David-Clark-Cecilia-Testart-Philipp-Richter-photo-by-Jason-Dorfman-MIT-CSAIL_0

Utilizzo dell’apprendimento automatico per dare la caccia ai criminali informatici

/in , /da
Tempo di lettura: 4 minuti

Il dirottamento degli indirizzi IP è una forma sempre più popolare di attacco informatico. Questo viene fatto per una serie di motivi, dall’invio di spam e malware al furto di Bitcoin. Si stima che nel solo 2017 incidenti di routing come i dirottamenti IP abbiano interessato oltre il 10 percento di tutti i domini di routing del mondo. Ci sono stati incidenti importanti in Amazon e Google e persino negli stati-nazione, uno studio dell’anno scorso ha suggerito che una società di telecomunicazioni cinese ha utilizzato l’approccio per raccogliere informazioni sui paesi occidentali reindirizzando il loro traffico Internet attraverso la Cina.

Gli sforzi esistenti per rilevare i dirottamenti IP tendono a esaminare casi specifici quando sono già in corso. E se potessimo prevedere in anticipo questi incidenti rintracciando le cose agli stessi dirottatori?

Questa è l’idea alla base di un nuovo sistema di apprendimento automatico sviluppato dai ricercatori del MIT e dell’Università della California a San Diego (UCSD). Illuminando alcune delle qualità comuni di quelli che chiamano “dirottatori seriali”, il team ha addestrato il proprio sistema a identificare circa 800 reti sospette e ha scoperto che alcuni di loro avevano dirottato gli indirizzi IP per anni.

“Normalmente gli operatori di rete devono gestire tali incidenti in modo reattivo e caso per caso, rendendo facile per i criminali informatici continuare a prosperare”, afferma l’autore principale Cecilia Testart, una studentessa laureata presso il Laboratorio di informatica e intelligenza artificiale del MIT (CSAIL ) che presenterà il documento alla Conferenza sulla misurazione di Internet di ACM ad Amsterdam il 23 ottobre. “Questo è un primo passo fondamentale per essere in grado di far luce sul comportamento dei dirottatori seriali e difendersi in modo proattivo dai loro attacchi”.

L’articolo è una collaborazione tra CSAIL e il Center for Applied Internet Data Analysis presso il Supercomputer Center di UCSD. L’articolo è stato scritto da Testart e David Clark, un ricercatore senior del MIT, insieme al postdoc del MIT Philipp Richter e al data scientist Alistair King, nonché al ricercatore Alberto Dainotti dell’UCSD.

La natura delle reti vicine

I dirottatori IP sfruttano una lacuna chiave del Border Gateway Protocol (BGP), un meccanismo di routing che essenzialmente consente a diverse parti di Internet di dialogare. Attraverso BGP, le reti si scambiano informazioni di routing in modo che i pacchetti di dati raggiungano la destinazione corretta.

In un dirottamento BGP, un attore malintenzionato convince le reti vicine che il percorso migliore per raggiungere un indirizzo IP specifico è attraverso la propria rete. Purtroppo non è molto difficile da fare, dal momento che BGP stesso non ha alcuna procedura di sicurezza per convalidare che un messaggio provenga effettivamente dal luogo in cui dice che proviene.

“È come un gioco del telefono, in cui sai chi è il tuo vicino più vicino, ma non conosci i vicini a cinque o 10 nodi di distanza”, afferma Testart.

Nel 1998 la prima udienza sulla sicurezza informatica del Senato degli Stati Uniti ha visto la presenza di un team di hacker che ha affermato di poter utilizzare il dirottamento della PI per smantellare Internet in meno di 30 minuti . Dainotti afferma che, più di 20 anni dopo, la mancanza di dispiegamento di meccanismi di sicurezza in BGP continua a destare gravi preoccupazioni.

Per individuare meglio gli attacchi seriali, il gruppo ha prima estratto i dati dalle liste di indirizzi degli operatori di rete di diversi anni, nonché i dati BGP storici presi ogni cinque minuti dalla tabella di routing globale. Da ciò, hanno osservato particolari qualità di attori malvagi e quindi hanno formato un modello di apprendimento automatico per identificare automaticamente tali comportamenti.

