Анализ трафика

Процесс перехвата и проверки сообщений

Анализ трафика — это процесс перехвата и изучения сообщений с целью извлечения информации из шаблонов в коммуникации . Он может выполняться даже тогда, когда сообщения зашифрованы . ^[1] В общем, чем больше количество наблюдаемых сообщений, тем больше информации можно извлечь. Анализ трафика может выполняться в контексте военной разведки , контрразведки или анализа образа жизни , а также является проблемой компьютерной безопасности .

Задачи анализа трафика могут поддерживаться специальными компьютерными программами . Расширенные методы анализа трафика, которые могут включать различные формы анализа социальных сетей .

Анализ трафика исторически был жизненно важным методом криптоанализа , особенно когда попытка взлома зависит от успешного внедрения атаки с известным открытым текстом , что часто требует вдохновенной догадки, основанной на том, насколько конкретный операционный контекст может повлиять на то, что сообщает противник, чего может быть достаточно для создания короткого криба.

Нарушение анонимности сетей

Метод анализа трафика может быть использован для взлома анонимных сетей, например, TOR . ^[1] Существует два метода атаки с анализом трафика: пассивный и активный.

• При пассивном методе анализа трафика злоумышленник извлекает характеристики из трафика определенного потока на одной стороне сети и ищет эти характеристики на другой стороне сети.
• В методе активного анализа трафика злоумышленник изменяет тайминги пакетов потока в соответствии с определенным шаблоном и ищет этот шаблон на другой стороне сети; таким образом, злоумышленник может связать потоки на одной стороне с другой стороной сети и нарушить ее анонимность. Показано, что хотя к пакетам добавляется временной шум, существуют активные методы анализа трафика, устойчивые к такому шуму. ^{[ неудачная проверка ] [1]}

В военной разведке

В военном контексте анализ трафика является базовой частью разведки сигналов и может быть источником информации о намерениях и действиях цели. Типичные шаблоны включают:

• Частые коммуникации – могут означать планирование
• Быстрые, короткие сообщения – могут означать переговоры.
• Отсутствие коммуникации – может указывать на отсутствие активности или завершения окончательного плана.
• Частая связь с определенными станциями с центральной станции – может подчеркнуть цепочку команд
• Кто с кем общается – может указывать, какие станции являются «ответственными» или «контрольной станцией» конкретной сети. Это дополнительно подразумевает что-то о персонале, связанном с каждой станцией
• Кто говорит, когда – может указать, какие станции активны в связи с событиями, что подразумевает что-то о передаваемой информации и, возможно, что-то о персонале/доступе тех, кто связан с некоторыми станциями.
• Кто переходит со станции на станцию ​​или со среды на среду – может указывать на движение, страх перехвата

Существует тесная связь между анализом трафика и криптоанализом (обычно называемым взломом кодов ). Позывные и адреса часто шифруются , требуя помощи в их идентификации. Объем трафика часто может быть признаком важности адресата, давая криптоаналитикам подсказки относительно предстоящих целей или движений.

Безопасность транспортного потока

Безопасность потока трафика — это использование мер, скрывающих наличие и свойства действительных сообщений в сети для предотвращения анализа трафика. Это может быть сделано с помощью операционных процедур или защиты, обеспечиваемой функциями, присущими некоторому криптографическому оборудованию. Используемые методы включают:

• часто меняющиеся радиопозывные
• шифрование адресов отправки и получения сообщений ( кодированные сообщения )
• заставляя канал казаться занятым все время или большую часть времени, отправляя фиктивный трафик
• отправка непрерывного зашифрованного сигнала , независимо от того, передается ли трафик. Это также называется маскировкой или шифрованием связи .

Безопасность транспортного потока является одним из аспектов безопасности связи .

Анализ метаданных COMINT

Разведка метаданных коммуникаций , или метаданные COMINT , — это термин в разведке коммуникаций (COMINT), относящийся к концепции создания разведданных путем анализа только технических метаданных , следовательно, это отличный практический пример анализа трафика в разведке. ^[2]

В то время как традиционно сбор информации в COMINT осуществляется путем перехвата передач, прослушивания коммуникаций цели и мониторинга содержания разговоров, разведывательные метаданные основаны не на содержании, а на технических коммуникационных данных.

