ARFA - jak spółka skarbu państwa przesiewa żwir

23 Lipca 2021

Jak powszechnie wiadomo, praca w spółce Skarbu Państwa nie jest tańcem po płatkach róż i na polecenie Zarządu trzeba czasem przesiewać żwir. Do przesiewania żwiru służy proste urządzenie techniczne, które nazywa się ARFA (za: Słownik języka polskiego PWN).

Zgodnie z właściwością operatora telekomunikacyjnego EXATEL zajmuje się zatem przesiewaniem cyberżwiru, a konkretnie pakietów telekomunikacyjnych w łączu o wysokiej przepływności. Pierwsze podejście do problemu zrobiliśmy w projekcie TAMA. To użyteczne narzędzie, o którym już kiedyś pisaliśmy, służy do oddzielania cyberpiasku od cyberpopiołu, i codziennie używa go nasz Cyberkopciuszek, czyli Security Operations Center. Używa, ponieważ narzędzie wdrożyliśmy i codziennie generuje przychody do budżetu państwa. „TOTO buduje stadiony” – było takie hasło za Gierka, pamiętam z wózeczka.

Projekt TAMA powstał dzięki wsparciu Narodowego Centrum Badań i Rozwoju i stanowił dla EXATEL pierwszy krok na drodze operatora telekomunikacyjnego do zwiększenia autonomii technologicznej. Skoro mamy już w sieci polskie światłowody z firmy z Podkarpacia, kładzione przez naszą spółkę córkę Energotel, to czemu nie rozwijać dalej portfolio produktów? Czy Polska jedynie pracownikiem niewykwalifikowanym stoi?

Nie boimy się też zarzutów o ksenofobię gospodarczą, bo nasze projekty wpisują się w agendę europejską: budowy gospodarki opartej na wiedzy, co stanowiło założenie Strategii Lizbońskiej. Każdy projekt polski jest zarazem produktem europejskim, czyż nie? Europa wie, że przemysł wysokich technologii musi się rozwijać w krajach członkowskich, czego niejeden dowód można znaleźć w Krajowym Planie Odbudowy, czy w projektach zgłoszonych do IPCEI (Important Project of Common European Interest). Europa nie definiuje wspólnej polityki R&D, co oznacza, że każde państwo członkowskie ma w tym zakresie swobodę, a więc mogą technologię rozwijać Niemcy, Francuzi, Włosi, Szwedzi i tak samo Polacy.

Do czego zatem służy ARFA i czemu nasz apetyt rośnie w miarę jedzenia?

Potrzeba wielu lat inwestycji, żeby dogonić klasę światową, ale kiedy się już ją osiągnie wszystko staje się prostsze. Ataki wolumetryczne, które nauczyliśmy się odpierać w projekcie TAMA to tylko jeden z rodzajów ataków sieciowych. Istnieje wiele ataków, które są równie skuteczne a nie wymagają miliona pakietów, przez co łatwiej mogą prześlizgnąć się przez oczka sieci. Potrzebna jest nowa sieć na taki żwir, stąd ARFA. Znany był w historii choćby tak zwany „Ping of death”, pojedynczy pakiet, który potrafił wyłączyć system Windows.

Gdzie TAMA nie może tam ARFA pośle

ARFA obejmuje różne obszary, których nie objęła TAMA, a ich wspólnym mianownikiem są ataki na dostępność usługi. Taki atak można wykonać na wiele sposobów. Można obciążyć serwer zapytaniami szyfrowanymi, w których rozpięcie tunelu TLS między klientem a serwerem wymaga dużej mocy obliczeniowej. Takich zapytań nie musi być dużo: jeśli wie się, które z nich bardziej boli może być ich zdecydowanie mniej niż nominalna przepływność łącza. Taką analizę wykonali dla nas w zeszłym roku akademickim studenci wydziału Matematyki i Nauk Informacyjnych Politechniki Warszawskiej (w ramach zajęć na studiach dziennych!!). I oni, i my mieliśmy świetną zabawę. Ta zabawa zresztą będzie jeszcze lepsza, jeśli wejdą do użytku algorytmy postkwantowe, które są wprawdzie niemożliwe do złamania komputerem kwantowym, za to są grube w transmisji i ciężkie do liczenia, nawet jeśli coś się nazywa Tiny McEliece.

ARFA do przesiewania strumieni

ARFA popatrzy zatem na wszystkie zapytania (Tak, nadal mówimy o łączu rzędu 100 Gbit. Nie, nie zwariowaliśmy.), ponieważ w przeciwieństwie do TAMA będzie już umiała składać strumienie TCP. A w zapytaniach sami wiecie dużo już zależy od kontekstu: możemy mieć ataki na DNS, na serwery pocztowe, webowe, LDAP. Nawet jeśli nie jesteś celem możesz łatwo zostać reflektorem, wystarczy protokół RDP popularnego systemu drzwi i okien a dzięki niemu i ty zostaniesz reflektorem i będziesz uczestniczył w zmasowanym ataku na jakiś niewinny (zapewne) serwer. Frajda, nie? Operator też się cieszy, bo ma na łączu ruch powyżej 95 centyla, faktura do klienta przyjdzie pod koniec miesiąca. To ostatnie to oczywiście dowcip, nie zamierzamy na brudnym ruchu budować strategii biznesowej EXATEL.

Border Gateway Protocol albo urząd pocztowy internetu

Last but not least, dajemy reflektor na protokół BGP, którego rolę można streścić w zdaniu „co mam zrobić z pakietem o takim dest IP, który trzymam w ręku” i co można przy pomocy BGP nawywijać. Bo oczywiście cieszymy się jak ruch sieciowy do nas dojdzie. Ale czy cieszymy się, że pakiety dajmy na to z Niemiec do Polski przeleciały jakimś cudem przez Koreę Północną? Najczęściej nawet tego nie wiemy, tak długo jak długo w ogóle dochodzą. Taki trochę paradoks, bo w sumie lepiej, gdyby były nie doszły, bo byśmy się kapnęli, że coś jest na rzeczy. Jak mówi stare bezpieczniackie przysłowie: lepiej, jeśli Cię przyjaciel obudzi, niż gdyby wróg miał Cię kołysać do snu.

Skoro takie historie zdarzają się ostrożnym zazwyczaj Szwajcarom (atak BGP leak) to uznaliśmy, że trzeba się tematowi przyjrzeć, a co wypatrzymy to opowiemy. Czy raczej Politechnika Śląska, bo to ich dzielna ekipa wzięła temat na warsztat. Mieliśmy już dwa spotkania i świetnie się bawimy merytorycznie.

Pan pakiet w Brazylii

Takich historii dużo bywa, tu wstawka dla nerdów: siedzę sobie kiedyś na mojej Alma Mater i myślę, a pingnę se router i patrzę a 192.168.1.1 odpowiada pakietem odległym o 20 hopów. Ciekawe, myślę, w sumie stoi w pokoju obok, więc się chłopak rozpędził. Ale (tu spóźniony o 20 pakietów błysk inteligencji) zaraz zaraz. Nasza sieć to 192.168.0.x/24, więc jestem w mylnym błędzie. Pinguję 192.168.0.1 no i TTL 64 czy coś innego dużego, no więc logika powróciła, no ale zaraz, stop zabawa… KTO WSADZIŁ 192.168.1.1 Z BRAZYLIJSKIEGO AS DO TABLICY ROUTINGU NA WYBITNEJ POLSKIEJ UCZELNI TECHNICZNEJ???

No i z takich historyjek uzbieraliśmy cały projekt, który zrealizujemy i wdrożymy, żeby nasza sieć była jeszcze bezpieczniejsza. Jeśli też lubicie wdrażać i być świadkami tego jak wasza praca gra na produkcji, zapraszamy do współpracy. Przeżyliśmy to z kolegami już parę razy w życiu, ostatnio przy wdrożeniu TAMA. I zapewniam, doznanie jest bezcenne.

Opublikowane przez: Piotr Mierzwiński

Inne artykuły_