Het kapen van IP-adressen is een steeds populairdere vorm van cyberaanval. Dit wordt gedaan om verschillende redenen, van het verzenden van spam en malware tot het stelen van Bitcoin. Naar schatting alleen al in 2017 routeringsincidenten zoals IP-kapingen troffen meer dan 10 procent van alle routeringsdomeinen ter wereld. Er zijn grote incidenten geweest bij Amazon en Google en zelfs in natiestaten - een onderzoek vorig jaar suggereerde dat een Chinees telecombedrijf de aanpak gebruikte om informatie te verzamelen over westerse landen door hun internetverkeer om te leiden via China.

Bestaande pogingen om IP-kapingen te detecteren, kijken meestal naar specifieke gevallen wanneer ze al in behandeling zijn. Maar wat als we deze incidenten van tevoren konden voorspellen door dingen te herleiden tot de kapers zelf?

Dat is het idee achter een nieuw machine-learningsysteem dat is ontwikkeld door onderzoekers van het MIT en de University of California in San Diego (UCSD). Door enkele van de gemeenschappelijke eigenschappen te belichten van wat zij 'seriekapers' noemen, " het team trainde hun systeem om ongeveer 800 verdachte netwerken te kunnen identificeren - en ontdekte dat sommigen van hen al jaren IP-adressen hadden gekaapt.

"Netwerkoperators moeten dergelijke incidenten normaal gesproken reactief en per geval afhandelen, het gemakkelijk maken voor cybercriminelen om te blijven gedijen, " zegt hoofdauteur Cecilia Testart, een afgestudeerde student aan het Computer Science and Artificial Intelligence Laboratory (CSAIL) van het MIT, die de paper zal presenteren op de ACM Internet Measurement Conference in Amsterdam op 23 oktober. "Dit is een belangrijke eerste stap om licht te kunnen werpen op het gedrag van seriële kapers en proactief verdedigen tegen hun aanvallen."

De paper is een samenwerking tussen CSAIL en het Center for Applied Internet Data Analysis in het Supercomputer Center van UCSD. Het papier is geschreven door Testart en David Clark, een MIT senior onderzoeker, naast MIT-postdoc Philipp Richter en datawetenschapper Alistair King, evenals onderzoekswetenschapper Alberto Dainotti van UCSD.

De aard van netwerken in de buurt

IP-kapers maken misbruik van een belangrijke tekortkoming in het Border Gateway Protocol (BGP), een routeringsmechanisme dat ervoor zorgt dat verschillende delen van het internet met elkaar kunnen praten. Via BGP, netwerken wisselen routeringsinformatie uit zodat datapakketten hun weg naar de juiste bestemming vinden.

Bij een BGP-kaping, een kwaadwillende actor overtuigt nabijgelegen netwerken dat het beste pad om een ​​specifiek IP-adres te bereiken via hun netwerk is. Dat is helaas niet zo moeilijk om te doen, aangezien BGP zelf geen beveiligingsprocedures heeft om te valideren dat een bericht daadwerkelijk afkomstig is van de plaats waar het zegt dat het vandaan komt.

"Het is als een spelletje telefoon, waar je weet wie je naaste buur is, maar je kent de buren vijf of tien knooppunten niet, ', zegt Testart.

Tijdens de allereerste hoorzitting over cyberbeveiliging in de Amerikaanse Senaat in 1998 was een team van hackers aanwezig die beweerden dat ze IP-kaping konden gebruiken om het internet in minder dan 30 minuten uit de lucht te halen. Dainotti zegt dat, meer dan 20 jaar later, het gebrek aan inzet van beveiligingsmechanismen in BGP is nog steeds een ernstig punt van zorg.

Om seriële aanvallen beter te kunnen lokaliseren, de groep haalde eerst gegevens uit meerdere jaren aan mailinglijsten van netwerkoperators, evenals historische BGP-gegevens die elke vijf minuten uit de globale routeringstabel worden gehaald. Van dat, ze observeerden bepaalde kwaliteiten van kwaadwillende actoren en trainden vervolgens een machine learning-model om dergelijk gedrag automatisch te identificeren.

