Bezpečná komunikace díky umělé inteligenci DNS resolveru
20. 5. 2020
V současné době je téměř všechno důležité připojené na internet. I na věcech, které dříve vůbec žádné připojení nepotřebovali, dneska najdete datový konektor.
Spolehlivý internet pro domácnosti znamená zábavu, vzdělání, internetovou kabelovou televizi, možnosti dálkové ovládání termostatu či zabezpečení bytu či domu. Je to čtvrtá průmyslová revoluce, ale kromě možností přináší i rizika.
Celosvětový provoz internetu je složitý, jde o otevřenou strukturu, a každý může komunikovat s každým. Toho využívají různé organizace, které nemají dobré úmysly. Jejich cílem je proniknutí do počítače kohokoliv z nás, a pomocí umělé inteligence najít hodnotná data. Zločinci se snaží ovládnout i domácí síť, aby s její pomocí šířili skrytě svůj kód do světa. Je tolik možných hrozeb, ale každý malware potřebuje komunikovat z napadené sítě ven. Chce naše sítě ovládnout a komunikovat z nic. A zde je jeho slabina.
TIP: Přečtěte si také náš článek DDoS útoky a projekt Fénix
Jak funguje komunikace domácnosti?
K pochopení klíče k bezpečnosti na internetu je potřeba zjednodušen popsat, jak komunikace domácnosti funguje. Data, která si z prostoru stahujete, včetně těch rizikovým, legálně příliš analyzovat operátor nemůže. Pokud nejde o očividný útok, bez vyžádání klienta blokovat příchozí komunikaci operátor nesmí. Záleží na zákazníkovi, jestli si nastaví účinný firewall, zda má nainstalovaný aktualizovaný operační systém a antivirový program.
Odchozí komunikaci každý domácí router směruje na DNS server svého operátora. Takové zařízení překládá doménová jména na IP adresy cílových serverů a umožňují tak směrovat komunikaci k cílové adrese. Přes DNS server odchází každá komunikace, dokonce i komunikace skrytého škodlivého kódu v domácím počítači, nebo zabezpečovací kameře.
Česká společnost Whalebone, za podpory ČVUT v Praze zkoumá možnosti využít umělou inteligenci při obraně domácností před následky infekce počítačových sítí. Vyvinula neuronovou síť automaticky detekující DGA komunikaci v DNS provozu operátorů. V kombinaci s průběžným sdílením dat o hrozbách s ostatními organizacemi zabývajícími se bezpečností představuje naprostou špičku v ochraně uživatelů. Není efektivně možné reagovat na hrozby generované automaticky, pomocí umělé inteligence botů, bez použití stejné medicíny. Neuronová síť Whalebone pomocí umělé inteligence vytváří velmi přesný seznam cílových adres, které používají různé viry pro komunikaci z napadeného zařízení. Whalebone pomocí automatického rozpoznávání znaků společných pro komunikaci škodlivého kódu blokuje, anebo nabízí administrátorovi k blokování odesílání dat z napadených zařízení. Umělá inteligence kombinuje znalost již popsaných hrozeb s miliony údajů, které tato neuronová síť vyčítá z hlídaného provozu.
Vyhodnocené údaje předává přímo do DNS resolveru, který tak s neuvěřitelnou přesností blokuje komunikaci a šíření virů po internetu.
Z přiloženého grafu je vidět počet dotazů z jednoho segmentu sítě.
V období od 11.9. do 23.9. bylo detekováno 30 000 dotazů na malware, dotazy na hrozby vyhodnocené jako ovládnutí počítače botnet sítí bylo 68 000, a zákazníci operátora se celkem 1000 x málem stali obětí phising útoku. Je pravda, že graf pochází z období dopravní špičky botnetů. Ale každý další graf ukazuje, že opatření pro bezpečnost jsou i u domácností na místě.
Chtěli byste zjistit, jestli Vaše IP adresa byla někdy použitá pro komunikaci botů a taková komunikace byla vyhodnocená jako riziková? Zkuste svoji IP adresu otestovat zde, https://amihacked.turris.cz/. Bezpečností na internetu se zabývá i projekt Turris českého správce doméc, sdružení CZ.NIC.
V některém dalším článku se budeme věnovat domácímu firewallu a možnostem zabránění infekcí. Zejména v době rozšiřujícího se počtu zařízení a služeb, které všichni používáme, je metoda zabránění šíření komunikace nejúčinnější. Chrání nás umělá inteligence, neuronová síť, která analyzuje všechny hrozby v provozu a chrání nás na pozadí, bez snížení komfortu při vyžívání služeb internetu příští generace.
Slovník pojmů:
Denial of Service (DoS)
Typ útoku na internetovou službu, jejíž cílem je vyřadit danou službu z provozu. Tohoto cíle často dosahuje posíláním velkého množství dotazů na danou službu, nebo využití chyby na straně služby. Často je používána distribuovaná verze tohoto útoku (DDoS), která k útoku využívá velké množství různých rozptýlených strojů. V provozu je častým indikátorem velké množství (sto až tisíci násobek) dotazů za krátkou dobu (pár hodin, maximálně pár dnů).
DDoS Slow drip
Tento typ útoku využívá velké množství strojů k zaslaní relativně malého množství podvržených dotazů na cílové servery. Útočník si zakoupí doménu xyz.com a záznamy o jejích name serverech nasměruje na oběť (kvalitni-internet.cz). Dotaz je prováděn na výchozí DNS resolvery infikovaného stroje. Resolvery následně kontaktují name servery spravující cílovou doménu (xyz.com). Infikovaný stroj vygeneruje útok na velké množství náhodných a neexistujících domén druhého řádu (sdvpanva641vd.xyz.com). První, kdo tento dotaz dostane, je cache DNS resolveru, která tyto záznamy nemá u sebe zaznamenané. Proto je nutné, aby se resolvery ptaly dále autoritativních name serverů dané domény (xyz.com), čímž zahlcují nameservery kvalitni-internet.cz, které nejsou schopny odpovědět. Výsledná odpověď je tedy SERVFAIL (resolver není schopen vyhovět klientovi).
Domain Generation Algortihms (DGA)
Botnety založené na Domain Generation Algorithm (DGA) vyhledávájí svůj řídící C&C (Control and command) server tak, že generují množinu domén, která se může v čase lišit (typicky se generuje denně). Majitel botnetu si dopředu jednu z takových domén registruje, a tak zajistí, že infikované stroje budou schopny kontaktovat C&C server a převzít si nové instrukce.
Neuronová síť Whalebone detekuje náhodně vypadající domény, např. ywhwroqfqd.com, ysxmushmjr.info
Botnet
Skupina infikovaných a ovládnutých stojů, které jsou řízeny z kontrolního centra (c&c), sloužící k DDoS útokům, rozesílání spamu, útoky na bankovní účty atd.
Aktualizace 16.2.2024
