Análise de tráfego

A análise de tráfego é o processo de interceptar e examinar mensagens para deduzir informações de padrões de comunicação. Ela pode ser realizada mesmo quando as mensagens estão criptografadas.^[1] Em geral, quanto maior o número de mensagens observadas, mais informações podem ser inferidas. A análise de tráfego pode ser realizada no contexto de inteligência militar, contra-inteligência ou análise de padrão de vida [en] e é uma preocupação em segurança de computadores.

As tarefas de análise de tráfego podem ser suportadas por programas de software de computador dedicados. As técnicas avançadas de análise de tráfego podem incluir várias formas de análise de redes sociais.

A análise de tráfego tem sido historicamente uma técnica vital na criptoanálise, especialmente quando a tentativa de prejudicar^[a] depende da propagação bem-sucedida de um ataque de texto simples conhecido [en], o que geralmente requer um palpite inspirado com base em quão específico o contexto operacional provavelmente pode influenciar o que um adversário comunica, o que pode ser suficiente para estabelecer um berço curto.

Quebrando o anonimato das redes

O método de análise de tráfego pode ser usado para quebrar o anonimato de redes anônimas (como as dos roteadores cebolas^[b], por exemplo).^[1] Existem dois métodos de ataque de análise de tráfego, o passivo e o ativo.

• No método de análise de tráfego passivo, o invasor extrai recursos do tráfego de um fluxo específico em um lado da rede e procura esses recursos no outro lado da rede.
• No método de análise de tráfego ativo, o invasor altera os tempos dos pacotes de um fluxo de acordo com um padrão específico e procura esse padrão do outro lado da rede; portanto, o invasor pode vincular os fluxos de um lado ao outro da rede e quebrar o anonimato dela. É mostrado que, embora o ruído de tempo seja adicionado aos pacotes, existem métodos de análise de tráfego ativos robustos contra tal ruído.^{[não consta na fonte citada][1]}

Na inteligência militar

Em um contexto militar, a análise de tráfego é uma parte básica da inteligência de sinais^[c] e pode ser uma fonte de informações sobre as intenções e ações do alvo. Os padrões representativos incluem:

• Comunicações frequentes - podem denotar planejamento.
• Comunicações rápidas e curtas - podem denotar negociações.
• Falta de comunicação - pode indicar falta de atividade ou conclusão de um plano finalizado.
• Comunicação frequente para estações específicas a partir de uma estação central - pode destacar a hierarquia de comando.
• Quem fala com quem - pode indicar quais estações estão "encarregadas" ou a "estação de controle" de uma determinada rede. Isso implica ainda algo sobre o pessoal associado a cada estação.
• Quem fala quando - pode indicar quais estações estão ativas em conexão com eventos, o que implica algo sobre a informação que está sendo passada e talvez algo sobre o pessoal e ou acesso daqueles associados à algumas estações.
• Quem muda de estação para estação, ou de meio para meio - pode indicar movimento, medo de interceptação.

Existe uma relação estreita entre a análise de tráfego e a criptoanálise (comumente chamada de quebra de código). Indicativos de chamada e endereços são frequentemente criptografados, exigindo assistência para identificá-los. O volume de tráfego pode frequentemente ser um sinal da importância de um destinatário, dando (à criptanalistas) dicas para objetivos pendentes ou movimentos.

Segurança do fluxo de tráfego

A segurança do fluxo de tráfego é o uso de medidas que ocultam a presença e as propriedades de mensagens válidas em uma rede para evitar a análise de tráfego. Isso pode ser feito por procedimentos operacionais ou pela proteção decorrente de características inerentes a alguns equipamentos criptográficos. As técnicas utilizadas incluem:

• mudar os indicativos de rádio com frequência.
• criptografia dos endereços de envio e recebimento de uma mensagem (mensagens com endereços codificados^[d]).
• fazer com que o circuito pareça ocupado em todos os momentos ou na maior parte do tempo, enviando tráfego fictício.
• enviar um sinal criptografado contínuo, quer o tráfego esteja sendo transmitido ou não. Isso também é chamado de mascaramento ou criptografia de link.

A segurança do fluxo de tráfego é um aspecto da segurança das comunicações [en].

Análise de metadados da inteligência de comunicações

Metadados de inteligência de comunicações, ou metadados de Int.Com.^[e] é um termo em inteligência de comunicações (Int.Com.^[e]) [en] que se refere ao conceito de produzir inteligência analisando apenas os metadados técnicos, portanto, é um ótimo exemplo prático para análise de tráfego em inteligência.^[2]

Embora tradicionalmente a coleta de informações na inteligência de comunicações (Int.Com.^[e]) seja derivada da interceptação de transmissões, aproveitando as comunicações do alvo e monitorando o conteúdo das conversas, a inteligência dos metadados não é baseada no conteúdo, mas em dados técnicos de comunicação.

