Onze hoogtepunten in 2017

In deze eindejaarsblog blik ik terug op de hoogtepunten van het werk van SIDN Labs in 2017. We lieten zien dat we met ons DNS-onderzoek met de wereldtop meekunnen en dat ons werk op dit gebied tegelijkertijd operationele waarde heeft voor SIDN en daarbuiten. Daarnaast zetten we succesvol onze nieuwe onderzoekslijn over IoT-security op.

Onderzoek naar domeinnaammisbruik in gTLDs

Net na de zomer rondden we samen met collega’s van de TU Delft het project “Statistical Analysis of DNS Abuse in gTLDs” (SADAG) af, de eerste omvattende studie op het gebied van domeinnaammisbruik (spam, malware en phishing) in generieke topleveldomeinen (gTLDs) die we uitvoerden in opdracht van ICANN.

Hoofdonderzoekers Maarten Wullink van SIDN Labs en dr. Maciej Korczynski van de TU Delft (die nu bij Grenoble Alps University werkt) richtten zich op de periode vanaf oktober 2013 toen de eerste nieuwe gTLD’s beschikbaar kwamen tot oktober 2016. Ze lieten bijvoorbeeld zien dat spammisbruik verschuift van bestaande gTLD’s (zoals .com en .net) naar de nieuwe gTLD’s, terwijl de totale hoeveelheid spam ongeveer gelijk blijft. Ook blijkt de verdeling van abuse over nieuwe gTLD’s ongelijkmatig: voor een derde van de ruim 1.200 nieuwe gTLD’s bleken helemaal geen abusemeldingen voor te komen, maar er waren ook 15 new gTLD’s waarvan minimaal 10% van alle domeinnamen misbruikt werd.

Maarten en Maciej analyseerden samen met de andere SADAG-teamleden grote hoeveelheden historisch data die betrekking hadden op de onderzoeksperiode (2013-2016), waaronder dagelijkse zonefiles, WHOIS-gegevens, en 11 blacklists. Ook zetten ze onze DNS-EMAP-tool in (zie verderop), bijvoorbeeld om te meten of een domeinnaam ‘parked’ is.

Het Competition, Consumer Trust and Consumer Choice Review Team van ICANN gebruikt de SADAG-resultaten om het New gTLD Program te evalueren en om aanbevelingen te doen om misbruik van domeinnamen te verminderen, bijvoorbeeld voor een eventuele volgende ronde van nieuwe gTLD’s (de ‘subsequent procedures’ in ICANN-lingo).

Het SADAG-eindrapport hebben we in verkorte vorm ingediend als artikel voor een wetenschappelijke conferentie (momenteel onder review). Als het daar wordt toegelaten voor publicatie leveren we zowel een bijdrage aan de operationele security van het DNS als aan de wetenschap. Daarnaast presenteerden we de SADAG-resultaten bijvoorbeeld in vorm van een aantal webinars voor de ICANN-community en op de M3AAWG conferentie.

De feedback die we hebben ontvangen van ICANN en de ICANN-community over het SADAG-onderzoek was erg positief en we hebben het project dan ook succesvol afgesloten.

Bescherming tegen onveilige IoT-apparaten

Begin 2017 startten we met de ontwikkeling van SPIN (“Security and Privacy for In-home Networks”), een systeem dat het internet en eindgebruikers beschermt tegen onveilige IoT-apparaten in thuisnetwerken. SPIN-achtige systemen zien wij als cruciaal om de potentie van het IoT op een duurzame manier te ontsluiten en om het vertrouwen in het internet als mondiaal communicatiemedium te behouden.

SPIN beschermt het internet door IoT-apparaten in thuisnetwerken automatisch te blokkeren als ze afwijkend verkeer versturen of ontvangen. Dit voorkomt dat ze meedoen in DDoS-aanvallen op de kern van het internet, bijvoorbeeld aanvallen gericht op TLD-operators zoals SIDN. De voornaamste aanleiding voor dit idee was de DDoS-aanval op DNS-operator Dyn van oktober 2016, die wordt geschat op een recordomvang van 1.2 Tbps. De aanval vond plaats vanaf ongeveer 100.000 IoT-apparaten die waren geïnfecteerd met het Mirai-botnet en leidde ertoe dat een groot aantal bekende sites zoals Github en Spotify onbereikbaar raakten.

Ook eindgebruikers worden beschermd door SPIN. SPIN biedt ze namelijk meer grip op wat IoT-apparaten in hun thuisnetwerk doen, bijvoorbeeld met welke diensten op internet ze verbinding maken. Onze motivatie hiervoor was dat onveilige IoT-apparaten een flinke impact kunnen hebben op het leven van eindgebruikers, bijvoorbeeld als een babyfoon wordt gehackt. We verwachten dat die impact alleen maar groter gaat worden, omdat IoT-apparaten steeds onzichtbaarder in onze fysieke omgeving integreren waardoor beveiligingslekken zelfs zouden kunnen leiden tot fysieke schade of een onveilige thuisomgeving.

In maart maakte Jelte Jansen, lead engineer van SPIN, de eerste versie van de broncode van onze SPIN-software beschikbaar. Het draait op het besturingssysteem OpenWRT (en is ook geschikt voor andere Linux-varianten), dat veel wordt gebruikt op kleinere apparaten zoals mini-routers (wij gebruikten de GL.iNet mini-router voor ons SPIN-prototype). De SPIN-software staat op GitHUB en updates publiceren we daar nu volautomatisch vanuit onze ontwikkelomgeving.

In de zomer schreven we een tech report, waarin we de ontwerpdoelen en de eerste versie van de systeemarchitectuur toelichtten. We presenteerden ons werk op verschillende conferenties zoals het de ONE Conference, IETF99, Holland Strikes Back (met demosessie) en het ECP jaarcongres en ontvingen daar veel positieve feedback.

