Studenten maken tool om cyberaanvallen te visualiseren

Twee studenten van de Universiteit van Amsterdam hebben in opdracht van het Nationaal Cyber Security Centrum een cyberaanval-visualisatietool ontwikkeld. Deze tool moet aanvallen op honeypots inzichtelijker maken voor analisten.

Rory Breuk en Jop van der Lelie hebben in opdracht van het Nationaal Cyber Security Centrum (NCSC) een visualisatietool ontwikkeld om aanvallen op honeypots, of loksystemen, in beeld te brengen. Hiermee hoopt het NCSC meer inzicht te krijgen in de werkwijze van criminelen die cyberaanvallen uitvoeren. Volgens het NCSC maakt dit 'het leggen van verbanden tussen aanvallen op honeypots eenvoudiger'.

Voor hun 'proof of concept'-onderzoek analyseerden de twee studenten 6,5 miljoen aanvalspogingen, 6273 sessies en 65.607 uitgevoerde commando's op de Secure Shell-honeypots van het Nationaal Cyber Security Centrum. De loksystemen maken deel uit van het Beita-project van het NCSC, waarbij een aantal honeypots met een netwerk van sensoren bij overheidsorganisaties is geplaatst.

Door Conan Zijm

Stagiair

Feedback • 12-07-2012 10:2425

12-07-2012 • 10:24

25 Linkedin

Lees meer

Nederlandse staatsveiligheid was in gevaar bij tien cyberaanvallen in 2010 Nieuws van 28 oktober 2013
Gewelddadige games veroorzaken Macbeth-effect Nieuws van 13 juli 2012
'Ict-systemen zijn kwetsbaar door ontbreken basale beveiliging' Nieuws van 7 juli 2012
Studenten TU Delft tonen verbeterde waterstofraceauto Nieuws van 24 juni 2012
'Cyber Security Centrum' opent deuren Nieuws van 12 januari 2012
Meer producten en artikelen
Privacy Beveiliging Nederland

Reacties (25)

-Moderatie-faq
25
24
23
4
0
0
Wijzig sortering
Shifty47
12 juli 2012 10:30
Japanners hadden laatst ook zoiets toch? Zag er wat mooier (wellicht niet functioneler) uit nieuws: Japanners visualiseren ict-dreigingen realtime in drie dimensies
the_shadow
@Shifty4712 juli 2012 10:36
Wat deze Japanners hebben gedaan, ziet er uit als een systeem wat over alle computers informatie heeft: de client installeert een tool, en de admin kan dan zien wat deze client doet (dus ook of de client malware verspreidt). Wat deze studenten hebben gedaan is het visualiseren van aanvallen op honeypots en op welke manier deze aanval uitgevoerd is. Hier heb je dus alleen controle over de ontvangende partij, niet over de zenders, dus moet er gebruik worden gemaakt van andere sensors. Hierdoor krijg je een beeld over het type aanval en waar deze vandaan komen.

De abstract van de paper die ze geschreven hebben:
An SSH honeypot can be used to study the activities of an attacker by logging the full SSH session. In this paper we present an interactive visualization system that can be used by network security experts to visually analyze large sets of SSH honeypot data. By using different visualizations and interaction techniques the expert can explore SSH sessions and quickly find related sessions which will help in identifying attackers.
Hun techniek zou dus gebruikt kunnen worden om 1 specifieke aanvaller te identificeren aan de hand van de stijl van aanvallen.

[Reactie gewijzigd door the_shadow op 12 juli 2012 10:40]

Anoniem: 151857
@the_shadow12 juli 2012 12:02
Wachten op een ssh client die linux commando's dus automagisch herschrijft naar verschillende commando's (met dezelfde output) en kleine delays invoegt tussen het het typen.

