n6: otwarta wymiana danych Paweł Pawliński SECURE 2013 XVII Konferencja na temat bezpieczeństwa teleinformatycznego 9 października 2013 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 1 / 34
Wprowadzenie n6 = Network Security Incident exchange platforma stworzona przez CERT Polska cel: wymiana informacji zwiazanych z bezpieczeństwem bezpłatny dostęp dla właścicieli polskich sieci Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 2 / 34
Plan prezentacji 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 3 / 34
Plan prezentacji Zagrożenia wewnatrz sieci 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 4 / 34
Sieć organizacji Zagrożenia wewnatrz sieci Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 5 / 34
Ataki z zewnatrz? Zagrożenia wewnatrz sieci Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 6 / 34
Zagrożenia wewnatrz sieci Czy kontrolujemy każda z usług? Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 7 / 34
Zagrożenia wewnatrz sieci Ile botów jest w sieci? Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 8 / 34
Zagrożenia wewnatrz sieci ISP: ten sam problem w innej skali Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 9 / 34
Zagrożenia wewnatrz sieci Wykrycie ataku lub infekcji Zastosowanie informacji z zewnatrz: reguły zapory sieciowej / IDS sygnatury AV konfiguracja WAF alarmy w systemach monitorujacych... Źródła: producenci rozwiazań społeczność nie tylko! Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 10 / 34
Plan prezentacji Źródła danych 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 11 / 34
Źródła danych Monitorowanie botnetów C&C Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 12 / 34
Źródła danych Monitorowanie botnetów informacje o ofiarach adresy C&C C&C rozkazy Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 13 / 34
Sinkhole Źródła danych sinkholed.domain.pl informacje o ofiarach Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 14 / 34
Honeypoty Źródła danych honeypot SSH RDP HTTP SMB informacje o atakach Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 15 / 34
Honeypoty klienckie Źródła danych złośliwy serwer WWW honeypot kliencki informacje o atakach Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 16 / 34
Źródła danych Inne metody spamtrap phishing darknet peer-to-peer crawling... Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 17 / 34
Źródła danych Skad otrzymujemy dane firmy komercyjne własne systemy organizacje non-profit źródła publiczne Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 18 / 34
Źródła danych Skad otrzymujemy dane firmy komercyjne własne systemy organizacje non-profit źródła publiczne Łacznie: ok. 20 organizacji, ponad 40 źródeł. Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 19 / 34
Plan prezentacji n6: pierwsza generacja 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 20 / 34
n6: pierwsza generacja n6: kluczowe cechy start projektu w 2011 jeden kanał do każdej automatycznej wymiany informacji zawsze zachowuje oryginalna postać danych wzbogacenie o informacje z DNS, BGP przetwarzanie asynchroniczne wymagana duża przepustowość Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 21 / 34
n6: pierwsza generacja n6: kluczowe cechy start projektu w 2011 jeden kanał do każdej automatycznej wymiany informacji zawsze zachowuje oryginalna postać danych wzbogacenie o informacje z DNS, BGP przetwarzanie asynchroniczne wymagana duża przepustowość w bieżacym roku > 12 mln dziennie Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 21 / 34
n6: pierwsza generacja 12 000 000 bots 190 000 openresolv 97 000 scanning 29 000 malurl 4 200 phishing 2 300 1 300 other cnc 470 06/2012 09/2012 12/2012 03/2013 06/2013 09/2013 spam Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 22 / 34
n6: pierwsza generacja Źródła należace do CERT Polska Sinkhole System wczesnego ostrzegania: ARAKIS Monitorowanie botnetów Analiza malware Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 23 / 34
