Vlákno názorů k článku
Internetový uzel NIX.CZ se stal kritickou infrastrukturou státu od Pavel Tavoda - Takze teraz ked je to kriticka infrastruktura mozu...

Takze teraz ked je to kriticka infrastruktura mozu tam v sulade so zakonom namontovat 'odpocuvanie', ano?

Podla mna aj doteraz mohli...
Ale zaroven to znamena, ze zamestnanci NIXu budu mt narok na covid ockovanie mimo poradia, ci?

Hlavne aby udrzovali funkcny net a politici si mali cez co zarezervovat pobyty v zahranici pocas lockdownu...

Myslím, že na této úrovni je nějaké odposlouchávání vesměs zbytečné.

Divil by jste se. Ano, jsou i lepší místa, ale umím si představit, že na hledání různých anomálií to špatné není. Třeba různé botnety apod. by se tím daly možná docela snadno zaměřit - kdyby se někomu chtělo s tím mazat. Není běžné, že by klientské IP z rozsahu jednoho poskytovatele masově přistupovaly na klientské IP prakticky v každém rozsahu jiných poskytovatelů. Ještě méně běžné je, aby přistupovaly na TCP port 445 nebo tak něco (např. pro SMB -> EternalBlue/ WannaCry). Podobných věcí je docela dost a není těžké je filtrovat a odpovídajícím způsobem předat dál k analýze.

Bohužel většina switchů je ještě dostatečně hloupých, aby bylo v podstatě nemožné při takovém trafficu dělat nějaké slušné analýzy přímo v hardwaru a tedy bez několika hodně drahých, specializovaných zařízení. Ani by to asi nebylo tak super těžké implementovat, v podstatě se "jen" odlévají data, která v určitých registrech jsou. Ty čipy většinou všechen nutný hardware již obsahují - ono 1,5 Tbps je na úrovni spíš už těch tlustých čipů, které mají více možností pro takové analýzy, než těch super rychlých čipů kde je propustnost více v popředí. Když dělám L2 switching, tak si odkládat nějakou tabulku četnosti přístupů v kvintuplu ip src, port src, proto, port dst, ip dst a např. jednou za 15 sekund ji někam vydumpovat není takový problém. netflow/ sflow jdou hodně tímto směrem, ale takovým z mého pohledu hloupým způsobem, který je při vysoké propustnosti a požadavku na určitou granularitu špatně použitelný. Užitečnější by bylo z mého pohledu opravdu dělat tyto histogramy. Něco tím směrem jsem nastínil minulý rok na InstallFestu pomocí iptables tak napůl resp. celkem slušně pomocí nftables. Ani jedno není nějaké optimalizované řešení s BPF+XDP apod. kde by to šlo jistě udělat efektivněji, ale je podle mě na nějaké základní analýzy dostatečně dobré a je dostupné prakticky všude, včetně RHEL 7/ CentOS 7 apod. o čemž jsem mluvil zase na LinuxDays. Obě přednášky jsou na YouTube ke shlédnutí, "fólie" jsou dostupné jako OrgPage i bez loginu zde:
https://www.youtube.com/watch?v=4hG_1hiS4fk resp. https://www.orgpad.com/o/DZjZmALSxPdIMRcr75Gga2 a https://www.youtube.com/watch?v=2xd5QceFufw resp.
https://www.orgpad.com/o/DUwJygWb1N9YV7v21pjXhW u obojího jsou i připravené cesty (prezentace), které je možné zapnout vpravo nahoře nebo klávesou F5. Ovládání je při prezentaci jinak podobné PowerPointu tj. šipky, mezerník, ESC všechno funguje.

9. 1. 2021, 19:16 editováno autorem komentáře

Takže jestli jsem to pochopil.. ty navrhuješ zaměřit se na analýzu co tam nejvíce běhá.. Jistě to nebude levná záležitost.. ve finále skončíš s tím, že o tom víš, že je hojně rozšířeno (třeba ten eternal jak si zmíňil) a tímto tak asi skončí..
vyhozené peníze k ničemu.

Nevím, jak levné nebo drahé to je. Nepsal jsem, že bych analyzoval, co tam nejvíce běhá, ale že bych analyzoval různá chování a dokonce jsem psal hodně konkrétně, jaké technické řešení je z mého pohledu schůdné. To je docela rozdíl.

Jak jsem psal. Současné čipy prakticky celou funkcionalitu, kterou můžu dohlédnout, již mají a v případě NIXu se jí hodně nevyužívá, protože jde podle všeho o L2 switching. Pokud jsou ty switche skutečně programovatelné, tak by možná šlo tuto funkcionalitu přidat i "uživatelsky". Jinak je samozřejmě otázka, jestli by pro něco takového nešel vytvořit (nebo adaptovat) nějaký framework.

Jak jsem psal. Lze toho dělat víc, než si můžeme představit a lze (automaticky) upozorňovat na výrazné anomálie. V podstatě je to podobný (značně oslabený) přístup, jako podle kusých informací používá NSA, tak to asi tak špatné z hlediska obsažené informace nebude ať už si o takovém počínání myslíte cokoliv. Ta metadata tam prostě jsou. Dokonce i nárůst komunikace např. s Torem apod. je takto zjistitelný. Je zjistitelné, že nějaká firma nasadila pravidelný backup do cloudu nebo to je třeba exfiltrace dat. Kdo ví, ale je to určitá informace navíc a po zkušenostech, co jsem nabral, bych ani na takové drobnosti neplival. Bezpečnost je o tom, mít různé slupky a mít jich dostatečné množství. Pravděpodobnost, že některá poskytne klíčovou informaci je potom docela slušná. Já podobným způsobem třeba zjišťoval, že je něco v provozu, co jsem myslel, že v provozu není a už vůbec, že komunikuje např. s jinou pobočkou. Udělat něco takového nad histogramem, nebo vygenerovat z dat graf, kde různé anomálie jsou často vidět na první pohled i v milionech nodů, není opravdu na dlouho.

