V pátek 13. a v sobotu 14. listopadu proběhla konference „Internet a Technologie 15.2“ pořádaná sdružením CZ.NIC. Tato konference byla rozdělena na dva dny. Já jsem se zúčastnil pouze pátečního programu, který byl pro mě zajímavější a oproti sobotě také delší. I tak byla tato konference více než přínosná.
Místo konání
Konference se konala na MFF UK, která se nachází na Malé straně, prakticky ihned pod Pražským hradem (tedy v historickém centru). Sál, ve kterém konference probíhala, byl historický a velmi kontrastoval s tématem a celkovým vybavením konference. Kromě dárkových materiálů bylo pro nás přichystáno také bohaté občerstvení.
Samotná konference
Konference byla zaměřena na odbornou společnost a když říkám odbornou, tak myslím lidi, kteří jsou specialisté v daných segmentech. Osobně jsem litoval, že se mnou nejel také můj kolega, protože si myslím, že by byl z této konference rovněž nadšen. Přesto si nemyslím, že by byla tato konference vhodná pro všechny. Já například plaval v bloku o C a C++. I když tento jazyk znám, nedělám v něm, takže jsem se vůbec nechytal.
Turris Omnia
Před zahájením konference jsme byli informováni, že na projekt Turris Omnia přispělo dostatek osob již během 19 hodin. Jedná se o jeden z nejrychleji zasponzorovaných projektů fanoušky. Nyní má CZ.NIC dostatek financí a může se pustit plně do vývoje tohoto routeru.
Knot
Prvním velkým tématem konference byl Knot DNS a Knot DNS resolver, který vychází právě z Knot DNS. Musím říct, že toto téma mě nadchlo. My na serverech používáme DNS server bind, ale poté, co jsem viděl, co aktuálně Knot DNS umí a co se chystá, chci Knot DNS minimálně otestovat. Pak se uvidí, jestli na něj přejdeme. Ale DNSSEC má vyřešen naprosto geniálně a jednoduše.
Obecně u Knotu mě bavilo být linuxářem. Kluci z CZ.NIC několikrát řekli, jak navýšit pomocí povolení SO_REUSEPORT v linuxovém jádře neskutečně výkon. To na jiných platformách nejde.
Knot DNS
Knot DNS server je nově ve verzi 2.0, která přináší spoustu novinek. Především co se týká podepisování DNSSEC. To bylo kompletně předěláno. Vše funguje, ale sami uvádí, že to chce dořešit ještě pár bodů, aby byl DNSSEC kompletní. Podle předpokladu by DNSSEC měl být 100% funkční ve verzi 2.1, která by se měla stihnout ještě tento rok. U DNSSEC ještě proběhla jedna zásadní změna a tím je přechod z openSSL na GnuTLS. Tato změna byla zvolena z důvodu lepší podpory a dokumentace.
Nově byl předělán celý konfigurační soubor, který je nyní ve formátu YAML a obsahuje zónové šablony. Změna konfiguračního systému má sloužit k tomu, aby bylo možno DNS server plně rekonfigurovat za běhu bez nutnosti jeho restartu.
Ve verzi 2.1 ještě přibude jedna zajímavá vlastnost -> příkazová řádka pro práci s Knot DNS. Právě díky této příkazové řádce bude možno editovat konfiguraci a zóny za běhu.
Na konec je třeba si uvědomit, že Knot DNS je projekt, který je s námi již více jak 5 let a používá jej mnoho společností, včetně Microsoftu.
Knot DNS resolver
Knot DNS resolver vychází z Knot DNS serveru jako experiment, který byl toho dne představen. Programátoři se k představení rozhodli, jelikož si vyhodnotili, že je již stabilní a obsahuje všechny potřebné věci pro nasazení. Resolver jako takový, je minimalistické opensource jádro, které samo o sobě moc neumí. O funkčnost se starají přídavné moduly (programátoři CZ.NIC je označují jako vrstvy). V tuto chvíli již existuje mnoho modulů, které z Knot DNS resolveru dělají zajímavý produkt. Jako hlavní výhoda byla zmíněno cachování, kdy cache odbavují skoro veškerý provoz.
