Το Διαδίκτυο είναι ένα δίκτυο από αυτόνομα δίκτυα/συστήματα που διασυνδέονται με στόχο την παροχή υπηρεσιών επικοινωνίας σε τελικούς χρήστες (ιδιώτες, επιχειρήσεις, δημόσιους οργανισμούς), επικοινωνώντας μεταξύ τους ώστε να δρομολογήσουν πακέτα πληροφορίας. Η επικοινωνία αυτή υλοποιείται στο επίπεδο ελέγχου (control plane) με το πρωτόκολλο BGP, βάσει του οποίου εφαρμόζονται σε κάθε δίκτυο οι πολιτικές εισερχόμενης και εξερχόμενης ροής πακέτων μέσω της ανακοίνωσης και επιλογής μονοπατιών προς περιοχές διαδικτυακών διευθύνσεων (IP prefixes).
Το BGP σχεδιάστηκε χωρίς την πρόβλεψη εγγενών μηχανισμών ασφάλειας (π.χ. έλεγχος αυθεντικότητας) της ανταλλασσόμενης πληροφορίας δρομολόγησης δεδομένων. Μια τέτοια σοβαρή έλλειψη οδηγεί συχνά (εδώ και δεκαετίες) σε επιθέσεις γνωστές ως “BGP prefix hijacking”, όπου ένα ή περισσότερα δίκτυα, είτε λόγω ανθρώπινου λάθους είτε εκ (κακόβουλης) πρόθεσης, ανακοινώνουν ψευδείς πληροφορίες ελέγχου δρομολόγησης. Η πληροφορία αυτή διαδίδεται σε όλο το Διαδίκτυο μέσω του BGP και οδηγεί στην ανακατεύθυνση δεδομένων προς μη έγκυρους προορισμούς, όπου μπορεί να υπόκεινται σε καταστροφή (και διακοπή των σχετικών υπηρεσιών), υποκλοπή ή/και αλλοίωση.
Οι διαθέσιμοι μηχανισμοί άμυνας ενάντια σε ανάλογες επιθέσεις είτε δρουν εκ των προτέρων, στηριζόμενοι στην αυθεντικοποίηση των πληροφοριών δρομολόγησης (RPKI, BGPsec, κλπ.), είτε λαμβάνουν χώρα μετά το συμβάν (ανίχνευση και μη αυτοματοποιημένη αντιμετώπιση). Οι εκ των προτέρων μηχανισμοί άμυνας είναι συνήθως περιορισμένοι και μη αποτελεσματικοί. Συγκεκριμένα, απαιτούν υλοποίηση από την πλειονότητα των δικτύων, συμμόρφωση σε κεντρικές αρχές πιστοποίησης, καθώς και αλλαγές στο BGP, απαιτήσεις που ιστορικά έχει αποδειχθεί εξαιρετικά δύσκολο να επιτευχθούν. Τα συστήματα για εκ των υστέρων ανίχνευση και αντίδραση καθυστερούν ή/και απαιτούν τρίτους για την ομαλή λειτουργία και συντήρησή τους. Συχνά απαιτούνται ώρες ή ακόμα και ημέρες για να ανακτηθεί η πλήρης λειτουργικότητα ενός δικτύου μετά από τέτοιες επιθέσεις, με αποτέλεσμα ανυπολόγιστες οικονομικές ζημιές. Για παράδειγμα, το 2018, για ώρες ο μισός πληθυσμός της Ιαπωνίας έμεινε χωρίς πρόσβαση στο Διαδίκτυο, λόγω μιας λανθασμένης ρύθμισης του δικτύου της Google.