Není ani na Vás, ani na mě hodnotit, jestli by to skutečně šlo. Udělat třeba projekt na nějaký prototyp a zhodnotit, jestli se to bude vyvíjet dál a na jaké bázi si musí rozhodnout NIX a členové. Třeba by se rozhodli vystavovat souhrny jako open data apod. Umím si představit, že by vznikl třeba portál na způsob Shodan, který by registrovaným ISP a dalším členům řekl, které z jejich IP se chovají divně a proč. Pro připojené nemocnice, které jistě mají známý rozsah IP, by třeba už jen nečekaný nárůst toku dat v hodinu, kdy to není běžné mohl varovat, že něco není ok. Byl by to další dílek do bezpečnostní skládanky, kde se většina lidí i právě v institucích jako jsou nemocnice chytá stébla.

9. 1. 2021, 22:15 editováno autorem komentáře

Komentář, na který jsem reagoval, podle mě nebyl úplně myšlen takto vědecky, ale spíš měl autor na mysli nějaké pochybné konspirační teorie. Chtěl jsem tedy jen napsat, že na této úrovni, si toho při dnešním masivním šifrování, stát už moc neodposlouchá. Může teoreticky trackovat, že došlo ke komunikaci mezi dvěma body a možná z toho i něco vytěží. Získat obsah zprávy je ale na úrovni NIXu z říše snů.

@by_cx Částečně ano. Já ale taky nepsal nic o obsahu zprávy, jen o metadatech. Jsem si taky dobře vědom, že v takovém provozu sbírat nějaké konkrétní komunikace by nebylo zase až tak jednoduché a jsou na to lepší místa (třeba spear phishing je docela účinný).

K tomu částečně ano, bohužel byste se divil, kolik komunikace ještě není pořádně zabezpečené. Někdy se posílají třeba emaily zcela v plaintextu, různé jiné protokoly typu FTP se stále používají až moc. Když víte, která IP nebo aspoň nějaký menší subnet se na komunikaci bude podílet, tak přesměrovat si odpovídající provoz někam bokem umí prakticky každý switch pomocí funkcí jako mirror port apod. některé lepší umí přeposílat pakety i po TCP nebo snad dokonce v SSH spojení někam dál. To všechno předpokládá ale určitou kooperaci ze strany administrátorů/ provozovatele sítě, hack firmware (viz níže hack SolarWinds a další supply chain útoky) nebo tak něco.

@J ouda Cisco Talos jsou mi známí a nějaký produkt přímo v tomhle odvětví jsem možná i letmo viděl, ale jinak mám zkušenosti s Ciskem spíše na té rutinní, praktické úrovni. Taky už jsem si dost užil se specialitami a na hlavu padlými implementacemi právě této firmy, která snad kdysi byla pionýrem a proto (poměrně často) se někde vydali cestou poněkud bahnitou a potom zůstali povětšinou na ní.

Btw. Cisco je taky na seznamu hacknutých v kauze SolarWinds (https://www.businessinsider.com/list-of-companies-agencies-at-risk-after-solarwinds-hack-2020-12). Určitě ale nejsou jediný výrobce síťových prvků, který něco takového nasazuje. Na druhou stranu Talos asi umí aspoň trochu s tímto problémem pomoct: https://blog.talosintelligence.com/2020/12/solarwinds-supplychain-coverage.html Obecně v takto velkých firmách máte holt ostrůvky kompetentnějších odborníků (podle nějakých empirických odhadů to bývá asi odmocnina z počtu zaměstnanců, která vytváří 50% užitku) a ten zbytek se veze nebo v lepším případě připravuje půdu těm pár vyvoleným, aby mohli efektivně pracovat. To už jsem ale hodně odbočil.

Abych to nějak uzavřel a dostal se k práci :-)
Bohužel mě za posledních ca. 10 let v IT a společnosti/ politice už nepřekvapuje vůbec nic. Byli a jsme svědky kompromitace a korupce na všech úrovních od nejhlubších částí hardwaru a softwaru (Intel Management Engine/ různé firmwary, Meltdown, Spectre, Rowhammer apod.), přes mocensko-politické problémy (Snowden, Assange, neprávem držení vězni na základě chyb i v IT systémech, hacking politických stran) až po masové vydírání přes kombinaci Ransomware + platby v kryptoměnách nebo na základě ukradených dat viz HIBP (kde, podle Pera Torsheima, si někteří kvůli tomu nakonec vzali život) a taky třeba vraždy, sebevraždy a další politováníhodné činy na základě dohadů ze sociálních sítí. Završují to jako vždy naivita, nekompetence, ignorantství, chamtivost a lidská blbost. Nějaké případně možné analýzy dat v NIXu, ať už s dobrým nebo poněkud více šedivým úmyslem asi tento stav nezmění. Mocné technologie nám dávají do rukou zodpovědnost a je na nás, jak s tím naložíme. Všem ještě hezkou neděli.

A to sa ti zda malo, dozvediet sa kto s kym komunikuje? Ostatne uz predsa doda prevadzkovatel sluzby.