Les xarxes neuronals permeten identificar certificats maliciosos a la capa de transport (TLS)

Un equip d'investigadors del Cyxtera Technologies, ha proposat un mètode basat en la xarxa neuronal per identificar l'ús malintencionat de certificats web.

Aquest mètode, s'ha descrit en un article publicat al ACM Digital Library, utilitza el contingut dels certificats de seguretat de la capa de transport (TLS) per identificar certificats legítims, així com patrons maliciosos utilitzats pels atacants.

El xifratge és cada vegada una manera  més estesa per aconseguir comunicacions i intercanvis de dades on-line per tal que no puguin ser interceptats i accedits per tercers. Malgrat els seus nombrosos avantatges. El xifratge, també, permet que els ciber-criminals ocultar els seus missatges i evitar la detecció quan es realitzen atacs  amb programari maliciós.

A més, el xifratge pot donar una falsa sensació de seguretat als usuaris on-line, ja que molts navegadors web mostren un símbol de bloqueig de coler verd quan la connexió a un  web està xifrat. Per fer front a aquests reptes, els investigadors estan explorant noves formes de detectar i respondre al trànsit maliciós que circula per la xarxa.

S'està veient un augment de la sofisticació dels atacs de phishing durant els últims 12 mesos, en particular, els atacants van començar a utilitzar certificats web perquè els usuaris finals creguessin que estan entrant en un lloc web segur.

Atès que actualment no hi ha manera de detectar certificats TLS, els investigadors van desenvolupar un nou mètode per identificar l'ús maliciós de certificats web, usant xarxes neuronals. Essencialment, el seu sistema utilitza el contingut dels certificats TLS per identificar amb èxit els certificats legítims i maliciosos.

L'ús per part dels atacants de certificats web, augmenta l'eficiència dels seus atacs, però al mateix temps deixa més rastre de les seves accions. Amb aquestes  dades addicionals, s'ha creat una xarxa neuronal que permet trobar patrons maliciosos amagats en certificats web i utilitzar-los per predir la legitimitat d'un lloc web.

Bahnsen i els seus col·legues van avaluar el seu nou mètode i l'han comparat amb un model existent, basat en l'algoritme de màquines de vectors de suport de Splunk (SVM). Aquesta xarxa neuronal va utilitzar la informació del text continguda al certificat amb més eficàcia que el SVM, identificant certificats de malware amb una precisió del 94.87% (7% més que SVM) i certificats de phishing amb una precisió del 88,64% (5% més que SVM).

Usant aquesta metodologia, es va poder detectar llocs web de phishing no detectats anteriorment, de fet, les xarxes neuronals mostren el potencial per mitigar noves estratègies desplegades pels atacants, ja que podrien descobrir ràpidament els patrons maliciosos invisibles.

L'estudi realitzat per Bahnsen i els seus col·legues proporciona una important visió  sobre el potencial de les xarxes neuronals per a la detecció de certificats de programari maliciós i de phishing. En el futur, aquest treball podria ajudar al desenvolupament d'eines més eficaces per salvaguardar els usuaris de les últimes estratègies emprades pels atacants.

Font: Science X Network