Jako nevýhoda byla označena publikem závislost na více programovacích jazycích – C/C++, Go, Lua. Tyto jazyky jsou potřeba pro samotný běh jádra a hlavních modulů. Tyto jazyky lze ale také využít k tvorbě vlastních modulů. Pro někoho je toto výhoda, pro jiného nevýhoda.
Monitoring DNS
Pro ty, kdo neznají CZ.NIC, tak CZ.NIC je sdružení, které zajišťuje provoz české národní domény. Jejich hlavní činností je správa a dohled nad .CZ doménou. Monitoring .CZ domény není vůbec jednoduchá záležitost a ani vývojáři CZ.NIC neví, jak tato data zpracovávat. Pro Vaši představu, CZ.NIC denně zaznamená cca 1 miliardu dotazů. Po komprimaci vznikají za den data o velikosti 75GB.
Práce s tak velkým množstvím dat není jednoduchá a hlavně je časově náročná. Proto se snaží najít způsob, jak tento proces vylepšit. Z tohoto důvodu nyní experimentují s BigDaty. Jejich experimentální projekt je nyní postaven na „Apache Hadoop“, pro jednoduchou práci s uzly. Nad tím následně zkoušejí projekt IMPALA a APACHE Parquet. Počítají, že výsledná úspora by se měla pohybovat na 80% a za rok by měli „pouhých“ 5TB dat.
Cílem tohoto projektu je:
- brzká detekce útoků (když budou moci data analyzovat prakticky v reálném čase, budou moci rychleji detekovat případné hrozby)
- vizualizace toků (pro analýzu zatížení, optimalizaci…)
- odhalení problémových resolverů
- uvolnění dat jako OpenData
Výměna klíčů
Toto téma bylo také lehce nad moje síly, ale poslouchat člověka, který má „klíč k internetu“ bylo velice zajímavé. Popisoval, jak aktuálně funguje vyměna hlavních klíčů, co se plánuje dále a jaké z toho plynou výhody… Bylo to velice zajímavé. Pokud prý tomu chceme porozumět více, tak si máme přečíst normu RFC 5011.
Bezpečnost routerů
Informace, které nám byly sděleny jsme určitě všichni věděli, ale do té doby neřešili. Nikdo totiž bezpečnost routerů neřeší. Bezpečnostní tým CSIRT s CZ.NIC analyzoval chyby domácích routerů. Nakoupili ty nejběžnější routery, které se v domáctnostech nacházejí. Otestovali je a všechny obsahovaly několik bezbečnostních chyb, které mohly být útočníkem zneužity. Tento fakt rozhodl, že provedou větší analýzu.
V první fázi analyzovali, z kterých routerů přichází útoky. Zaznamenali přes 1 200 000 zařízení, které byly nějak kompromitovány. Z toho bylo 47 000 zařízení společnosti Zyxel a 20 000 společnosti Asus. Následně provedli analýzu těchto napadených routerů a zjistili, že mají otevřeny tyto porty:
- port 80 mělo otevřeno 22.9% zařízení
- port 7547 mělo otevřeno 19.4% zařízení
- port 23 mělo otevřeno 16% zařízení
- port 53 mělo otevřeno 11.4% zařízení
- port 1900 mělo otevřeno 10.8% zařízení
- port 22 mělo otevřeno 6.9% zařízení
- port 443 mělo otevřeno 5% zařízení
Z toho vyplývá, že routery jsou špatně zabezpečeny a že v momentě napadení otevírají porty pro další komunikaci, útoky.
V třetí fázi vyzkoušeli uživatelský test. Koupili si obyčejný router společnosti Asus. Ten nakonfigurovali a zapojili. Před konfigurací ještě provedli kontrolu firmwaru -> router zahlásil, že má nejnovější firmware. Po týdnu se vrátili router zkontrolovat a zjistili, že byl úspěšně napaden. A to velice jednoduše přes chybu, která zobrazovala heslo v javascriptu a v stringu. Bezpečnostní díra jak hrom. Pátrali dál a zjistili, že firmware v routeru je 1,5 roku starý a není nejnovější. Existuje novější, který opravuje tuo chybu, ale je třeba jej stáhnout přímo z webu výrobce a nespoléhat se na automatickou kontrolu verzí v routeru.