Het systeem markeerde netwerken die verschillende belangrijke kenmerken hadden, met name met betrekking tot de aard van de specifieke blokken IP-adressen die ze gebruiken:

• Vluchtige veranderingen in activiteit:De adresblokken van kapers lijken veel sneller te verdwijnen dan die van legitieme netwerken. De gemiddelde duur van het voorvoegsel van een gemarkeerd netwerk was minder dan 50 dagen, vergeleken met bijna twee jaar voor legitieme netwerken.
• Meerdere adresblokken:seriële kapers hebben de neiging om veel meer blokken met IP-adressen te adverteren, ook bekend als 'netwerkvoorvoegsels'.
• IP-adressen in meerdere landen:De meeste netwerken hebben geen buitenlandse IP-adressen. In tegenstelling tot, voor de netwerken die seriële kapers adverteerden dat ze hadden, ze waren veel meer kans om te worden geregistreerd in verschillende landen en continenten.

Valse positieven identificeren

Testart zei dat een uitdaging bij de ontwikkeling van het systeem was dat gebeurtenissen die op IP-kapingen lijken, vaak het gevolg kunnen zijn van menselijke fouten, of anderszins legitiem. Bijvoorbeeld, een netwerkoperator kan BGP gebruiken om zich te verdedigen tegen gedistribueerde denial-of-service-aanvallen waarbij enorme hoeveelheden verkeer naar hun netwerk gaan. Het aanpassen van de route is een legitieme manier om de aanval af te sluiten, maar het lijkt vrijwel identiek aan een daadwerkelijke kaping.

Vanwege dit probleem, het team moest vaak handmatig inspringen om valse positieven te identificeren, die goed waren voor ongeveer 20 procent van de gevallen die door hun classifier werden geïdentificeerd. Vooruit gaan, de onderzoekers hopen dat toekomstige iteraties minimaal menselijk toezicht zullen vereisen en uiteindelijk kunnen worden ingezet in productieomgevingen.

"De resultaten van de auteurs laten zien dat gedrag uit het verleden duidelijk niet wordt gebruikt om slecht gedrag te beperken en latere aanvallen te voorkomen. " zegt David Plonka, een senior onderzoeker bij Akamai Technologies die niet bij het werk betrokken was. "Een implicatie van dit werk is dat netwerkoperators een stap terug kunnen doen en wereldwijde internetroutering over jaren kunnen onderzoeken, in plaats van alleen kortzichtig te focussen op individuele incidenten."

Naarmate mensen voor kritieke transacties steeds meer op internet vertrouwen, Testart zegt dat ze verwacht dat de kans op schade door IP-kaping alleen maar groter zal worden. Maar ze heeft ook goede hoop dat het door nieuwe veiligheidsmaatregelen nog moeilijker wordt. Vooral, grote backbone-netwerken zoals AT&T hebben onlangs de invoering van resource public key infrastructure (RPKI) aangekondigd, een mechanisme dat cryptografische certificaten gebruikt om ervoor te zorgen dat een netwerk alleen zijn legitieme IP-adressen aankondigt.

"Dit project zou een mooie aanvulling kunnen zijn op de bestaande beste oplossingen om dergelijk misbruik te voorkomen, waaronder filtering, anti-spoofing, coördinatie via contactdatabases, en het delen van routeringsbeleid zodat andere netwerken het kunnen valideren, ", zegt Plonka. "Het valt nog te bezien of misdragende netwerken in staat zullen blijven om zich een weg te banen naar een goede reputatie. Maar dit werk is een geweldige manier om de inspanningen van de netwerkoperatorgemeenschap om een ​​einde te maken aan deze huidige gevaren te valideren of om te buigen."

Dit verhaal is opnieuw gepubliceerd met dank aan MIT News (web.mit.edu/newsoffice/), een populaire site met nieuws over MIT-onderzoek, innovatie en onderwijs.