V minulém blogpostu jsem slíbil, že napíši něco o našem novém projektu PROKI. PROKI je zkratkou slov PRedikce a Ochrana před Kybernetickými Incidenty a náš tým si v projektu vytyčil dva cíle.
Tím prvním je shromažďování dat o bezpečnostních incidentech z nejrůznějších zdrojů. Část z nich je zcela veřejná, pro přístup k některým dalším je potřeba splnit konkrétní požadavky. Každopádně se jedná o pestrou sbírku informací o IP adresách hostujících C&C servery, phishingové stránky, malware či IP adres skenujících sítě v Internetu nebo IP adres, na kterých jsou počítače, které jsou naopak do nějakého botnetu zapojené. Zdaleka ne každá z těchto informací je reportována do sítí, ze kterých problém vzešel a proto jednou z funkcí PROKI bude souhrnné informování koncových sítí o incidentech, které se jich týkají. Jednou za určitou dobu, jejíž nastavení je jednou z věcí, které budeme ladit v pilotním provozu, bude správcům příslušné sítě odeslán formátovaný report, ve kterém se dozvědí o všech pozorovaných incidentech, které se v daném období nějak vztahovaly k jejich síti.
Druhým cílem je funkcionalita, kterou bude prohledávání incidentů podle zadaných parametrů, které nám umožní podívat se na incidenty a především souvislosti mezi nimi z dalších úhlů pohledu. Incidenty bude možné filtrovat podle IP adresy, konkrétních adresních bloků, země „původu“, portů, počtu opakování incidentů a dalších parametrů. V dalších fázích pak plánujeme přidat možnost detailního pohledu na IP adresu. V takovém náhledu se pak dotáhnou doplňková data z dalších zdrojů jako jsou různé IP reputační databáze, databáze VirusTotal nebo například systém PassiveDNS.
Systém aktuálně pracuje v režimu ověřování životaschopnosti navrženého řešení, které ve svém jádru počítá s využitím open-source nástrojů IntelMQ, Elasticsearch a Kibana. K těmto základním kamenům budeme postupně doprogramovávat další funkce tak, jak byly navrženy během fáze návrhu a analýz existujících řešení. Nutno říci, že i celé naše řešení bude volně dostupné pro použití dalšími zájemci.
Jak jsem již napsal výše, v současné době ověřujeme životaschopnost navrženého řešení. V této prepilotní fázi již máme zapojeno několik významných hráčů, ať již poskytovatelů internetového připojení nebo hostingových společností. Kromě toho jsme také začali testovat samotný analytický nástroj. V rámci pretestování zatím systém běží na hardware, který nám neumožňuje provádět složitější analýzy, ale aspoň malou ochutnávku můžete vidět níže.
Výstup z PROKI
V tomto náhledu můžeme vidět 30 IP adres, které vedou v pomyslném celosvětovém žebříčku IP adres reportovaných z největšího množství zdrojů za posledních 10 dnů. Každá barva tedy představuje jeden zdroj informací o zlobivých IP adresách, ve kterém daná IP figurovala. Úplně nahoře můžeme vidět modrou barvou znázorněná data z projektu Turris, respektive IP adresy, vyhodnocené projektem jako podezřelé a z tohoto důvodu zahrnuté do greylistu. Kolegy z projektu Turris může v této souvislosti těšit, že jejich algoritmy, které greylist produkují, fungují na výbornou a zjevně se ve svých výpočtech, založených na datech z Turrisu, potkávají s dalšími databázemi zaměřenými na shromažďování informací o problematických IP adresách. Ještě zajímavější je situace, pokud některou ze zlobivých IP adres zkusíme vložit do databází jako je PassiveDNS nebo virustotal.com. Zatím je potřeba provádět dotazy ručně, ale jak už jsem psal, s integrací těchto doplňkových informací přímo do rozhraní PROKI se do budoucna počítá.
PassiveDNS: Zajímavé domény, nemyslíte?
A toto vidí u stejné IP adresy virustotal.
PROKI nebude jen nástrojem pro vyhledávání nových pohledů na existující data, ale slibujeme si od něj i rychlejší odhalování nových C&C serverů, phishingových stránek, stránek šířících malware a dalších problémů, a to právě díky propojení s dalšími nástroji, které nám mohou například říci, kam nyní směřuje doména, která ještě před pár dny směřovala na IP adresu, která již byla vyhodnocena jako problematická, a tím nám ukázat, kam byl škodlivý obsah přesunut. Kromě toho bude PROKI udržovat i historii problémů na jednotlivých IP adresách a umožní tak například vystopovat sítě, které se na poskytování služeb kyberzločincům zaměřují (ano, i takové podle našich poznatků v ČR operují) nebo zjistit, zda IP adresa, jejíž držitel je vyšetřován kvůli zapojení do nějakého útoku například nebyla ve stejné době členem nějakého botnetu, což by pak z obviněného rázem udělalo další oběť. Dlužno dodat, že náš projekt byl shledán natolik zajímavým, že byl podpořen v rámci Programu bezpečnostního výzkumu ČR na léta 2015 – 2020.