Joeri de Ruiter - Privacy-vriendelijk loggen voor Incident-response

Abstract

Om mogelijke besmette of gecompromitteerde systemen binnen een netwerk op te sporen kunnen DNS queries erg nuttig zijn. Bij een incident zou je dan ook graag terug willen zoeken welke systemen een bepaalde hostname, bijvoorbeeld voor een bepaalde command&control server, hebben opgevraagd. Het zou dus erg handig zijn een een uitgebreide log bij te houden van alle queries op de resolvers om mogelijke problemen op te sporen. Een log van alle DNS queries laat echter ook, bijvoorbeeld, zien welke websites een gebruiker heeft bezocht. Het is dus een nuttige informatiebron die tegelijk privacy-gevoelige gegevens kan bevatten.

Met behulp van cryptografische technieken hebben we een systeem ontworpen waarin deze DNS queries op een privacy-vriendelijkere manier kunnen worden opgeslagen en gebruikt voor incident response doeleinden. Hierbij is het wel nog mogelijk om op te zoeken welke systemen een bepaalde hostname hebben opgevraagd, maar kan niet worden opgezocht welke opvragingen een bepaalde gebruiker allemaal heeft gedaan.

Biografie

Joeri de Ruiter works at SURF as Technical Product Manager on DNS-services and on security innovation. Previously he worked as research engineer on future internet architectures at SIDN Labs as assistant professor at the Radboud University and research fellow at the University of Birmingham. His research topics include the design and analysis of real-world security protocols (e.g. EMV and TLS) and privacy-friendly systems.

Spreker