SIDN Labs Jaaroverzicht 2016

Als researchteam zijn we bij SIDN Labs vooral van het vooruitkijken, maar bij een jaarwisseling is het natuurlijk ook gebruikelijk om even achterom te kijken. Maar daarna blik ik direct vooruit naar 2017. :-)

Succesvol jaar!

Ik vind 2016 een bijzonder succesvol jaar voor het Labs-team, omdat we de toegevoegde waarde en relevantie van ons werk voor de (technische) internetgemeenschap en voor SIDN duidelijk verder hebben bekrachtigd.

Dat deden we natuurlijk op basis van concrete resultaten. Mijn favorieten: open sourcen van onze ENTRADA-software, 2 pilots op het gebied van collaborative security, 2 onderzoeksopdrachten voor ICANN, vrijgeven van onze Valibox-software en 2 publicaties op internationaal topniveau.

ENTRADA open source

In januari gaven we de software vrij van ENTRADA, ons ‘big data’-systeem om snel en eenvoudig bedreigingen en afwijkingen te vinden in grote hoeveelheden DNS-verkeer. We gebruikten het systeem al op verschillende manieren voor .nl en besloten het open source te maken om ook een bijdrage te leveren aan de veiligheid en stabiliteit van het DNS als een van de kernsystemen van de mondiale internetinfrastructuur. Inmiddels zijn er 6 collega-registries, zoals .ca (Canada) en .at (Oostenrijk), die ENTRADA (experimenteel) inzetten en dragen gebruikers actief bij aan het verder ontwikkelen van de ENTRADA-software. Ook gaven we een workshop van een halve dag over ENTRADA op de laatste CENTR R&D-meeting in Praag.

Zelf breidden we het gebruik van ENTRADA dit jaar flink uit, bijvoorbeeld voor verschillende pilots op het gebied van ‘collaborative security’ (zie verderop), om empirisch de effecten van de nieuwe TTL-waarden voor .nl (een uur in plaats van 2 uur) te analyseren en om onze statistiekensite te verrijken. Ook verhoogden we de capaciteit van het Hadoop-cluster waar ENTRADA gebruik van maakt en sloten we er nog 3 .nl-nameservers op aan. Hiermee ontvangt onze ENTRADA-setup DNS-verkeer van 4 van de totaal 6 unicast nameservers voor .nl en slaan we inmiddels 320 miljard DNS-queries en antwoorden op teruggaand tot mei 2014 (met alle data van 18 maanden of ouder geanonimiseerd conform ons privacyraamwerk).

Collaborative security pilots

In 2016 maakten we flinke stappen op het gebied van ‘collaborative security’ door 2 pilots.

De eerste was die met het New Domains Early Warning System (nDEWS), een experimentele ENTRADA-toepassing die automatisch een waarschuwing verstuurt als het DNS-verkeer van een nieuwe domeinnaam een phishing-achtig patroon vertoont in de eerste uren na registratie. nDEWS bedient op dit moment 32 registrars. Ook gebruiken onze collega’s van Registratie & Service het systeem om registrars te helpen die nog niet in de pilot deelnemen. Sinds oktober heeft nDEWS volledig automatisch tientallen phishingsites gevonden die niet voorkwamen in de externe abusefeeds die we gebruiken.

Een tweede pilot startten we met de Fraudehelpdesk om te onderzoeken in hoeverre we elkaars data zouden kunnen combineren om phishingsites beter aan te pakken. In de pilot ontvingen we van Fraudehelpdesk .nl-domeinnamen die eindgebruikers als potentieel verdacht hadden gemeld, waarna wij automatisch onze informatie over die domeinnaam terugstuurden, bijvoorbeeld over het aantal DNS-queries in ENTRADA voor die domeinnaam in de afgelopen 7 dagen en de registratiedatum. Deze uitwisseling brachten we tot stand door een technische koppeling tussen ENTRADA en met het meldingssysteem van de Fraudehelpdesk (APATE).

Hoewel de pilot pas enkele weken loopt zijn de resultaten tot nu toe veelbelovend, want Fraudehelpdesk heeft op basis van onze data al tientallen nieuwe phishingsites gevonden. De volgende stap is verrijkte data in de processen van de Fraudehelpdesk te integreren en de koppeling tussen ENTRADA en APATE bi-directioneel te maken.

Onderzoeksopdrachten voor ICANN

Begin november publiceerden we samen met collega’s van NLnet Labs en TNO een technisch rapport met de resultaten van het project CDAR (Continuous Data-driven Analysis of Root Stability). We onderzochten hierin de effecten van de introductie van meer dan 1.100 nieuwe gTLDs op de security en stabiliteit van het root DNS systeem. Hiervoor gebruikten we grote hoeveelheden historische data uit verschillende bronnen, zoals RIPE ATLAS (actieve metingen) en RSSAC002 (passieve metingen).

Onze voornaamste conclusie was dat het root DNS systeem de extra hoeveelheid DNS-verkeer als gevolg van de nieuwe gTLDs aankan. Dit omdat het root DNS systeem flexibel en resilient is en omdat de hoeveelheid DNS-verzoeken voor nieuwe extensies nog zeer beperkt is (1,1% van het de totale hoeveelheid legitiem DNS-verkeer dat de root verwerkt).

