Анализ трафика

Процесс перехвата и изучения сообщений

Анализ трафика — это процесс перехвата и изучения сообщений с целью извлечения информации из закономерностей общения . Это можно сделать, даже если сообщения зашифрованы . ^[1] В общем, чем больше количество наблюдаемых сообщений, тем больше информации можно получить. Анализ трафика может выполняться в контексте военной разведки , контрразведки или анализа образа жизни , а также является проблемой компьютерной безопасности .

Задачи анализа трафика могут поддерживаться специальными компьютерными программами . Расширенные методы анализа трафика, которые могут включать в себя различные формы анализа социальных сетей .

Анализ трафика исторически был жизненно важным методом криптоанализа , особенно когда попытка взлома зависит от успешного запуска атаки с известным открытым текстом , которая часто требует вдохновенного предположения, основанного на том, насколько конкретный операционный контекст может повлиять на то, что сообщает злоумышленник, что может быть достаточно, чтобы установить короткую кроватку.

Нарушение анонимности сетей

Метод анализа трафика можно использовать для нарушения анонимности анонимных сетей, например, TOR . ^[1] Существует два метода атаки с анализом трафика: пассивный и активный.

• При использовании метода пассивного анализа трафика злоумышленник извлекает функции из трафика определенного потока на одной стороне сети и ищет эти функции на другой стороне сети.
• При активном методе анализа трафика злоумышленник изменяет тайминги пакетов потока в соответствии с определенным шаблоном и ищет этот шаблон на другой стороне сети; следовательно, злоумышленник может связать потоки с одной стороны на другую сторону сети и нарушить ее анонимность. Показано, что хотя к пакетам добавляется временной шум, существуют методы активного анализа трафика, устойчивые к такому шуму. ^{[ не удалось пройти проверку ] [1]}

В военной разведке

В военном контексте анализ трафика является основной частью радиоразведки и может быть источником информации о намерениях и действиях цели. Репрезентативные модели включают в себя:

• Частое общение – может означать планирование
• Быстрые, короткие сообщения – могут обозначать переговоры.
• Отсутствие общения – может указывать на отсутствие активности или завершение окончательного плана.
• Частая связь с конкретными станциями с центральной станции – может подчеркнуть цепочку подчинения
• Кто с кем разговаривает – может указать, какие станции являются «ответственными» или «станцией управления» конкретной сети. Это также подразумевает кое-что о персонале, связанном с каждой станцией.
• Кто говорит, когда – может указать, какие станции активны в связи с событиями, что подразумевает что-то о передаваемой информации и, возможно, что-то о персонале/доступе тех, кто связан с некоторыми станциями.
• Кто меняется от станции к станции или от среды к среде – может указывать на движение, страх перехвата.

Существует тесная связь между анализом трафика и криптоанализом (обычно называемым взломом кода ). Позывные и адреса часто зашифрованы , поэтому требуется помощь в их идентификации. Объем трафика часто может быть признаком важности адресата, подсказывая криптоаналитикам о предстоящих целях или движениях.

Безопасность транспортных потоков

Безопасность потока трафика — это использование мер, которые скрывают наличие и свойства действительных сообщений в сети, чтобы предотвратить анализ трафика. Это можно сделать с помощью эксплуатационных процедур или с помощью защиты, обусловленной особенностями, присущими некоторому криптографическому оборудованию. Используемые методы включают в себя:

• часто меняйте радиопозывные
• шифрование адресов отправки и получения сообщения ( кодовые сообщения )
• заставляя канал казаться занятым все время или большую часть времени, отправляя фиктивный трафик
• отправка непрерывного зашифрованного сигнала независимо от того, передается трафик или нет. Это также называется маскированием или шифрованием ссылки .

Безопасность транспортных потоков является одним из аспектов безопасности связи .

Анализ метаданных COMINT

Метаданные связи или метаданные COMINT — это термин в коммуникационной разведке (COMINT), относящийся к концепции получения разведывательных данных путем анализа только технических метаданных , следовательно, это отличный практический пример анализа трафика в разведке. ^[2]

Традиционно сбор информации в COMINT осуществляется путем перехвата передач, прослушивания сообщений цели и мониторинга содержания разговоров, а разведка метаданных основана не на содержании, а на технических коммуникационных данных.