ROM-0
Bezpečnostní technici se vrátili k chybě, kterou objevili před dvěma a půl lety. Nebudu detailně rozebírat, čeho se chyba týkala, jen uvedu, že se objevovala napříč výrobci a bylo takto postiženo asi 70 miliónů routerů. V ČR se tato chyba týkala cca 5368 routerů. A jak to vypadá dnes? V ČR se ještě vyskytuje cca 813 routerů s touto chybou. Celosvětově obsahuje tuto chybu něco přes milión routerů. Bezpečnostní technici jsou s nápravou spokojeni. V ČR věří, že tomu pomohla média, která vystrašila mnoho uživatelů. V zahraničí ale předpokládají, že to bylo trochu jinak -> technici poskytovatelů zablokovali přístup na portech 80 z venkovní sítě. Jednoduchá obrana, ale funkční.
Je otázkou, jak se aktuálně nastavují routery, protože pokud se nachává výchozí nastavení, tak je Váš router vystaven nebezpečí útoku zvenčí.
Zajímavým faktem byl také přístup uživatelů – router je krabička, kterou zaplatí, zapnou a zapomenou. Už nikdo nekontroluje, jestli neexistují aktualizace, jestli se na routeru neděje něco podezřelého. Právě takto se jednoduše z Vašeho routeru může stát prvek nějakého bootnetu a Vy se o tom ani nedozvíte.
SSH Honeypoty
Na začátku jsem netušil o co jde. O to víc mě láká to vyzkoušet. Ve zkratce – SSH Honeypoty jsou pasti na útočníky. Jedná se o „virtuální“ prostředí, do kterého útočníka pustíte, aby jste mohli analyzovat, co a jak dělá. Vše se zaznamenává, odkládá se stahovaný kód, malware pro další analýzy. Navíc si toto může nastavit každý správce serveru a vyhodnocovat tak bezpečnostní hrozby. Ukázka z praxe mě přesvědčila, že to musím vyzkoušet. Zatím nevím, kde a jak to nachystám, ale konfigurace je jednoduchá a výsledek je více než zajímavý.
Představení CESNET
CESNET znám, ale netušil jsem, jak funguje a kdo všechno je do něj zapojen (kromě peeringových uzlů převážně vysoké školy). CESNET monitoruje a vyhodnocuje bezpečnostní rizika v síti a informuje o těchto incidentech jednotlivé správce. Najít ale funkční systém monitorování, hlášení a reportování nebylo vůbec jednoduché. Především zkoordinovat tolik různých subjektů s různými požadavky znamenalo vytvořit systém na klíč a hodně ho upravit pro potřeby jednotlivých subjektů. To se tento rok povedlo.
Poslední co zmíním, bylo představení nástrojů, které CZ.NIC používá k vývoji.
To mi otevřelo hodně oči. Potěšilo mě, že stejně jako já, používají GitLab. Ale ukázali také další nástroje, které musím otestovat a případně nasadit. Oči mi však neotevřeli jen přednášející, ale také další vývojáři, kteří byli na této konferenci taky. Vedle mě seděli tři programátoři, kteří mezi sebou neprohodili ani slovo. Vše přes IRC. Rychle efektně diskutovali ve skupině, posílali si soubory… V práci také něco podobného testujeme, ale až tohle rozhodlo, že to musíme nasadit. Začátek bude složitý, ale odbourání emailu, porad a nahrazení instant messengerm ušetří spoustu času. Už to zjistila spousta společností a všichni se snaží email co nejvíce odbourat.
Závěr
Tato konference byla úžasná – asi zatím nejlepší, které jsem se účastnil. Taky asi nejnáročnější na pozornost, soustředění. Konference probíhá nyní již 2x ročně a já zvažuji, jestli jezdit na obě nebo alespoň na jednu z nich. Konferenci je možno sledovat také online, popřípadě se podívat na záznamy, ale osobní setkání je mnohem přínosnější. Však, kdy jindy se můžete potkat s člověkem, který má klíč od internetu. To Vám záznam ani stream nezprostředkuje.
Vyborny sumar a clanek
Za mě je dost složitý, stejně jako celá konference. Nešlo to ale jednodušeji. 🙂 Dnes jsem v rychlosti poreferoval ostatním, ale počítám s tím, že probereme, až budeme všichni.