El secuestro de direcciones IP es una forma cada vez más popular de ciberataque. Esto se hace por una variedad de razones, desde enviar spam y malware hasta robar Bitcoin. Se estima que solo en 2017, Los incidentes de enrutamiento, como los secuestros de IP, afectaron a más del 10 por ciento de todos los dominios de enrutamiento del mundo. Ha habido incidentes importantes en Amazon y Google e incluso en estados-nación; un estudio del año pasado sugirió que una empresa de telecomunicaciones china utilizó el enfoque para recopilar inteligencia sobre los países occidentales redirigiendo su tráfico de Internet a través de China.

Los esfuerzos existentes para detectar secuestros de IP tienden a considerar casos específicos cuando ya están en proceso. Pero, ¿y si pudiéramos predecir estos incidentes de antemano rastreando las cosas hasta los propios secuestradores?

Esa es la idea detrás de un nuevo sistema de aprendizaje automático desarrollado por investigadores del MIT y la Universidad de California en San Diego (UCSD). Al iluminar algunas de las cualidades comunes de lo que ellos llaman "secuestradores en serie, "El equipo entrenó su sistema para que pudiera identificar aproximadamente 800 redes sospechosas y descubrió que algunas de ellas habían estado secuestrando direcciones IP durante años.

"Los operadores de red normalmente tienen que manejar este tipo de incidentes de forma reactiva y caso por caso, facilitando que los ciberdelincuentes sigan prosperando, "dice la autora principal Cecilia Testart, un estudiante graduado en el Laboratorio de Ciencias de la Computación e Inteligencia Artificial del MIT (CSAIL) que presentará el documento en la Conferencia de Medición de Internet de ACM en Ámsterdam el 23 de octubre. "Este es un primer paso clave para poder arrojar luz sobre el comportamiento de los secuestradores en serie y defenderse de forma proactiva contra sus ataques ".

El documento es una colaboración entre CSAIL y el Center for Applied Internet Data Analysis en el Supercomputer Center de UCSD. El artículo fue escrito por Testart y David Clark, un científico investigador senior del MIT, junto con el postdoctorado del MIT Philipp Richter y el científico de datos Alistair King, así como con el científico investigador Alberto Dainotti de UCSD.

La naturaleza de las redes cercanas

Los secuestradores de IP aprovechan una deficiencia clave en el Border Gateway Protocol (BGP), un mecanismo de enrutamiento que esencialmente permite que diferentes partes de Internet se comuniquen entre sí. A través de BGP, Las redes intercambian información de enrutamiento para que los paquetes de datos lleguen al destino correcto.

En un secuestro de BGP, un actor malintencionado convence a las redes cercanas de que la mejor ruta para llegar a una dirección IP específica es a través de su red. Desafortunadamente, eso no es muy difícil de hacer, ya que BGP en sí no tiene ningún procedimiento de seguridad para validar que un mensaje realmente proviene del lugar de donde dice que proviene.

"Es como un juego de teléfono, donde sepas quién es tu vecino más cercano, pero no conoces a los vecinos a cinco o diez nodos de distancia, "dice Testart.

En 1998, la primera audiencia de ciberseguridad del Senado de los Estados Unidos contó con un equipo de piratas informáticos que afirmaron que podían usar el secuestro de IP para acabar con Internet en menos de 30 minutos. Dainotti dice que, más de 20 años después, la falta de implementación de mecanismos de seguridad en BGP sigue siendo una seria preocupación.

Para identificar mejor los ataques en serie, el grupo primero extrajo datos de listas de correo de operadores de red de varios años, así como datos históricos de BGP tomados cada cinco minutos de la tabla de enrutamiento global. A partir de ese, observaron cualidades particulares de actores maliciosos y luego entrenaron un modelo de aprendizaje automático para identificar automáticamente tales comportamientos.

El sistema marcó redes que tenían varias características clave, particularmente con respecto a la naturaleza de los bloques específicos de direcciones IP que utilizan:

• Cambios volátiles en la actividad:los bloques de direcciones de los secuestradores parecen desaparecer mucho más rápido que los de las redes legítimas. La duración promedio del prefijo de una red marcada fue de menos de 50 días, en comparación con casi dos años para las redes legítimas.
• Múltiples bloques de direcciones:los secuestradores en serie tienden a anunciar muchos más bloques de direcciones IP, también conocido como "prefijos de red".
• Direcciones IP en varios países:la mayoría de las redes no tienen direcciones IP extranjeras. A diferencia de, para las redes que los secuestradores en serie anunciaron que tenían, era mucho más probable que estuvieran registrados en diferentes países y continentes.

Identificación de falsos positivos

Testart dijo que un desafío en el desarrollo del sistema fue que los eventos que parecen secuestros de IP a menudo pueden ser el resultado de un error humano. o legítimo de otro modo. Por ejemplo, un operador de red puede usar BGP para defenderse de ataques distribuidos de denegación de servicio en los que hay grandes cantidades de tráfico que van a su red. La modificación de la ruta es una forma legítima de detener el ataque, pero parece prácticamente idéntico a un secuestro real.

Debido a este problema, el equipo a menudo tenía que intervenir manualmente para identificar falsos positivos, que representó aproximadamente el 20 por ciento de los casos identificados por su clasificador. Avanzando Los investigadores tienen la esperanza de que las iteraciones futuras requieran una supervisión humana mínima y, eventualmente, puedan implementarse en entornos de producción.

"Los resultados de los autores muestran que los comportamientos pasados ​​claramente no se están utilizando para limitar los malos comportamientos y prevenir ataques posteriores, "dice David Plonka, un científico investigador senior de Akamai Technologies que no participó en el trabajo. "Una de las implicaciones de este trabajo es que los operadores de red pueden dar un paso atrás y examinar el enrutamiento global de Internet a lo largo de los años, en lugar de centrarse de forma miope en incidentes individuales ".

A medida que la gente confía cada vez más en Internet para realizar transacciones críticas, Testart dice que espera que el daño potencial del secuestro de IP solo empeore. Pero también tiene la esperanza de que las nuevas medidas de seguridad podrían complicarlo más. En particular, Grandes redes troncales como AT&T han anunciado recientemente la adopción de infraestructura de clave pública de recursos (RPKI), un mecanismo que utiliza certificados criptográficos para garantizar que una red anuncie solo sus direcciones IP legítimas.

"Este proyecto podría complementar muy bien las mejores soluciones existentes para prevenir tal abuso que incluyen filtrado, antiséptico, coordinación a través de bases de datos de contactos, y compartir políticas de enrutamiento para que otras redes puedan validarlo, ", dice Plonka." Queda por ver si las redes que se portan mal seguirán siendo capaces de abrirse camino hacia una buena reputación. Pero este trabajo es una excelente manera de validar o redirigir los esfuerzos de la comunidad de operadores de red para poner fin a estos peligros presentes ".

Esta historia se vuelve a publicar por cortesía de MIT News (web.mit.edu/newsoffice/), un sitio popular que cubre noticias sobre la investigación del MIT, innovación y docencia.