bijv: cat /etc/passwd |grep root -> grep root /etc/passwd
chime
@Shifty4712 juli 2012 10:39
Een tool dat door een bedrijf met xx developers is gemaakt gaan vergelijken met een tool gemaakt door een paar studenten is nu ook niet echt 100% eerlijk hé.
ReseT
12 juli 2012 10:32
Wat is het verschil met deze:

nieuws: Japanners visualiseren ict-dreigingen realtime in drie dimensies

Ik moet zeggen dat ik de japanse versie duidelijker vind. Al ben ik geen expert erin. Ik vind het wel duidelijker te herleiden in welke sector/ regio de 'probleem' kan vinden omdat je in 1 oog opslag de kaart kan zien, ipv een lineaire kaart.
Deguchi
@ReseT12 juli 2012 10:41
Ik denk dat de versie ontwikkeld door Japanners eerder handig is voor realtime monitoring. Dus zien of er een aanval is en er snel op kunnen ingrijpen.
De tool die hier ontwikkeld is, is eerder handig om na een aanval een analyse te kunnen maken en hieruit lessen te trekken en de beveiliging te verbeteren. Ik denk dan ook dat ze beide een goede aanvulling zijn op elkaar.
mrlammers
12 juli 2012 13:05
Leuk, maar ik lees 'loksystemen' die worden ingezet door NCSC.
Dat klinkt als het uitlokken van een onrechtmatige daad. Is dat niet strafbaar volgens artikel 47 van het wetboek van strafrecht? Of omdat het van de overheid is, mag het?
Frant!c
@mrlammers12 juli 2012 13:16
http://en.wikipedia.org/wiki/Honeypot_(computing)
Er word dus niemand naar toe gelokt, aanvalspogingen worden naar dergelijke systemen doorgestuurd om schade te beperken / gedrag van hackers te kunnen analyseren.
mr.breaker
@mrlammers12 juli 2012 13:17
Nee, honeypots lokken niet actief de aanvallers:
http://www.security.nl/ar...is_dit_uitlokking%3F.html
Bor
12 juli 2012 10:30
Aan de screenshots te zien levert de tool vooral management informatie over aantallen ipv een analyse uit te voeren van de onderliggende verbanden. Een soort dashboard overzicht dus. Dit soort schermen zou standaard functionaliteit moeten zijn imho. Ik vermoed dan ook dat het daadwerkelijke eindproduct meer kan analyseren / visualiseren dan bovenstaande screenshots. Jammer genoeg kan ik nog niet echt uitgebreide informatie hierover vinden.
mjtdevries
@Bor12 juli 2012 10:40
Nee ik vermoed dat de kans groot is dat die basis functionaliteit echt alles.

Gewoon leuk om studenten op die manier een zinvolle opdracht te geven om aan te werken.
Maar het is geen promotieonderzoek of afstudeer opdracht of zo.
MagicTempest
@mjtdevries12 juli 2012 11:31
Het is wel degelijk een afstudeeropdracht van de master SNE aan de UvA. Punt is wel dat het afstuderen op die opleiding slechts een maand duurt en je in een maand maar beperkte mogelijkheden hebt.

Overigens heb ik de live presentatie bijgewoond van dit systeem en het kan wel meer dan dat je hier op de screenshots ziet. Sowieso is alle aanvalsinformatie bewaard. Je kan bijvoorbeeld zoeken op aanvallen die een bepaald commando hebben gebruikt op een systeem.

Het systeem beperkt zich momenteel echter wel nog tot SSH aanvallen.

Ik zou zeggen lees het rapport over dit systeem, dan kom je een stuk meer te weten over wat het kan en doet.
mjtdevries
@MagicTempest12 juli 2012 12:53
Een afstudeeropdracht die maar een maand duurt? Vandaar dat het zo'n klein rapport was.
Maar is dit een universitaire studie dan? Krijg je hier een titel voor?
Frant!c
@mjtdevries12 juli 2012 13:14
http://www.studeren.uva.n...m_and_network_engineering

Krijg je een Master titel voor. Zelf ook gevolgd.
elmoxx
12 juli 2012 10:42
Ik heb echt het idee dat de laatste een of twee alinea's weggevallen zijn.. Hoe gaat dit nu verder, hoe zal hier mee gewerkt worden, wat zijn de verwachtingen. Zit er voor die studenten nog een mooi vervolg aan, wat zeggen deze plaatjes, waar staan die cijfers 1 t/m 5 voor etc etc..

Hoop dat er nog een update komt van dit artikel want ik ben nu wel geïnteresseerd geraakt maar heb niet het idee dat dit artikel nu echt wat bijdraagt.

