Nenechavý router botnet

Není to tak dlouho, co jsme na základě sledování útočníků v našich telnetových honeypotech odhalili zajímavý botnet složený z domácích routerů značky ASUS. Poslední dva týdny se nám do SSH honeypotu provozovaného na routerech Turris zase nejvíce pokouší přihlašovat botnet, jehož IP adresy mají podle Shodanu často jednu společnou vlastnost: na portu 80 odpovídají s cookie AIROS_SESSIONID. Tato cookie ukazuje na AirOS bežící na Ubiquiti airRouter. Podle dat ze Shodanu lze touto cookie identifikovat asi 20 % útočících IP adres z celkových cca 6 500 jako AirOS. Mnoho adres ale bývá z dynamických poolů, o kterých Shodan ještě neví.

Projekt Turris – nová verze nájemní smlouvy

Zatímco dokončujeme výrobu routeru Turris 1.1 a připravujeme jejich distribuci, rádi bychom veřejnosti představili novou verzi nájemní smlouvy (verze s vyznačením revizí), kterou uzavíráme se zájemci o zapojení do projektu. Tato nová verze smlouvy bude platná pro nové účastníky projektu, stávající uživatelé budou mít možnost přijmout nebo odmítnout příslušný dodatek k již uzavřené smlouvě (DOPLNĚNO 24. 7.: dodatek pro stávající uživatele nebude obsahovat požadavek na veřejnou IP adresu).

Botnet z napadených routerů

V rámci projektu Turris připravujeme v nejbližší době několik rozšíření, která umožní uživateli aktivně se podílet na detekci síťových útoků. První z novinek, kterou si blíže popíšeme v některém z budoucích článků, tvoří SSH honeypot, který umožňuje útočníka polapit do virtuálního prostředí a sledovat jeho akce a úmysly. Druhá novinka je o něco méně ambiciózní, ale zato jednodušší, elegantní a přesto velice užitečná. Jedná se o koncept, kterému říkáme interně „minipot“, tedy jakýsi miniaturní honeypot. Ten narozdíl od běžného honeypotu, který vpustí dovnitř každého s libovolným heslem a poté sleduje, co dělá, naopak dovnitř nikoho nepustí (ve skutečnosti ani není kam), ale pouze sleduje, jaká jména a hesla bude útočník zkoušet.

Večer s Turrisem možná započal jednu tradici

Ve čtvrtek 9. dubna měla v prostorách Akademie CZ.NIC premiéru první komunitní akce pro příznivce projektu Turris s všeříkajícím názvem Večer s Turrisem. Hlavním cílem setkání bylo přitáhnout nejaktivnější členy uživatelské komunity a umožnit jim nahlédnout pod pokličku projektu a zároveň získat na neformální bázi zpětnou vazbu, která je pro vývojáře v případě takto specifických projektů tolik žádoucí a důležitá.

Víte, jak využíváte kapacitu vašeho připojení k Internetu?

V rámci projektu Turris jsme již v minulém roce zveřejnili výsledky měření rychlosti připojení jednotlivých uživatelů. V rámci tohoto měření může uživatel sledovat maximální rychlost, kterou jeho linka dosáhla za určité časové období. Zároveň z těchto dat generujeme i globální statistky, ze kterých lze odvodit například to, že polovina našich uživatelů má připojení rychlejší než 20 Mbps (medián v následujícím grafu se pohybuje mezi 20 a 22 Mbps).

Projekt Turris: Majordomo umožňuje přehled nad děním v lokální síti

V domácnosti představuje router centrální bod, kterým se domácnost připojuje k Internetu. Proto se router nabízí jako vhodné místo pro různé zajímavé analýzy a statistiky. Projekt Turris sice nabízí nemalé množství analýz, statistik a testů, Majordomo je ale první nástroj, který je určený čistě pro uživatele a data z něj nejsou odesílána k dalšímu zpracování.

Hledání jehly v kupce firewallového sena

Každý den se nyní na firewallech routerů Turris zachytí přibližně 6 milionů paketů, které nejsou propuštěny do routerů ani do vnitřních sítí, které tyto routery obsluhují. Zachycování nežádoucího provozu zvenčí firewallem je přitom běžnou vlastností (správně nakonfigurovaných) routerů, specialitou routerů Turris potom je to, že jsou záznamy o těchto zablokovaných přístupech odesílány na naše servery a podrobeny další analýze. V tomto provozu je totiž možné najít mnoho zajímavých informací, díky kterým můžeme například odhalovat šířící se malware nebo chránit uživatele routerů před průniky útočníků zvenčí. Protože ale škodlivý provoz představuje jen malý zlomek ze všech těchto záznamů, museli jsme najít způsob, jak oddělit zrno od plev, tedy jak vytěžit tyto cenné informace z množství dat, která se zachytávají na firewallu při běžném provozu.

Linuxový a další *NIX-ový malware

Před nějakou dobou jsme začali do SSH honeypotů přesměrovávat v testovacím provozu vnější SSH port z Turrisů některých dobrovolníků z vývojového týmu. Aby si s námi „povídalo“ co nejvíce útočníků, povolili jsme v honeypotu přihlášení na roota libovolným heslem; navzdory tomu většina botů stejně nic neudělá a hned se odpojí i po úspěšném pokusu.