Terugblik HitB 2017 – deel 2

Vorige week was het eerste deel van de terugblik op HitB 2017, de grote security conferentie die recent in Amsterdam is gehouden. Daarbij was reeds aangegeven dat we nog zouden terugkomen op twee interessante talks.

De eerste van die talks, en daarover is achteraf nog met de presentatoren gesproken, werd gegeven door Don Mülders en Paulus Meessen. Het onderwerp was “A passive listing ransomware detector”. Dat ging over pogingen van cryptoware besmettingen in een zo vroeg mogelijke fase te herkennen en daarmee erger te voorkomen.

Onderzoeken van ransomware hoe doe je dat?

Het antwoord was in dit geval: een eigen netwerk bouwen en dat zelf of door derden laten besmetten met ransomware. Dat klinkt weinig aantrekkelijk en waarschijnlijk zal niemand van de lezers daar vrijwillig een deel van zijn netwerk of ruimte ter beschikking willen stellen. Gelukkig is in de academische wereld iets meer ruimte dergelijke experimenten door te voeren. Overigens viel uit de opmerkingen van de twee studenten op te maken dat het zelfs daar niet altijd zonder slag of stoot mogelijk was.

Het onderzoek, hier de link, zal zeker niet iedereen aanspreken. Het is academisch, goed uitgewerkt, maar zeker niet leesbaar voor iemand die de achtergrond mist. De belangrijkste bevinding van het onderzoek is dat het mogelijk lijkt ransomware te kunnen onderscheiden van regulier data verkeer. Wie over die kennis beschikt kan gaan nadenken over een echt ransomware detectie systeem, manieren om verkeer van en naar een met ransomware besmette cliënt snel te blokkeren en last but not least, acties verzinnen om op systemen waar ransomware geactiveerd wordt nog zo veel mogelijk data veilig te stellen.

De heren verwezen niet zonder reden naar het Spyspot project van de TU Eindhoven. Voor wie dat niet kent: dat is onderzoek van TUe naar security dat door de NWO mogelijk wordt gemaakt en waar bijvoorbeeld ook TNO en het Minsterie van BiZa in participeren. Over Spyspot is online al meer te vinden. Voor providers is dat een clubje dat je beter niet geheel uit het oog mag verliezen.

mDNS als security probleem

Antonios Atlasis praatte de toehoorders bij over “An Attack-in-Depth Analysis of multicast DNS and DNS Service Discovery”. Het vraagstuk annex de opgave was “Analyse to the best possible extent mDNS and DNS-SD related attacks” We spreken hier over Zero Configuration Networking dat als doel heeft de gebruikers van devices als NAS, Chromecast, Apple TV en draadloze geluidsboxen deze snel te laten connecten. Helaas is dat een voorbeeld van gemak dat ten koste gaat van veiligheid.
De onderliggende RFC’s over deze materie zijn 6762 en 6763, het feit dat die op HiTB worden opgesomd en voorgelezen geeft trouwens al aardig aan hoe diep men op de materie in kan gaan. Waar bij sommige talks de soldeerbout en het vergrootglas werd gehanteerd, greep Atlasis terug op normen, standaarden en richtlijnen. Na de theorie volgde de praktijk, want er is iets niet in orde met 6762 en 6763. Atlasis kon in zijn lab vier soorten “overlast” uitvoeren, dan wel nabootsen en bij een categorie waren de uitkomsten niet helder.

Het informele hoogtepunt van Atlasis talk was de constatering dat poort 5353 op heel veel devices bereikbaar is. Op het moment van zijn talk waren via de niet nader te noemen zoekmachine 959.000 devices op IP niveau traceerbaar. Uiteraard hoefde dat geen probleem te zijn stelde Atlasis, het gegrinnik in de zaal gaf aan dat andere scenario’s veel waarschijnlijker werden gevonden.

De presentatie omvat 64 slides, maar laat je daardoor niet afschrikken. Het bladert makkelijk door en bovenstaande case is ook zonder tekst en uitleg goed te volgen. Kijk dan ook nog even naar de Ping of Death (pag 54). Die is namelijk schijnbaar weer tot leven gekomen, dankzij IPv6.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.