Ερευνητές του MIT έχουν αναλύσει μια νέα μέθοδο που χρησιμοποιούν οι hackers για να εξαπατήσουν άλλα δίκτυα σε κακόβουλο traffic με σκοπό επιθέσεις snooping, phishing ή DDoS.
Η προσέγγιση του machine learning αναλύεται σε ένα έγγραφο με τίτλο “Profiling BGP Serial Hijackers: Capturing Persistent Misbehavior in the Global Routing Table” και θα παρουσιαστεί σε ένα συνέδριο που θα γίνει στο Άμστερνταμ αργότερα τον Οκτώβριο.
Τα ISPs μπορούν να καταλάβουν το Border Gateway Protocol (BGP), αναγγέλλοντας λανθασμένα τα IP address blocks ενός άλλου δικτύου, προκαλώντας την ανακατεύθυνση του traffic. Αυτό στο παρελθόν έχει κοστίσει τεράστια ποσά στην Amazon, την Google και την Microsoft.
Για αυτόν τον σκοπό η ερευνητική ομάδα του MIT πραγματοποίησε μια έρευνα με τίτλο “serial BGP hijackers”. Σε αυτήν εξέταζε περιπτώσεις κακής συμπεριφοράς που συνδέονται με αριθμούς του Autonomous System. AS είναι ο τρόπος με τον οποίο οι ISPs αναγνωρίζονται στα BGP route tables.
Αν και το hijacking συνήθως γίνεται κατά λάθος, οι ερευνητές του MIT έχουν διερευνήσει μια προσέγγιση machine learning για τον εντοπισμό των ISPs που πραγματοποιούν hijacking συχνά ανά τα χρόνια. Ο σκοπός είναι ότι ένα σύστημα ανίχνευσης θα επιτρέπει στους μηχανικούς δικτύων να προβλέπουν λανθασμένες ανακοινώσεις και να αντιδρούν πιο γρήγορα σε γεγονότα hijacking.
Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST) ζητά ένα κρυπτογραφικό σύστημα με public key που θα επιτρέπει σε μεγάλα δίκτυα και ISPs να ελέγχουν ποια δίκτυα μπορούν να ανακοινώνουν μια άμεση σύνδεση στα address blocks. Το NIST επεξεργάζεται επίσης τo BGP validation, έτσι ώστε τα routers να μπορούν να φιλτράρουν τις μη εξουσιοδοτημένες ανακοινώσεις BGP route.
Με αυτά τα μέτρα θα μπορούσαν να μετριάσουν το BGP hijacking, παρόλα αυτά μέχρι να συμβεί αυτό οι ερευνητές εργάζονται στη βελτίωση του χρόνου ανίχνευσης και αντίδρασης.
Ένας από τους κατά συρροή hijackers που υπήρξαν στη μελέτη ήταν ο AS197426, ένας Πορτογάλος ISP που ονομάζεται BitCanal, λόγω του πολλαπλού hijacking κατά τη διάρκεια των ετών.
Υπάρχει η θεωρία ότι η έρευνα του MIT έχει τη δυνατότητα να κρίνει τους ISP με βάση τη συμπεριφορά τους κατά τη διάρκεια των ετών και όχι μόνο να εξετάζει μεμονωμένα περιστατικά.
