Sonifikation von DDoS-Angriffen: Netflow-Melodien und ein Tomaten-Alarmschalter

imperva-logo-lg

Ein Gastbeitrag vom Team der Imperva-Sicherheitsforscher 

Innovationsfreude und Kreativität spielen bei der Arbeit eine herausragende Rolle. Wo könnte man das besser illustrieren als bei einem jährlichen Hackathon – einem 24-stündigen Marathon, der Gelegenheit gibt, Pizza zu essen und die Programmier-Muskeln spielen zu lassen.

Bis zu diesem Jahr beschränkten sich diese Hackathons auf einen Business-orientierten Wettbewerb mit dem Ziel, Entwürfe für neue Dienste und Produkte zu entwickeln. Dieses Mal wurde ein Wettbewerb ausgeschrieben, bei dem der Fantasie freien Lauf gelassen werden konnte.

Als Sicherheitsforscher, die gern über den Tellerrand blicken, kam die Inspiration über einen TED-Talk mit dem Titel „Can We Create New Senses for Humans“. Darin beschreibt Dr. David Eagleman, wie die Technologie die Sinneswahrnehmungen verändern und das Erleben der Realität weiterentwickeln kann.

Nun galt es dieses Konzept zu übertragen und die Fragestellung lautete: Was wäre, wenn man den Netzwerkverkehr hören könnte, statt ihn nur in grafischen Darstellungen zu sehen? Damit war der Grundstein zu dem spannenden Versuch gelegt, Daten in Form von Klängen hörbar zu machen – ein Verfahren, das als Sonifikation bezeichnet wird.

Sonifikation 101

Sonifikation existiert seit der Wende zum 20. Jahrhundert und der Entwicklung des Geigerzählers. Sie wird auf vielfache Weise angewandt, zum Beispiel in medizinischen Geräten, die Schall zur Überwachung des Gesundheitszustands einsetzen, in auditiven Anzeigen in Flugzeugen oder bei Sonar-Techniken, die U-Booten die Navigation unter Wasser erleichtern.

Wie man weiß, hat die akustische Wahrnehmung gegenüber der visuellen zahlreiche Vorteile, insbesondere im Hinblick auf die Verarbeitung räumlicher, zeitlicher und volumetrischer Informationen. Die Fähigkeit, die kleinsten Unterschiede in der Frequenzauflösung und Amplitude zu erkennen, öffnet eine enorme Fülle von Möglichkeiten zur Datenwahrnehmung.

In seinem TED-Talk erklärt Eagleman, dass „unsere visuellen Systeme gut darin sind, Kleckse und Kanten zu erkennen. Dagegen tun sie sich ausgesprochen schwer bei Bildschirmen mit Unmengen von Daten. Hier arbeiten unsere Wahrnehmungssysteme nur im Schneckentempo.“

Im Verlauf der Recherchen wurde festgestellt, dass Eaglemans Theorien durch weitere wissenschaftliche Belege gestützt werden, die zeigen, dass Sonifikation „eine wirkungsvolle Methode ist, um Informationen für sekundäre Monitoring-Aufgaben darzustellen“. Außerdem demonstrieren Experimente, dass „die Teilnehmer bei einer sekundären Monitoring-Aufgabe signifikant besser abschnitten, wenn kontinuierliche Sonifikation angewandt wurde.“

Das war das Wertversprechen, nach dem gesucht wurde. Jetzt galt es herauszufinden, wie man das Internet zum Singen bringen konnte.

Der Klang von Daten

Der beste und naheliegendste Weg zur Durchführung des Projekts bestand darin, Klänge aus NetFlow-Logs zu erzeugen. Dazu wurde ein Python 3-Skript geschrieben, um NetFlow-Daten zu erfassen, die dann zu OSC-Nachrichten (Open Sound Control) verarbeitet wurden.

Um diese Nachrichten in Töne umzuwandeln, wurde Sonic Pi verwendet – einen Ruby-basierten algorithmischen Synthesizer, der entwickelt wurde, um Schüler beim EDV-Unterricht durch Musik zu motivieren. Bewusst zur Live-Audiosynthese konzipiert, verfügt Sonic Pi über ein sehr zuverlässiges Timing-Modell, was ihn zu einem perfekten Werkzeug machte.

