Ndjekja e kriminelëve kibernetikë me një sistem të ri machine-learning

Modeli nga Laboratori i Shkencave Kompjuterike dhe Inteligjencës Artificiale identifikon “rrëmbyesit serial” të adresave IP të internetit.

Rrëmbimi i adresave IP është një formë gjithnjë e më popullore e sulmeve kibernetike. Kjo bëhet për një sërë arsyesh, nga dërgimi i postës së padëshiruar dhe malware deri në vjedhjen e Bitcoin. Është vlerësuar se vetëm në vitin 2017, incidente të tilla kanë prekur më shumë se 10% të të gjitha domain-eve në botë. Ka pasur incidente të mëdha në Amazon dhe Google, një studim vitin e kaluar sugjeroi që një kompani kineze e telekomit përdori këtë mënyrë për të grumbulluar inteligjencë në vendet perëndimore duke ri-trafikuar route-in e tyre të internetit përmes Kinës.

Përpjekjet ekzistuese për të zbuluar rrëmbyesit IP priren të merren me raste specifike të cilat janë tashmë në proçes. Por, çfarë ndodh nëse nëse do të mund t’i parashikonim këto incidente paraprakisht duke i rikthyer gjërat tek vetë rrëmbyesit?

Kjo është ideja prapa një sistemi të ri të machine-learning të zhvilluar nga studiuesit në MIT dhe Universitetin e Kalifornisë në San Diego (UCSD). Duke specifikuar disa nga cilësitë e zakonshme të atyre që ata i quajnë “rrëmbyesit serial”, ekipi trajnoi sistemin e tyre për të qenë në gjendje të identifikonte afërsisht 800 rrjete të dyshimta, dhe zbuloi se disa prej tyre kishin rrëmbyer adresa IP për vite me rradhë.

“Operatorët e rrjetit normalisht duhet të trajtojnë incidente të tilla në mënyrë aktive dhe rast pas rasti, duke e bërë të lehtë për kriminelët kibernetikë që të vazhdojnë të lulëzojnë”,- thotë autorja kryesor Cecilia Testart, një studente e diplomuar në Laboratorin e Shkencave Kompjuterike dhe të Inteligjencës Artificiale të MIT (CSAIL) ) e cila paraqiti punimin në Konferencën e Matjes së Internetit ACM në Amsterdam në 23 Tetor 2019. “Ky është një hap i parë i rëndësishëm për të qenë në gjendje të hedhim dritë mbi sjelljen e rrëmbyesve serial dhe të mbrohemi në mënyrë proaktive ndaj sulmeve të tyre.”

Punimi është një bashkëpunim midis CSAIL dhe Qendrës për Analizën e Aplikuar të të Dhënave në Internet në Qendrën e Superkompjuterit të UCSD. Punimi u shkruajt nga Testart dhe David Clark, një shkencëtar i lartë kërkimor i MIT, së bashku me studentin e postdoktoraturës e MIT Philipp Richter, shkencëtarin e të dhënave Alistair King si dhe shkencëtarin kërkimor Alberto Dainotti nga UCSD.

Natyra e rrjeteve të pranishme

Rrëmbyesit IP shfrytëzojnë një mangësi kryesore në Protokollin e Portës së Kufirit (BGP), një mekanizëm routing që në thelb lejon pjesë të ndryshme të internetit të komunikojnë me njëri-tjetrin. Përmes BGP, rrjetet shkëmbejnë informacione routing në mënyrë që paketat e të dhënave të gjejnë rrugën e tyre drejt destinacionit të saktë.

Në një hakim të BGP, një haker dashakeq bind rrjetet aty pranë se rruga më e mirë për të arritur një adresë specifike IP është përmes rrjetit të tyre. Kjo për fat të keq nuk është shumë e vështirë për t’u bërë, pasi vetë BGP nuk ka ndonjë proçedurë sigurie për të vërtetuar se një mesazh po vjen me të vërtetë nga vendi nga i cili thotë se po vjen.

“Është si një lojë e Telefonit, ku ju e dini kush është fqinji juaj më i afërt, por nuk i njihni fqinjët pesë ose 10 nyje larg”, thotë Testart.

Në vitin 1998, dëgjimi i parë i sigurisë kibernetike i Senatit Amerikan paraqiti një ekip hakerash të cilët pretenduan se ata mund të përdorin rrëmbimin IP për të shkatërruar internetin në më pak se 30 minuta. Dainotti thotë se, më shumë se 20 vjet më vonë, mungesa e vendosjes së mekanizmave të sigurisë në BGP është ende një shqetësim serioz.

