Análise de tráfego

A análise de tráfego é o processo de interceptar e examinar mensagens para deduzir informações de padrões de comunicação, o que pode ser realizado mesmo quando as mensagens estão criptografadas.[1] Em geral, quanto maior o número de mensagens observadas, ou mesmo interceptadas e armazenadas, mais se pode inferir do tráfego. A análise de tráfego pode ser realizada no contexto de inteligência militar, contra-inteligência ou análise de padrão de vida e é uma preocupação em segurança de computadores.

As tarefas de análise de tráfego podem ser suportadas por programas de software de computador dedicados. As técnicas avançadas de análise de tráfego podem incluir várias formas de análise de redes sociais.

Quebrando o anonimato das redesEditar

O método de análise de tráfego pode ser usado para quebrar o anonimato de redes anônimas (Tors, por exemplo).[1] Existem dois métodos de ataque de análise de tráfego, passivo e ativo.

  • No método de análise de tráfego passivo, o invasor extrai recursos do tráfego de um fluxo específico em um lado da rede e procura esses recursos no outro lado da rede.
  • No método de análise de tráfego ativo, o invasor altera os tempos dos pacotes de um fluxo de acordo com um padrão específico e procura esse padrão do outro lado da rede; portanto, o invasor pode vincular os fluxos de um lado ao outro da rede e quebrar o anonimato dela. É mostrado que, embora o ruído de tempo seja adicionado aos pacotes, existem métodos de análise de tráfego ativos robustos contra tal ruído.[1]

Na inteligência militarEditar

Em um contexto militar, a análise de tráfego é uma parte básica da inteligência de sinais e pode ser uma fonte de informações sobre as intenções e ações do alvo. Os padrões representativos incluem:

  • Comunicações frequentes - podem denotar planejamento.
  • Comunicações rápidas e curtas - podem denotar negociações.
  • Falta de comunicação - pode indicar falta de atividade ou conclusão de um plano finalizado.
  • Comunicação frequente para estações específicas a partir de uma estação central - pode destacar a cadeia de comando.
  • Quem fala com quem - pode indicar quais estações estão "encarregadas" ou a "estação de controle" de uma determinada rede. Isso implica ainda algo sobre o pessoal associado a cada estação.
  • Quem fala quando - pode indicar quais estações estão ativas em conexão com eventos, o que implica algo sobre a informação que está sendo passada e talvez algo sobre o pessoal e ou acesso daqueles associados à algumas estações.
  • Quem muda de estação para estação, ou de meio para meio - pode indicar movimento, medo de interceptação.

Existe uma relação estreita entre a análise de tráfego e a criptoanálise (comumente chamada de quebra de código). Indicativos de chamada e endereços são frequentemente criptografados, exigindo assistência para identificá-los. O volume de tráfego pode frequentemente ser um sinal da importância de um destinatário, dando (à criptanalistas) dicas para objetivos pendentes ou movimentos.

Segurança do fluxo de tráfegoEditar

A segurança do fluxo de tráfego é o uso de medidas que ocultam a presença e as propriedades de mensagens válidas em uma rede para evitar a análise de tráfego. Isso pode ser feito por procedimentos operacionais ou pela proteção decorrente de características inerentes a alguns equipamentos criptográficos. As técnicas utilizadas incluem:

  • mudar os indicativos de rádio com frequência.
  • criptografia dos endereços de envio e recebimento de uma mensagem (mensagens "codress").
  • fazer com que o circuito pareça ocupado em todos os momentos ou na maior parte do tempo, enviando tráfego fictício.
  • enviar um sinal criptografado contínuo, quer o tráfego esteja sendo transmitido ou não. Isso também é chamado de mascaramento ou criptografia de link.

A segurança do fluxo de tráfego é um aspecto da segurança das comunicações.

Análise de metadados COMINTEditar

A inteligência de metadados de comunicações, ou metadados COMINT é um termo em inteligência de comunicação (COMINT) que se refere ao conceito de produzir inteligência analisando apenas os metadados técnicos, portanto, é um ótimo exemplo prático para análise de tráfego em inteligência.[2]

Embora tradicionalmente a coleta de informações na COMINT seja derivada da interceptação de transmissões, aproveitando as comunicações do alvo e monitorando o conteúdo das conversas, a inteligência dos metadados não é baseada no conteúdo, mas em dados técnicos de comunicação.

