Novinky v projektu PROKI

Pro Národní bezpečnostní tým CSIRT.CZ je projekt PROKI jedním z největších projektů, na kterém jsme dosud pracovali. V roce 2018 vstupujeme do třetího roku tohoto projektu a je třeba říci, že i když jsme v minulém roce mnoho věcí zlepšili, určitě budeme mít na čem pracovat také v letošním roce.

Projekt jsme představili již před několika lety i zde na blogu. Co se nezměnilo je architektura projektu. Systém PROKI je navržen jako soubor mikroslužeb běžících samostatně v kontejnerech Docker. Systém je tak mnohem jednodušší vyvíjet, udržovat, je odolnější proti chybám a navíc je velice jednoduše přenositelný. Každá služba je pak v rámci PROKI provozována právě jako jeden kontejner. Jednou z nejdůležitějších, ale zároveň také asi i nejsložitějších částí projektu je IntelMQ. Jde o řešení pro shromažďování a zpracování různých datových zdrojů. Toto řešení bylo vyvinuto (a je stále rozvíjeno) rakouským národním týmem a ve značné míře je využíváno také jinými týmy. Potom, co jsme začali rozesílat výstupy z projektu do koncových sítí, jsme právě na základě zpětné vazby některé datové zdroje odebrali a některé naopak přidali. Pro ty, které jsme přidali, jsme pak museli také vyvinou vlastní komponentu.

Největší viditelná změna v projektu nastala v minulém roce na podzim, kdy jsme po první ověřovací fázi s několika subjekty začali zasílat výstupy do koncových sítí. Výstupy jsou zasílané jednou týdně (ve středu) subjektům, který mají v rámci RIPE NCC přidělený IP rozsah. Report je do koncové sítě automaticky zaslán v případě, kdy se aspoň jedna IP adresa z daného rozsahu objeví v jednom ze sbíraných datových zdrojů. Každý týden tak rozešleme do koncových sítí kolem 500 e-mailů, přičemž v jednom reportu se nachází od jednoho do desítky záznamů. Může jít o adresy připojené k některému ze známých botnetů, adresy, ze kterých se šířil malware, o otevřené resolvery a podobně. Na základě zpětné vazby jsme také například upravili formát zasílaného výstupu tak, aby se správně zobrazoval v obou hlavních tabulkových procesorech LibreOffice i Microsoft Excel. Příjemci, kteří preferují používání právě tabulkových procesorů a manuální zpracování událostí před strojovým, přečtou informaci hned, aniž je musí dekódovat z base64, jako tomu bylo v minulosti. Co se týče rozesílaní zpráv, kontejner e-mailového systému starající se o odeslání reportů byl překonfigurován a nově postaven na e-mailovém systému Postfix. V tomto případě jsme nasadili DKIM, což je nástroj umožňující elektronicky podepsat hlavičky odcházejících e-mailů. DKIM tedy umožňuje, aby příjemce mohl zjistit, zda e-mail skutečně pochází ze zdroje, který je uveden jako adresa odesílatele. Kromě DKIM byla provedena také implementace SPF na místních DNS serverech. SPF neboli Sender Policy Framework je e-mailový validační systém sloužící jako obrana proti spamu. Ke zvýšení důvěryhodnosti zasílaných e-mailových reportů jsme letos přidali ještě podepisování e-mailů PGP klíčem.

Další významnou změnou je možnost selektivního odhlášení subjektů. To je prozatím v poloautomatickém procesu – ručním zařazení do filtru na základě požadavků příjemců zprav. V rámci již dříve vyvinuté komponenty Custom Filter je možné vyřadit daný subjekt na základě více kritérií: vyřadit ho na základě abuse kontaktu, vyřadit pouze specifické IP adresy (například adresy patřící do honeypotů), či zrušit odebíraní specifických zdrojů.

Téměř všechny z uvedených změn byly dělány na základě zpětné vazby od příjemců reportů. Za zpětnou vazbu jim tímto chceme poděkovat. Na projektu je však stále mnoho práce, takže vás o tom, jak postupujeme, budeme i nadále informovat.

Autor:

Komentáře (3)

  1. Yenya říká:

    Jak slyším PROKI, otvírá se mi kudla v kapse. Představte si roli správce menší sítě (řádově stovky až tisíce adres, větší tisíce uživatelů). A oni vám z toho PROKI pošlou mail o nějakém domnělém bezpečnostním incidentu, kde v tom mailu není nic (slovy vůbec nic :-) o tom, co se komu nelíbilo, kdy se to stalo, a které naše adresy se toho účastnily. Nic. Veškeré informace jsou v přiloženém ZIPu, který teda člověk musí otevřít, zjistit co je uvnitř, (snad nějaký excel) a nějak zpracovat. Teda nemusí, stačí použít klávesu D a mail zmizí :-). My jsme se ještě snažili být kooperativní a snažili jsme jim napsat, ať pro$deity ten mail obsahuje aspoň základní informace v Subjectu a v těle, ale no way. Takže klávesa D. #sorryjako

  2. Kepi říká:

    Díky moc za PROKI, je to super iniciativa, která v podstatě může jen pomoct. Pro ty kterým vadí je zde odhlašování a ostatní z toho můžeme jen těžit :)

    Doufám, že se systém bude dále rozvítej a přibývat další a další kontroly, které nám pomohou udržet bezpečnější Internet.

    Ad komentář od Yenya – souhlasím, pro nás je přiložený zip také velmi nepohodlný. Řešení je spoustu, ale přiložit do e-mailu rovnou CSV soubory by bylo výrazně lepší.

  3. Edvard Rejthar říká:

    Dobrý den,
    * Mrzí nás, když se někomu otevírá kudla v kapse. Snažíme se vycházet vstříc požadavkům. Upozorňuji, že odhlášení může být jen částečné – jsme schopni pro Vaši abuse adresu whitelistovat / blacklistovat zdroje či IP rozsahy, které Vás zajímají. Napište nám v odpovědi na PROKI e-mail.
    * Posílat nekomprimované CSV žel nelze – při testování vyšlo najevo, že CSV větší než 10 MB některé mailservery odmítaly.
    * Uvítali byste, kdybychom v blízké době obohatili tělo e-mailu o metadata, týkající se počtu hlášení od jednotlivých zdrojů? Například takto. „Obsah přílohy: Czech Republic Honeypot Cowrie (144 ×), CERT Bund Avalanche (32 ×), CI Army (89 ×)“

    S pozdravem,
    Edvard Rejthar, CSIRT.CZ

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.