Për të identifikuar më mirë sulmet në seri, grupi së pari tërhoqi të dhëna nga listat e postave të operatorit të rrjetit me vlerë disa vjet, si dhe të dhëna historike BGP të marra çdo pesë minuta nga tabela globale e routing. Nga kjo, ata vëzhguan cilësi të veçanta të hakerave dashakeqës dhe më pas trajnuan një model të machine-learning për të identifikuar automatikisht sjellje të tilla.

Sistemi shënoi rrjete që kishin disa karakteristika kryesore, veçanërisht në lidhje me natyrën e blloqeve specifike të adresave IP që ata përdorin:

• Ndryshime të paqëndrueshme në aktivitet: Blloqet e adresave të Rrëmbyesve duket se zhduken shumë më shpejt sesa ato të rrjeteve të ligjshme. Kohëzgjatja mesatare e prefiksit të një rrjeti me flamur ishte nën 50 ditë, krahasuar me pothuajse dy vjet për rrjetet e ligjshme.
• Blloqe të shumëfishta adresash: Rrëmbyesit serialë priren të reklamojnë shumë më tepër blloqe të adresave IP, të njohura gjithashtu si “parashtesat e rrjetit”.
• Adresat IP në shumë vende: Shumica e rrjeteve nuk kanë adresa të huaja IP. Në të kundërt, për rrjetet që rrëmbyesit serialë reklamuan se kishin, ata kishin më shumë të ngjarë të regjistroheshin në vende dhe kontinente të ndryshme.

Identifikimi i pozitivëve false

Testart tha se një sfidë në zhvillimin e sistemit ishte që situatat që duken si rrëmbyese IP shpesh mund të jenë rezultat i gabimit njerëzor, ose ndryshe legjitime. Për shembull, një operator i rrjetit mund të përdorë BGP për t’u mbrojtur kundër sulmeve të shpërndara të mohimit të shërbimit në të cilat ka sasi të mëdha trafiku që shkojnë në rrjetin e tyre. Modifikimi i route-it është një mënyrë e ligjshme për të ndaluar sulmin, por duket praktikisht identike me një rrëmbim aktual.

Për shkak të kësaj çështje, ekipit shpesh iu desh të hidhej manualisht për të identifikuar pozitivë të rreme, të cilat përbënin afërsisht 20% të rasteve të identifikuara nga klasifikuesi i tyre. Me kalimin e kohës, studiuesit shpresojnë që përsëritjet e ardhshme do të kërkojnë mbikëqyrje minimale njerëzore dhe përfundimisht mund të vendosen në mjediset e prodhimit.

“Rezultatet e autorëve tregojnë se është e qartë që sjelljet e kaluara nuk po përdoren për të kufizuar sjelljet e këqija dhe për të parandaluar sulmet e mëvonshme”,- thotë David Plonka, një shkencëtar i lartë kërkimor në Akamai Technologies i cili nuk ishte i përfshirë në punë. “Një implikim i kësaj pune është se operatorët e rrjetit mund të bëjnë një hap prapa dhe të shqyrtojnë rrugëtimin global të Internetit ndër vite, në vend që thjesht të përqendrohen miopikisht në incidente individuale.”

Ndërkohë që njerëzit mbështeten gjithnjë e më shumë në internet për transaksione kritike, Testart thotë se ajo pret që potenciali i rrëmbimit të IP-së për dëmtime të përkeqësohet. Por ajo gjithashtu shpreson se mund të bëhet më e vështirë nga masat e reja të sigurisë. Në veçanti, rrjetet e mëdha kryesore të tilla si AT&T kohët e fundit kanë njoftuar miratimin e infrastrukturës së burimeve kryesore publike (RPKI), një mekanizëm që përdor çertifikatat kriptografike për të siguruar që një rrjet njofton vetëm adresat e tij legjitime të IP.

“Ky projekt mund të plotësojë bukur zgjidhjet ekzistuese më të mira për të parandaluar abuzime të tilla që përfshijnë filtrimin, koordinimin përmes bazave të të dhënave të kontaktit dhe ndarjen e politikave të routing në mënyrë që rrjetet e tjera ta vërtetojnë atë,” thotë Plonka. “Mbetet të shihet nëse rrjetet e dyshimta do të vazhdojnë të jenë në gjendje të arrijnë drejt një reputacioni të mirë. Por kjo punë është një mënyrë e shkëlqyer për të vërtetuar ose ridrejtuar përpjekjet e komunitetit të operatorit të rrjetit për t’i dhënë fund këtyre rreziqeve të tanishme. “

Projekti u mbështet, pjesërisht, nga Nisma e Kërkimit të Politikave të Internetit MIT, Fondacioni William dhe Flora Hewlett, Fondacioni Kombëtar i Shkencës, Departamenti i Sigurisë Kombëtare dhe Laboratori Kërkimor i Forcave Ajrore.