A inteligência de comunicações (Int.Com.^[e]) sem conteúdo costuma ser usada para deduzir informações sobre o usuário de um determinado transmissor, como localizações, contatos, volume de atividade, rotina e suas exceções.

Exemplos

Por exemplo, se um emissor é conhecido como transmissor de rádio de uma determinada unidade, e usando ferramentas de localização de direção (L.D.)^[f], a posição do emissor é localizável, a mudança de localização de um ponto para outro pode ser deduzida, sem ouvir quaisquer ordens ou relatórios. Se uma unidade reporta a um comando um determinado padrão, e outra unidade reporta o mesmo padrão ao mesmo comando, as duas unidades provavelmente estão relacionadas. Esta conclusão baseia-se nos metadados das transmissões das duas unidades e não no conteúdo das suas transmissões.

Usar todos ou a maior parte dos metadados disponíveis é comumente usado para construir uma Ordem eletrônica de batalha (O.E.B.)^[g]) [en] mspeando diferentes entidades no campo de batalha e suas conexões. É claro que a Ordem eletrônica de batalha (O.E.B.^[g]) poderia ser construída capturando todas as conversas e tentando entender qual unidade está onde, mas usar os metadados com uma ferramenta de análise automática permite uma construção de Ordem eletrônica de batalha (O.E.B.)^[g] muito mais rápida e precisa que, junto com a captura, constrói uma imagem muito melhor e completa.

Primeira guerra mundial

• Analistas britânicos duante primeira guerra mundial, notaram que o indicativo de chamada do vice-almirante alemão Reinhard Scheer, comandando a frota hostil, havia sido transferido para uma estação terrestre. O almirante da frota [en] (Beatty), ignorante da prática de Scheer de mudar os indicativos ao deixar o porto, descartou sua importância e desconsiderou as tentativas dos analistas da "Sala 40" [en] de defender esse ponto. A frota alemã fez uma surtida e os britânicos demoraram a encontrá-los na batalha da Jutlândia.^[3] Se a análise de tráfego tivesse sido levada mais a sério, os britânicos poderiam ter se saído melhor do que um "empate".
• A inteligência militar francesa, moldada pelo legado de Auguste Kerckhoffs [en], havia erguido uma rede de estações de interceptação na frente ocidental em tempos pré-guerra. Quando os alemães cruzaram a fronteira, os franceses descobriram meios grosseiros para encontrar a direção com base na intensidade do sinal interceptado. A gravação de indicativos de chamada e de volumes de tráfego permitiu ainda, aos franceses, identificar grupos de combate alemães e distinguir a cavalaria em movimento rápido e a infantaria mais lenta.^[3]

Segunda guerra mundial

• Na primeira parte da segunda guerra mundial, o porta-aviões HMS Glorious estava evacuando pilotos e aviões da Noruega. A análise de tráfego produziu indícios de que o Scharnhorst e o Gneisenau estavam entrando no Mar do Norte, mas o ministério da marinha considerou o relatório como não comprovado. O capitão do Glorious não manteve vigilância suficiente e foi posteriormente surpreendido e afundado. Harry Hinsley [en], o jovem contato de Bletchley Park com o ministério da marinha, disse mais tarde que seus relatórios dos analistas de tráfego foram levados muito mais à sério depois disso.^[4]
• Durante o planejamento e o ensaio para o ataque à Pearl Harbor, muito pouco tráfego passou por rádio, sujeito à interceptação. Os navios, unidades e comandos envolvidos estavam todos no Japão e em contato por telefone, correio, lâmpada de sinalização ou mesmo bandeira. Nenhum desse tráfego foi interceptado e, consequentemente, não pôde ser analisado.^[3]
• As aplicações de espionagem contra Pearl Harbor não enviaram um número incomum de mensagens antes de dezembro. Navios japoneses ,regularmente, faziam escala no Havaí e mensagens eram transportadas à bordo por pessoal consular. Pelo menos um desses navios transportava alguns oficiais da inteligência da marinha japonesa. Tais mensagens não puderam ser analisadas. Foi sugerido,^[5] no entanto, que o volume de tráfego diplomático de e para certas estações consulares pode ter indicado locais de interesse para o Japão, o que pode ter sugerido locais para concentrar a análise de tráfego e as aplicações de descriptografia.
• A Força de ataque de Pearl Harbor do almirante Nagumo navegou sob silêncio de rádio, com seus rádios fisicamente bloqueados. Não está claro se isso enganou os Estados Unidos da América, uma vez que a inteligência da Frota do Pacífico não conseguiu localizar os porta-aviões japoneses nos dias imediatamente anteriores ao Ataque a Pearl Harbor.^[3]
• A marinha japonesa jogou jogos de rádio com a força de ataque para inibir a análise de tráfego (ver exemplos, abaixo) depois que ela partiu, no final de novembro. Operadores de rádio (normalmente atribuídos à transmissores) com uma "caligrafia" de código Morse característica, transmitiram de águas de dentro do Japão, sugerindo que os transmissores ainda estavam perto do Japão.^[3][6]
• A operação Quicksilver, parte do plano de engano britânico para a invasão da Normandia durante a Segunda Guerra Mundial, alimentou a inteligência alemã com uma combinação de informações verdadeiras e falsas sobre o envio de tropas na Grã-Bretanha, o que fez com que os alemães deduzissem uma ordem de batalha que sugeria uma invasão em Pas-de-Calais em vez da Normandia. As divisões fictícias criadas para este engano foram abastecidas com unidades de rádio reais, que mantiveram um fluxo de mensagens consistente com o engano.^[7]