In 2018 gaan we SPIN-architectuur aanpassen zodat het flexibeler inzetbaar wordt (blog hierover volgt begin januari), geven we een vak over SPIN-achtige systemen op de Universiteit Twente en gaan we in de IETF aan de slag met het standaardiseren van eventuele nieuwe protocollen die SPIN-achtige-systemen nodig hebben. Ook willen we een pilot uitvoeren op bijvoorbeeld een universiteitscampus, waarvoor we nog op zoek zijn naar partners.

Nieuwe meettool on the block

Begin 2017 startten we naast SPIN ook met de DNS-EMAP (DNS Ecosystem MAPper), een nieuwe tool die automatisch alle domeinnamen in een zone bezoekt en doormeet, bijvoorbeeld om te bepalen of ze beveiligingscertificaten gebruiken, bereikbaar zijn via IPv6 of gebruik maken van emailbeveiliging. DNS-EMAP-lead Maarten Wullink heeft het systeem zo ontworpen dat het een minimale impact heeft op de servers waarop de domeinen draaien.

DNS-EMAP is uniek, omdat het ons de mogelijkheid biedt via één tool het DNS-ecosysteem achter een zonefile te meten en te ‘mappen’ (opslaan en doorzoekbaar maken), waardoor we gemakkelijker grootschalige internetmetingen kunnen verrichten en we geen tijd meer hoeven te besteden aan het combineren van verschillende ‘single-purpose’ tools (zoals ZMap en bijbehorende sub-tools). DNS-EMAP is een aanvulling op de bestaande onderzoekstools die we gebruiken: ENTRADA (passieve DNS-metingen), OpenINTEL (actieve DNS-metingen) en meetsystemen van anderen zoals RIPE ATLAS (probing vanuit ISP-netwerken).

In 2017 gebruikten we DNS-EMAP bijvoorbeeld voor het onderzoek in SADAG (zie hierboven), voor SIDN’s incentiveregeling (Registrar Scorecard) om de IPv6-bereikbaarheid van alle 5,8 miljoen .nl-domeinnamen te meten en om onze supportcollega’s te helpen bij het opsporen van nepwebwinkels.

In 2018 gaan we DNS-EMAP (en onze andere data-analyse-tools) bijvoorbeeld inzetten om nog beter misbruik in de .nl-zone op te sporen. Ook gaan we een pilot opzetten met een andere ccTLD-registry om te verkennen of het uitwisselen van informatie over domeinnaammisbruik (vanzelfsprekend conform ons privacyraamwerk) meerwaarde heeft.

Om andere onderzoekers te helpen willen we de DNS-EMAP-software onder een universiteitslicentie beschikbaar stellen en mogelijk helemaal opensourcen.

Resolver-onderzoek voor wetenschap en operations

In 2017 wisten we ook voor het 2e jaar op rij een artikel geaccepteerd te krijgen bij de Internet Measurement Conference (IMC), een prestigieuze conferentie voor onderzoekers uit de wetenschap en industrie die dit jaar in Londen plaatvond.

Moritz Müller en Giovane Moura lieten in het artikel zien hoe DNS-resolvers in het veld authoritative nameservers selecteren, onder andere op basis van metingen met RIPE ATLAS. Hun belangrijkste conclusie is dat resolvers alle nameservers van een Top-level Domain (TLD) zoals .nl bezoeken. Hierdoor bepalen unicast nameservers uiteindelijk de maximale roundtriptijd voor clients die zich ver van de authoratives bevinden (bijvoorbeeld clients die vanuit de VS .nl bevragen), ook als zich dichtbij de client anycast nodes van de TLD bevinden.

Het onderzoek hebben we uitgevoerd samen met onderzoekers van de University of Southern California en de Universiteit Twente en met ondersteuning van onze collega’s van het DNS-operations team bij SIDN. Die laatsten besloten op basis van de resultaten van het onderzoek om de unicast nodes voor .nl uit te faseren en volledig over te gaan op anycast.

In 2018 gaan we op zoek naar meer van dit soort ‘sweet spots’, bijvoorbeeld in de vorm van een tool die DNS-site-engineers helpt bij het plaatsen van DNS anycast nodes en onderzoek naar hoe resolvers ‘in the wild’ omgaan met caching. Daarbij mikken we op een IMC-hattrick en weer op blije operations-collega’s :-)

En er is meer!

Vanzelfsprekend was dit slechts een deel van het werk dat we in 2017 verzetten. Voor onze overige resultaten verwijs ik graag naar onze blogs, publicaties, en onze twitterfeed.

Rest mij iedereen namens het hele SIDN Labs-team een mooi uiteinde van 2017 te wensen en veel geluk voor 2018!

Het SIDN Labs-team,

Maarten, Giovane, Elmer, Moritz, Marco, Jelte en Cristian

Reacties

Cristian_Hesselman

Cristian Hesselman

Directeur SIDN Labs

+31 6 25 07 87 33

cristian.hesselman@sidn.nl

  • donderdag 21 februari 2019

    Nieuws

    Denk mee over het internet, internetgebruik, veiligheid, privacy en domeinnamen

    SIDN-panel-dame-thumbnail

    Meld je aan voor het SIDN Panel!

    Lees meer
  • maandag 30 oktober 2017

    Nieuws

    Al 900 Rotterdamse basisschoolleerlingen leerden programmeren

    Thumb-kids-programmeren

    Leren om gestructureerd te denken

    Lees meer
  • maandag 17 juli 2017

    Weblog

    Uhm… afsprakenstelsel? Leg even uit, alsjeblieft.

    Download-whitepaper

    Download het whitepaper over trust frameworks

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.