A COMINT sem conteúdo costuma ser usada para deduzir informações sobre o usuário de um determinado transmissor, como localizações, contatos, volume de atividade, rotina e suas exceções.

ExemplosEditar

Por exemplo, se um emissor é conhecido como o transmissor de rádio de uma determinada unidade, e usando ferramentas de localização de direção (DF), a posição do emissor é localizável, a mudança de locais de um ponto para outro pode ser deduzida, sem ouvir à quaisquer pedidos ou relatórios. Se uma unidade reporta de volta à um comando em um determinado padrão e outra unidade reporta no mesmo padrão ao mesmo comando, então as duas unidades estão provavelmente relacionadas e essa conclusão é baseada nos metadados das transmissões das duas unidades, não sobre o conteúdo de suas transmissões.

Todos ou o máximo dos metadados disponíveis são comumente usados para construir uma ordem eletrônica de batalha (EOB), mapeando diferentes entidades no campo de batalha e suas conexões. É claro que a EOB poderia ser construída capturando todas as conversas e tentando entender qual unidade está onde, mas usar os metadados com uma ferramenta de análise automática permite um acúmulo para a EOB muito mais rápido e preciso que, junto com a captura, cria um "tipo perfeito" muito melhor e completo.

Primeira guerra mundialEditar

  • Analistas britânicos, na primeira guerra mundial, notaram que o indicativo de chamada do vice-almirante alemão Reinhard Scheer, comandando a frota hostil, havia sido transferido para uma estação terrestre. O almirante da frota (Beatty), ignorante da prática de Scheer de mudar os indicativos ao deixar o porto, descartou sua importância e desconsiderou as tentativas dos analistas da "Sala 40" de fazer o ponto. A frota alemã fez uma surtida e os britânicos demoraram a encontrá-los na batalha da Jutlândia.[3] Se a análise de tráfego tivesse sido levada mais a sério, os britânicos poderiam ter se saído melhor do que um "empate".
  • A inteligência militar francesa, moldada pelo legado de Kerckhoffs, havia erguido uma rede de estações de interceptação na frente ocidental em tempos pré-guerra. Quando os alemães cruzaram a fronteira, os franceses descobriram meios grosseiros para encontrar a direção com base na intensidade do sinal interceptado. A gravação de sinais de chamada e volume de tráfego permitiu-lhes identificar grupos de combate alemães e distinguir entre cavalaria veloz e infantaria mais lenta.[3]