Em segurança de computador

A análise de tráfego também é uma preocupação na segurança de computadores. Um invasor pode obter informações importantes monitorando a frequência e o tempo dos pacotes de rede. Um ataque de temporização no protocolo de shell seguro (Sh.S.)^[h] pode usar informações de temporização para deduzir informações sobre senhas, uma vez que, durante a sessão interativa, o shell seguro (Sh.S.^[h]) transmite cada pressionamento de tecla como uma mensagem.^[8] O tempo entre as mensagens de pressionamento de tecla pode ser estudado usando modelos ocultos de Markov. Song, et al. afirmam que ele pode recuperar a senha cinquenta vezes mais rápido do que um ataque de força bruta.

Os sistemas Cebolas de roteamento [en] são usados ​​para obter anonimato. A análise de tráfego pode ser usada para atacar sistemas de comunicação anônimos como a rede de anonimato dos roteadores cebolas (O.R.C.)^[b]. Adam Back, Ulf Möeller e Anton Stiglic apresentam ataques de análise de tráfego contra sistemas de fornecimento de anonimato.^[9] Steven J. Murdoch e George Danezis, da universidade de Cambridge, apresentaram^[10] pesquisas mostrando que a análise de tráfego permite que os adversários deduzam quais nós retransmitem os fluxos anônimos. Isso reduz o anonimato fornecido pelos roteadores cebolas(O.R.C.)^[b]. Eles mostraram que fluxos não relacionados de outra forma podem ser vinculados de volta ao mesmo iniciador.

Os sistemas repostadores também podem ser atacados por meio de análise de tráfego. Se uma mensagem for observada indo para um servidor de reencaminhamento e uma mensagem de comprimento idêntico (agora anonimizada) for vista saindo do servidor logo em seguida, um analista de tráfego pode ser capaz de conectar (automaticamente) o remetente ao destinatário final. Existem variações nas operações do repostador que podem tornar a análise de tráfego menos eficaz.

Medidas defensivas

É difícil derrotar a análise de tráfego sem criptografar mensagens e mascarar o canal. Quando nenhuma mensagem real está sendo enviada, o canal pode ser mascarado^[11] enviando tráfego fictício, semelhante ao tráfego criptografado, mantendo assim o uso de largura de banda constante.^[12] "É muito difícil ocultar informações sobre o tamanho ou o tempo de mensagens. As soluções conhecidas exigem que Alice envie um fluxo contínuo de mensagens na largura de banda máxima que ela jamais usará. Isso pode ser aceitável para aplicações militares, mas não é para a maioria das aplicações civis." Os problemas militares versus civis se aplicam em situações em que o usuário é cobrado pelo volume de informações enviadas.

Mesmo para acesso à Internet, onde não há cobrança por pacote, os provedores de serviços de Internet (P.S.I.)^[i]fazem suposições estatísticas de que as conexões dos sites dos usuários não estarão ocupadas 100% do tempo. O usuário não pode simplesmente aumentar a largura de banda do link, já que o mascaramento também a preencheria. Se o mascaramento, que muitas vezes pode ser embutido em criptografadores de ponta a ponta, se tornar uma prática comum, os provedores de serviços de Internet (P.S.I.^[i]) terão que mudar suas suposições de tráfego.

