- Nazwa projektu: Secure Information Sharing Sensor Delivery event Network (SISSDEN)
- Strona www: https://sissden.eu/
- Źródło finansowania: Komisja Europejska
- Cel projektu: Celem projektu jest opracowanie narzędzi niezbędnych do pozyskiwania, przechowywania, analizy oraz współdzielenia danych wielkiej skali i korelowania ich z danymi pochodzącymi z innych źródeł – realizacja takiego zadania opiera się na współpracy z ShadowServer, narodowymi CERTami, dostawcami usługi internetowych oraz innymi istotnymi źródłami zewnętrznymi. Sercem projektu jest sieć sensorów na skalę światową, zaprojektowana i wdrażana przez członków konsorcjum. Nasi badacze stworzyli innowacyjną architekturę globalnej sieci sensorów (212 sensorów w 53 krajach, co łącznie daje już możliwość monitorowania blisko 900 adresów), która przyczynia się do powstania bazy o największej ilości, precyzyjnie dobranych, najbogatszych w informacje danych potrzebnych do identyfikacji złośliwego oprogramowania i zachowań, opartej na doświadczeniu użytkownika końcowego. Taka architektura systemu pozwala na długoterminową (trwającą miesiące a nawet lata, w przeciwieństwie do typowych krótkoterminowych), głęboką analizę wyselekcjonowanych zagrożeń, co umożliwia szerszy wgląd w infrastrukturę atakujących, długoterminowe targetowanie i potencjalne związki pomiędzy incydentami.
OPIS PROJEKTU:
Projekt ten jest praktycznym i jak dotąd udanym przykładem na realizację zadania szeroko zakrojonej i wieloaspektowej wymiany informacji dotyczącej incydentów bezpieczeństwa w celu stworzenia jak najefektywniejszej bazy wiedzy, absolutnie niezbędnej dla powodzenia praktycznego wdrożenia systemów wykrywania czy reagowania na cyberataki, zarówno na poziomie publicznym jak i komercyjnym. Użyteczne informacje o zagrożeniach wytworzone przez SISSDEN będą wykorzystywane do nieodpłatnego powiadamiania ofiar oraz przeciwdziałania za pośrednictwem organizacji takich jak krajowe zespoły CERT, ISP, dostawców hostingu i służby takie jak EC3.
Innowacją i sporym wyzwaniem, którego podjęli się badacze, jest zaprojektowanie zarówno architektury tak złożonego, wysoce skalowalnego systemu, jak i opracowanie algorytmów i narzędzi pozwalających na jego sprawne funkcjonowanie.
Wspólnie z CERT Polska zaimplantowano system analizy ruchu przy użyciu darknetu (tzw. network telescope), co pozwala na automatyczną klasyfikację i grupowanie incydentów bezpieczeństwa tak jakich odmowa dostawy usług czy inne rodzaje ataków. Ważnym elementem tego systemu jest autorski moduł analizujący PGA (Packet Generation Algorithm), wykrywający algorytmy generacji pakietów wyłącznie na podstawie obserwacji ruchu sieciowego, ale w przeciwieństwie do typowych prostych systemów regułowych tutaj zastosowany został zaawansowany algorytm, który wykrywa wiele różnych typów zależności między poszczególnymi polami nagłówków pakietów w ramach danej grupy i dopiero na tej podstawie konstruuje regułę.
Opracowana została również metoda pogłębionej analizy komunikacji SMTP, na podstawie której filtrowana jest poczta. Wieloaspektowa i wielopoziomowa klasyfikacja poszerzona o zazwyczaj pomijane elementy konwersacji SMTP, takie jak komendy otwarcia czy końca, pozwoliła wyróżnić dwukrotnie większą ilość dialektów botów, zwiększając skuteczność filtracji.
W projekcie SISSDEN NASK po raz pierwszy przyjął na siebie rolę koordynatora dużego konsorcjum europejskiego, zarówno na etapie składania wniosku, jak i po rozpoczęciu projektu. W dużej mierze to dzięki skutecznej koordynacji działań udało się osiągnąć bardzo wysoką jakość wniosku, potwierdzoną maksymalną możliwą oceną recenzentów (15/15 punktów). Rola merytoryczna NASK w projekcie jest również bardzo istotna i obejmuje realizację wielu istotnych badań naukowych oraz koordynację całości procesu pozyskania sprzętu i wdrożenia systemu sond.
REZULTATY PROJEKTU:
W ramach projektu SISSDEN, którego NASK jest koordynatorem, w NASK opracowano już szereg nowatorskich rozwiązań:
- rozbudowany zestaw metod analizy danych darknetowych umożliwiających bieżącą identyfikację różnych klas obserwowanych zjawisk,
- analizę algorytmów generacji pakietów wykorzystywanych przez złośliwe oprogramowanie m.in. w atakach DDoS, możliwą do zastosowania zarówno na danych darknetowych, jak i na ruchu rejestrowanym w środowiskach sandboksowych,
- metody ciągłego śledzenia konfiguracji botnetów, obejmujące rozszerzenia wcześniejszego systemu do ekstrakcji konfiguracji z zebranych próbek złośliwego oprogramowania oraz nowy system emulujący rzeczywiste boty w celu ciągłego śledzenia zmian konfiguracji,
- metodę analizy dialektów SMTP umożliwiająca identyfikację rodzaju oprogramowania klienckiego i serwerowego używanego przy przesyłaniu poczty elektronicznej na podstawie drobnych różnic w implementacji protokołu, możliwą do wykorzystania do niezależnej od treści identyfikacji spamu oraz identyfikacji botnetów odpowiedzialnych za poszczególne kampanie spamowe.
UCZESTNICY PROJEKTU:
- NASK PIB - lider
- MONTIMAGE EURL (Francja)
- CYBERDEFCON LIMITED (Wielka Brytania)
- UNIVERSITAET DES SAARLANDES (Niemcy)
- DEUTCHE TELEKOM AG (Niemcy)
- ECLEXYS SAGL (Szwajcaria)
- POSTE ITALIANE – SOCIETA PER AZIONI (Włochy)
- Stichting The Shadowserver Foundation Europe (Holandia)
PUBLIKACJE NAUKOWE:
- Kijewski, P; Jaroszewski, P; Urbanowicz, J; Jart Armin, The Never-Ending Game of Cyberattack Attribution: Exploring the Threats, Defenses and Research Gaps. Rozdział w książce: Combatting Cybercrime and Cyberterrorism - Challenges, Trends and Priorities; strony 175-192; 2016; Springer International Publishing
- Jart armin, Bryn Thompson, Kijewski, P, Cybercrime Economic Costs: No Measure No Solution, Combatting Cybercrime and Cyberterrorism - Challenges, Trends and Priorities; strony 135-155; 2016; Springer International Publishing
- Bazydło P., Lasota K., Kozakiewicz A. (2017) “Botnet Fingerprinting: Anomaly Detection in SMTP Conversations”. In: IEEE Security & Privacy, vol. 15, no. 6, pp. 25-32, November/December 2017, doi: 10.1109/MSP.2017.4251116