Неконтентный COMINT обычно используется для получения информации о пользователе определенного передатчика, такой как местоположение, контакты, объем активности, распорядок дня и его исключения.

Примеры

Например, если излучатель известен как радиопередатчик определенного подразделения и с помощью средств пеленгации (DF) можно определить местоположение излучателя, можно определить изменение местоположения от одной точки к другой, не подслушивая любым приказам и отчетам. Если одно подразделение подчиняется команде по определенному шаблону, а другое подразделение подчиняется той же схеме той же команде, то эти два подразделения, вероятно, связаны. Этот вывод основан на метаданных передач двух подразделений, а не на содержании их передач.

Использование всех или большей части доступных метаданных обычно используется для создания электронного боевого порядка (EOB) путем сопоставления различных объектов на поле боя и их связей. Конечно, EOB можно создать, прослушивая все разговоры и пытаясь понять, какое подразделение где находится, но использование метаданных с помощью инструмента автоматического анализа позволяет гораздо быстрее и точнее создавать EOB, что, наряду с прослушиванием, создает гораздо лучшая и полная картина.

Первая Мировая Война

• Британские аналитики во время Первой мировой войны заметили, что позывной немецкого вице-адмирала Рейнхарда Шеера , командующего флотом противника, был перенесен на наземную станцию. Адмирал флота Битти , не зная о практике Шира менять позывные после выхода из гавани, пренебрег этой важностью и проигнорировал попытки аналитиков из Комнаты 40 донести эту мысль. Немецкий флот вышел в бой, и британцы опоздали на встречу с ними в Ютландском сражении . ^[3] Если бы к анализу дорожного движения отнеслись более серьезно, британцы, возможно, добились бы большего, чем «ничья». ^{[ оригинальное исследование? ]}
• Французская военная разведка, созданная на основе наследия Огюста Керкхоффа , еще в предвоенные времена создала сеть станций перехвата на Западном фронте. Когда немцы пересекли границу, французы разработали грубые средства пеленгации на основе интенсивности перехваченного сигнала. Запись позывных и интенсивности движения позволила французам идентифицировать немецкие боевые группы и отличить быстро движущуюся кавалерию от более медленной пехоты. ^[3]

Вторая Мировая Война

• В начале Второй  мировой войны авианосец HMS Glorious эвакуировал пилотов и самолеты из Норвегии . Анализ движения показал, что «Шарнхорст » и «Гнейзенау» двигались в Северное море , но Адмиралтейство отклонило это сообщение как недоказанное. Капитан « Глориуса» не проявил достаточной бдительности и впоследствии был застигнут врасплох и затонул. Гарри Хинсли , молодой представитель Адмиралтейства в Блетчли-парке , позже сказал, что после этого к его отчетам дорожных аналитиков относились гораздо серьезнее. ^[4]
• Во время планирования и репетиции нападения на Перл-Харбор по радио передавалось очень мало трафика, который мог быть перехвачен. Все задействованные корабли, подразделения и командования находились в Японии и были на связи по телефону, курьеру, сигнальной лампе или даже флагу. Ни один из этих трафиков не был перехвачен и не мог быть проанализирован. ^[3]
• Шпионская операция против Перл-Харбора до декабря не принесла необычного количества сообщений; Японские суда регулярно заходили на Гавайи, и сотрудники консульства доставляли на борт сообщения. По крайней мере, на одном таком судне находились офицеры разведки ВМС Японии. Такие сообщения невозможно было проанализировать. Однако было высказано предположение ^[5] , что объем дипломатического трафика в/из определенных консульских станций мог указывать на места, представляющие интерес для Японии, что, таким образом, могло указывать на места для сосредоточения усилий по анализу трафика и расшифровке. ^{[ нужна цитата ]}
• Ударный отряд адмирала Нагумо по Перл-Харбору действовал в условиях радиомолчания, а его радиостанции были физически заблокированы. Неясно, обмануло ли это США, поскольку разведка Тихоокеанского флота не смогла обнаружить японские авианосцы в дни, непосредственно предшествовавшие атаке на Перл-Харбор . ^[3]
• ВМС Японии играли в радиоигры, чтобы помешать анализу трафика (см. «Примеры» ниже) с атакующими силами после их отплытия в конце ноября. Радисты, обычно приписанные к авианосцам, с характерным « кулаком » азбуки Морзе передавали из внутренних вод Японии, что позволяет предположить, что авианосцы все еще находились недалеко от Японии. ^{[3] [6]}
• Операция «Ртуть» — часть британского плана дезинформации по вторжению в Нормандию во время Второй мировой войны — предоставила немецкой разведке сочетание правдивой и ложной информации о дислокации войск в Британии, что заставило немцев сделать вывод о боевом порядке, предполагавшем вторжение в Британию. Па-де-Кале вместо Нормандии. Фиктивные подразделения, созданные для обмана, были снабжены настоящими радиостанциями, которые поддерживали поток сообщений, соответствующий обману. ^[7]

В компьютерной безопасности

Анализ трафика также является проблемой компьютерной безопасности . Злоумышленник может получить важную информацию, отслеживая частоту и время прохождения сетевых пакетов. Временная атака на протокол SSH может использовать информацию о времени для получения информации о паролях , поскольку во время интерактивного сеанса SSH передает каждое нажатие клавиши в виде сообщения. ^[8] Время между сообщениями о нажатии клавиш можно изучить с помощью скрытых марковских моделей . Сонг и др. утверждают, что он может восстановить пароль в пятьдесят раз быстрее, чем атака методом перебора .

Системы луковой маршрутизации используются для обеспечения анонимности. Анализ трафика может использоваться для атаки на анонимные системы связи, такие как анонимная сеть Tor . Адам Бэк, Ульф Мёллер и Антон Стиглич представляют атаки анализа трафика на системы, обеспечивающие анонимность. ^[9] Стивен Дж. Мердок и Джордж Данезис из Кембриджского университета представили ^[10] исследование, показывающее, что анализ трафика позволяет злоумышленникам сделать вывод, какие узлы ретранслируют анонимные потоки. Это снижает анонимность, обеспечиваемую Tor. Они показали, что в противном случае несвязанные потоки могут быть снова связаны с одним и тем же инициатором.

Системы Remailer также могут быть атакованы посредством анализа трафика. Если замечено, что сообщение отправляется на сервер пересылки, и вскоре после этого видно, что сообщение одинаковой длины (если оно теперь анонимизировано) выходит из сервера, аналитик трафика может (автоматически) соединить отправителя с конечным получателем. Существуют варианты операций ремейлера, которые могут сделать анализ трафика менее эффективным.

Анализ трафика включает в себя перехват и изучение угроз кибербезопасности для сбора ценной информации об анонимных данных, проходящих через выходной узел . Используя технику, основанную на сканировании темной сети и специализированном программном обеспечении, можно определить конкретные характеристики сетевого трафика клиента в темной сети. ^[11]

Контрмеры

Трудно победить анализ трафика, не зашифровав сообщения и не замаскировав канал. Когда фактические сообщения не отправляются, канал можно замаскировать ^[12] путем отправки фиктивного трафика, аналогичного зашифрованному трафику, тем самым сохраняя использование полосы пропускания постоянным. ^[13] «Очень сложно скрыть информацию о размере или времени отправки сообщений. Известные решения требуют, чтобы Алиса отправляла непрерывный поток сообщений с максимальной пропускной способностью , которую она когда-либо использовала... Это может быть приемлемо для военных приложений, но это не для большинства гражданских применений». Противопоставление военных и гражданских проблем возникает в ситуациях, когда с пользователя взимается плата за объем отправленной информации.

Даже в отношении доступа в Интернет, где не взимается плата за пакет, интернет-провайдеры делают статистические предположения, что соединения с пользовательских сайтов не будут заняты 100% времени. Пользователь не может просто увеличить пропускную способность канала, поскольку маскирование также заполнит ее. Если маскирование, которое часто может быть встроено в сквозные шифраторы, станет обычной практикой, интернет-провайдерам придется изменить свои предположения о трафике.

Смотрите также

• Болтовня (сигнальная разведка)
• Хранилище данных
• ЭШЕЛОН
• Электронный боевой порядок
• ЭЛИНТ
• Анализ образа жизни
• СИГНАЛ
• Анализ социальных сетей
• Хранение телекоммуникационных данных
• Зендианская проблема

Рекомендации

1. Солтани, Рамин; Гекель, Деннис; Таусли, Дон; Хумансадр, Амир (27 ноября 2017 г.). «На пути к доказуемо невидимым отпечаткам сетевых потоков». 2017 51-я Асиломарская конференция по сигналам, системам и компьютерам . IEEE. стр. 258–262. arXiv : 1711.10079 . дои : 10.1109/ACSSC.2017.8335179. ISBN 978-1-5386-1823-3. S2CID  4943955.{{cite conference}}: CS1 maint: date and year (link)
2. «Словарь военных и связанных с ними терминов» (PDF) . Министерство обороны . 12 апреля 2001 г. Архивировано из оригинала (PDF) 8 ноября 2009 г.
3. Кан, Дэвид (1974). Взломщики кодов: история тайного письма . Макмиллан. ISBN 0-02-560460-0. Кан-1974.
4. Хауленд, Вернон В. (1 октября 2007 г.). «Потеря HMS Glorious: анализ действий». Архивировано из оригинала 22 мая 2001 г. Проверено 26 ноября 2007 г.
5. Костелло, Джон (1995). Дни позора: Макартур, Рузвельт, Черчилль: раскрыта шокирующая правда: как их тайные сделки и стратегические ошибки привели к катастрофам в Пир-Харборе и на Филиппинах . Карман. ISBN 0-671-76986-3.
6. Лейтон, Эдвин Т.; Роджер Пино, Джон Костелло (1985). «И я был там»: Перл-Харбор и Мидуэй — раскрывая тайны . ISBN Уильяма Морроу и компании 0-688-04883-8.
7. Мастерман, Джон С. (1972) [1945]. Система двойного креста в войне 1939–1945 годов . Издательство Австралийского национального университета. п. 233. ИСБН 978-0-7081-0459-0.
8. Сун, Дон Сяодун; Вагнер, Дэвид; Тянь, Сюцин (2001). «Временной анализ нажатий клавиш и временные атаки на SSH». 10-й симпозиум USENIX по безопасности. {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
9. Адам Бэк; Ульф Мёллер и Антон Стиглич (2001). «Атаки анализа трафика и компромиссы в системах обеспечения анонимности» (PDF) . Springer Proceedings - 4-й международный семинар «Сокрытие информации».
10. Мердок, Стивен Дж.; Джордж Данезис (2005). «Недорогой анализ трафика Tor» (PDF) .
11. Гохале, К.; Олугбара, ОО (17.08.2020). «Анализ трафика даркнета и угроз кибербезопасности через адресное пространство интернет-протокола Южной Африки». С.Н. Информатика . 1 (5): 273. doi : 10.1007/s42979-020-00292-y . ISSN  2661-8907.
12. Синьвэнь Фу, Брайан Грэм, Риккардо Беттати и Вэй Чжао. «Атаки и меры противодействия активному анализу трафика» (PDF) . Архивировано из оригинала (PDF) 13 сентября 2006 г. Проверено 6 ноября 2007 г.{{cite web}}: CS1 maint: multiple names: authors list (link)
13. Нильс Фергюсон и Брюс Шнайер (2003). Практическая криптография . Джон Уайли и сыновья.

• Фергюсон, Нильс; Шнайер, Брюс (2003). Практическая криптография . Уайли. п. 114. ИСБН 0-471-22357-3.
• Ван XY, Чен С., Джаджодиа С. (ноябрь 2005 г.). «Отслеживание анонимных одноранговых вызовов VoIP в Интернете» (PDF) . Материалы 12-й конференции ACM по безопасности компьютерных коммуникаций (CCS 2005) . Архивировано из оригинала (PDF) 30 августа 2006 г.
• FMV Швеция
• Объединение данных из нескольких источников в операциях коалиции НАТО

дальнейшее чтение

• http://www.cyber-rights.org/interception/stoa/interception_capabilities_2000.htm — исследование Дункана Кэмпбелла
• https://web.archive.org/web/20070713232218/http://www.onr.navy.mil/02/baa/docs/07-026_07_026_industry_briefing.pdf
• Избранные анонимные статьи - о Free Haven