Неконтентный COMINT обычно используется для получения информации о пользователе определенного передатчика, такой как местоположение, контакты, объем активности, режим и его исключения.

Примеры

Например, если излучатель известен как радиопередатчик определенного подразделения, и с помощью инструментов пеленгации (DF) местоположение излучателя можно определить, изменение местоположения от одной точки к другой может быть выведено без прослушивания каких-либо приказов или отчетов. Если одно подразделение отчитывается перед командованием по определенному шаблону, а другое подразделение отчитывается по тому же шаблону перед тем же командованием, два подразделения, вероятно, связаны. Этот вывод основан на метаданных передач двух подразделений, а не на содержании их передач.

Использование всех или как можно большего количества доступных метаданных обычно используется для построения электронного боевого порядка (EOB) путем отображения различных сущностей на поле боя и их связей. Конечно, EOB можно построить, прослушивая все разговоры и пытаясь понять, где находится какое подразделение, но использование метаданных с автоматическим инструментом анализа позволяет гораздо быстрее и точнее построить EOB, что, наряду с прослушиванием, создает гораздо лучшую и полную картину.

Первая мировая война

• Британские аналитики во время Первой мировой войны заметили, что позывной немецкого вице-адмирала Рейнхарда Шеера , командующего вражеским флотом, был передан на наземную станцию. Адмирал флота Битти , не знавший о практике Шеера менять позывные при выходе из гавани, проигнорировал его важность и проигнорировал попытки аналитиков Room 40 донести эту мысль. Немецкий флот вышел в море, и британцы опоздали с встречей в Ютландском сражении . ^[3] Если бы анализ трафика был отнесён к этому более серьёзно, британцы могли бы добиться большего, чем «ничья». ^{[ оригинальное исследование? ]}
• Французская военная разведка, сформированная наследием Огюста Керкхоффса , создала сеть станций перехвата на Западном фронте в предвоенные времена. Когда немцы пересекли границу, французы разработали грубые средства для определения направления на основе интенсивности перехваченного сигнала. Регистрация позывных и объемов трафика позволила французам дополнительно идентифицировать немецкие боевые группы и отличать быстро движущуюся кавалерию от более медленной пехоты. ^[3]

Вторая мировая война

• В начале Второй мировой войны авианосец HMS  Glorious эвакуировал пилотов и самолеты из Норвегии . Анализ трафика показал, что Scharnhorst и Gneisenau двигались в Северное море , но Адмиралтейство отклонило отчет как недоказанный. Капитан Glorious не вел достаточного наблюдения и впоследствии был застигнут врасплох и потоплен. Гарри Хинсли , молодой связной Блетчли-Парка с Адмиралтейством, позже сказал, что его отчеты от аналитиков трафика стали восприниматься гораздо серьезнее после этого. ^[4]
• Во время планирования и репетиции атаки на Перл-Харбор , очень мало сообщений передавалось по радио, подвергаясь перехвату. Все задействованные корабли, подразделения и команды находились в Японии и поддерживали связь по телефону, через курьера, сигнальные лампы или даже флаги. Ни один из этих сообщений не был перехвачен и не мог быть проанализирован. ^[3]
• Шпионские усилия против Перл-Харбора до декабря не отправили необычного количества сообщений; японские суда регулярно заходили на Гавайи, и сообщения перевозились на борту консульским персоналом. По крайней мере, на одном таком судне перевозили несколько офицеров японской военно-морской разведки. Такие сообщения не могли быть проанализированы. Было высказано предположение ^[5] , однако, что объем дипломатического трафика в и из определенных консульских пунктов мог указывать на места, представляющие интерес для Японии, что могло, таким образом, подсказать места для концентрации усилий по анализу трафика и дешифровке. ^{[ необходима цитата ]}
• Атакующее соединение Перл-Харбора адмирала Нагумо шло в режиме радиомолчания, его радиостанции были физически заблокированы. Неясно, обмануло ли это США, поскольку разведка Тихоокеанского флота не смогла обнаружить японские авианосцы в дни, непосредственно предшествовавшие атаке на Перл-Харбор . ^[3]
• Японский флот играл в радиоигры, чтобы помешать анализу трафика (см. Примеры ниже) с атакующими силами после того, как они отплыли в конце ноября. Радисты, обычно назначенные на авианосцы, с характерным кодом Морзе « кулак », передавали из внутренних японских вод, предполагая, что авианосцы все еще находились около Японии. ^{[3] [6]}
• Операция «Ртуть» , часть британского плана дезинформации для вторжения в Нормандию во время Второй мировой войны, снабжала немецкую разведку комбинацией истинной и ложной информации о развертывании войск в Британии, что заставило немцев вывести боевой порядок, предполагавший вторжение в Па -де-Кале , а не в Нормандию. Фиктивные дивизии, созданные для дезинформации, были снабжены настоящими радиоподразделениями, которые поддерживали поток сообщений, соответствующий дезинформации. ^[7]

