Superscience: Internet kan veel veiliger en betrouwbaarder

Maar er bestaat al jaren een sterke band  tussen de universiteit en SIDN Labs, de onderzoekstak van SIDN. Deze private organisatie met een publieke taak, zoals Hesselman SIDN omschrijft, is de beheerder van het .nl-topleveldomein, zeg maar alle domeinnamen die eindigen op .nl. SIDN heeft afspraken gemaakt met de overheid over het zo veilig en betrouwbaar mogelijk houden van het nationale internetdomein

Verleden

Ook bij de Universteit Twente - waar Hesselman ooit studeerde -  is veel aandacht voor dit onderwerp in de vakgroep Design and Analysis of Communication Systems (DACS). "Tot nu toe ligt het accent van de vakgroep vooral op de A, dus metingen aan het Domian Name System (DNS) ofwel aan het routeringssysteem, wat we ook veel doen bij SIDN Labs. De D van Design in DACS was wat onderontwikkeld." Daar komt nu verandering in met zijn leerstoel Trusted Open Networking. "We kijken naar betere netwerkontwerpen in het licht van meer digitale autonomie."

Maar er is veel meer overlap tussen SIDN Labs en de DACS-vakgroep. Zo is er een gemeenschappelijke meetinfrastructuur genaamd OpenINTEL, waar ook SURF en NLnet Labs aan deelnemen. "Die is In 2015 opgezet. Daarmee doen we samen voortdurend metingen aan de DNS infrastructuur mee. Wat zijn de ontwikkelingen? Wat zijn de security trends, bijvoorbeeld?"

Heden

Het gezamenlijk onderzoek van SIDN Labs en DACS spitst zich toe op drie thema's, legt Hesselman uit.

Network security

Dan gaat het om kern van de infrastructuur, dus denk aan het DNS en het BGP (Border Gateway Protocol) dat een belangrijke relatie heeft met DNS, maar ook met time services, dus het NTP protocol. Belangrijke onderwerpen zijn daarbij bijvoorbeeld DNSSEC - de beveiligde vorm van DNS - om dit ook in de toekomst - als kwantumcomputers beschikbaar zijn - nog veilig te laten werken. SIDN Labs- en UTwente-collega Moritz Müller bijvoorbeeld zocht tijdens zijn promotieonderzoek uit, samen met TNO en NLnet Labs, wanneer je zou moeten beginnen met de implementatie van zo'n 'kwantumveilig'-protocol. Het uitgangspunt is dat kwantumcomputers over tien jaar krachtig genoeg zijn en beschikbaar om de huidige DNSSEC-beveiliging te kraken. Dan blijkt opeens dat er veel haast moet worden gemaakt want het proces rond de implementatie van nieuwe DNS-beveiligingsalgoritmen duurt minimaal vijf jaar.

Andere collega's kijken weer naar hoe een DNS-infrastructuur het best ontworpen en ingericht kan worden. "Waar kun je het best de nameservers van het .nl-domein neerzetten om het verkeer zo efficiënt mogelijk te laten verlopen? Als je een Nederlandse website opvraagt in Miami, kom je dan uit bij een nameserver in Miami of gaan sommige verzoeken alsnog helemaal via Amsterdam?" Een goede dimensionering van de DNS-infrastructuur zorgt voor een snelle responstijd maar bijvoorbeeld ook voor een betere weerbaarheid (resilience) tegen DDoS-aanvallen.

Domainname security en IoT security

Bij dit onderzoek gaat het bijvoorbeeld om het geautomatiseerd vinden van ‘fake webshops’, bedoeld om bezoekers gevoelige informatie af te troggelen of te besmetten met malware. Daarbij is er nog een verschil tussen domeinnamen die voor malafide doeleinden zijn geregistreerd en domeinnamen die zijn gehackt. "Dat is een belangrijk verschil als je er iets tegen wil ondernemen."

Het thema IoT-security is in 2017 gestart naar aanleiding van een grote DDoS-aanval op de commerciële DNS-operator Dyn waardoor wereldwijd verstoringen optraden bij diensten als Twitter, Reddit, Netflix en Spotify. Het bleek dat de DDoS-aanval was opgezet met het Mirai-botnet dat een paar honderdduizend IoT-apparaatjes had geïnfecteerd. "Ons idee was toen om routers in je thuisnetwerk te voorzien van software die afwijkend gedrag detecteert. Die kan een waarschuwing geven of eventueel de betreffende apparaatjes gelijk afsluiten."

Dit SPIN-project is eind vorig jaar op een laag pitje gezet. "We hadden een versie 1.0 van de software klaar en hebben toen besloten de verdere ontwikkeling over te laten aan de open source community." Dat de SPIN-software nog niet in elke router zit, heeft er volgens Hesselman mee te maken dat de routermarkt dunne marges kent. "Regelgeving die ISP's verplicht een methode te hebben om besmette IoT-apparaten te herkennen, zou daarbij helpen." Zoiets is wel in de maak met een uitbreiding van de minimale security requirements in de Europese Radio Equipment Directive (RED). Die is vorig jaar geadopteerd door de Europese Commissie.

Secure Future Internet

Het doel van het thema 'Secure Future Internet' is om bijvoorbeeld beheerders van kritieke infrastructuur meer inzicht te geven over hoe data over internet gaat. Het BGP beslist welke routes de beste verbinding leveren. Door te rommelen met de configuratie daarvan, kan het zo maar gebeuren dat verkeer met een lokale bestemming via servers in China, Rusland of Iran loopt. Door zich te richten op programmeerbare netwerkverbindingen mikken de onderzoekers in het thema Secure Future Internet op meer transparantie in dat proces en uiteindelijk ook de mogelijkheid zelf invloed uit te oefenen op het kiezen van veilige routes.

Naast deze onderzoekslijnen werkt Hesselman bij SIDN en de Universiteit Twente aan het DDoS Clearing House. Het is een Europees project onder de vlag van het EU-programma CONCORDIA waarin naast de Universiteit Twente en SURF ook Telecom Italia, de Universiteit van Zürich, het Griekse onderzoeksinstituut FORTH en Siemens deelnemen. Daarin ontwikkelen zij een methode waarmee slachtoffers van een DDoS-aanval een 'vingerafdruk' van de aanval kunnen maken en delen met andere partijen. Die kunnen zich dan voorbereiden om in voorkomende gevallen eenzelfde aanval sneller af te wenden dan zonder deze voorkennis. De Nederlandse Anti-DDoS-coalitie, een samenwerking van 17 partijen uit verschillende sectoren, is nauw betrokken bij deze ontwikkeling van het clearinghouse en gaat dit uiteindelijk ook gebruiken.

Toekomst

Hesselman: "Het gebruik van internet neemt steeds verder toe en helaas ontstaan er ook steeds nieuwe vormen van misbruik van internet. Veel meten aan de infrastructuur helpt daar zicht op te houden. Dat geldt zowel op het gebied van domeinnamen als DNS-infrastructuur. DNS is de core van de SIDN-organisatie. We moeten top-expertise hebben en houden op het gebied van DNS, BGP en NTP en daar hoort ook onderzoek bij. Maar dat kun je nooit in je eentje."