Segunda guerra mundialEditar

  • No início da segunda guerra mundial, o porta-aviões HMS Glorious estava evacuando pilotos e aviões da Noruega. A análise de tráfego produziu indícios de que o Scharnhorst e o Gneisenau estavam entrando no mar do norte, mas o ministério da marinha considerou o relatório não comprovado. O capitão do Glorious não manteve vigilância suficiente e foi posteriormente surpreendido e afundado. Harry Hinsley, o jovem contato de Bletchley Park com o ministério da marinha, disse mais tarde que seus relatórios dos analistas de tráfego foram levados muito mais à sério depois disso.[4]
  • Durante o planejamento e o ensaio para o ataque à Pearl Harbor, muito pouco tráfego passou por rádio, sujeito à interceptação. Os navios, unidades e comandos envolvidos estavam todos no Japão e em contato por telefone, correio, lâmpada de sinalização ou mesmo bandeira. Nenhum desse tráfego foi interceptado e, consequentemente, não pôde ser analisado.[3]
  • As aplicações de espionagem contra Pearl Harbor não enviaram um número incomum de mensagens antes de dezembro. Navios japoneses ,regularmente, faziam escala no Havaí e mensagens eram transportadas à bordo por pessoal consular. Pelo menos um desses navios transportava alguns oficiais da inteligência da marinha japonesa. Essas mensagens não puderam ser analisadas. Foi sugerido,[5] no entanto, que o volume de tráfego diplomático de e para certas estações consulares pode ter indicado locais de interesse para o Japão, o que pode ter sugerido locais para concentrar a análise de tráfego e as aplicações de descriptografia.
  • A força de ataque à Pearl Harbor, do almirante Nagumo, navegou em silêncio de rádio (com seus rádios fisicamente bloqueados). Não está claro se isso enganou os Estados Unidos da América. A inteligência da frota do pacífico não conseguiu localizar os porta-aviões japoneses nos dias, imediatamente, anteriores ao ataque à Pearl Harbor.[3]
  • A marinha japonesa jogou jogos de rádio com a força de ataque para inibir a análise de tráfego (ver exemplos, abaixo) depois que ela partiu, no final de novembro. Operadores de rádio (normalmente atribuídos à transmissores) com uma "caligrafia" de código Morse característica, transmitiram de águas de dentro do Japão, sugerindo que os transmissores ainda estavam perto do Japão.[3][6]
  • A operação Quicksilver, parte do plano de engano britânico para a invasão da Normandia na segunda guerra mundial, alimentou a inteligência alemã com uma combinação de informações verdadeiras e falsas sobre o envio de tropas na Grã-Bretanha, fazendo com que os alemães deduzissem uma ordem de batalha que sugeria uma invasão em Pas-de-Calais em vez da Normandia. As divisões fictícias criadas para este engano foram fornecidas com unidades de rádio reais, que mantiveram um fluxo de mensagens consistente com o engano.[7]

Em segurança de computadorEditar

A análise de tráfego também é uma preocupação na segurança de computadores. Um invasor pode obter informações importantes monitorando a frequência e o tempo dos pacotes de rede. Um ataque de temporização no protocolo SSH pode usar informações de temporização para deduzir informações sobre senhas, uma vez que, durante a sessão interativa, o SSH transmite cada pressionamento de tecla como uma mensagem.[8] O tempo entre as mensagens de pressionamento de tecla pode ser estudado usando modelos ocultos de Markov. Song, et al. afirmam que ele pode recuperar a senha cinquenta vezes mais rápido do que um ataque de força bruta.

Os sistemas de roteamento Onion são usados ​​para obter anonimato. A análise de tráfego pode ser usada para atacar sistemas de comunicação anônimos como a rede de anonimato Tor. Adam Back, Ulf Möeller e Anton Stiglic apresentam ataques de análise de tráfego contra sistemas de fornecimento de anonimato.[9] Steven J. Murdoch e George Danezis, da universidade de Cambridge, apresentaram[10] pesquisas mostrando que a análise de tráfego permite que os adversários deduzam quais nós retransmitem os fluxos anônimos. Isso reduz o anonimato fornecido pelo Tor. Eles mostraram que fluxos não relacionados de outra forma podem ser vinculados de volta ao mesmo iniciador.

Os sistemas repostadores também podem ser atacados por meio de análise de tráfego. Se uma mensagem for observada indo para um servidor de reencaminhamento e uma mensagem de comprimento idêntico (agora anonimizada) for vista saindo do servidor logo em seguida, um analista de tráfego pode ser capaz de conectar (automaticamente) o remetente ao destinatário final. Existem variações nas operações do repostador que podem tornar a análise de tráfego menos eficaz.

Medidas defensivasEditar

É difícil derrotar a análise de tráfego sem criptografar mensagens e mascarar o canal. Quando nenhuma mensagem real está sendo enviada, o canal pode ser mascarado[11] enviando tráfego fictício, semelhante ao tráfego criptografado, mantendo assim o uso de largura de banda constante.[12] "É muito difícil ocultar informações sobre o tamanho ou tempo de mensagens. As soluções conhecidas exigem que Alice envie um fluxo contínuo de mensagens na largura de banda máxima que ela jamais usará. Isso pode ser aceitável para aplicações militares, mas não é para a maioria das aplicações civis. "Os problemas militares versus civis se aplicam em situações em que o usuário é cobrado pelo volume de informações enviadas.

