Tecnologia Científica

Usando o aprendizado de ma¡quina para caçar cibercriminosos
O modelo do Laborata³rio de Ciência da Computaa§a£o e Inteligaªncia Artificial identifica

Por Adam Conner-Simons - 09/10/2019


Da esquerda para a direita: o pesquisador saªnior David Clark, a estudante Cecilia Testart e o pa³s-doutorando Philipp Richter

O seqa¼estro de enderea§os IP éuma forma cada vez mais popular de ataque cibernanãtico. Isso éfeito por vários motivos, desde o envio de spam e malware atéo roubo de Bitcoin . Estima-se que somente em 2017, incidentes de roteamento como seqa¼estros de IP afetaram mais de 10% de todos os doma­nios de roteamento do mundo. Houve grandes incidentes na Amazon e no Google e atémesmo em estados-nação - um estudo no ano passado sugeriu que uma empresa chinesa de telecomunicações usou a abordagem para reunir informações sobre ospaíses ocidentais redirecionando o tra¡fego da Internet pela China.

Os esforços existentes para detectar invasaµes de IP tendem a analisar casos específicos quando eles já estãoem processo. Mas e se pudanãssemos prever esses incidentes com antecedaªncia, rastreando as coisas atéos pra³prios seqa¼estradores?  

Essa éa idanãia por trás de um novo sistema de aprendizado de ma¡quina desenvolvido por pesquisadores do MIT e da Universidade da Califórnia em San Diego (UCSD). Ao esclarecer algumas das qualidades comuns do que eles chamam de "seqa¼estradores em sanãrie", a equipe treinou seu sistema para identificar cerca de 800 redes suspeitas - e descobriu que algumas delas estavam sequestrando enderea§os IP hános. 

“Normalmente, as operadoras de rede precisam lidar com esses incidentes de maneira reativa e caso a caso, facilitando o sucesso dos criminosos cibernanãticos”, diz a principal autora Cecilia Testart, estudante de pós-graduação no Laborata³rio de Ciência da Computação e Inteligaªncia Artificial do MIT (CSAIL ), que apresentara¡ o documento na ACM Internet Measurement Conference, em Amsterda£, em 23 de outubro. "Este éum primeiro passo fundamental para poder esclarecer o comportamento dos seqa¼estradores em sanãrie e defender-se proativamente contra seus ataques".

O artigo éuma colaboração entre a CSAIL e o Centro de Ana¡lise Aplicada de Dados da Internet no Centro de Supercomputadores da UCSD. O artigo foi escrito por Testart e David Clark, pesquisador saªnior do MIT, ao lado do pa³s-doutorando no Philipp MIT e do cientista de dados Alistair King, além do cientista Alberto Dainotti, da UCSD.

A natureza das redes próximas

Os seqa¼estradores de IP exploram uma falha importante no Border Gateway Protocol (BGP), um mecanismo de roteamento que essencialmente permite que diferentes partes da Internet se comuniquem. Por meio do BGP, as redes trocam informações de roteamento para que os pacotes de dados cheguem ao destino correto. 

Em um seqa¼estro de BGP, um agente mal-intencionado convence as redes próximas de que o melhor caminho para alcana§ar um enderea§o IP especa­fico éatravanãs da rede. Infelizmente, isso não émuito difa­cil de fazer, uma vez que o pra³prio BGP não possui procedimentos de segurança para validar que uma mensagem estãorealmente vindo do local de origem.

"a‰ como um jogo de telefone, onde vocêsabe quem éo seu vizinho mais pra³ximo, mas vocênão conhece os vizinhos a cinco ou 10 nosde distância", diz Testart.

Em 1998, a primeira audiaªncia de cibersegurança do Senado dos EUA contou com uma equipe de hackers que alegaram que poderiam usar o seqa¼estro de IP para derrubar a Internet em menos de 30 minutos . Dainotti diz que, mais de 20 anos depois, a falta de implantação de mecanismos de segurança no BGP ainda éuma preocupação sanãria.

Para identificar melhor os ataques em sanãrie, o grupo primeiro extraiu dados de várias listas de mala direta de operadoras de rede, além de dados hista³ricos de BGP tirados a cada cinco minutos da tabela de roteamento global. A partir disso, eles observaram qualidades particulares de atores mal-intencionados e treinaram um modelo de aprendizado de ma¡quina para identificar automaticamente tais comportamentos.

O sistema sinalizou redes que tinham várias caracteri­sticas principais, principalmente no que diz respeito a  natureza dos blocos específicos de enderea§os IP que eles usam:

  • Mudanças vola¡teis na atividade : os blocos de enderea§os dos seqa¼estradores parecem desaparecer muito mais rapidamente do que os das redes lega­timas. A duração média do prefixo de uma rede sinalizada era inferior a 50 dias, em comparação com quase dois anos para redes lega­timas.
  • Va¡rios blocos de enderea§os : seqa¼estradores em sanãrie tendem a anunciar muito mais blocos de enderea§os IP, também conhecidos como "prefixos de rede".
  • Enderea§os IP em váriospaíses: a maioria das redes não possui enderea§os IP estrangeiros. Por outro lado, para as redes que os seqa¼estradores em sanãrie anunciavam ter, era muito mais prova¡vel que fossem registradas em diferentespaíses e continentes.

Identificando falsos positivos

Testart disse que um desafio no desenvolvimento do sistema éque eventos que parecem seqa¼estros de IP geralmente podem ser resultado de erro humano ou, de outra forma, lega­timos. Por exemplo, uma operadora de rede pode usar o BGP para se defender de ataques distribua­dos de negação de servia§o, nos quais háuma quantidade enorme de tra¡fego acessando sua rede. Modificar a rota éuma maneira lega­tima de interromper o ataque, mas parece praticamente idaªntico a um seqa¼estro real.

Devido a esse problema, a equipe frequentemente precisava entrar manualmente para identificar falsos positivos, responsa¡veis ​​por aproximadamente 20% dos casos identificados pelo classificador. Avana§ando, os pesquisadores esperam que iterações futuras exijam supervisão humana ma­nima e possam eventualmente ser implantadas em ambientes de produção.

"Os resultados dos autores mostram que os comportamentos passados ​​claramente não estãosendo usados ​​para limitar os maus comportamentos e evitar ataques subseqa¼entes", diz David Plonka, cientista saªnior da Akamai Technologies que não estava envolvido no trabalho. "Uma implicação desse trabalho éque as operadoras de rede podem dar um passo atrás e examinar o roteamento global da Internet ao longo dos anos, em vez de se concentrar apenas em miopicamente em incidentes individuais".

Amedida que as pessoas confiam cada vez mais na Internet para transações cra­ticas, Testart diz que espera que o potencial de danos do seqa¼estro de IP são piore. Mas ela também espera que isso possa ser dificultado por novas medidas de segurança. Em particular, grandes redes de backbone como a AT&T anunciaram recentemente a adoção da infraestrutura de chave pública de recursos (RPKI), um mecanismo que usa certificados criptogra¡ficos para garantir que uma rede anuncie apenas seus enderea§os IP lega­timos. 

“Este projeto poderia complementar as melhores soluções existentes para evitar abusos, que incluem filtragem, antiespofamento, coordenação atravanãs de bancos de dados de contatos e compartilhamento de políticas de roteamento para que outras redes possam valida¡-lo”, diz Plonka. “Resta ver se as redes que se comportam mal continuara£o sendo capazes de abrir caminho para uma boa reputação. Mas este trabalho éuma a³tima maneira de validar ou redirecionar os esforços da comunidade de operadoras de rede para pa´r um fim a esses perigos atuais. ”

O projeto foi apoiado, em parte, pela MIT Internet Policy Research Initiative, pela Fundação William e Flora Hewlett, pela National Science Foundation, pelo Departamento de Segurança Interna e pelo Laborata³rio de Pesquisa da Fora§a Aanãrea.

 

.
.
Leia mais a seguir

Começa a busca por sinais das primeiras estrelas do universo

Ouça os sons do Planeta 9 na Nova Sinfonia

TESS descobre um planeta rochoso que brilha com lava derretida enquanto é espremido por seus vizinhos

Avanço quântico lança luz sobre supercondutores de alta temperatura desconcertantes