El Protocolo de escritorio remoto cifrado (RDP) de Microsoft contiene vulnerabilidades que podrían permitir a los atacantes detectar actividades. Un ejemplo es la pulsación de teclas y movimientos del ratón en trazos de 30 segundos. Investigadores utilizan clasificadores de IA para exponer posibles vulnerabilidades del escritorio remoto de Microsoft. Estos investigadores de la Queen’s University en Kingston, Canadá afirman que el diseño del protocolo expone acciones «detalladas» en las que los modelos de machine learning podrían emplearse para identificar patrones de uso.
El cifrado es una respuesta común a las debilidades de la red. Se estima que en 2018, se utilizó cifrado en más del 70% de todas las comunicaciones de red. Sin embargo, esto no es la panacea. Esto se debe a que el análisis del tráfico no necesita depender del contenido de los paquetes de datos para revelar la actividad en Internet. Sin embargo, el análisis puede basarse en cosas como los servicios que se utilizan, firmas en cargas útiles de datos, análisis de datos y clasificación de comportamiento.
En una especie de estudio de caso, los coautores investigaron RPD. Está diseñado para permitir que un usuario de PC cliente interactúe con un host como si estuviera sentado en ese host. Obtuvieron una estación de trabajo con Windows 10 para que sirviera como cliente. Otro PC que ejecutaba dos máquinas virtuales, una instalación de Windows 10 y la distribución de Linux CentOS, como host. También una máquina remota en Queen’s University detrás de un firewall físico como segundo host.
Los investigadores hicieron que el PC cliente se conectase a los hosts locales o físicamente distantes a través de RDP. Consiguieron registrar actividades para ventanas de 30 segundos. Usando el PC cliente, descargaron archivos, usaron Firefox y Chrome, escribieron en el bloc de notas. También reprodujeron vídeos de YouTube y copiaron el contenido de los hosts al cliente local usando el portapapeles de Windows.
Investigadores utilizan clasificadores de IA para exponer posibles vulnerabilidades del escritorio remoto de Microsoft
Los coautores usaron dos herramientas, CIC Flow Meter y Tshark para extraer atributos como longitudes de paquetes para cada intercambio de tráfico de red. Para clasificar cada actividad, construyeron un modelo de aprendizaje automático de conjunto que consta de los clasificadores más eficaces para las clases de tráfico. Estos fueron elegidos para maximizar la precisión (la fracción de instancias relevantes entre las instancias recuperadas) para que el clasificador de conjunto pueda determinar cuándo un tipo de tráfico estaba presente. Después de entrenar a los clasificadores, los investigadores aplicaron el conjunto a un corpus que comprendía 2160 muestras de 30 segundos, después de lo cual, evaluaron el rendimiento de la predicción por clase.
Los autores informan que para dos tipos de tráfico, TCP y UDP, el conjunto logró identificar una o incluso actividades simultáneas que tenían lugar a través de RDP. Los clasificadores detectaron con precisión descargas de archivos en curso, la navegación por Internet, la escritura del Bloc de Notas y más. Las tasas fueron superiores al 97% y al menos un 94% de recuperación. Quizás más problemático fue que el conjunto detectó pulsaciones de teclas enviadas desde el cliente a los sistemas remotos por sus tramas TCP. Los coautores notan que el número total de fotogramas en una ventana se correlaciona con los cambios visuales en la pantalla. Estos pueden revelar cuántas pulsaciones de teclas se han enviado, lo que abre la puerta a ataques de contraseña.
Los investigadores admiten que sólo analizaron el tráfico entre sistemas WIndows 10 y que diferentes sistemas, PC y actualizaciones de RDP podrían afectar a la precisión. Pero dicen que el entrenamiento de conjuntos probablemente sería suficiente para adaptarse a los nuevos entornos de red.