Mesmo para acesso à Internet, onde não há cobrança por pacote, os ISPs fazem suposições estatísticas de que as conexões dos sites dos usuários não estarão ocupadas 100% do tempo. O usuário não pode simplesmente aumentar a largura de banda do link, já que o mascaramento também a preencheria. Se o mascaramento, que muitas vezes pode ser embutido em criptografadores de ponta a ponta, se tornar uma prática comum, os ISPs terão que mudar suas suposições de tráfego.

ReferênciasEditar

  1. a b c Soltani, Ramin; Goeckel, Dennis; Towsley, Don; Houmansadr, Amir (27 de novembro de 2017). «Towards provably invisible network flow fingerprints - Com respeito à impressões digitais de fluxo de rede provavelmente invisíveis». 2017 51st Asilomar conference on signals, systems, and computers [51ª conferência Asilomar sobre sinais, sistemas e computadores - 2017] (em inglês). [S.l.: s.n.] pp. 258 à 262. ISBN 978-1-5386-1823-3. arXiv:1711.10079 . doi:10.1109/ACSSC.2017.8335179 
  2. «Dictionary of military and associated terms» [Dicionário de militares e termos associados] (PDF). Department of defense - Departamento de defesa (em inglês). 12 de abril de 2001. Arquivado do original (PDF) em 8 de novembro de 2009 
  3. a b c d e Kahn, David (1974). The codebreakers: the story of secret writing [Os decifradores: a história da escrita secreta]. [S.l.]: Macmillan. ISBN 0-02-560460-0. Kahn-1974 
  4. Howland, Vernon W. (1 de outubro de 2007). «The loss of HMS Glorious: an analysis of the action» [A perda do HMS Glorious: uma análise da ação] (em inglês). Consultado em 26 de novembro de 2007. Arquivado do original em 22 de maio de 2001 
  5. Costello, John (1995). Days of infamy: Macarthur, Roosevelt, Churchill - The shocking truth revealed : how their secret deals and strategic blunders caused disasters at Pearl Harbor and the Philippines [Dias de infâmia: Macarthur, Roosevelt, Churchill - A chocante verdade revelada: como negócios secretos e erros estratégicos deles causaram desastres em Pearl Harbor e nas Filipinas]. [S.l.]: Pocket. ISBN 0-671-76986-3 
  6. Layton, Edwin T.; Roger Pineau, John Costello (1985). "and I was there": Pearl Harbor and Midway - breaking the secrets ["e eu estava lá": Pearl Harbor e Midway - quebrando os segredos] (em inglês). [S.l.]: William Morrow & Co. ISBN 0-688-04883-8 
  7. Masterman, John C (1972) [1945]. The double-cross system in the war of 1939 to 1945 [O sistema traiçoeiro na guerra de 1939 à 1945]. [S.l.]: Imprensa da universidade nacional australiana. p. 233. ISBN 978-0-7081-0459-0 
  8. Song, Dawn Xiaodong; Wagner, David; Tian, Xuqing (2001). «Timing analysis of keystrokes and timing attacks on SSH» [Análise de tempo de pressionamentos de tecla e ataques de tempo em SSH]. 10th USENIX security symposium - 10º simpósio de Segurança USENIX 
  9. Adam Back; Ulf Möeller e Anton Stiglic (2001). «Traffic analysis attacks and trade-offs in anonymity providing systems» [Ataques de análise de tráfego e trocas em sistemas fornecenores de anonimato] (PDF) (em inglês). Springer proceedings - 4th international workshop information hiding 
  10. Murdoch, Steven J.; George Danezis (2005). «Low-cost traffic analysis of Tor» [Análise, de baixo custo, de tráfego do Tor] (PDF) 
  11. Xinwen Fu, Bryan Graham, Riccardo Bettati e Wei Zhao. «Active traffic analysis attacks and countermeasures» [Ataques de análise de tráfego ativos e contramedidas] (PDF) (em inglês). Consultado em 6 de novembro de 2007. Arquivado do original (PDF) em 13 de setembro de 2006 
  12. Niels Ferguson; Bruce Schneier (2003). Practical cryptography [Practical cryptography] (em inglês). [S.l.]: John Wiley & Sons 

Leitura adicionalEditar