Το αντικείμενο του έργου “MIRAGE” (Mitigation of Internet Routing Attacks Globally and Efficiently) είναι η ανάπτυξη ενός προηγμένου συστήματος που θα στηρίζεται σε νέα χαρακτηριστικά και υπηρεσίες γύρω από το εργαλείο ανοιχτού κώδικα ARTEMIS, το οποίο αναπτύχθηκε από την ερευνητική ομάδα INSPIRE του ΙΤΕ. Στόχος του ARTEMIS είναι η επιτήρηση του επιπέδου ελέγχου του Διαδικτύου και η ακριβής και πλήρης ανίχνευση επιθέσεων BGP prefix hijacking. Βασικό πλεονέκτημα του ARTEMIS είναι ότι μειώνει σημαντικά τον χρόνο ανίχνευσης-αντιμετώπισης από ώρες ή ημέρες σε μερικά δευτερόλεπτα, όπως επιβεβαίωσαν πειράματα υπό πραγματικές συνθήκες, καθιστώντας το state-of-the-art διεθνώς μεταξύ των αντίστοιχων διαθέσιμων υπηρεσιών προστασίας. Τα αποτελέσματα της εφαρμογής της βασικής έκδοσης του ARTEMIS έχουν δημοσιευτεί σε κορυφαία επιστημονικά περιοδικά (ΙΕΕΕ/ΑCM Transactions on Networking) και έχουν προσελκύσει το ενδιαφέρον διεθνών ΜΜΕ και blogs από έγκριτους φορείς (APNIC, IBM). Επίσης, έχει υιοθετηθεί από οργανισμούς διασύνδεσης δικτύων με εκατοντάδες δίκτυα-πελάτες για την προστασία των δικτυακών τους πόρων.
Θα σχεδιαστεί και θα υλοποιηθεί το “mobile ARTEMIS”, από την εταιρία Cytech, μία mobile εφαρμογή του συστήματος με έμφαση στην ευκολία χρήσης και στην συντήρηση και υποστήριξη της. Συγκεκριμένα, η εφαρμογή θα μπορεί να εκτελεστεί σε κινητά τηλέφωνα, προσαρμοσμένη στους περιορισμούς της εκάστοτε mobile πλατφόρμας. Θα λειτουργεί τόσο σε συσκευές με λειτουργικό Αndroid όσο και iOS.
Επιπλέον, θα αναπτυχθούν μηχανισμοί για την ειδοποίηση χρηστών σε πραγματικό χρόνο (άμεση ενημέρωση) σχετικά με νέες επιθέσεις, με χρήση συστημάτων mobile notifications (sms, push notifications κλπ.). Αυτοί οι μηχανισμοί θα λειτουργούν και σε παράλληλα δίκτυα όπως δίκτυα κινητής τηλεφωνίας. Η χρήση αυτών των ειδοποιήσεων θα επιτρέπει στους διαχειριστές των δικτύων να αποκτήσουν γρήγορα βασική ενημέρωση όπου και αν βρίσκονται, ώστε αν επιθυμούν περισσότερες πληροφορίες να χρησιμοποιήσουν την web εφαρμογή του ARTEMIS για να εμβαθύνουν καθώς και να δράσουν για την αντιμετώπιση των προβλημάτων. Το σύστημα ειδοποιήσεων θα φροντίσει ώστε η πληροφορία που μεταφέρεται να μην είναι ευαίσθητη ή να είναι κρυπτογραφημένη για λόγους ασφάλειας και ιδιωτικότητας.
Θα σχεδιαστεί και θα υλοποιηθεί το “ARTEMIS-as-a-service”, από την εταιρία Enartia μία νέα υπηρεσία τύπου cloud hosting, η οποία θα επιτρέπει σε χρήστες του συστήματος να έχουν πρόσβαση από οποιοδήποτε σημείο του Διαδικτύου χωρίς να ανησυχούν για θέματα ασφαλείας ή απόδοσης. Όσον αφορά τον χειρισμό ευαίσθητων δεδομένων που προέρχονται από το δίκτυο-πελάτη (όπως αρχεία ρύθμισης, data feeds), θα μπορεί ο πελάτης να επιλέξει την τοποθεσία του cloud datacenter καθώς και αν όλα τα δεδομένα θα είναι κρυπτογραφημένα. Με τον τρόπο αυτό το ARTEMIS-as-a-service θα μπορεί να είναι διαθέσιμο ως υπηρεσία σε εταιρίες που δεν επιθυμούν να εγκαταστήσουν κάποιο λογισμικό στο εσωτερικό τους δίκτυο ή σε περιπτώσεις που η διαδικασία αυτή είναι ακριβή και χρονοβόρα. Επίσης, η υπηρεσία αυτή θα είναι χρήσιμη σε εταιρείες που επιθυμούν πρόσβαση σε απομακρυσμένες (π.χ. σε άλλη ήπειρο) πηγές επιτήρησης BGP δεδομένων και ρύθμισης δικτυακών συσκευών, μιας που δεν θα απαιτείται φυσική παρουσία τους (π.χ. dedicated rackspace), με τα σχετικά επιπλέον κόστη που συνεπάγεται.