In november selecteerdeICANN ons samen met de TU Delft ook voor een nieuwe studie, dit keer om een statistische analyse te maken van het misbruik van domeinnamen in nieuwe en bestaande gTLDs. Denk daarbij bijvoorbeeld aan het aantal domeinnamen in een gTLD die worden misbruikt voor phishing of malware. Het project heeft de welluidende naam SADAG, wat staat voor Statistical Analysis of DNS Abuse in gTLDs. Met TU Delft draaien we al sinds 2014 het project REMEDI3S-TLD, dat een grote overlap heeft met SADAG en waarvan we de methodologie gaan hergebruiken.

Zowel CDAR als SADAG zijn projecten die ICANN betaalt en die we met onze partners hebben gewonnen na een openbare aanbesteding vanuit ICANN. De projecten leveren input aan de evaluatie van het New gTLD Program op de gebieden Competition, Consumer Trust and Consumer Choice.

Valibox open source

Onze tweede open source release dit jaar was die van de valibox-software. Deze tool maakt van een OpenWRT-device een “validating box” (valibox), een apparaat dat de DNSSEC-handtekening van een domeinnaam controleert. Wij gebruikten de GLiNet mini-router als valibox en richtten het zo in dat gebruikers eenvoudig en snel DNSSEC-validatie op hun thuisnetwerk in gebruik kunnen nemen. De valibox-software is een uitbreiding van de Unbound-resolver van NLnet Labs, waar we zelf een gebruikersvriendelijke vorm van Negative Trust Anchor (NTA) management aan toevoegden.

We bedachten het concept van een valibox omdat Internet Access Providers in Nederland nog niet of nauwelijks DNSSEC-handtekeningen valideren, waardoor het de internetinfrastructuur op dit moment onveiliger is dan nodig. Met een valibox als de GLiNet stellen we gebruikers in staat zelf het heft in handen te nemen en helpen we apparatenbouwers DNSSEC-validatie aan hun software toe te voegen.

2 toppublicaties

We publiceerden dit jaar 2 van onze artikelen op internationaal topniveau.

De eerste was “Anycast vs. DDoS: Evaluating the November 2015 Root DNS Event”, over een uitgebreide empirische analyse van de grootschalige DDoS-aanvallen op de DNS root van november/december 2015. We dienden het artikel in voor de prestigieuze ACM Internet Measurements Conference (IMC2016), waar we na een grondige review door anonieme experts uit de industrie en wetenschap werden toegelaten. We voerden het onderzoek uit samen met de Universiteit Twente en het Information Sciences Institute van de University of Southern California.

Vanuit operationeel perspectief leerden we uit dit onderzoek dat een aanval op de DNS root een ‘spillover’ kan hebben op name servers die in hetzelfde datacentrum staan. Deze informatie betrekken we nu ook in de selectiecriteria voor locaties van de anycast nameservers van .nl.

Het tweede artikel “Increasing DNS Security and Stability through a Control Plane for Top-level Domain Operators” bespreekt onze visie op de registry van de toekomst en hoe we bij SIDN realiseren. We dienden het artikel in voor het blad IEEE Communications Magazine, thema Network and Service Management. Het blad publiceert ‘tutorial-style’ artikelen op basis van onderzoek van universiteiten en bedrijven, net als IMC na een grondige review door anonieme experts. Het artikel is een samenwerking met de Universiteit Twente en verschijnt in januari. De ‘post-print’ is nu al beschikbaar via onze site.

Tot slot publiceerden we nog een artikel in het blad Privacy & Informatie over onze operationele ervaringen met ons ENTRADA-privacyraamwerk en een artikel specifiek over ENTRADA.

2017

Volgend jaar zetten we in op:

  • Verder uitwerken van het concept van een TLD Control Plane uit ons IEEE ComMag-artikel.

  • Toepassen en verder uitbreiden van onze expertise op het gebied van data-analytics, bijvoorbeeld voor het SADAG-project.

  • Verder innoveren van SIDN’s operationele services en processen, bijvoorbeeld met nieuwe anti-abuse-intelligentie en een “ENTRADA-driven” marketing dashboard.

  • Verkennen van “IoT security en privacy” als mogelijk nieuw onderzoeksthema op basis van pilots met valibox-devices.

  • Onze resultaten weer publiek beschikbaar maken in de vorm van open source, open data, en papers.

Beste wensen voor 2017 allemaal!

Namens het hele SIDN Labs-team,

Cristian

Reacties

Cristian_Hesselman

Cristian Hesselman

Directeur SIDN Labs

+31 6 25 07 87 33

cristian.hesselman@sidn.nl

  • donderdag 6 september 2018

    Nieuws

    E-Commerce in China. Kans voor Nederlandse ondernemers?

    Thumb-China

    Nederland heeft in China een betrouwbare reputatie

    Lees meer
  • donderdag 6 september 2018

    Nieuws

    Hackman.nl: meer dan 600.000 Nederlanders bereikt

    Lieke-versus-Hackman-homepage

    Hackman.nl slaat aan

    Lees meer
  • dinsdag 30 oktober 2018

    Nieuws

    Uniek onderzoek geeft meer inzicht in DDoS-aanvallen

    Thumb-button-DDoS-attack

    Meer kennis kan samenwerking in de keten versterken

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.