítek použije. Ve spojení s levnou zvukovou kartou do USB je možné tlačítky ovládat třeba přehrávač internetového rádia.


Autor: Igor Kytka

Posledním prezentujícím byl Ondřej Caletka, který předvedl Turrisem řízené hodiny. Klasické rádiem řízené hodiny jsou poměrně drahé, špatně se shání a často nefungují uvnitř budov. Proto Caletka upravil levné hodiny tak, aby byly řízené NTP klientem, který je automaticky nainstalován uvnitř Turrisu. Koupil jsem levné hodiny za 59 Kč a odstranil jsem z nich elektroniku, aby s novým ovládáním neinterferovala. Hodiny jsou pak připojeny ke GPIO rozhraní Turrise přes jednoduchý budič.


Autor: Igor Kytka

Ovládací software musí udržovat aktuální stav ručiček v paměti, zjišťuje systémový čas a posílá impulzy motorku v hodinkách. Hodiny pak umí řadu zajímavých věcí, jako je vypínání v noci nebo signalizace různých stavů routeru. Když vám třeba vypadne internet, poskočí hodiny každých pět sekund právě o pět sekund. Celý projekt byl zveřejněn na GitHubu.

Našli jste v článku chybu?

8. 12. 2014 8:43

To jistě ano, ale to vám zakazuje smlouva podepsaná s CZ.NIC. Tady jde spíš o cizí uživatele, kteří Turris nemají. Pokud by komunikace nebyla nijak zařízením podepisována, pak by nebylo možné zabránit komukoliv, aby přes API lil vlastní data dovnitř.

8. 12. 2014 12:14

Patrik (neregistrovaný)

Tak to sa máš. Ja som také šťastie nemal. Snáď sa to bude dať niekedy kúpiť :(

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí