R&D projecten

R&D project – Benchmarking tegen abuse en vulnerabilities

Providers en registrars hebben te maken met twee soorten problemen in hun netwerk die kunnen leiden tot cybercriminaliteit. De eerste soort betreft misbruik, beter bekend met de Engelse term abuse. Het tweede is het probleem van onbekende kwetsbaarheden in systemen en software die worden uitgebuit door kwaadwillenden. Zo zijn hosting providers en registrars ongewild betrokken bij malafide praktijken. Deze providers en registrars weten niet dat dit abuse plaatsvindt.

Soorten abuse en vulnerabilities

Er zijn veel verschillende soorten abuse. Het kan gaan om spam, phishing e-mails, het hosten van kinderporno, malware en vele andere zaken. Zij hebben allen als overeenkomst dat de infrastructuur van een bonafide derde partij zoals een hoster wordt misbruikt voor onrechtmatige activiteiten.

De tweede soort abuse betreft kwetsbaarheden, of in het Engels vulnerabilities, in informatie systemen of diensten die (nog) niet misbruikt worden maar wel tot misbruik kunnen leiden. Hierbij kan gedacht worden aan CMS systemen (bijvoorbeeld Joomla of WordPress) die niet up-to-date zijn en daardoor kwetsbaar zijn voor ongeautoriseerde toegang, webservers waarbij onveilige cryptografie gebruikt wordt waardoor man-in-the-middle-attacks mogelijk worden of DNS-servers met slechte configuraties die daardoor in DDoS-aanvallen misbruikt zouden kunnen worden.

Nieuwe methode om abuse en vulnerabilities op te sporen en te melden

De bestrijding van abuse en het voorkomen van misbruik van vulnerabilities verloopt moeizaam. Providers zijn vaak afhankelijk van meldingen van derden om abuse te detecteren. Maar daarvoor moet wel sprake zijn van betrouwbare melders: je kunt niet lukraak dingen offline halen omdat iemand aangeeft dat er sprake is van abuse. Stichting NBIP ontwikkelt daarom een benchmarkingmethode waarmee detectie en het oplossen van abuse in netwerken effectiever wordt. Door inzet van machine learning worden de juiste meldingen bij de juiste partijen gedaan. Dankzij gamification kunnen eigenaren van netwerken (de hosters en registrars) zien hoe zij presteren bij het tegengaan van abuse in verhouding tot geanonimiseerde peers. Door inzichtelijk te maken hoe goed of slecht netwerken presteren, ontstaat een sterke prikkel te verbeteren.

Uit de proof of concept is gebleken dat deze aanpak werkt. Met ondersteuning van het SIDN Fonds wordt de komende tijd verder gewerkt aan de ontwikkeling van deze methode en onderliggende technologie. Dit zal uiteindelijk onderdeel worden van het abuseplatform.

 

R&D project – DDoS-mitigatie voor afhankelijke netwerken

De NBIP heeft in opdracht van de VVR (Vereniging van Registrars) begin 2019 een onderzoek afgerond naar DDoS-bescherming voor afhankelijke netwerken. Dit zijn bijvoorbeeld hosting bedrijven die wel webhosting diensten aanbieden, maar niet zelf het netwerkbeheer doen (BGP en AS-nummer) in eigen beheer hebben. Dit soort partijen kan niet direct gebruik maken van de Nationale Anti-DDoS Wasstraat (NaWas), maar willen wel websites beschermd hebben. 

Noodzaak voor DDoS-bescherming middels een WAF

Er zijn circa 1200 registrars en 800 providers in Nederland, veel van deze bedrijven bedienen ieder voor zich weer tientallen tot honderden resellers. Het ecosysteem bestaat dus uit vele duizenden bedrijven. Aanvullend op de NaWas dienst zelf is er bij meer partijen behoefte aan de aanvullende dienst om websites te kunnen beschermen op laag 7 niveau (applicatief). Momenteel voldoet de NaWas om ook http/https aanvallen te mitigeren. In de toekomst zal dit moeilijker worden doordat verkeer steeds vaker en beter versleuteld is.

Om DDoS-bescherming voor afhankelijke netwerken te realiseren ontwikkelt de NBIP DDoS-mitigatie op applicatieniveau (laag 7). Deze web application firewall (WAF) is gekoppeld aan de NaWas. Deze DDoS-mitigatie kan geautomatiseerd worden ingezet voor specifieke websites. De WAF wordt opensource ontwikkeld met ondersteuning van het SIDN Fonds.

 

R&D project – DDoS-patroonherkenning

De NBIP is eind 2015, naar aanleiding van de vraag hierom bij deelnemers, een project gestart om te komen tot een DDoS-herkenningstool en de uitwerking van een uniforme DDoS-naamgeving.

Dit project wordt mede ondersteund door het SIDNfonds, dat financiële steun geeft aan projecten die een bijdrage leveren aan “Een sterk internet voor iedereen”.

Dit zijn de hoofddoelstellingen van het project:

  • opzetten van een uniforme DDoS-naamgeving op basis waarvan DDoS aanvallen eenduidig gerapporteerd kunnen worden
  • ontwikkeling van een patroonherkenningstool waarmee het type DDoS automatisch herkend en gerapporteerd kan worden
  • komen tot een patroonherkenningsomgeving waarmee de booter of botnets achter de DDoS-aanvallen herkend kunnen worden

Uitgebreide informatie is te vinden op de projectwebsite: DDoS-patterns.net.