Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties

Twee studenten van de Universiteit van Amsterdam hebben in opdracht van het Nationaal Cyber Security Centrum een cyberaanval-visualisatietool ontwikkeld. Deze tool moet aanvallen op honeypots inzichtelijker maken voor analisten.

Rory Breuk en Jop van der Lelie hebben in opdracht van het Nationaal Cyber Security Centrum (NCSC) een visualisatietool ontwikkeld om aanvallen op honeypots, of loksystemen, in beeld te brengen. Hiermee hoopt het NCSC meer inzicht te krijgen in de werkwijze van criminelen die cyberaanvallen uitvoeren. Volgens het NCSC maakt dit 'het leggen van verbanden tussen aanvallen op honeypots eenvoudiger'.

Voor hun 'proof of concept'-onderzoek analyseerden de twee studenten 6,5 miljoen aanvalspogingen, 6273 sessies en 65.607 uitgevoerde commando's op de Secure Shell-honeypots van het Nationaal Cyber Security Centrum. De loksystemen maken deel uit van het Beita-project van het NCSC, waarbij een aantal honeypots met een netwerk van sensoren bij overheidsorganisaties is geplaatst.

Moderatie-faq Wijzig weergave

Reacties (25)

Japanners hadden laatst ook zoiets toch? Zag er wat mooier (wellicht niet functioneler) uit nieuws: Japanners visualiseren ict-dreigingen realtime in drie dimensies
Wat deze Japanners hebben gedaan, ziet er uit als een systeem wat over alle computers informatie heeft: de client installeert een tool, en de admin kan dan zien wat deze client doet (dus ook of de client malware verspreidt). Wat deze studenten hebben gedaan is het visualiseren van aanvallen op honeypots en op welke manier deze aanval uitgevoerd is. Hier heb je dus alleen controle over de ontvangende partij, niet over de zenders, dus moet er gebruik worden gemaakt van andere sensors. Hierdoor krijg je een beeld over het type aanval en waar deze vandaan komen.

De abstract van de paper die ze geschreven hebben:
An SSH honeypot can be used to study the activities of an attacker by logging the full SSH session. In this paper we present an interactive visualization system that can be used by network security experts to visually analyze large sets of SSH honeypot data. By using different visualizations and interaction techniques the expert can explore SSH sessions and quickly find related sessions which will help in identifying attackers.
Hun techniek zou dus gebruikt kunnen worden om 1 specifieke aanvaller te identificeren aan de hand van de stijl van aanvallen.

[Reactie gewijzigd door the_shadow op 12 juli 2012 10:40]

Wachten op een ssh client die linux commando's dus automagisch herschrijft naar verschillende commando's (met dezelfde output) en kleine delays invoegt tussen het het typen.

bijv: cat /etc/passwd |grep root -> grep root /etc/passwd
Een tool dat door een bedrijf met xx developers is gemaakt gaan vergelijken met een tool gemaakt door een paar studenten is nu ook niet echt 100% eerlijk hé.
Wat is het verschil met deze:

nieuws: Japanners visualiseren ict-dreigingen realtime in drie dimensies

Ik moet zeggen dat ik de japanse versie duidelijker vind. Al ben ik geen expert erin. Ik vind het wel duidelijker te herleiden in welke sector/ regio de 'probleem' kan vinden omdat je in 1 oog opslag de kaart kan zien, ipv een lineaire kaart.
Ik denk dat de versie ontwikkeld door Japanners eerder handig is voor realtime monitoring. Dus zien of er een aanval is en er snel op kunnen ingrijpen.
De tool die hier ontwikkeld is, is eerder handig om na een aanval een analyse te kunnen maken en hieruit lessen te trekken en de beveiliging te verbeteren. Ik denk dan ook dat ze beide een goede aanvulling zijn op elkaar.
Leuk, maar ik lees 'loksystemen' die worden ingezet door NCSC.
Dat klinkt als het uitlokken van een onrechtmatige daad. Is dat niet strafbaar volgens artikel 47 van het wetboek van strafrecht? Of omdat het van de overheid is, mag het?
http://en.wikipedia.org/wiki/Honeypot_(computing)
Er word dus niemand naar toe gelokt, aanvalspogingen worden naar dergelijke systemen doorgestuurd om schade te beperken / gedrag van hackers te kunnen analyseren.
Aan de screenshots te zien levert de tool vooral management informatie over aantallen ipv een analyse uit te voeren van de onderliggende verbanden. Een soort dashboard overzicht dus. Dit soort schermen zou standaard functionaliteit moeten zijn imho. Ik vermoed dan ook dat het daadwerkelijke eindproduct meer kan analyseren / visualiseren dan bovenstaande screenshots. Jammer genoeg kan ik nog niet echt uitgebreide informatie hierover vinden.
Nee ik vermoed dat de kans groot is dat die basis functionaliteit echt alles.

Gewoon leuk om studenten op die manier een zinvolle opdracht te geven om aan te werken.
Maar het is geen promotieonderzoek of afstudeer opdracht of zo.
Het is wel degelijk een afstudeeropdracht van de master SNE aan de UvA. Punt is wel dat het afstuderen op die opleiding slechts een maand duurt en je in een maand maar beperkte mogelijkheden hebt.

