Zprovoznění veřejného honeypotu jako služby pro uživatele Internetu

Kód výsledku v IS VaVaI

<a href="https://www.isvavai.cz/riv?ss=detail&h=RIV%2F67985726%3A_____%2F18%3AN0000001" target="_blank" >RIV/67985726:_____/18:N0000001 - isvavai.cz</a>

Výsledek na webu

<a href="http://haas.nic.cz" target="_blank" >http://haas.nic.cz</a>

DOI - Digital Object Identifier

—

Jazyk výsledku

čeština

Název v původním jazyce

Zprovoznění veřejného honeypotu jako služby pro uživatele Internetu

Popis výsledku v původním jazyce

Veřejný honeypot vytvořený v rámci projektu HaaS (TF02000057) se skládá ze dvou logicky i provozně oddělených částí (softwaru), a to aplikace pro registrace uživatelů a vytváření honeypotů prostřednictvím webového rozhraní a aplikace proxy, kterou si instaluje konečný uživatel. Do konce projektu (31. května 2018) se podařilo do projektu zapojit celkem 2 055 koncových uživatelů, tj. více než čtyřnásobek proti původně plánovanému počtu. Z tohoto počtu tvoří uživatelé routerů TURRIS 73 %, zbylých 27 % pak představují ostatní uživatelé, které se podařilo v průběhu projektu aktivizovat. Na veřejném honeypotu bylo zaznamenáno celkem více než 68 mil. sezení a téměř 40 mil. příkazů (někteří útočníci neuskutečnili žádný příkaz), během kterých došlo k zachycení celkem 7 224 unikátních souborů o celkové velikosti více než 6 GB. Na každého uživatele v rámci projektu připadlo průměrně 219 útoků denně1, které projekt pomohl ochránit před kybernetickými útoky.

Název v anglickém jazyce

Launching public honeypot as a service for Internet users

Popis výsledku anglicky

Public honeypot created within the HaaS project (TF02000057) consists of two logically and operationally separate parts (software), that means an application for registering users and creating honeypots through a web interface and a proxy application that is installed by the end user. By the end of the project (May 31, 2018), we succeeded to involve a total of 2 055 end users in the project, i.e. more than four times more than the originally planned number. Of this number, TURRIS router users comprise 73%, the remaining 27% are the other users who were successfully engaged during the project. A total of more than 68 million sessions and almost 40 million commands (some of the attackers did not make any commands), during which a total of 7224 unique files were captured of total size of more than 6 GB were recorded on a public honeypot. Each user within the project got an average of 219 attacks per day which the project helped to protect from cyber attacks.

Druh

Z_polop - Poloprovoz

CEP obor

—

OECD FORD obor

20202 - Communication engineering and systems

Projekt

<a href="/cs/project/TF02000057" target="_blank" >TF02000057: Honeypot jako služba</a><br>

Návaznosti

P - Projekt vyzkumu a vyvoje financovany z verejnych zdroju (s odkazem do CEP)

Rok uplatnění

2018

Kód důvěrnosti údajů

C - Předmět řešení projektu podléhá obchodnímu tajemství (§ 504 Občanského zákoníku), ale název projektu, cíle projektu a u ukončeného nebo zastaveného projektu zhodnocení výsledku řešení projektu (údaje P03, P04, P15, P19, P29, PN8) dodané do CEP, jsou upraveny tak, aby byly zveřejnitelné.

Interní identifikační kód produktu

HaaS

Číselná identifikace

2016TF02000057

Technické parametry

Pro centrální honeypot byl jako základ využit Cowrie honeypot. Modifikovaná verze Cowrie honeypotu je dostupná jako open-source v rámci Git repositáře na adrese https://gitlab.labs.nic.cz/haas/cowrie. Na cílovém honeypotu, na který byli útočníci přesměrováváni, bylo po dobu řešení projektu celkem zaznamenáno více než 68 mil. sezení a téměř 40 mil. příkazů (někteří útočníci neuskutečnili žádný příkaz), viz. graf. Tito útočníci nahráli na server (honeypot) celkem 7 224 unikátních souborů o celkové velikosti více než 6 GB. Ve spolupráci s tchaj-wanským partnerem - Institute for Information Industry (III) následně probíhala analýza zachycených souborů, zejm. pak získaných vzorků malware. Z výsledků analýzy vyplynulo, že největší objem zachycených dat představují binární soubory a (často samo spustitelné) skripty, zbytek pak HTML či textové dokumenty či komprimované soubory. Co se týče cílových architektur, zachycené binární soubory byly velmi rozmanité - od ARM přes MIPS až po x86 včetně nejrůznějších pod-variant. Dva největší soubory měly stejný začátek jako instalační media Debian 9.3 a Linux Mint 18.3 což se dá nejpravděpodobněji vysvětlit snahou útočníků ověřit, kolik si můžou na nově získaný stroj uložit dat.

Ekonomické parametry

Na každého uživatele v rámci projektu připadlo průměrně 219 útoků denně, které projekt pomohl ochránit před kybernetickými útoky a přesměrovat je na centrální honeypot. Hlavní využití výsledků projektu Honeypot jako služba je plánováno v rámci sdružení CZ.NIC, konkrétně pak v rámci distribuce routerů TURRIS Omnia a od konce roku 2018, resp. začátku 2019 rovněž v nové generaci těchto zařízení distribuovaných pod názvem TURRIS Mox. Podle odborných odhadů bezpečnostní divize McAffee kybernetický zločin v zemích EU způsobuje ztrátu ve výši 0,41 % HDP. V případě České republiky se tak jedná o přibližně 18 - 19 mld. Kč ročně. Díky kvantifikaci útoků je možné tak výstupy projektu využít rovněž jako argument pro prodej bezpečnostních routerů.

Kategorie aplik. výsledku dle nákladů

—

IČO vlastníka výsledku

67985726

Název vlastníka

CZ.NIC, z. s. p. o.

Stát vlastníka

CZ - Česká republika

Druh možnosti využití

N - Využití výsledku jiným subjektem je možné bez nabytí licence (výsledek není licencován)

Požadavek na licenční poplatek

—

Adresa www stránky s výsledkem

haas.nic.cz