[Reactie gewijzigd door elmoxx op 12 juli 2012 10:43]

Anoniem: 282840
@elmoxx12 juli 2012 11:07
Kwam https://www.ncsc.nl/diens...ten/monitoring/beita.html nog wat informatie tegen wat voor mij als mede leek wel wat opheldering bracht
Beita kan de aard en omvang van internetaanvallen op (de poort van) het netwerk van de betreffende organisatie monitoren. De sensor staat aan de buitenkant van het netwerk van de organisatie (en heeft dus geen zicht op het netwerkverkeer binnen de organisatie). Beita verzamelt gegevens die vanaf het internet op de sensoren afkomen. Het biedt hiermee inzicht in bedreigingen en de status van het netwerkverkeer.

De overheidsorganisaties met een sensor kunnen voor hun eigen organisatie zien welke aanvallen er op hun netwerk afkomen. Het NCSC heeft dit inzicht voor alle deelnemende organisaties aan GOVCERT.NL

[Reactie gewijzigd door Anoniem: 282840 op 12 juli 2012 18:48]

totaalgeenhard
12 juli 2012 16:48
Raar dat in 2012 onze overheid een visualisatie tool tot haar beschikking heeft, terwijl ze dat al vorige eeuw al hadden kunnen kopen.........

Het lijkt erop dat er mensen bij overheid voor het zeggen hebben die net in het vakgebied komen kijken en het wiel opnieuw proberen uit te vinden.
polthemol
@totaalgeenhard13 juli 2012 07:39
wie zegt dat ze die eerder al niet hadden ? Aannames ...

Wie zegt dat ze niet specifieke eisen hadden die blijkbaar niet ingevuld konden worden door fabrikanten, of dat ze graag wat afstudeerders aan het werk hebben om te zien of er wat talent bij zit, enz. enz.

Beetje zinloze kritiek dit.

ontopic: klinkt interessant wel. Grafieken / charts zijn altijd winning tov. met de hand door logfiles heen zitten pluizen. Volgens de omschrijving hier heeft het wel potentie.
benme
12 juli 2012 11:18
Via het linkje in bovenstaand artikel en het onderliggende downloadable report krijg in de ieder geval een verklaring van de nummertjes https://www.ncsc.nl/binar...vallen/1/report_final.pdf
Anoniem: 411766
12 juli 2012 10:29
Interessant, maar wat heeft het voor nut?
Beuker
@Anoniem: 41176612 juli 2012 10:33
Door iets visueel te maken kun je patronen ontdekken. Die patronen kun je dan weer gebruiken om software te maken die cyberaanvallen tegen gaat met zo min mogelijk false positives.

Bijvoorbeeld een log file doorspitten om te kijken of geheugen van een systeem vol loopt is veel lastiger dan een mooi grafiekje wat verteld dat de laatste twee weken het geheugen aan het vol lopen is door een bug in software wat twee weken geleden uitgekomen is.
-Tom
@Anoniem: 41176612 juli 2012 10:41
Wanneer je data visualiseert is het doorgaans makkelijker om bepaalde verbanden te leggen. Waarom is het aantal cyberaanvallen toegenomen sinds datum x? Door logs spitten om te bepalen wanneer het aantal cyberaanvallen is toegenomen is natuurlijk minder prettig dan een 'mooi' grafiekje.

Maar laten we eerlijk wezen, dan hebben we nog steeds liever Daedalus. Ondanks dat ze beiden ongetwijfeld een verschillende insteek hebben, is de laatste wel een stuk meer futuristisch.
TheNephilim
12 juli 2012 10:28
Daar begint het natuurlijk wel mee; data behapbaar maken. Het genereren van data doormiddel van de honeypots is natuurlijk makkelijk, maar er echt wat van kunnen leren is een stuk moeilijker.

Ziet er goed uit, misschien wat simpeltjes, ik had verwacht dat er meer dingen waren om te laten zien, meer details.

'6,5 miljoen aanvalspogingen', in wat voor tijdsspanne en hoeveel honeypots, ben wel benieuwd :o

[Reactie gewijzigd door TheNephilim op 12 juli 2012 10:28]

CMG
@TheNephilim12 juli 2012 11:24
Met de hoeveelheid zombies die 24/7 het hele internet scannen op bekende bugs kan dat best een hele korte tijdspanne zijn met maar een paar honeypots.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee