že mu jmenuje bedřich košťata a pracuji
ve sdružení C Z ne
a následující třeba si to představit náš projekt
který se mne tudy
dneš začnou
o tom projektu tak
bych něco málo řekl C Z miku
na předpokládá použít tady je takové že vy
si spousta z vlastní minimálně o tom že C Z neexistuje ale z vlastní zkušenosti
může to povědomí o tom co C Z nyky a co vlastně dělají zas až
tak úplně
rozšířené bysme si třeba
dále nebo jak si myslím
C Z A
nejdůležitější je že je to správce české národní top level domény C ze
to znamená že vy
provádí registraci domén
T L D
ze ale pro mě tohodletoho se snažíme hodně angažovat i v dalších věcech co se
týče síti je to pro nás docela přirozené protože k těm říkáme hodně blízko
a snažíme se
právě jakoby přispívat i T komuny tě síťové tím že se snažíme o další výzkum
a vývoj
ať že to oblasti sítích taky síťový síťové bezpečnosti
my víme spoustou průzor software berme to takže my známe opensource rádi open source rádi
používáme tvrdě celá firma jedna linuxu
a
kdykoli můžem tak sáhne nebo opensource u
máme ten
pocit že by bylo dobré se naopak všechno co vydáváme pro veřejnost taky dávat jako
u slova
až se tím
přispět zase T komuny tě
nejspíš budete z na aspoň některé z našich značek produktu projektu směrovací démon poměrně ho
po světě používají teďka poslední pár let velice
velice dobře se rozvíjející pro je projekt na vidí jen S autoritativní dane server
nebo třeba já sám sem do tady na nemuselo před několika lety s programem tato
vklad je klient desktopových klient pro datové schránky určení pro u
multiplatform
pro více platforem hlavně jsme se zaměřili na lymf protože v době kdy vlastně datové
schránky sobili tak žádný pět nebyl
poslední době spektrum přidaly i klienta pro android a jo
tak takže to portfolio naše i když se zaměřujeme na síťové věci převážně tak
některých věcech je trošičku
ujedeme někam jinam když máme pocit že tam
full
zaostávají ta komerční řešení
nebo také silně snažíme o
popularizaci a osvětu vo co se cítit
že sítí a síťové bezpečnosti
pořádáme každý do konferenci internet a technologie letos bude mít dokonce dvě kola jednou s
proběhlo
na začátku léta jedno bude na konci listopadu posledního
třicátého listopadu bude
I T třináct dva
kde taky nebude
znova
ve toto na tom projektu na
může
u je tam spousta dalších zajímavý přednášek
se při podívat bude to určitě
zajímavé máme akademii C Z vytočil jako je školící centrum
že se zaměřujeme
i na open source of máme tam školení ho vývoj open source a podobně
možná znáte z televize seriálech na internet taky vlastně taky byl
z dílny
C Z miku
no a teď
se přesunou tomu projektu tourist
jaké je vlastně to pozadí nebo proč jsme proč jsme do toho projektu
čili jaká je ta hlavní myšlenka
my se jak sem říkal dlouhodobě zaměřujeme na tu při dvou bezpečnost
součástí C Z miku je i český náhradníci týnci C Z
docela jsme se i fakt hodně aktivně podílela analýzách ti třeba je dost útoků které
probíhaly někdy na jaře na banky a C
další stránky
hodně se snažíme o polarizovat a podporovat nasazení třeba D nesek Ú soše
osadě jediný způsob je
jak
zabezpečit opravdu D S tak aby jste měli jistotu že informace
adrese
arrow dostanete když se zeptáte na nějaké jméno je opravdu úpravu
na kterou ste měli dostat ale nějaká podtržená
nebo třeba protokol D jim který na tom prvku staví o tom
se to není přelanila to jeden s těch
řek výzkumných projektu
aktivně se snažíme ta křivka tydlety nové technologie podporovat až vedle ten by nesek nebo
třeba i pevné šest
poměrně často sme vlastně tu
konferenci technik internet a technologie věnovali právě i P V šestce nebo velkou část celý
blok kamenovali R šestce protože to bistro zase vidíme jako věc
rámusí
se nějakým způsobem
nasadit protože
nám nic jiného nezbývá pořád to nějak tak zasekává a tak se snažíme to hodně
podporovat
ale ten náš vývoj do teď vlastně hodně zaměření spíš na ty velké hráče protože
ty projekty která se tady zmiňoval štreku minutu datovku tak ten bude to je záležitost
kterou vy můžete pokuď pokud provozujete klidové centrum nebo prostě máte já
hodně
hodně routování doma to ne využijete no dvě nesekl autoritativní ne server
tak i jako domácí uživatel zas tak
no a siny využijete využijou to spíš nějaký ISP a podobně
a my sme chtěli timletim projektem trošku víc
přibližně normálním uživatelů prvku víc něco udělat to by se týkalo ten síťové bezpečnosti ale
zároveň bit osvobodíš
těm domácí uživatelům
těmi domácím sítí
na základě lete myšlenky vzniklo vlastně projekt který
vonáskem ten je vlastně o ty jeho vzniku nás kmene distribuovaná ty berlínská bezpečnost
a jeho cílem je
bylo vlastně
to že my bysme těm domácím uživatelům nebo moc tak
nebo bysme mohli pomocné bysme potřebovali vědět co se tam vlastně chtějí třídě nebo co
se do těch sítí snaží nějakým prapodivně způsobem dostat
a tak podobně
a ten apod byl takový že bysme vlastně mohli
uživatelům nabídnout aby si domů umístili jakousi sondu která bude
sedět vlastně na rozhraní internetu a jejich sítě a bude monitorovat jak a jaké datové
přenosy tam
se odehrávají co se snaží dostat dovnitř a bude to nějakým způsobem analyzovat
a pokud
najde
něco podezřelého zjistí tam nějaký
nějaký
problém
tak ve chvíli bitech sou bude hodně
budeme moct na základě porovnání informací z těch mnoha sou vlastně zase získat nějaké informace
navíc nebude to jenom jedna ojedinělá
nezávislá událost ale můžeme takle sledovat třeba nějaké trendy co se
i čež šíření málo beru
a podobně
a ve chvíli kdy my na základě těhlectěch informací něco zjistíme odhalíme nějaký problém nějakým
alvea nějaký to zase budeme schopni pomocí té sondy těm
tomuto po nějakým způsobem
zabrání
další
důvodu nějak tomu dal dojdu ten ta přednáška se menuje
jako routerech takže
bloku se dozvíte že tou sondou vlastně je routrem
a
ten další a další motivace proč právě tohleto dělat je ta že sme
byly celkem nespokojí nebo sme dlouhodobě nespokojeni s tím jaké domácí routery
fungují jaká jejich kvalita a ať už tady že bezpečnosti zrovna teďka nedávno je to
měsíc zpátky se objevily dvě zprávy o tom že v různých produktech
myslím že jednu byl deli tu teplotu se vyskytují nějaké backdoor i kde když jste
správně se do zeptáte tak se tak se dostanete tak se dostanete do toho roku
i zvenku s internetu
je to poměrně známé že spousta těch spousta těch domácích routerů na nastavené nějaké výchozí
přihlašovací jméno a heslo admin anglin nebo jedna dva tři čtyři a podobně přes které
se tam zase ste schopni is internetu do té krabičky dostat
a
co se týče podpory P V šest to se poslední dobou zlepšuje ale
pořád
si myslím že těch zařízení které
sou na trhu které umí prvé šest
do deseti procent z toho co sem na trhu vyskytuje co se týče podpory jediné
sekund tam podstatě
asi neexistuje ani žádný domácí routeru který byl schopný dělat
validaci těch podpisů správně ověřovat jestli ta ten ty tady je
ne za to sou opravdu
rána takže i tohle byla naše motivace proč do toho projektují
u sice trošku udělat takový loutek který by jste let oblasti se nám
se nám líbil
pro
jako odborníkům dejme tomu na
sítě a na bezpeč
jako jsem naznačil
ta sonda
mohlo by to být samozřejmě samostatné zařízení které vo nějakým způsobem předřazené
tomu T domácí síti ale
ideálních tomletom případě jasně použitém domácí routeru pokud nás zajímá to co se děje na
rozhraní té sítě venkovní a té vnitřní tak ten routery je přesně to místo kde
chceme mít
ten být přesně to místo kde
ta data která nás zajímají protékají a tak podobně a zároveň to místo kde když
něco když budeme chtít zastavit nějaký
nějaký malér nebo něco tak to je to ideální místo kde ho zastavit aby se
do té sítě vůbec nedostal
o to že té síti
poslední dobou se samozřejmě objevují čím dál tím ní zařízení která na rozdíl třeba od
normálního desktopu nebo notebooku zas tak často neabdikujete jsou to show tomu byly nebo nás
boxy nebo třeba tiskárny se jo by mysim albert který je schopný se zabydlet vlastně
citlivé tiskárně a šířit se z ní
takže i na tohleto je to zajímavé víc zase do ochranu vtom routeru
a pak jak sem tam na cesta jazykem routery máme rádi
tím že vlastně C Z jako
člověk jako nutně musí přijít do styku se s tím
a většina z nás
sou tam tak trošku hračičku tak takže prostá většina kolegu má doma nějaký routeru ke
si už dávno vyměněny s ten původní firmware za prvé ten něco podobného hrají si
s tím
takže
pro nás to ten routery věc která jenom blízká
pro další
další důvod
tady jsem sledoval tak maličkou odbočku
proč tourist proč se to menuje popis
jak sem říkal na začátku ten projekt
původně se menoval mistrovou látky grafická bezpečnost
usušenou
toho důvodu že dybych o to měl takle mluvit tak vykoupu přednášky strávil s tím
že bych říkal místo magnetická bezpečnost
až tedy jsou to dycky přeřek
tak sme
se celkem snažili vymyslet nějaké lepší N no používat zkratku
není úplně ideální
a podobně takže sme hledali nějaké zajímavé menova objevily sme pověz který nám příde velice
dobrý a výstižný je to latinsky biješ
a je že
se
ve středověku lany spíš nejdříve stavěli jeden z důvodu byl ten aby byl prostě rozhled
po krajině aby se mohli
ovlivňuje podívat jestli náhodou támle závanu co nejblíže nějaké vojsko nebo nikdo takový a pokud
někoho zahlédli tak rychle slezli z věže a běželi takže vy upozornit ostatní že se
blíží nepřítel
a to v podstatě ten routrem by měl tom našem v tom našem podání dělat
přesně ví přesně to velkou roli ona vlastně umožní z hranice té z hranice té
sítě se koukat ven a
pozorný nás ideálním případě na to že se hroz že se blíží nějaké nebezpečí
já jsem se tady eště dovol to je se na to na to docela často
někdo ptá
a takovou eště zase vsuvku do vsuvky a ta se týče toho loga
na takovéhle logo
a docela často musím vysvětlovat custom loguje
když tady náš designer který to vymyslel tak zásadně odmítá jakákoli loga vysvětlovat
tak já doufám že by to odpustí anebo že tu přednášku neuvidí
a vysvětlím čento
těmto logo spočívá je to taky schovaná v jejich
na nevymyslí sterilní dobrý vidí
ale já jsem pokusim naznačit jak to jak damas nemohl být schovaná
v tomhle dle
tak jo takže to je trošičku lidí
a
vidíte už někdo tam nevěš
no přesně tak tam věčností pro ty kdo by
furt váhali tak jsem se tam dovolená sluníčko aby bylo vidět
jak tam
zabiješ vrháte stínu to
silnička takže štolou vidíte nepředstavuj jestli po tím nic jiného je to je to biješ
tak teď lichtenberg té k té metodě vlastně jakým způsobem bysme chtěli ten ty datové
toky analyzovat hodně se na to co moře také lidé ptají protože je to věc
jde my se vlastně koukáme do toho datového provozu
který směřuje do nebo ze sítě toho uživatele a je to samozřejmě citlivá záležitost
a proto bych tady dát vysvětlil
nejdřív to myšlenku jak to vlastně jak to vlastně
celé funguje a potom
eště trošičku víc rozpitvali bylo zřejmé že tam opravdu není nic
nějakou
závadné takže nejdřív taková takový ten obecný pohled
my
vlastně máme
na analýzách DNS provozu který směřuje na naše autoritativní servery kterého je poměrně hodně
a cokoliv tom analyzovat F je
netriviální pokud vám přicházejí desetitisíce paketu za vteřinu kterému se říká odpovídat tak dělat analýzu
takových dat není úplně jednoduché
my sme na to vyvinuli systém který využívá statistické který jakousi statistickou metodu kdys kdy
analyzuje nějaké anomálie tam provozu
a to jsme právě chtěli použít i
mně tomletom tomhletom případě
a ta
ta metoda funguje tak nebo ten ta představu o tom jak to bude fungovat je
taková že mi jak už sem říkal vtom routerů budeme nějakým způsobem analyzovat co se
děje
a ve chvíli kdy zjistíme nějakou anomaly tak teprve tu chvíli vlastně odešleme nějaká data
o tom co sme našli na centrální server
ta myšlenka je taková že to že bude mít ten centrální server a ten bude
mít data z mnoha sou
nám umožní výrazně s přesně
informace o případném toku a umožní nám to
odlišit nějakou lokální záležitost třeba něčeho co má daleko větší daleko větší dosah co to
je daleko širší
a potom ve chvíli kdy opravdu vyhodnotíme na základě těch údajů že tohleto je
opravdu třeba útok nebo nějaký malware který se šíří a podobně tak na základě toho
vlastně zase na tom von centru F centrále vytvoříme nějaký nějakou ochranu pravděpodobně nějaké firewall
V pravidlo
a to potom rozdistribuje zpátky na ty na ty domácí zařízení a ty budou vlastně
o tech měli o té chvíle chráněné proti tomu
co se týče té samotné analýzy jak to funguje
analýza
vůbec nebo vtom provedením jaké mít používáme jaké vyvoláme používat
vlastně zabývá
jenom hlavičkami těch paketů vůbec nekouká dovnitř co soft těch paketech je zajímají jenom odkaď
kam to směřuje nějaký portech případně jakým protokolem a podobně
a
ona vlastně dělá to že i přicházející pakety komprese do těch hlaviček veme adresou po
nebo jak se to zrovna nastavíme a pro ženy tyhlety prohání kde ty údaje nějakou
hashovací funkcí a na základě toho výsledku P hašovací funkce si rozděluje ty přicházející pakety
do nějakých krabiček takle to dělá s celou řadou hashovacích funkcí a dává si ty
data do kraviček a sleduje jak se ta velikosti krabiček němých čase v eroze všechno
děje pořád na tom routeru
a potom po nějaké době když push má na spínaný provoz za jakou delší dobu
a má nějakou představu o tom co
tak té sítí normálně děje má vytvořený jakýsi dejme tomu statistický model co se tam
a zpět běžně
tak na základě toho jak se ty velikosti těch krabiček liší a mění se v
čase a podobně je schopná ta metoda zjistit že tady najednou se stalo něco anomální
něco co se odlišuje od toho co se tam běžně děje
což samozřejmě nemusí nutně znamenat nějaký Ú to může to znamenat pouze nějakou změnu a
tyhlety metody nejsou
cíle na
řekl bych
uzel málo B ale na anomálie to znamená anomálie provozu něco co není co není
normální
tam
najednou změnil
a teprve ve chvíli kdy vlastně my takovouhle anomaly tam nalezneme tak ten program neví
co to je ale teprve to chvíli von vlastně odešle nějaká data do té
na ten server
který to vyhodnotí a případně že počet třeba těch anomální té celé síti překročí nějakou
hodnotu tak se rozhodne že se tě krabiček zpátky zeptáme teda řekli nějaké informace o
tom co se v té anomální krabičce když to tak řeknu vyskytuje teprve v tu
chvíli se vlastně na ten server dostávají data která nejsou jenom
krabička jí velikost ale sou to třeba i P adresy a porty
ale do té chvíle se vlastně nic neděje do té chvíle žádná
ani trochu citlivá tak na neodchází i na ukazuješ ve chvíli kdy se tam
opravdu objeví nějaká anomaly
k tomuhle tomu
statistické analýze těch dat pro uděláme tak snídám ještě další věci
jedna s těch důležitých sou logy spojovou
protože ten firewall
a může ve výchozím nastavením a na takovou tu politiku cokoli nevyžádané ho přichází zvenku
tak zahoď propust dovnitř jenom to co je vyžádané pokud to silně uživatel nenastaví na
a nevím jestli stani vyzkoušeli doma pokud máte nějaký server nebo podobně koukat se dolů
firewall vole zjistíte že se vám tam připojuje spousta věcí na porty které vůbec otevřené
nemáte a
v ideálním případě nemáte
a tak podobně takže todleto je pro nás informace která je založeno vložit od osy
se nám to ne nepomůže vtom abysme zabraňovaly
nějakému málo B rouge existujícímu protože pokuď pokud ten se na to firewall zastaví tak
je to tak je to vpohodě tak nemáme
nemáme problém ale umožní nám to aby dokreslit tu situaci co se co se těch
sítích vlastně děje umožní nám to zase vytvářet nějaké další statistiky o tom jaké na
jaké porty se nejčastěji útočí když se objeví třeba nějaký máme tak můžeme podle toho
jak se jak se jak najednou se třeba zvedne
ten útok na nějaký porci odhalovat chybě fréza ten halve rozšířil a tak podobně takže
tohle další důležitá informace kterou sbíráme a potom sbíráme postatě statistická data o tom provozu
to znamená to je pro nás také důležité když už
opakujeme které šestku a podobně tak si tam taky té sondě sbírám informace o tom
právě kolik třeba bylo přeneseny ve čtyři nejprve šest paketu abyste měli nějakou představu o
tom co se co se opravdu u těch koncových uživatelů tomletom
to na tobě
do budoucna potom plánujeme i nějaké aktivní sondy jako třeba možnost měřit rychlost připojení pro
toho uživatele a tak podobně tam samozřejmě
u štole to nejsou věci které můžeme dělat automaticky jsou věci k uchu který bude
potom ten uživatel s mít možnost
si sám nastavit nějaké limity v rámci kterých se to může dělat aby se nestalo
že mu prvního v měsíci vyčerpáme veškerý fu tím že změřme nějakou
rychlost a podobně
takže tohle samozřejmě je
ty platili to nemáme implementováno počítáme s tím do budoucna a určitě to že to
bude potom nastavitelné uživatelem
tady ještě když už sem říkal co všechno sbíráme tak jenom pro jistotu zopakuj von
jezdí nám
vůbec se nekoukáme do někdo ty pakety
M S N ona by hlavičky
znamená
abych to řek úplně explicitně vůbec
netušíme jaká hesla
čísla účtů
slovní informace takový
tomu jak funguje
a teprve protokol tak ani nevíme náký nějaké nebo adresy chodíte protože to jsou zase
ve místo datovými jsou tam je I P adresy ale nevím na takže
a z moře
mnoho no
sdílí
E adresy
podobně a co nás vůbec nezajímá je cokoli co se děje ve vaší lokálních sítí
to znamená co se týče
co jedna a té lan síti nás opravdu zajímavém to co prochází mezi venkem venkovním
se tento internetu a tou domácí sítí co se běhá po síti nic
nás nezajímá
koneckonců ani jako výpočetní výkon který bysme mohli
bysme mohli sledovat to že si doma po gigabitové síti posíláte z jednoho z jednoho
počítače něco na druhý
bysme uplně zbytečně
litovali výpočetní výkon na analýzu hodnotou takže
to nás také
nezajímá nebo také nesleduje
tak teďka tomu k tomu samotnému ruku jak sem říkal pro nás tam sme se
rozhodli že ta sonda ideální místo je ten routeru jak by ten routerů měl vypadat
my
samozřejmě ani trošku neuvažovali o tom co tam bude za operační systém to bylo v
pořádku jasné tam byly no
jenom smekl popřemýšleli jaký linux ale není to přemýšlení tady nebylo moc dlouhé protože existuje
projektů promete
což je vlastně taková
linuxová distribuce která je naměřená právě na ty domácí routery
jak portován na spoustu běžně dostupných zařízení a obsahuje přesně ty optimalizace které by jsme
nepotřebovali to znamená obsahuje ste podporu pro spoustu věcí co se týče síťování pole R
T P V šest
je hodně minimalistická to znamená že to věděla na to abyste se vešli
s tím základním imaging toho systému do nějakých
čtyři nebo ostny mega bajtů pamětí což je čili ta velikost té flešky která z
těch zařízení piva
a podobně takže tady bylo celkem jasno akorát sme potřebovali tou podle té trošičku úpravy
to znamená přidat tam věci které bysme tam rádi měli ať push protože potřeba nebo
tu samotnou sondoval nebo protože si myslím že na tom domácím routeru měli být
takže jedno z nich je podpora nebo se ku a nějaké další bezpečnostní
záležitosti
vyvíjíme vlastní to slyšet analýzy tou provozu takový nevlastní takový vlastně monitor situaci tělo provozu
který se jmenuje úkolech
který
vlastně
umožňuje pomocí nějakého systému pluginy tam do toho přidávat další funkce toto sledování ten hlavní
nejdůležitější plug in který tam právě je ten který dělá tu analýzu statistickou těch anomálií
a komunikuje s nějakým našince
co se týče
nastavení nebo vůbec právě toho zařízení tak tam jsme se rozhodli trošičku
takovou cestou
mimo to co je běžné nebo to dneska samaře každý ten domácí auto má nějaké
webové rozhraní
připojíte na jeho adresu
případně nějaký o jiný než osumdesát jo tak nastavené a tam si vlastně do prohlížeče
konfiguruje toto zařízení to je standard je to
ono to je to který ten výrobce zvládne je to někdy více nikdy méně přívětivě
ale je to normálka my sme se rozhodli že v tomletom asi nemá plně cenou
dělat zase další webové rozhraní které by bylo jenom
opíjí nebo přizpůsobení něčeho už existujícího tak sme se rozhodli trošičku jiným směrem
a
trošičku to vylepšit vtom jsme to vlastně rozdělili na systém
server klient to znamená že
ta
konfigurace
mouž nemusí nemusíme jako by ten front F X rekonfigurace nemusím že na tom samotném
zařízení ale může být kdekoli jinde
odstavec to řeší na protokolu nikolov který
se také snažíme nějakým způsobem
propagovat na nějaký jsem podporovat
a je to vlastně možnost
nebo vskočila toto na tom routeru běží nakonec server přes a my můžeme přes jakýhokoli
jakéhokoli neko klienta na dálku to zařízení konfigurovat to nám dává možnost třeba takovou že
máme protokolu aplikaci pro android která si automaticky když Í spustíte zjistí adresu routeru kterému
ste připojení
byli to K T heslo připojíte se a tu chvíli vidíte jak jaká rozhraní na
tom routeru sou jaké vytížení procesoru a takové věci kdo to samé udělat třeba zvěst
cestovkou aplikací může že jsem měl konfiguraci dvě stopové aplikaci můžete si
udělat nějakým způsobem konfiguraci místě k autu najednou budete kde se nějaké vaší infrastruktura budete
chtít všechny změnit přestane com to zase D daleko jednodušší když se do každého znova
přihlásit přes webové rozhraní
další důležitá věc kterou sem tam
implementovali jsou automatické aktualizace bez jakéhokoli zásahu uživatele
ten důvod je takový že
normálně když doma máte růmstr
a
a chce toho litovat tak musíte jít naved výrobce stáhnout na nový firmware nějakým způsobem
to tam na falšoval většinou sestřižený na prstama jestli náhodou zrovna přitom S o tom
budete nahrávat tak se něco nestane nevypadne proud a neskončit S
cihlu místo routeru
podobně takže to a storu to většinou lidi nedělají pangejty výrobci ani moc dlouho hypermedia
bitové ne nevydávají a když při nevydají tak si je většinou stejně doma nikdo nedá
proměnná problém který by potřeboval vyřešit takže ty aktualizacemi těch routerů sou
docela problém rys tam potom objeví nějaký backdoor
tak je to nepříjemné když polovina lidí po roce ještě nemá základ
takže tady sme se rozhodli že tohle prostě v
kde chceme aby ty automatické aktualizace fungovaly a jsou tam jsou tam důležité
a jinak byste rádi do budoucna samozřejmě to zařízení co nejvíc přiblížili věžním uživatelů z
vlastní zkušenosti vím že kdo se tak
sítích nevyzná tak když se tvoří budou trvat
tak většinou bývá
dost zmatený s tou co s co s ní má dělat a ta konfigurace
by měla být
ideálním případě opravdu maximálně jednoduchá aby se to byl schopný doma nastavit každý aby toho
schopni nastaví bezpečně aby neskončil ze zařízení které má otevřených otevřené na otevření telnet bez
hesla na one portu nebo něco co pokud ne
tak tečné s odhad veru
my sme
samozřejmě statistické metody
mají nějaké požadavky na výpočetní výkon musí se koukat do těch hlaviček těch paketů
musí si nějakou dobu in udržovat informace o tom provozu
to okno se může měnit todleto jako nastavíme je řádek minut nebo případně desítek měl
že po nějakou docela delší dobu si musíme udržovat informace o tom síťovém provozu a
tím pádem máme nějaké nároky na to
co musí ten máte umět jak musím velkou paměť a jak musí mít velký výpočetní
výkon
samozřejmě další věci do budoucna sem do objevit nové metody sofistikovanější náročnější metody na zase
detekci třeba těch anomálií nebo detekci málo berou
a my bysme chtěli tomletom mít nějakou rezervu chtěli bysme těm lidem domů dát zařízení
které na to opravdu stačí které když má někdo to štěstí že má doma velice
rychle připojení
tak že to pořád budeme budem jestli na to zařízení bude pořád fungovat a bude
schopné ten datový
tok analyzovat
my sme na začátku toho projektu přemýšlej o tom
že pravděpodobně zvolíme možnost
že si vybereme na trhu nějaké vhodné zařízení
případně se třeba ještě protože sme těch zařízení tedy vyrábět
cirka tisíc mluví
si říkali že se možná s nějakým výrobcem jako je mikro tech nebo tak domluvíme
na tom že by pro nás udělal nějakou speciální sadu jenomže by tam jedno toho
brouka vyměnili za jiného brouka kterýma stejné nožičky jako na ty větší nebo něco takového
vůbec nic nás a větší kapacitu paměti nebo C rychlejší procesor
narazili jsme na to že posadit je domácí routery jsou všechny hrozně optimalizované na cenu
sou optimalizované na to aby dělali prostě to co je ten výrobce tak určil
a rezerva tam není řekneme ne není žádná rezerva
když tam máte gigabitové porty tak
z toho že ty domácí jdou křivky budou T gigabit
kreslena
ne není tomu tak
a
když my sme tam ten ještě dělat nějakou analýzu toho provozu zase je to problém
je části domácích routerů má velikost paměti
třiceti dvou i když některé mají jiný do sto dvaceti osmi megabajtů
ty brambůrko highlevel mají dvě stě padesát šest což třeba pro nás by
bylo
současné chvíli relativně dostatečné ale do budoucna možná také ne
a my jsme takle právě zkoumali testovali analyzovali tak sme nakonec zas tolik to může
nejzajímavější nebo řešení které na nás opravdu
spokojí které
které budeme přesvědčení vezme těm uživatelům dali to co sto co měli dostat a co
bude dobře fungovat
ta možnost jediná je ten udělat sami
o sme se rozhodli vyrobit
a
to tak řeknu
routeru a je entá ve
tady je
potkal druhého prototypu toho
routeru támhle ten obrázek který tam celou dobu vidíte na tom druhém
monitoru tak to je vlastně neobsazená deska toho routeru
o tom tady mám
i
osazenou verzi
to je vlastně to co vidíte na té
co vidíte na té
tady na té fotce tak to je tady naživo
potom ještě než tam zase vrátím tohle tak vám ukážu
ale
krabičku je perforace
formě loga C Z tady budou vepředu nějaké dílky je tam ještě není potis tady
vzádu potom
pro nějaké po tuto nejenom krabička protože těch prototypu nemáme tolik abych moh vozit sebou
dvě krabičky a každé mi desku takže
tam jednu krabičku s deskou jednu krabičku bez desky
takže takhle to takhle to vypadá já to ještě za chvilku ukážu
že naživo tady jsou nějaké další fotky které jsem dal kdyby náhodou se ten routery
necestou ztratil nebo ta
aby ukázat aspoň fotky
tady jsou nějaké potom detaily
můžu ale určitě převeditelná ten první takt platná
druhé není takže vezmete tak je dobrý tam
na kus
takže teďka i na záznam bude ten
a ten hardvér vypadá je tam
a se zase vrátím zpátky
že todleto stačí do před byl pokud na záznamu dat zastaví případně
že to chtěl prohlížet V
tom hardvéru tady
tímhletím chladičem se skrývá dvoujádrový power PC procesor tak to Y N jedna celá dva
giga hercích
jsou tam dva giga bajty ram které tam jsou vlastně tady film
sobem slotů
znamená to paměti vyměnitelná kdybysme časem zjistili že na mladý dvojky nestačí tak
mám pošleme osmadvacet tam osum
podobně
jinak co se týče té flash paměti do sme taky výrazně navýšili oproti tomu co
se běžně v těch routerech vyskytuje aby bylo možné tam
hodně doinstalovat další software abysme tomletom nebyly o omezení
je tam jeden bank port který má vlastně přímý přímé
připojení do procesoru a potom dalších pět lan portů které jsou připojené přesvědčit
bity wifi jsme chtěli vyřešit modulárně nechtěli jsme řešit teďka filozofy rozhodnutí jestli tam bude
jenom B je nebo Á B je neboli s tam bude push páce a podobně
a tak sme se rozhodli je to vyřešíme není PCI express kartou
že tam tudletu chvíli dáme
líbí že express tato která
funguje na to co potřebujeme je dostatečně dobrá je tam jak áčko v a tak
géčko na venkova C
ale do budoucna pokud by uživatel chtěl taky prostě může vydat hrát tam třeba céčko
nebo nějaký další standard kterých se objeví za těch několik
několik let
během který by ta sonda měla stále o je tam ještě volní minibus je X
kleslo tady na druhé
straně takže tam si může tam je případně možno se ještě přidat nějakou další kartu
kterou byste kterou byste tam chtěli
chtěli využít máme tam s testech nějaké
karty na sata
podobně
sou tam dva uvést
dvojkové
uvést ve dvojkové porty
takže se tam můžete připojit
připojí případně nějaký externí kdy s
a udělal sis toho nás tédleté viděli před pokud tomu jestli dva stačí
single by to mělo
ta či co je to můžeme šanci naprostý
používá přes wifi a potom zvykneš nezvládne
a co tam ještě další věci jako že jsou některé ty některé ty sběrnice vyvedené
ho tady takle přitom pohledu z azora není moc vidět tady je spousta pinedův je
sou vyvedené další sběrnice jako třeba i dva C a podobně
což nám třeba umožňuje to že my když potřebujeme tam
něco naprogramovat přesně dvacet tisíc toho routeru tak to děláme z druhého routeru
že máme jeden o živený a ten připojíme kabelem k tomu nelži ve nemá oživuje
my vlastně u té
kultury
oživuje mestu rysů
zajímavé
tady jsem se novako
vy slajd vychytávky věci které vlastně
běžných routery domácí nenajdete ať že to dedikovanýma pod jak sem říkal tři dvoulinku do
toho procesoru jako co se má totiž tři internetové gigabitové rozhraní
takže jsme chtěli samozřejmě co nejvíc využít pro to sme jeden přímo udělali dedikovaný pro
ten mankot to znamená to je ten velmi sledujeme potom nějaké ty
datové toky a co tam kde které to veliký které vedou toto interního switch čipu
který pak o do těch pěti klecí to znamená že by tam můžeme s tam
si potom s tím můžete nějakým způsobem vyhrát jak ty dva dvě linky tam
využijete jestli se použije nějaký trenky k tomu aby to aby ta propustnost se zvýšila
neboli se pomocí VLAN nějak využije jeden na tohleto jeden na něco jiného
podobně
za chvíli si ukážeme tady vepředu
to zase
pro diváky doma v obrazovek
přepnu na
přepnu takle
senzory tady je minimu je s B
mikro u je zde
port který za chvilku
následně možná mluvit připojíme by to bylo vidět u pro
je mikro US B
který vlastně možná jestli se někdy někdo používali seriovou
sériovou konzoly a připojovaly stojí do počítače přes US déčko tak na to existují převodníky
které se na to dají použít tady vlastně ten čip který se použila pro převodníku
je tady push přímo přívoz tomletom
to znamená že vy tomu jenom připojíte mikro uvést připojíte pro počítače a máte tam
seriovou máte tam seriovou konzoly test pro můžete debatovat
to zařízení ve chvíli kdy se nějakou
nějakým šikovně nastavením rozstřihnete přístup přes
S T termed což neusnese třeba staroušci dvakrát
takže se to opravdu hodí tato ryba chováni to vydán
další věc
a
a to jsem opravdu vyšší a tvar té musím ukázat na život
věřím tomu že
asi skoro všichni z vás jsou mají doma nějaký router
nebo hodně znám hodně lidí kteří doma přeletů jí černou láskou
diody hold
od routerů a všeho možného zázvoru bude to protivné protože řekne lidem probíhá nějaký s
datový přenos
tak vám to neustále bliká takže má taky stereoskopický efekt že to vidět na záchod
a
pátém když jako
ve čtvrtek to tyto nahráváme takže my jsme si teď říkali že vlastně nebo P
jo věci kdybysme mohli kdybysme mohli tohleto nastavovat tady vzádu já to dokonce dedikovaný čumí
i když podržíte tak se nám rozsvítí všechny dýlky a začnou se stmívat lišta pustíte
tak tomu tak je to zůstane
nastavené a takle vám to bude svíti dokaď zase nezměníte pak se to zase můžete
to trošku ještě posunout lachema dobře to přišli
musím ještě dohlédni
sestaví které stránek je takto zati skoro nesvítí a může ten klidu spát bude vás
to
nebude vás porušit
takže to je
to je taková bych řek bych dávka
co můžeme udělat když si uděláte vlastní hátle tak si s tím můžete vyhrát a
můžete si udělat něco
co prostě nikdo jiný nemá
co se týče toho hardvéru ještě
ono
a ten vlastně hardvér
je to hrozně zajímavá věc většina lidí když se na to tak se ta tohleto
nestíháme trošku problém
a pro na jednu stranu je tak je to je to super že to přitahuje
spoustu pozornosti a ten projekt a tím pádem
nějak jako zajímavý
ale zase problém je tam že
pro nás na sebe hardvér když
zajímavý a když se nám tak to není to není ten cíl toto je ta
cesta to je to
jako by to nám umožňuje vlastně dostat se k tomu cíli co šeptat a bezpečnostní
výzkum a podobně ale já sem neubrání to mohl bych se tady k tomu k
té přednášce
nic věnoval protože i mě samotném co to
se to líbí
co se týče
to hardvéru
samozřejmě
my máme rádi ukousal všeobecně tak že když děláme
software vydáváno jakou mucos
žádná ten prsten udělej to samé to znamená našich stránka si můžete stáhnout veškerou dokumentaci
je došlo to zdrojové kódy po prostě ten návrh celý fatim dyzajnu který používáme který
třeba tady na fitu pokud vím docela je snad studentům přístupný jsou tam i daný
přát tři D model té desky to znamená můžeme si to přítel tu desku si
otáčet a koukat se kde sou jaké je sou jaké součástky a podobně a výroba
bude probíhat české republice
relativně brzo byste měli
vy zahaj tady ještě jsem chtěl ukázat považovali nevím jestli vám moc času
čím to
tady vidíte už na živou R T uvnitř toho
uvnitř toho routeru
když se kouknem na
pro C T info takto do chvíli to běží terénu na osmi stech megahercích a
dole vidíte že to je
že to model preset a že jsou v něm dva giga bajty paměti
mu je to
tudle chvíli jsou tady vidět jenom dvě
je síťová rozhraní na ten bank port jednu je ten do toho poslíček nemluví není
budu mít zapnutý ale normálně to funguje ten výkon toho procesoru je srovnatelný přibližně s
nějakým s nějakým atomem hodin celou takže oproti tomu co normálně doma běžně těch rotate
bývá je
je to velice
velice
slušné
šusem
krásnej tak rozplýval o tom hardvéru který každého zajímá tak další věc která každého zajímá
o kterou přístroje zmiňoval je ta ochrana soukromí když se dá hodnota koule sondu tak
tam bude sbírat nějaká data co to pro mě znamená není to
ne narušíte tím nějak tím způsobem moje
moje soukromý dozvíte se toho mě víc než bych
těch já chtěl a
a podobně slovy chtěl zdůraznit že mi nesledujeme obsah těch paketů by se koukáme jenom
do těch hlaviček obsah paketu nás
nás nezajímá
na server se ty ta data osum set zase odesílají pouze vychýlí se objeví nějaká
anomálie teprv tehdy nám odesílá něco co by se trošičku dalo považovat za nějaký citlivý
údaji ale zase zub MIT adresy a porty to znamená kdo s kým komunikuje
tydlety informace se u nás na serveru
skladují
relativně krátkou dobu když se provede analýza a po tu dobu jsou tam pouze spojená
s identifikací toho zařízení ale identifikace
uživatele
a spojení zářil konkrétně uživatel s konkrétním zařízením tomuhle vůbec nepotřebujeme to je uložené úplně
někde mimo ten systém není to není to online přístupné z venku
a
když se něco potom ne mažeme uchováváme si to dlouhodobě tak už to data která
jsou anonymizovaná kdy už není identifikace toho odkud to pocházel
a podobně
jediný vlastně
jediné jediný důvod proč sme se rozhodli tam porušit v jednu chvíli to že nejíst
není najednou spojený uživatelským konkrétní zařízení
tak to sme se rozhodne udělat proto abyste mohli tomu uživateli
v jeho uživatelském rozhraní zobrazit informace o tom co sme o něm nasbírali to jediná
chvíle kdy se ty data spojí
a ten uživatel dostane informace o tom kolik dat tam sme mezi si od nich
sobě a zpátky poslali co sme tam našli a podobně todle vlastně dělá chvíle kdy
se něco
se to nějakým způsobem spojuje a vstupy neušlo ta data agregovaná a není vtom nic
sobí
takže teďka jak se zapojit pokud byste měli zájem jsou to projektu zapojit
hledáme nám
dobrovolníky účastníky
na webové vektor S C Z je možné se před registrovat
my tu
a až budeme mít i routery vyrobené což by mělo být někdy na přelomu roku
tak potom dáme těm registrovaným před registrovaný vědět
a umožní name vlastně aby si online vtom webovém rozhraní kam se přihlásí vyplnili smlouvu
protože my musíme společně uzavřít to nějaký smluvních sta
nasmlouván mimochodem obsahuje velice podrobně popsané co my můžeme nemůžeme na tom zařízení dělat a
zase naopak se po vás chceme
a
o tom vlastně
pokud se dostanete do té do té skupiny která
která tak to bude oslovena a pokuď
budete souhlasit s na podmínkám a tak za jednu korunu symbolických sem symbolický poplatek dostanete
tenhleten routeru domů a můžete ho používat
jaké jsou podmínky důležité je abyste tento používali jako hlavní přístupu vývod k internetu nechceme
aby se to není doma dávali někam
někam úplně bokem že se tak jako s tím budou hrát a podobně ale nám
to nám bude poskytovat žádná data chceme aby to byl hlavní přístupový poté síti aby
opravdu když už budeme něco chrání tak abysme nechráněný nějak jeden zkušební počítač který zatím
a připojit se k tomu jednou týdně ale aby to opravdu fungovalo pro celou C
a aby i my sme měli reprezentativní data o tom se třeba do té sítě
snaží dostat a podobně
naší podmínka je nezasahovat do toho sběru bezpečnostních dat protože tam
vy tam budete mít možnost se přihlásit jako a dělat s tím dá se zařízením
cokoli
a to chvíli zamořením do tady tu takže ty dat vypnout
ale to zas pro nás tady zajímavé aby se to doma vypli a není to
ten cíl toho projektu to znamená
todleto
chceme abyste nedělali
chceme abyste nezasahovali do těch a do a tu lety to zařízení protože tak to
leze se sou velice důležitou součástí toho systém
vy jako uživatele můžete kdykoli jo toho projektu podstoupení otec mobil skoby můžeme říci jo
to nechci mít doma
nelíbí se mi to
vidíte divně
nebo něco chci vám to vrátí
není problém můžete na tom ikony vrátit zpátky a
jak je čehokoli dalšího
jinak to zařízení U proberte balíčky za nainstalovat cokoli se tedy stability provozovat já nevím
webový server cokoli není to problém ten výkon tou zařízení na to
je tam slot na mikro je zde kartu dočista můžete vrazi
šestnácti idolů mikro je zde kartu a provozovat tam file server
i beztoho byste při povolit první věc
záleží na vás
jaký aktuální stav projektu tudletu chvíli tady to co tady vidíte je vlastně druhý prototyp
který ušije hodně blízký tomu
co
jak by to bylo nakonec vypadat to máme akorát ve výrobě třetí prototypy které by
měly přijít vlastně příští jestli příští týden
a pokud všechno dobře dopadne tak mi na základě na základě toho L začneme s
výrobou tisíci kusové série která potom už bude vlastně určená pro ty koncové uživatele
jinak testujeme mezitím samozřejmě této ty ten software
jak na tom našem zařízení taky bokem push v reálném provozu
jaká plány do budoucna
ten projekt samozřejmě pokračovat dál tím že ty krabičky rozdáme to nekončí naopak po chvilce
proto začíná pupily mi začneme získávat dotaz tisíce routerů
začneme se zorientovat tom co to vlastně znamená ta data ne s pěti pokusných zařízení
ale s tisíce budeme se snažit to celé vyladit tak aby to fungovalo maximálně dobře
aby to nehlásil o anomálie každých pět vteřin a obsluha se sto nezbláznila
a podobně takže budeme to celé ladit vylepšovat ten nebude to jako normální routeru který
si dáte domu a pak bude
pět let stejný než a nahradí větší nevím ale budou tam update jako máte jako
máte na desktopu budou se tam věci měnit vylepšovat
a my bysme časem grády kdyby ten operační systém trošičku
právě se přiblížil víc těm běžným domácí uživatelů a kdybysme
mohli
ho nabízet jako vlastně samostatným produkt jako opensource alternativu opravu pro koho koncové domácí běžné
uživatele
nějakou třeba komerční po pro nás
takže
tady jsem si do takové shrnutí ale ono už není moc času dotazy tak shrnutí
nebude myslím že sem to všechno
tří
tady je vývojový tým který na tom na tom
pracuje
velkým s velkým nasazením
a
to je ode mě to nech je všechno
doufám se toho je rychlejší že budete mít času na dotazy ale s něco ještě
ten žertíků co pozor
toto stolek a je reálná cena tady té hračky
výrobní cena se vším všudy krabičkou se zdrojem má a anténa mi a podobně
je někde kolem devíti tisíc korun
což
no
to může
můžete nějaký čínsky lotr koupit za pár stovek a ivanem výrobní náklady jsou ještě zase
úplně víme tak se může není to běží běžný domácí produkt
my to vyrábíme těch tisíci kusech tam se člověk dostane na nějaké množstevní slevy pulec
čehos ale pořád to pořád to
ve chvíli kdy sme to vyráběli sto tisíc
tak to zase úplně samozřejmě někde jinde jsme i narazili na to že
vlastně téhleté oblasti
pro spoustu těch velkých hráčů tisíc kusů není zajímavé
jak jsem říkal že sme se chtěli dohodnout s nějakým výrobce mysim kráse měla nějakou
úpravou tisíc kusů call to musej nevyplatí best olinko jenom zastavit a nikdy vyměnit nějakého
brouka za jiné hlasovat opustit
stejně tak když sme chtěli třeba ten switche který tam je tak jsme chtěli
otestovat odtud brouku proud komu
a ty nám více odpověděl že pokud nám N aspoň půl milionu kusů
tak ani tak na Y N A dokumentaci ani seznam a nebo v nějakém jinde
jako dokumentaci toho jak to vevnitř funguje tak že
naše pozici je taková že mi
prostě je potřeba vzít v potaz i ta cena je nějaké málo sériové výroby ale
taky s také si myslím že to není
tak hrozné
na to co to umíme
no
output dobou
tam když si budete zapínat o nastavení a budete se tam
klikat jak ste připojení k internetu a tadleta možnost a nebude to je pravda ale
užil vevnitř D tam se dá tam se dá nastavit leccos třeba pro tu podporu
prom pro multipath my sme docela rádi tam měli právě už tam základním systémů
artuš pro tohleto nebo třeba pro lidi který kteří mají nějaké
nějaký další zdroj třeba ne drátový do nějakého za záložního spojení nebo takže určitě s
timletim počítáme ale tady tu chvíli už asi předpokládám že budete nebo
i když předpokládejme uživatel peněz taky jo máte bude schopen si tam vlízt přes konzoly
a připisuje nastavit někde ručně nebo
to nebude už tak jako jednoduché
ale to půjde to bylo by to
no podstatě dáme si se slyšeli dotaz no jestli ty ten uživatel té lokální sítě
dostane informace o těch anomálií mi tudletu chvíli plánujeme že na těch
asi každý uživatel bude mít to naše webovém rozhraní svůj účet tam se dycky na
loguje a bude tam i nějaké statistiky o tom co sme tam všechno našli a
podobně neplánovali sme tam že bysme tam zveřejňovali vyloženě každou tu anomálii a ale to
spíš toho důvodu že ono těch anomálií může být opravdu hodně a můžou být naprosto
bezvýznamné a nechť vezmete uživatele za zahltit tím že tam uvidí nějaké poplašné věci a
tak ale
možná že
by nebylo že se zamyslíme nad tím jestli pro uživatele kteří by chtěli hodně podobné
informace
a počkat no někde
nebudu panikařit tak se mi teda na ta data zobrazí
opravdu to slibuju a ještě jednou tak tím že bysme to možná mohli zobrazit zkusím
co jsem zatím zamyslet převzato takle udělal
samozřejmě což je ten procesor tím že tím že je výkonnější tak se hřeje trošičku
víc nejš těch tam mají domácích routeru
když budete mít mínus deset tak to si myslím že má tam je trošku problém
s nějakou kondenzací vlhkosti případně a tak ale to musíš událostem svoje dobře chladí
ale tech pět plus padesát měli mělo by měly se to nějakým způsobem zvládnout nepřemýšlíme
o tom že by sme udělali nějakou
ze nějakou úpravou kdybysme právě proto tady podmínky když to mají to takovýhle podmínek tam
nějakým způsobem do toho za zabudovali aktivní chlazení aby opravdu nedocházelo přehřívání ve chvíli kdy
venkovní podmínky jsou nějaké extrémní ale jinak běžném provozu to pasivní chlazení stačí a neměl
by to být
velký problém
abych vás požádal sto přes diskuzi v tady začíná další přednáška zda je takže
tady sme prostě teď to učili poděkoval