Il sistema ha contrassegnato le reti che presentavano diverse caratteristiche chiave, in particolare per quanto riguarda la natura dei blocchi specifici di indirizzi IP che utilizzano:

  • Cambiamenti volatili nell’attività : i blocchi di indirizzi dei dirottatori sembrano scomparire molto più velocemente di quelli delle reti legittime. La durata media del prefisso di una rete segnalata era inferiore a 50 giorni, rispetto a quasi due anni per le reti legittime.
  • Più blocchi di indirizzi : i dirottatori seriali tendono a pubblicizzare molti più blocchi di indirizzi IP, noti anche come “prefissi di rete”.
  • Indirizzi IP in più paesi: la maggior parte delle reti non ha indirizzi IP esterni. Al contrario, per le reti pubblicizzate dai dirottatori seriali che avevano, avevano molte più probabilità di essere registrate in diversi paesi e continenti.

Identificazione di falsi positivi

Testart ha affermato che una sfida nello sviluppo del sistema è che gli eventi che sembrano dirottamenti IP possono spesso essere il risultato di errori umani o comunque legittimi. Ad esempio, un operatore di rete potrebbe utilizzare BGP per difendersi da attacchi di negazione del servizio distribuiti in cui è presente una grande quantità di traffico verso la propria rete. La modifica del percorso è un modo legittimo per arrestare l’attacco, ma sembra praticamente identico a un vero e proprio dirottamento.

A causa di questo problema, il team doveva spesso saltare manualmente per identificare i falsi positivi, che rappresentavano circa il 20 percento dei casi identificati dal loro classificatore. Andando avanti, i ricercatori sperano che le future iterazioni richiedano una supervisione umana minima e possano eventualmente essere implementate in ambienti di produzione.

“I risultati degli autori mostrano che i comportamenti del passato non sono chiaramente utilizzati per limitare i cattivi comportamenti e prevenire attacchi successivi”, afferma David Plonka, ricercatore senior presso Akamai Technologies che non era coinvolto nel lavoro. “Una delle implicazioni di questo lavoro è che gli operatori di rete possono fare un passo indietro ed esaminare il routing globale di Internet nel corso degli anni, piuttosto che concentrarsi solo  sui singoli incidenti”.

Man mano che le persone fanno sempre più affidamento su Internet per le transazioni critiche, Testart afferma che si aspetta che il potenziale dirottamento dell’IP per i danni peggiori. Ma spera anche che potrebbe essere reso più difficile da nuove misure di sicurezza. In particolare, reti di backbone di grandi dimensioni come AT&T hanno recentemente annunciato l’adozione dell’infrastruttura a chiave pubblica (RPKI) delle risorse, un meccanismo che utilizza certificati crittografici per garantire che una rete annunci solo i suoi indirizzi IP legittimi.

“Questo progetto potrebbe integrare perfettamente le migliori soluzioni esistenti per prevenire tali abusi che includono filtro, antispoofing, coordinamento tramite database di contatti e condivisione di politiche di routing in modo che altre reti possano convalidarlo”, afferma Plonka. “Resta da vedere se le reti che si comportano male continueranno a essere in grado di raggiungere una buona reputazione. Ma questo lavoro è un ottimo modo per convalidare o reindirizzare gli sforzi della comunità degli operatori di rete per porre fine a questi pericoli attuali. ”

Il progetto è stato sostenuto, in parte, dalla MIT Internet Policy Research Initiative, dalla William and Flora Hewlett Foundation, dalla National Science Foundation, dal Dipartimento per la sicurezza nazionale e dall’Air Force Research Laboratory.

Fonte

Potrebbero interessarti
Nodersok Nodersok utilizza app Web per infettare i PC
bug di lastpass Il bug di LastPass
paradise ransomware Ransomware Paradise: trovato modo per decrittare
cybersicurezza Cybersicurezza set.35-2019
https-list-comparison DuckDuckGo aggiorna la sua crittografia
detectify Detectify raccoglie altri € 21 milioni per la sua rete di hacker etici
padloc Un gestore di password semplice e open source
rapporto dell'europol L’intelligenza artificiale, l’informatica quantistica e il 5G potrebbero rendere i criminali più pericolosi che mai