O sequestro de endereços IP é uma forma cada vez mais popular de ataque cibernético. Isso é feito por uma série de razões, desde o envio de spam e malware até o roubo de Bitcoin. Estima-se que só em 2017, incidentes de roteamento, como sequestros de IP, afetaram mais de 10% de todos os domínios de roteamento do mundo. Houve grandes incidentes na Amazon e no Google e até mesmo em estados-nações - um estudo no ano passado sugeriu que uma empresa de telecomunicações chinesa usou a abordagem para reunir informações sobre os países ocidentais redirecionando seu tráfego de internet através da China.

Os esforços existentes para detectar sequestros de IP tendem a olhar para casos específicos quando eles já estão em andamento. Mas e se pudéssemos prever esses incidentes com antecedência, rastreando as coisas até os próprios sequestradores?

Essa é a ideia por trás de um novo sistema de aprendizado de máquina desenvolvido por pesquisadores do MIT e da Universidade da Califórnia em San Diego (UCSD). Ao iluminar algumas das qualidades comuns do que eles chamam de "sequestradores em série, "a equipe treinou seu sistema para ser capaz de identificar cerca de 800 redes suspeitas - e descobriu que algumas delas vinham sequestrando endereços IP há anos.

"Os operadores de rede normalmente precisam lidar com tais incidentes de forma reativa e caso a caso, tornando mais fácil para os cibercriminosos continuarem a prosperar, "diz a autora principal Cecilia Testart, um estudante de pós-graduação no Laboratório de Ciência da Computação e Inteligência Artificial do MIT (CSAIL) que apresentará o artigo na Conferência de Medição da Internet ACM em Amsterdã em 23 de outubro. "Este é um primeiro passo importante para esclarecer o comportamento de sequestradores em série e se defender de forma proativa contra seus ataques. "

O artigo é uma colaboração entre o CSAIL e o Center for Applied Internet Data Analysis no Centro de Supercomputadores da UCSD. O artigo foi escrito por Testart e David Clark, um cientista pesquisador sênior do MIT, ao lado do pós-doutorado do MIT Philipp Richter e do cientista de dados Alistair King, bem como do cientista pesquisador Alberto Dainotti, da UCSD.

A natureza das redes próximas

Os sequestradores de IP exploram uma lacuna importante no Border Gateway Protocol (BGP), um mecanismo de roteamento que essencialmente permite que diferentes partes da Internet conversem entre si. Por meio do BGP, as redes trocam informações de roteamento para que os pacotes de dados encontrem seu caminho para o destino correto.

Em um sequestro de BGP, um agente malicioso convence as redes próximas de que o melhor caminho para chegar a um endereço IP específico é por meio de sua rede. Infelizmente, isso não é muito difícil de fazer, já que o próprio BGP não tem nenhum procedimento de segurança para validar se uma mensagem está realmente vindo do lugar de onde diz que está vindo.

"É como um jogo de telefone, onde você sabe quem é o seu vizinho mais próximo, mas você não conhece os vizinhos a cinco ou 10 nós de distância, "diz Testart.

Em 1998, a primeira audiência de cibersegurança do Senado dos EUA apresentou uma equipe de hackers que alegou que poderia usar o sequestro de IP para derrubar a Internet em menos de 30 minutos. Dainotti diz que, mais de 20 anos depois, a falta de implantação de mecanismos de segurança no BGP ainda é uma preocupação séria.

Para identificar melhor os ataques seriais, o grupo primeiro extraiu dados de vários anos de listas de correio de operadoras de rede, bem como dados históricos do BGP obtidos a cada cinco minutos da tabela de roteamento global. A partir desse, eles observaram qualidades específicas de agentes mal-intencionados e, em seguida, treinaram um modelo de aprendizado de máquina para identificar automaticamente esses comportamentos.

O sistema sinalizou redes que tinham várias características principais, particularmente no que diz respeito à natureza dos blocos específicos de endereços IP que eles usam:

• Mudanças voláteis na atividade:os blocos de endereços dos invasores parecem desaparecer muito mais rápido do que os das redes legítimas. A duração média do prefixo de uma rede sinalizada era de menos de 50 dias, em comparação com quase dois anos para redes legítimas.
• Vários blocos de endereços:os sequestradores em série tendem a anunciar muitos mais blocos de endereços IP, também conhecido como "prefixos de rede".
• Endereços IP em vários países:a maioria das redes não possui endereços IP estrangeiros. Em contraste, para as redes que os sequestradores em série anunciaram que possuíam, eles eram muito mais prováveis ​​de serem registrados em diferentes países e continentes.

Identificando falsos positivos

Testart disse que um desafio no desenvolvimento do sistema era que os eventos que se parecem com sequestros de IP muitas vezes podem ser o resultado de erro humano, ou de outra forma legítima. Por exemplo, uma operadora de rede pode usar o BGP para se defender contra ataques de negação de serviço distribuídos nos quais há uma grande quantidade de tráfego indo para sua rede. Modificar a rota é uma forma legítima de encerrar o ataque, mas parece virtualmente idêntico a um sequestro real.

Por causa desse problema, a equipe muitas vezes precisava intervir manualmente para identificar falsos positivos, que representou cerca de 20 por cento dos casos identificados por seu classificador. Seguindo em frente, os pesquisadores têm esperança de que as iterações futuras exigirão supervisão humana mínima e possam, eventualmente, ser implantadas em ambientes de produção.

"Os resultados dos autores mostram que comportamentos anteriores claramente não estão sendo usados ​​para limitar os maus comportamentos e prevenir ataques subsequentes, "diz David Plonka, um cientista pesquisador sênior da Akamai Technologies que não estava envolvido no trabalho. "Uma implicação desse trabalho é que as operadoras de rede podem dar um passo para trás e examinar o roteamento global da Internet ao longo dos anos, em vez de focar apenas miopicamente em incidentes individuais. "

À medida que as pessoas dependem cada vez mais da Internet para transações críticas, Testart diz que espera que o potencial de danos do sequestro de IP só piore. Mas ela também tem esperança de que as novas medidas de segurança tornem mais difícil. Em particular, grandes redes de backbone, como a AT&T, anunciaram recentemente a adoção de infraestrutura de chave pública de recursos (RPKI), um mecanismo que usa certificados criptográficos para garantir que uma rede anuncie apenas seus endereços IP legítimos.

"Este projeto poderia complementar muito bem as melhores soluções existentes para evitar esse tipo de abuso, que incluem a filtragem, antispoofing, coordenação por meio de bancos de dados de contato, e compartilhar políticas de roteamento para que outras redes possam validá-lo, "diz Plonka." Resta saber se as redes malcomportadas continuarão a ser capazes de jogar para obter uma boa reputação. Mas este trabalho é uma ótima maneira de validar ou redirecionar os esforços da comunidade de operadoras de rede para acabar com esses perigos presentes. "

Esta história foi republicada por cortesia do MIT News (web.mit.edu/newsoffice/), um site popular que cobre notícias sobre pesquisas do MIT, inovação e ensino.