Launching public honeypot as a service for Internet users

Result code in IS VaVaI

<a href="https://www.isvavai.cz/riv?ss=detail&h=RIV%2F67985726%3A_____%2F18%3AN0000001" target="_blank" >RIV/67985726:_____/18:N0000001 - isvavai.cz</a>

Result on the web

<a href="http://haas.nic.cz" target="_blank" >http://haas.nic.cz</a>

DOI - Digital Object Identifier

—

Result language

čeština

Original language name

Zprovoznění veřejného honeypotu jako služby pro uživatele Internetu

Original language description

Veřejný honeypot vytvořený v rámci projektu HaaS (TF02000057) se skládá ze dvou logicky i provozně oddělených částí (softwaru), a to aplikace pro registrace uživatelů a vytváření honeypotů prostřednictvím webového rozhraní a aplikace proxy, kterou si instaluje konečný uživatel. Do konce projektu (31. května 2018) se podařilo do projektu zapojit celkem 2 055 koncových uživatelů, tj. více než čtyřnásobek proti původně plánovanému počtu. Z tohoto počtu tvoří uživatelé routerů TURRIS 73 %, zbylých 27 % pak představují ostatní uživatelé, které se podařilo v průběhu projektu aktivizovat. Na veřejném honeypotu bylo zaznamenáno celkem více než 68 mil. sezení a téměř 40 mil. příkazů (někteří útočníci neuskutečnili žádný příkaz), během kterých došlo k zachycení celkem 7 224 unikátních souborů o celkové velikosti více než 6 GB. Na každého uživatele v rámci projektu připadlo průměrně 219 útoků denně1, které projekt pomohl ochránit před kybernetickými útoky.

Czech name

Zprovoznění veřejného honeypotu jako služby pro uživatele Internetu

Czech description

Veřejný honeypot vytvořený v rámci projektu HaaS (TF02000057) se skládá ze dvou logicky i provozně oddělených částí (softwaru), a to aplikace pro registrace uživatelů a vytváření honeypotů prostřednictvím webového rozhraní a aplikace proxy, kterou si instaluje konečný uživatel. Do konce projektu (31. května 2018) se podařilo do projektu zapojit celkem 2 055 koncových uživatelů, tj. více než čtyřnásobek proti původně plánovanému počtu. Z tohoto počtu tvoří uživatelé routerů TURRIS 73 %, zbylých 27 % pak představují ostatní uživatelé, které se podařilo v průběhu projektu aktivizovat. Na veřejném honeypotu bylo zaznamenáno celkem více než 68 mil. sezení a téměř 40 mil. příkazů (někteří útočníci neuskutečnili žádný příkaz), během kterých došlo k zachycení celkem 7 224 unikátních souborů o celkové velikosti více než 6 GB. Na každého uživatele v rámci projektu připadlo průměrně 219 útoků denně1, které projekt pomohl ochránit před kybernetickými útoky.

Type

Z_polop - Pilot plant

CEP classification

—

OECD FORD branch

20202 - Communication engineering and systems

Project

<a href="/en/project/TF02000057" target="_blank" >TF02000057: Honeypot as a Service</a><br>

Continuities

P - Projekt vyzkumu a vyvoje financovany z verejnych zdroju (s odkazem do CEP)

Publication year

2018

Confidentiality

C - Předmět řešení projektu podléhá obchodnímu tajemství (§ 504 Občanského zákoníku), ale název projektu, cíle projektu a u ukončeného nebo zastaveného projektu zhodnocení výsledku řešení projektu (údaje P03, P04, P15, P19, P29, PN8) dodané do CEP, jsou upraveny tak, aby byly zveřejnitelné.

Internal product ID

HaaS

Numerical identification

2016TF02000057

Technical parameters

Pro centrální honeypot byl jako základ využit Cowrie honeypot. Modifikovaná verze Cowrie honeypotu je dostupná jako open-source v rámci Git repositáře na adrese https://gitlab.labs.nic.cz/haas/cowrie. Na cílovém honeypotu, na který byli útočníci přesměrováváni, bylo po dobu řešení projektu celkem zaznamenáno více než 68 mil. sezení a téměř 40 mil. příkazů (někteří útočníci neuskutečnili žádný příkaz), viz. graf. Tito útočníci nahráli na server (honeypot) celkem 7 224 unikátních souborů o celkové velikosti více než 6 GB. Ve spolupráci s tchaj-wanským partnerem - Institute for Information Industry (III) následně probíhala analýza zachycených souborů, zejm. pak získaných vzorků malware. Z výsledků analýzy vyplynulo, že největší objem zachycených dat představují binární soubory a (často samo spustitelné) skripty, zbytek pak HTML či textové dokumenty či komprimované soubory. Co se týče cílových architektur, zachycené binární soubory byly velmi rozmanité - od ARM přes MIPS až po x86 včetně nejrůznějších pod-variant. Dva největší soubory měly stejný začátek jako instalační media Debian 9.3 a Linux Mint 18.3 což se dá nejpravděpodobněji vysvětlit snahou útočníků ověřit, kolik si můžou na nově získaný stroj uložit dat.

Economical parameters

Na každého uživatele v rámci projektu připadlo průměrně 219 útoků denně, které projekt pomohl ochránit před kybernetickými útoky a přesměrovat je na centrální honeypot. Hlavní využití výsledků projektu Honeypot jako služba je plánováno v rámci sdružení CZ.NIC, konkrétně pak v rámci distribuce routerů TURRIS Omnia a od konce roku 2018, resp. začátku 2019 rovněž v nové generaci těchto zařízení distribuovaných pod názvem TURRIS Mox. Podle odborných odhadů bezpečnostní divize McAffee kybernetický zločin v zemích EU způsobuje ztrátu ve výši 0,41 % HDP. V případě České republiky se tak jedná o přibližně 18 - 19 mld. Kč ročně. Díky kvantifikaci útoků je možné tak výstupy projektu využít rovněž jako argument pro prodej bezpečnostních routerů.

Application category by cost

—

Owner IČO

67985726

Owner name

CZ.NIC, z. s. p. o.

Owner country

CZ - CZECH REPUBLIC

Usage type

N - Využití výsledku jiným subjektem je možné bez nabytí licence (výsledek není licencován)

Licence fee requirement

—

Web page

haas.nic.cz