В компьютерной безопасности

Анализ трафика также является проблемой в компьютерной безопасности . Злоумышленник может получить важную информацию, отслеживая частоту и время сетевых пакетов. Атака по времени на протокол SSH может использовать информацию о времени для получения информации о паролях , поскольку во время интерактивного сеанса SSH передает каждое нажатие клавиши как сообщение. ^[8] Время между сообщениями о нажатии клавиши можно изучить с помощью скрытых марковских моделей . Сонг и др. утверждают, что это позволяет восстановить пароль в пятьдесят раз быстрее, чем атака методом грубой силы .

Системы маршрутизации лука используются для получения анонимности. Анализ трафика может использоваться для атак на анонимные системы связи, такие как сеть анонимности Tor . Адам Бэк, Ульф Мёллер и Антон Стиглик представляют атаки анализа трафика на системы, обеспечивающие анонимность. ^[9] Стивен Дж. Мердок и Джордж Данезис из Кембриджского университета представили ^[10] исследование, показывающее, что анализ трафика позволяет злоумышленникам делать выводы о том, какие узлы ретранслируют анонимные потоки. Это снижает анонимность, предоставляемую Tor. Они показали, что в противном случае не связанные потоки могут быть связаны с тем же инициатором.

Системы ремейлеров также могут быть атакованы посредством анализа трафика. Если сообщение замечено отправляющимся на сервер ремейлеров, а вскоре после этого с сервера выходит сообщение идентичной длины (но теперь анонимное), аналитик трафика может (автоматически) связать отправителя с конечным получателем. Существуют вариации операций ремейлеров, которые могут сделать анализ трафика менее эффективным.

Анализ трафика включает в себя перехват и изучение угроз кибербезопасности для сбора ценной информации об анонимных данных, проходящих через выходной узел . Используя технику, основанную на сканировании темной паутины и специализированном программном обеспечении, можно определить конкретные характеристики сетевого трафика клиента в темной паутине. ^[11]

Контрмеры

Трудно победить анализ трафика без шифрования сообщений и маскировки канала. Когда реальные сообщения не отправляются, канал можно замаскировать ^[12] , отправив фиктивный трафик, аналогичный зашифрованному трафику, тем самым сохраняя постоянное использование полосы пропускания. ^[13] «Очень сложно скрыть информацию о размере или времени сообщений. Известные решения требуют, чтобы Алиса отправляла непрерывный поток сообщений с максимальной полосой пропускания, которую она когда-либо будет использовать... Это может быть приемлемо для военных приложений, но не для большинства гражданских приложений». Проблемы военных и гражданских применяются в ситуациях, когда с пользователя взимается плата за объем отправленной информации.

Даже для доступа в Интернет, где нет попакетной платы, интернет-провайдеры делают статистическое предположение, что соединения с сайтов пользователей не будут заняты 100% времени. Пользователь не может просто увеличить пропускную способность канала, поскольку маскировка заполнит и ее. Если маскировка, которая часто может быть встроена в сквозные шифраторы, станет обычной практикой, интернет-провайдерам придется изменить свои предположения о трафике.

Смотрите также

• Болтовня (разведка)
• Хранилище данных
• ЭШЕЛОН
• Электронный боевой порядок
• ЭЛИНТ
• Анализ образа жизни
• SIGINT
• Анализ социальных сетей
• Сохранение телекоммуникационных данных
• Зендианская проблема

Ссылки

1. Soltani, Ramin; Goeckel, Dennis; Towsley, Don; Houmansadr, Amir (2017-11-27). «На пути к доказуемо невидимым отпечаткам сетевых потоков». 51-я Асиломарская конференция по сигналам, системам и компьютерам 2017 г. IEEE. стр. 258–262. arXiv : 1711.10079 . doi :10.1109/ACSSC.2017.8335179. ISBN 978-1-5386-1823-3. S2CID  4943955.{{cite conference}}: CS1 maint: date and year (link)
2. "Словарь военных и связанных с ними терминов" (PDF) . Министерство обороны . 12 апреля 2001 г. Архивировано из оригинала (PDF) 2009-11-08.
3. Кан, Дэвид (1974). Взломщики кодов: История тайнописи . Macmillan. ISBN 0-02-560460-0. Кан-1974.
4. Хоуленд, Вернон В. (2007-10-01). "Потеря HMS Glorious: Анализ действий". Архивировано из оригинала 2001-05-22 . Получено 2007-11-26 .
5. Костелло, Джон (1995). Дни позора: Макартур, Рузвельт, Черчилль — шокирующая правда раскрыта: как их секретные сделки и стратегические просчеты привели к катастрофам в Пир-Харборе и на Филиппинах . Карманный. ISBN 0-671-76986-3.
6. Лейтон, Эдвин Т.; Роджер Пино, Джон Костелло (1985). «И я был там»: Перл-Харбор и Мидуэй — Разрушение секретов . William Morrow & Co. ISBN 0-688-04883-8.
7. Мастерман, Джон С. (1972) [1945]. Система двойного креста в войне 1939-1945 гг . Издательство Австралийского национального университета. стр. 233. ISBN 978-0-7081-0459-0.
8. Сонг, Дон Сяодун; Вагнер, Дэвид; Тянь, Сюцин (2001). «Анализ времени нажатия клавиш и атаки по времени на SSH». 10-й симпозиум по безопасности USENIX. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
9. Адам Бэк; Ульф Мёллер и Антон Стиглик (2001). "Атаки анализа трафика и компромиссы в системах обеспечения анонимности" (PDF) . Труды Springer - 4-й международный семинар по сокрытию информации. Архивировано (PDF) из оригинала 2013-06-23 . Получено 2013-10-05 .
10. Мердок, Стивен Дж.; Джордж Данезис (2005). "Анализ трафика низкой стоимости Tor" (PDF) . Архивировано (PDF) из оригинала 2013-11-26 . Получено 2005-10-18 .
11. Gokhale, C.; Olugbara, OO (2020-08-17). «Анализ трафика Dark Web угроз кибербезопасности через южноафриканское адресное пространство интернет-протокола». SN Computer Science . 1 (5): 273. doi : 10.1007/s42979-020-00292-y . ISSN  2661-8907.
12. Xinwen Fu, Bryan Graham, Riccardo Bettati и Wei Zhao. "Атаки и контрмеры с использованием активного анализа трафика" (PDF) . Архивировано из оригинала (PDF) 2006-09-13 . Получено 2007-11-06 .{{cite web}}: CS1 maint: multiple names: authors list (link)
13. Нильс Фергюсон и Брюс Шнайер (2003). Практическая криптография . John Wiley & Sons.

• Фергюсон, Нильс; Шнайер, Брюс (2003). Практическая криптография . Wiley. стр. 114. ISBN 0-471-22357-3.
• Wang XY, Chen S, Jajodia S (ноябрь 2005 г.). "Отслеживание анонимных одноранговых VoIP-вызовов в Интернете" (PDF) . Труды 12-й конференции ACM по безопасности компьютерных коммуникаций (CCS 2005) . Архивировано из оригинала (PDF) 2006-08-30.
• FMV Швеция
• Объединение данных из разных источников в операциях коалиции НАТО

Дальнейшее чтение

• http://www.cyber-rights.org/interception/stoa/interception_capabilities_2000.htm — исследование Дункана Кэмпбелла
• https://web.archive.org/web/20070713232218/http://www.onr.navy.mil/02/baa/docs/07-026_07_026_industry_briefing.pdf
• Избранные статьи анонимно — на Free Haven