Overigens heb ik de live presentatie bijgewoond van dit systeem en het kan wel meer dan dat je hier op de screenshots ziet. Sowieso is alle aanvalsinformatie bewaard. Je kan bijvoorbeeld zoeken op aanvallen die een bepaald commando hebben gebruikt op een systeem.

Het systeem beperkt zich momenteel echter wel nog tot SSH aanvallen.

Ik zou zeggen lees het rapport over dit systeem, dan kom je een stuk meer te weten over wat het kan en doet.
Een afstudeeropdracht die maar een maand duurt? Vandaar dat het zo'n klein rapport was.
Maar is dit een universitaire studie dan? Krijg je hier een titel voor?
Ik heb echt het idee dat de laatste een of twee alinea's weggevallen zijn.. Hoe gaat dit nu verder, hoe zal hier mee gewerkt worden, wat zijn de verwachtingen. Zit er voor die studenten nog een mooi vervolg aan, wat zeggen deze plaatjes, waar staan die cijfers 1 t/m 5 voor etc etc..

Hoop dat er nog een update komt van dit artikel want ik ben nu wel geïnteresseerd geraakt maar heb niet het idee dat dit artikel nu echt wat bijdraagt.

[Reactie gewijzigd door elmoxx op 12 juli 2012 10:43]

Kwam https://www.ncsc.nl/diens...ten/monitoring/beita.html nog wat informatie tegen wat voor mij als mede leek wel wat opheldering bracht
Beita kan de aard en omvang van internetaanvallen op (de poort van) het netwerk van de betreffende organisatie monitoren. De sensor staat aan de buitenkant van het netwerk van de organisatie (en heeft dus geen zicht op het netwerkverkeer binnen de organisatie). Beita verzamelt gegevens die vanaf het internet op de sensoren afkomen. Het biedt hiermee inzicht in bedreigingen en de status van het netwerkverkeer.

De overheidsorganisaties met een sensor kunnen voor hun eigen organisatie zien welke aanvallen er op hun netwerk afkomen. Het NCSC heeft dit inzicht voor alle deelnemende organisaties aan GOVCERT.NL

[Reactie gewijzigd door michaaeel op 12 juli 2012 18:48]

Raar dat in 2012 onze overheid een visualisatie tool tot haar beschikking heeft, terwijl ze dat al vorige eeuw al hadden kunnen kopen.........

Het lijkt erop dat er mensen bij overheid voor het zeggen hebben die net in het vakgebied komen kijken en het wiel opnieuw proberen uit te vinden.
wie zegt dat ze die eerder al niet hadden ? Aannames ...

Wie zegt dat ze niet specifieke eisen hadden die blijkbaar niet ingevuld konden worden door fabrikanten, of dat ze graag wat afstudeerders aan het werk hebben om te zien of er wat talent bij zit, enz. enz.

Beetje zinloze kritiek dit.

ontopic: klinkt interessant wel. Grafieken / charts zijn altijd winning tov. met de hand door logfiles heen zitten pluizen. Volgens de omschrijving hier heeft het wel potentie.
Via het linkje in bovenstaand artikel en het onderliggende downloadable report krijg in de ieder geval een verklaring van de nummertjes https://www.ncsc.nl/binar...vallen/1/report_final.pdf
Interessant, maar wat heeft het voor nut?
Door iets visueel te maken kun je patronen ontdekken. Die patronen kun je dan weer gebruiken om software te maken die cyberaanvallen tegen gaat met zo min mogelijk false positives.

Bijvoorbeeld een log file doorspitten om te kijken of geheugen van een systeem vol loopt is veel lastiger dan een mooi grafiekje wat verteld dat de laatste twee weken het geheugen aan het vol lopen is door een bug in software wat twee weken geleden uitgekomen is.
Wanneer je data visualiseert is het doorgaans makkelijker om bepaalde verbanden te leggen. Waarom is het aantal cyberaanvallen toegenomen sinds datum x? Door logs spitten om te bepalen wanneer het aantal cyberaanvallen is toegenomen is natuurlijk minder prettig dan een 'mooi' grafiekje.

Maar laten we eerlijk wezen, dan hebben we nog steeds liever Daedalus. Ondanks dat ze beiden ongetwijfeld een verschillende insteek hebben, is de laatste wel een stuk meer futuristisch.
Daar begint het natuurlijk wel mee; data behapbaar maken. Het genereren van data doormiddel van de honeypots is natuurlijk makkelijk, maar er echt wat van kunnen leren is een stuk moeilijker.

Ziet er goed uit, misschien wat simpeltjes, ik had verwacht dat er meer dingen waren om te laten zien, meer details.

'6,5 miljoen aanvalspogingen', in wat voor tijdsspanne en hoeveel honeypots, ben wel benieuwd :o

[Reactie gewijzigd door TheNephilim op 12 juli 2012 10:28]

Met de hoeveelheid zombies die 24/7 het hele internet scannen op bekende bugs kan dat best een hele korte tijdspanne zijn met maar een paar honeypots.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True