Notas

1. do inglês crack
2. do inglês T.O.R. – the onion router
3. do inglês Sig.Int. – signals intelligence
4. do inglês codress – coded address
5. do inglês Com.Int. – communications intelligence
6. do inglês D.F. – direction finding
7. do inglês E.O.B. – electronic order of battle
8. do inglês S.Sh. - secure shell
9. do inglês I.S.P. – Internet service provider

Referências

1. Soltani, Ramin; Goeckel, Dennis; Towsley, Don; Houmansadr, Amir (27 de novembro de 2017). «Towards provably invisible network flow fingerprints - Rumo a impressões digitais de fluxo de rede comprovadamente invisíveis». 2017 51st Asilomar conference on signals, systems, and computers [51ª conferência sobre sinais, sistemas e computadores em Asilomar - 2017] (em inglês). [S.l.]: Instituto de engenheiros elétricos e eletrônicos (I.E.E.E.). pp. 258 – 262. ISBN 978-1-5386-1823-3. arXiv:1711.10079 . doi:10.1109/ACSSC.2017.8335179 
2. «Dictionary of military and associated terms» [Dicionário de termos militares e associados] (PDF). Departamento de defesa dos Estados Unidos da América (em inglês). 12 de abril de 2001. Arquivado do original (PDF) em 8 de novembro de 2009 
3. Kahn, David (1974). The codebreakers: the story of secret writing [Os decifradores: a história da escrita secreta] (em inglês). [S.l.]: Macmillan. ISBN 0-02-560460-0. Kahn-1974 
4. Howland, Vernon W. (1 de outubro de 2007). «The loss of HMS Glorious: an analysis of the action» [A perda do HMS Glorious: uma análise da ação] (em inglês). Consultado em 26 de novembro de 2007. Arquivado do original em 22 de maio de 2001 
5. Costello, John (1995). Days of infamy: Macarthur, Roosevelt, Churchill - The shocking truth revealed : how their secret deals and strategic blunders caused disasters at Pearl Harbor and the Philippines [Dias de infâmia: Macarthur, Roosevelt, Churchill - A chocante verdade revelada: como negócios secretos e erros estratégicos deles causaram desastres em Pearl Harbor e nas Filipinas] (em inglês). [S.l.]: Pocket. ISBN 0-671-76986-3 
6. Layton, Edwin T.; Roger Pineau; John Costello (1985). "and I was there": Pearl Harbor and Midway - breaking the secrets ["e eu estava lá": Pearl Harbor e Midway - quebrando os segredos] (em inglês). [S.l.]: William Morrow & Co. ISBN 0-688-04883-8 
7. Masterman, John C. (1972) [1945]. The double-cross system in the war of 1939 to 1945 [O sistema traiçoeiro na guerra de 1939 à 1945] (em inglês). [S.l.]: Imprensa da universidade nacional australiana. p. 233. ISBN 978-0-7081-0459-0 
8. Song, Dawn Xiaodong; Wagner, David; Tian, Xuqing (2001). «Timing analysis of keystrokes and timing attacks on S.Sh.» [Análise de tempo de pressionamentos de tecla e ataques de tempo em Sh.S.]. 10th USENIX security symposium - 10º simpósio de segurança da USENIX (em inglês) 
9. Adam Back; Ulf Möeller e Anton Stiglic (2001). «Traffic analysis attacks and trade-offs in anonymity providing systems» [Ataques de análise de tráfego e trocas em sistemas fornecenores de anonimato] (PDF) (em inglês). Springer – Anais da 4ª oficina internacional de ocultação de informações 
10. Murdoch, Steven J.; George Danezis (2005). «Low-cost traffic analysis of T.O.R.» [Análise, de baixo custo, de tráfego do O.R.C.] (PDF) (em inglês) 
11. Xinwen Fu; Bryan Graham; Riccardo Bettati; Wei Zhao. «Active traffic analysis attacks and countermeasures» [Ataques de análise de tráfego ativos e contramedidas] (PDF) (em inglês). Consultado em 6 de novembro de 2007. Arquivado do original (PDF) em 13 de setembro de 2006 
12. Niels Ferguson; Bruce Schneier (2003). Practical cryptography [Practical cryptography] (em inglês). [S.l.]: John Wiley & Sons 

• Ferguson, Niels; Schneier, Bruce (2003). Practical cryptography [Criptografia prática] (em inglês). [S.l.]: Wiley. p. 114. ISBN 0-471-22357-3 
• Wang X.Y.; Chen S.; Jajodia S. (novembro de 2005). «Tracking anonymous peer-to-peer V.o.I.P. calls on the Internet» [Rastreamento de chamadas de voz sobre protocolo de Internet (Vo.P.I., V.s.P.I.) ponto a ponto anônimas na Internet] (PDF). Proceedings of the 12th A.C.M. conference on computer communications security (CCS 2005) - Anais da 12ª conferência da Associação de máquinas computacionais A.C.M. sobre segurança de comunicações de computador (CCS 2005) (em inglês). Arquivado do original (PDF) em 30 de agosto de 2006 
• Administração sueca de material de defesa (em inglês)
• Fusão de dados de múltiplas fontes em operações de coalizão da O.T.A.N. (em inglês)

Leitura adicional

• Um estudo de Duncan Campbell (em inglês)
• Grandes redes táticas de sensores (em inglês)
• Artigos selecionados sobre anonimato (em inglês) - Projeto refúgio livre [en]