Český a slovenský internet - budúcnosť a pravek

Takto nejako by som jednou vetou zhodnotil stav správcov domény najvyššej úrovne. SK-NIC, a.s. dlhé roky vnímam ako nevyhnutné zlo z dôvodu obštrukcii pri registrácii .SK domény. Stačí si otvoriť web a preklikať názvy formulárov, vysvetlívky a podobne. Proste všetko byrokraticky komplikovať maximálne ako sa dá.

To, že bratia Česi sú na tom diametrálne odlišne registrujem už roky, najmä kvôli verejne prospešným aktivitám, ktoré NIC.CZ vyvíja a sú neprehliadnuteľné. Stačí spomenúť vývoj open-source aplikácii, ktoré sa stávajú štandardom, publikáciami, osvetou, bezpečnosťou, projektom vlastného routera a v neposlednej rade aj konferenciou.

A práve konferencia Internet a technologie 14.2, ktorá sa konala minulú sobotu 29. novembra v priestoroch Fakulty informačních technologií ČVUT v Prahe som si nenechal ujsť. Dvojka za štrnástkou znamená, že išlo už o druhé takéto podujatiet tento rok. Tu sú moje krátke poznámky z jednotlivých prezentácii.

Měření výkonu síťových karet

• merania prebiehali pre aplikáciu Knot DNS v laboratórnych podmienkach, najmä UDP v malých paketoch
  maju vlastný DDOS generátor
• výkon 10GbE a 1GbE kariet sa veľmi nelíši
• BSD ma oveľa lepšie sieťovanie než Linux
• IPv6 v Linuxe dosť zaostáva za IPv4
• pre testovanie sa použil EdgeCore AS5600-52X 10GbE switch, Cumulus Linux OS (Debian)
• meranie spočívalo v počítaní counterov TX/RX
• najlepšie obstáli karty s chipsetom Mellanox ConnectX-3 (~1.32Mpps v oboch smeroch), ďalej Intel X520 a Chelsio T520
• naopak najhoršie zase Broadcom 57810 a QLogic 8262
• testovalo sa v defaultnej konfigurácii poslednej verzii Ubuntu

Reverzování NFC platebních karet

• čítanie pasívneho tagu je možné na 25 cm
• keď je nadviazaná komunikácia je možné ju odpočúvať na vzdialenosť 2,4 m
• dve karty vedľa seba (napríklad v peňaženke) sa nerušia, čítačka vie vybrať špecifický tag
• je možné sniffovat platby vo vzduchu
• NFC anteny v tabletoch a mobiloch sú veľmi zle
• lepšie je vyrobiť proxy a dáta tunelovať, napríklad cez Android telefón

Vývoj počtu napadnutelných routerů s chybou rom-0

• chyba umožňuje vyexportovať a stiahnuť konfiguráciu routeru, aj s heslami
• scannovali celý internet v rôznych časových intervaloch, zraniteľnosť má klesajúci trend

Knot DNS Resolver

• Knot DNS bude v Debiane, konkrétne verzia 1.6 LTS
• tento DNS server používa na doméne .CZ 8 z 22 anycast DNS serverov
• svoje meno má aplikácia a aj v zahraničí, používa sa v organizáciach, ktoré priamo zabezpečujú chod internetu vo svete
• Knot DNS Resolver bude opäť open source projekt
• má poskytnúť vysoký výkon v single aj multi nasadení
• https://gitlab.labs.nic.cz/knot/resolver
• teraz len vo vývoji

Projekt Turris - blok prednášok

• vo februári toht roka začali distribuovať router medzi záujemcov 1000 routerov medzi užívateľmi
• tí prenesú 6TB dat denne, z toho ~1% tvorí IPv6 traffic
• bolo vydaných 8 aktualizácii OS pre router
• merá sa kvalita linky, tak isto aj útoky, malware a pod. všetko sa vyhodnocuje do štatistík https://www.turris.cz/en/global-stats/
• po hardvérovej štránke sa pripravuje verzia 1.1, ktorá bude aj poslednou verziou, už teraz uvažujú čo bude ďalej s projektom
• jednou z možností je https://lite.turris.cz/en/
• ďalšou spojenie s domácim alarmom

TurriSoutěž aneb Ukažte, co umí jen Váš Turris

• súťaž pre majiteľov routera
• riešili najmä inteligentnú domácnosť, ovládanie rôznych zariadení, meranie teploty a podobne
• úplne mega bol ale „kutil“ posadnutý časom s jeho projektom http://oskar456.github.io/turrisclock/

BIRD Internet Routing Daemon

• beží na Linuxe a BSD http://bird.network.cz/
• je napísaný v jazyku C
• CLI - plnohodnotné a odľahčené
• sám sa vie rekonfigurovať, netreba ho reštartovať
• verzia 1.5 bude posledná v tejto vetve verzii
• začiatkom roku 2015 vyjde testovacia vetva 2.x a bude integrovať naraz IPv4 aj IPv6 - príprava pre IS-IS
• stabilná vetva bude 3.x a bude uvoľnená koncom roka 2015
• v NIX.cz je 130 BGP relácií a konfig má 4 milióny znakov, aktualizuje sa každé dve hodiny
• je na viac ako 50% routovacích serverov na svete
• používa ho Netflix vo svojej CDN
• najvyšší support v edícii Gold stojí 20 tisíc a Platinum 50 tisíc euro, aj keď sú lacnejšie tak IXP kupujú len tieto dva = perfekný príklad ako zarábať na open source projekte
• pribudne XMPP podpora pre komunikáciu (zasielanie správ)

Užitočne zraniteľné servery

• využívajú http://honeynet.org/
• https://github.com/rep/hpfeeds protokol, honeymap
  používajú emulované honeypot-y (low interaction)
• honeywall CDROM https://projects.honeynet.org/honeywall/ - ukladá traffic do pcap súborov
• http://dionaea.carnivore.it/ - zraniteľnosť systému Windows, za tento rok našli 675 vzoriek malware
• https://github.com/desaster/kippo - SSH honeypot, zachytáva čo robí v konzole, fs.pickle - sleduje čo robí malware so súbormi, ttylog, kippo-graph
• https://github.com/trustedsec/artillery - detekuje komunikáciu na portoch, zabanuje IP cez iptables
• http://glastopf.org/ - zámerne zraniteľná webová aplikáciaa, dork pages, 1923 requestov za mesiac, dominujú utoky na PhpMyAdmin
• http://conpot.org/ - simuluje priemyselné zariadenia (rozvody vody, elektriny, plynu), 13080 requestov za 3 mesiace, 82% ide na HTTP

Čo dodať na záver? Len na máloktorm podobnom podujatí sa dá stihnúť takmer 20 prezentácií za deň. Z toho väčšina pre mňa s veľkým prínosom (to sú tie čo sú tu vypísané). K tomu super prostredie, občerstvenie aj jedlo počas celého dňa. Možnosť stabilne sa pripojiť na WiFi, ktoré zabezpečovali práve tri Turris routre a to aj cez IPv6. Inak prekvapil ma počet slovákov medzi zamestnancami CZ.NIC ale ja návštevníkmi.

Ja som nadšený a stále nejako predýchávam (v pozitívnom slova zmysle) čo všetko sa dá robiť v laborátoriach národného správcu domený. Klobuk dole.