n6: pierwsza generacja Zewnętrzne źródła danych Rodzaj danych Polska Świat Złośliwe strony WWW Kontrolery botnetów Zainfekowane maszyny - Phishing Otwarte proxy - Otwarte serwery DNS - Konfiguracje trojanów Skanowanie usług Spamerzy - brak danych obecne w n6 dużo danych Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 24 / 34
Obecny interfejs n6: pierwsza generacja Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 25 / 34
n6: pierwsza generacja Wiele formatów plików DOMAIN IPs ASNs alotibi.panadool400.com 141.138.203.138 35470 anowona.cn 205.164.24.45,216.172.154.35,50.117.116.205,50.117.122.90 18779,18779,18779,18779 arta.romail3arnest.info 173.230.133.99 3595 asp.spinchats.com 74.122.123.234 46785 bambambam.info 31.170.179.179 35236 bff.7oorq8.com 64.124.180.220 6461 bff4.7oorq8.com 208.185.82.133 6461 bunker.org.ua 23.22.33.59 16509 computo164.laweb.es 187.214.120.147 ff.converter50.com 175.6.1.159 4134 hcuewgbbnfdu1ew.com 80.83.124.187 29141 hcuewgbbnfs1uew.com 176.31.117.59 16276 internet.estr.es 189.135.116.163 8151 kubusse.ru 31.170.179.179 35236 legionarios.servecounterstrike.com 76.74.255.138 13768 "time (UTC)","ip","asn","cc","target","fqdn","url" "2013-10-06 20:09:19","81.177.174.13","8342","RU","Other","fexinfos.1gb.ru","http://fexinfos.1gb "2013-10-06 20:08:56","81.177.174.13","8342","RU","Other","fexinfos.1gb.ru","http://fexinfos.1gb "2013-10-06 19:34:22","184.173.225.223","36351","US","Other","184.173.225.223-static.reverse.sof "2013-10-06 19:33:12","69.58.188.39,69.58.188.40","30060,30060","US,US","Other","bit.ly","http:/ "2013-10-06 19:35:21","184.173.225.223","36351","US","Other","184.173.225.223-static.reverse.sof "2013-10-06 18:19:50","94.60.32.243","35818","RO","Apple","apple.com-infomartion-account-update- "2013-10-06 18:58:08","67.212.64.226","10929","CA","Other","www.mauleaircanada.ca","http://www.m Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 26 / 34
n6: pierwsza generacja Organizacje korzystajace z n6 160 140 120 100 registered 80 60 15 10 automated 5 05/2012 08/2012 11/2012 02/2013 05/2013 08/2013 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 27 / 34
Plan prezentacji n6: druga generacja 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 28 / 34
n6: druga generacja n6: zmiany w nowej wersji przebudowanie systemu od podstaw normalizacja danych przetwarzanie zdarzeniowe pełne API REST eksport danych w wielu formatach: JSON, CSV, IODEF proste łatwa integracja API strumieniowe portal (interfejs graficzny) Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 29 / 34
n6: druga generacja n6: zmiany w nowej wersji przebudowanie systemu od podstaw normalizacja danych przetwarzanie zdarzeniowe pełne API REST eksport danych w wielu formatach: JSON, CSV, IODEF proste łatwa integracja API strumieniowe portal (interfejs graficzny) Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 29 / 34
Portal n6: druga generacja... Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 30 / 34
Plan prezentacji Przyszłość n6 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 31 / 34
Przyszłość n6 Plany na przyszłość produkcyjne uruchomienie nowej wersji: Q1 2014 integracja kolejnych źródeł zewnętrznych i własnych budowa funkcji analitycznych wcześniej: testy Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 32 / 34
Przyszłość n6 Plany na przyszłość produkcyjne uruchomienie nowej wersji: Q1 2014 integracja kolejnych źródeł zewnętrznych i własnych budowa funkcji analitycznych wcześniej: testy Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 32 / 34
Przyszłość n6 Jak dołaczyć? opis dla właścicieli sieci: http://n6.cert.pl/ zgłoszenia do testów nowej wersji: n6@cert.pl Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 33 / 34
Dziękuję za uwagę. Pytania? Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE 2013 34 / 34