Ganz im Einklang mit der Do-it-Yourself-Philosophie des Hackathons lief der Sonic Pi auf einem Raspberry Pi. Das Ergebnis sah folgendermaßen aus:

Aus Web-Traffic werden Töne

Als Nächstes wurden verschiedene Traffic-Arten auf bestimmte Instrumente abgebildet, damit das Resultat klangschöner wurde.

Den verschiedenen Traffic-Arten wurden bestimmte Instrumente zugeordnet.

Darüber hinaus wurden unterschiedliche Lautstärken verwendet, um Zunahmen und Abnahmen in der Menge des Datenverkehrs hörbar zu machen. So würden beispielsweise eine höhere Lautstärke und höhere Töne auf eine massive Zunahme des Datenverkehrs aufmerksam machen, etwa im Fall eines DDoS-Angriffs. Und schließlich wurde beschlossen, das Ganze einfach so zum Spaß über ein Internet-Radio zu übertragen. Dabei wurde festgestellt, dass der Datenverkehr überraschend angenehm klingt.

Netzwerk-Traffic vertont: Der Tomaten-Alarmschalter

Natürlich wäre es aber kein echtes Madness-Track-Projekt gewesen, wenn man nicht auch ein wenig über die Stränge geschlagen hätten. Bei der Entwicklung des Reaktionsmechanismus auf einen DDoS-Angriff konzentrierte man sich deshalb schnurstracks auf das bislang brachliegende Problembebungspotential von gartenfrischem Gemüse.

Die Idee war dabei, ein System zu entwickeln, bei dem der Anwender beim Ertönen eines DDoS-Angriffs eine Tomate drücken muss, um die Abhilfemaßnahmen zu aktivieren. Und sobald die Problembehebung abgeschlossen ist, muss er auf eine Gurke drücken, um zu signalisieren, dass alles geregelt ist.

Um diese Idee umzusetzen, wurden eine Tomate und eine Gurke mit einem Wemos D1 verbunden, einem kleinen elektronischen Modul mit ESP8266 WiFi-Mikroprozessor, sowie einem Makey Makey Invention Kit. Das Ergebnis war dieses (witzige, aber) sehr gesund aussehende Setup:

Wemos, Makey Makey und der Tomaten-Alarmschalter

Man darf wohl getrost behaupten, dass hier zum allerersten Mal eine Tomate in der DDoS-Abwehr eingesetzt wurde. Und was nicht minder wichtig ist: Man war sich ziemlich sicher, dass auch zum ersten Mal ein Wemos oder ähnliche Technologien (z.B. Arduino) zur Interaktion mit einem Sonic Pi verwendet wurden, was sozusagen der springende Punkt war.

Mehr als Spiel und Spaß

Bei der Arbeit an diesem Projekt drängte sich der Gedanke auf, dass die Sonifikation von Angriffsalarmen mithilfe hoher und niedriger Frequenzen in Zukunft beim Sicherheitsmonitoring tatsächlich eine Rolle spielen könnte.

Gemüsebasierte DDoS-Abwehr wird sich zwar wahrscheinlich nicht so richtig durchsetzen, doch die Idee, Informationen mit geringerer Priorität durch Klänge zu vermitteln, hat viel für sich und wird vermutlich weiter erforscht werden.

Da Töne bei anderen Alarmmechanismen bereits eine wichtige Rolle spielen, ist es eigentlich merkwürdig, dass sie beim Sicherheitsmonitoring weniger üblich sind. Wenn die SIEM-Branche nach neuen Wegen sucht, um das wachsende Problem der Informationsüberflutung in den Griff zu bekommen, könnte eine Erweiterung des Sensorik-Spektrums eine Idee sein, die durchaus der Prüfung wert ist.

 

Weitere Beiträge des Teams der Imperva-Sicherheitsforscher finden Sie unter: https://www.imperva.com/blog/