Pesquisadores usam aprendizado de máquina para caçar cibercriminosos

Um projeto promovido pela união entre a equipe do Instituto de Tecnologia de Massachusetts (MIT), a Fundação William e Flora Hewlett, a National Science Foundation, o Departamento de Segurança Interna e o Laboratório de Pesquisa da Força Aérea dos Estados Unidos utiliza o aprendizado de máquina para caçar cibercriminosos. Acontece que o sequestro de endereços IP é uma forma cada vez mais popular de ataque cibernético. Isso é feito por vários motivos, desde o envio de spam e malware até o roubo de criptomoedas. Foi tendo em mente a possibilidade de prever esses incidentes com antecedência que os pesquisadores norte-americanos embarcaram nesse projeto.

A equipe treinou um novo sistema de aprendizado de máquina para identificar cerca de 800 redes suspeitas — e descobriu que algumas delas estavam sequestrando endereços IP há anos. “Normalmente, as operadoras de rede precisam lidar com esses incidentes de maneira reativa e caso a caso, facilitando o sucesso dos criminosos cibernéticos”, diz a responsável pelo projeto, Cecilia Testart, estudante de pós-graduação no Laboratório de Ciência da Computação e Inteligência Artificial do MIT. "Este é um primeiro passo fundamental para poder esclarecer o comportamento dos seqüestradores em série e defender-se proativamente contra seus ataques", acrescenta. Além de Cecilia Testart, o projeto também ficou nas mãos do pesquisador sênior do MIT, David Clark, do pós-doutorando Philipp MIT, do cientista de dados Alistair King e do cientista Alberto Dainotti.

Os sequestradores de IP exploram uma falha importante no Border Gateway Protocol (BGP), um mecanismo de roteamento que essencialmente permite que diferentes partes da Internet se comuniquem. Por meio do BGP, as redes trocam informações de roteamento para que os pacotes de dados cheguem ao destino correto. Testart disse ao MIT News — blog destinado aos projetos do instituto em questão - que um desafio no desenvolvimento do sistema é que eventos que parecem seqüestros de IP geralmente podem ser resultado de erro humano ou, de outra forma, legítimos. Por exemplo, uma operadora de rede pode usar o BGP para se defender de ataques distribuídos de negação de serviço, nos quais há uma quantidade enorme de tráfego acessando sua rede. Modificar a rota é uma maneira legítima de interromper o ataque, mas parece praticamente idêntico a um seqüestro real.

"Os resultados dos autores mostram que os comportamentos passados ​​claramente não estão sendo usados ​​para limitar os maus comportamentos e evitar ataques subseqüentes", diz David Plonka, cientista sênior da Akamai Technologies. "Uma implicação desse trabalho é que as operadoras de rede podem dar um passo atrás e examinar o roteamento global da Internet ao longo dos anos, em vez de se concentrar apenas em incidentes individuais".

À medida que as pessoas confiam cada vez mais na Internet para transações críticas, Testart diz que espera que o potencial de danos do sequestro de IP só piore. Mas ela também espera que isso possa ser dificultado por novas medidas de segurança. “Este projeto poderia complementar as melhores soluções existentes para evitar abusos”, diz Plonka. “Resta ver se as redes que se comportam mal continuarão sendo capazes de abrir caminho para uma boa reputação. Mas este trabalho é uma ótima maneira de validar ou redirecionar os esforços da comunidade de operadoras de rede para pôr um fim a esses perigos atuais".

Fonte: MIT news