Il dirottamento degli indirizzi IP è una forma di attacco informatico sempre più diffusa. Questo viene fatto per una serie di motivi, dall'invio di spam e malware al furto di Bitcoin. Si stima che solo nel 2017 incidenti di routing come hijack IP hanno interessato oltre il 10% di tutti i domini di routing del mondo. Ci sono stati gravi incidenti in Amazon e Google e persino negli stati-nazione:uno studio dell'anno scorso ha suggerito che una società di telecomunicazioni cinese ha utilizzato l'approccio per raccogliere informazioni sui paesi occidentali reindirizzando il loro traffico Internet attraverso la Cina.

Gli sforzi esistenti per rilevare i dirottamenti IP tendono a esaminare casi specifici quando sono già in corso. Ma cosa accadrebbe se potessimo prevedere questi incidenti in anticipo facendo risalire le cose agli stessi dirottatori?

Questa è l'idea alla base di un nuovo sistema di apprendimento automatico sviluppato dai ricercatori del MIT e dell'Università della California a San Diego (UCSD). Illuminando alcune delle qualità comuni di quelli che chiamano "serial hijacker, " il team ha addestrato il proprio sistema a identificare circa 800 reti sospette e ha scoperto che alcune di esse avevano dirottato gli indirizzi IP per anni.

"Gli operatori di rete normalmente devono gestire tali incidenti in modo reattivo e caso per caso, rendendo più facile per i criminali informatici continuare a prosperare, ", afferma l'autrice principale Cecilia Testart, uno studente laureato presso il Computer Science and Artificial Intelligence Laboratory (CSAIL) del MIT che presenterà il documento all'ACM Internet Measurement Conference ad Amsterdam il 23 ottobre. "Questo è un primo passo fondamentale per essere in grado di far luce sul comportamento dei dirottatori seriali e difendersi in modo proattivo dai loro attacchi".

Il documento è una collaborazione tra CSAIL e il Center for Applied Internet Data Analysis presso il Supercomputer Center della UCSD. Il documento è stato scritto da Testart e David Clark, un ricercatore senior del MIT, insieme al postdoc del MIT Philipp Richter e al data scientist Alistair King, nonché al ricercatore Alberto Dainotti della UCSD.

La natura delle reti vicine

I dirottatori IP sfruttano una lacuna chiave nel Border Gateway Protocol (BGP), un meccanismo di routing che essenzialmente consente a diverse parti di Internet di comunicare tra loro. Attraverso BGP, le reti scambiano informazioni di routing in modo che i pacchetti di dati trovino la strada verso la destinazione corretta.

In un dirottamento BGP, un malintenzionato convince le reti vicine che il percorso migliore per raggiungere un indirizzo IP specifico è attraverso la loro rete. Purtroppo non è molto difficile da fare, poiché BGP stesso non ha alcuna procedura di sicurezza per convalidare che un messaggio provenga effettivamente dal luogo da cui dice di provenire.

"È come un gioco di telefono, dove sai chi è il tuo vicino più prossimo, ma non conosci i vicini a cinque o dieci nodi di distanza, "dice Testart.

Nel 1998 la prima udienza sulla sicurezza informatica del Senato degli Stati Uniti ha visto un team di hacker che ha affermato di poter utilizzare il dirottamento dell'IP per disattivare Internet in meno di 30 minuti. Dainotti dice che più di 20 anni dopo, la mancanza di implementazione di meccanismi di sicurezza in BGP è ancora una seria preoccupazione.

Per individuare meglio gli attacchi seriali, il gruppo ha prima estratto i dati da diversi anni di mailing list di operatori di rete, così come i dati storici BGP presi ogni cinque minuti dalla tabella di routing globale. Da quello, hanno osservato particolari qualità degli attori malintenzionati e quindi hanno addestrato un modello di apprendimento automatico per identificare automaticamente tali comportamenti.

Il sistema ha segnalato le reti che avevano diverse caratteristiche chiave, in particolare per quanto riguarda la natura dei blocchi specifici di indirizzi IP che utilizzano:

• Cambiamenti volatili nell'attività:i blocchi di indirizzi dei dirottatori sembrano scomparire molto più velocemente di quelli delle reti legittime. La durata media del prefisso di una rete segnalata era inferiore a 50 giorni, rispetto a quasi due anni per le reti legittime.
• Blocchi di indirizzi multipli:i dirottatori seriali tendono a pubblicizzare molti più blocchi di indirizzi IP, noto anche come "prefissi di rete".
• Indirizzi IP in più paesi:la maggior parte delle reti non dispone di indirizzi IP esterni. In contrasto, per le reti che i dirottatori seriali pubblicizzavano di avere, era molto più probabile che fossero registrati in diversi paesi e continenti.

Identificare i falsi positivi

Testart ha affermato che una sfida nello sviluppo del sistema è stata che eventi che sembrano hijack IP possono spesso essere il risultato di errori umani, o altrimenti legittimo. Per esempio, un operatore di rete potrebbe utilizzare BGP per difendersi da attacchi denial-of-service distribuiti in cui c'è un'enorme quantità di traffico che va alla propria rete. Modificare il percorso è un modo legittimo per bloccare l'attacco, ma sembra praticamente identico a un vero dirottamento.

A causa di questo problema, il team doveva spesso intervenire manualmente per identificare i falsi positivi, che rappresentavano circa il 20 percento dei casi identificati dal loro classificatore. Andando avanti, i ricercatori sperano che le future iterazioni richiedano una supervisione umana minima e possano eventualmente essere implementate in ambienti di produzione.

"I risultati degli autori mostrano che i comportamenti passati non vengono chiaramente utilizzati per limitare i cattivi comportamenti e prevenire attacchi successivi, "dice David Plonka, un ricercatore senior presso Akamai Technologies che non era coinvolto nel lavoro. "Un'implicazione di questo lavoro è che gli operatori di rete possono fare un passo indietro ed esaminare il routing Internet globale nel corso degli anni, piuttosto che concentrarsi solo miopemente su singoli incidenti".

Poiché le persone si affidano sempre più a Internet per le transazioni critiche, Testart afferma che si aspetta che il potenziale danno del dirottamento IP possa solo peggiorare. Ma spera anche che possa essere reso più difficile da nuove misure di sicurezza. In particolare, le grandi reti dorsali come AT&T hanno recentemente annunciato l'adozione dell'infrastruttura a chiave pubblica delle risorse (RPKI), un meccanismo che utilizza certificati crittografici per garantire che una rete annunci solo i suoi indirizzi IP legittimi.

"Questo progetto potrebbe ben integrare le migliori soluzioni esistenti per prevenire tali abusi che includono il filtraggio, antispoofing, coordinamento tramite banche dati di contatti, e condividere politiche di routing in modo che altre reti possano convalidarlo, ", afferma Plonka. "Resta da vedere se le reti che si comportano male continueranno a essere in grado di farsi strada verso una buona reputazione. Ma questo lavoro è un ottimo modo per convalidare o reindirizzare gli sforzi della comunità degli operatori di rete per porre fine a questi pericoli attuali".

Questa storia è stata ripubblicata per gentile concessione di MIT News (web.mit.edu/newsoffice/), un popolare sito che copre notizie sulla ricerca del MIT, innovazione e didattica.