Análise de tráfego - Traffic analysis

A análise de tráfego é o processo de interceptar e examinar mensagens para deduzir informações de padrões de comunicação , o que pode ser realizado mesmo quando as mensagens estão criptografadas . Em geral, quanto maior o número de mensagens observadas, ou mesmo interceptadas e armazenadas, mais se pode inferir do tráfego. A análise de tráfego pode ser realizada no contexto de inteligência militar , contra-inteligência ou análise de padrão de vida e é uma preocupação em segurança de computador .

As tarefas de análise de tráfego podem ser suportadas por programas de software de computador dedicados. As técnicas avançadas de análise de tráfego podem incluir várias formas de análise de rede social .

Quebrando o anonimato das redes

O método de análise de tráfego pode ser usado para quebrar o anonimato de redes anônimas, por exemplo, TORs . Existem dois métodos de ataque de análise de tráfego, passivo e ativo.

• No método de análise de tráfego passivo, o invasor extrai recursos do tráfego de um fluxo específico em um lado da rede e procura esses recursos no outro lado da rede.
• No método de análise de tráfego ativo, o invasor altera os tempos dos pacotes de um fluxo de acordo com um padrão específico e procura esse padrão do outro lado da rede; portanto, o invasor pode vincular os fluxos de um lado ao outro da rede e quebrar o anonimato dela. É mostrado que, embora o ruído de temporização seja adicionado aos pacotes, existem métodos de análise de tráfego ativos robustos contra tal ruído.

Na inteligência militar

Em um contexto militar, a análise de tráfego é uma parte básica da inteligência de sinais e pode ser uma fonte de informações sobre as intenções e ações do alvo. Os padrões representativos incluem:

• Comunicações frequentes - podem denotar planejamento
• Comunicações rápidas e curtas - podem denotar negociações
• Falta de comunicação - pode indicar falta de atividade ou conclusão de um plano finalizado
• Comunicação frequente para estações específicas a partir de uma estação central - pode destacar a cadeia de comando
• Quem fala com quem - pode indicar quais estações estão 'encarregadas' ou a 'estação de controle' de uma determinada rede. Isso implica ainda algo sobre o pessoal associado a cada estação
• Quem fala quando - pode indicar quais estações estão ativas em conexão com eventos, o que implica algo sobre a informação que está sendo passada e talvez algo sobre o pessoal / acesso daqueles associados a algumas estações
• Quem muda de estação para estação, ou de meio para meio - pode indicar movimento, medo de interceptação

Existe uma relação estreita entre a análise de tráfego e a criptoanálise (comumente chamada de quebra de código ). Indicativos de chamada e endereços são freqüentemente criptografados , exigindo assistência para identificá-los. O volume de tráfego pode muitas vezes ser um sinal da importância de um destinatário, dando dicas para objetivos pendentes ou movimentos para criptanalistas.

Segurança do fluxo de tráfego

A segurança do fluxo de tráfego é o uso de medidas que ocultam a presença e as propriedades de mensagens válidas em uma rede para evitar a análise de tráfego. Isso pode ser feito por procedimentos operacionais ou pela proteção decorrente de características inerentes a alguns equipamentos criptográficos. As técnicas utilizadas incluem:

• mudando os indicativos de rádio com freqüência
• criptografia dos endereços de envio e recebimento de uma mensagem ( mensagens de codress )
• fazendo com que o circuito pareça ocupado em todos os momentos ou na maior parte do tempo, enviando tráfego fictício
• enviar um sinal criptografado contínuo , quer o tráfego esteja sendo transmitido ou não. Isso também é chamado de mascaramento ou criptografia de link .

A segurança do fluxo de tráfego é um aspecto da segurança das comunicações .

Análise de metadados COMINT

O Communications 'Metadata Intelligence , ou metadados COMINT é um termo em inteligência de comunicação (COMINT) que se refere ao conceito de produzir inteligência analisando apenas os metadados técnicos , portanto, é um ótimo exemplo prático de análise de tráfego em inteligência.

Embora tradicionalmente a coleta de informações no COMINT seja derivada da interceptação de transmissões, aproveitando as comunicações do alvo e monitorando o conteúdo das conversas, a inteligência dos metadados não é baseada no conteúdo, mas em dados técnicos de comunicação.

O COMINT sem conteúdo costuma ser usado para deduzir informações sobre o usuário de um determinado transmissor, como localizações, contatos, volume de atividade, rotina e suas exceções.

Exemplos

Por exemplo, se um emissor é conhecido como o transmissor de rádio de uma determinada unidade, e usando ferramentas de localização de direção (DF), a posição do emissor é localizável, a mudança de locais de um ponto para outro pode ser deduzida, sem ouvir a quaisquer pedidos ou relatórios. Se uma unidade reporta de volta a um comando em um determinado padrão, e outra unidade reporta no mesmo padrão ao mesmo comando, então as duas unidades estão provavelmente relacionadas, e essa conclusão é baseada nos metadados das transmissões das duas unidades, não sobre o conteúdo de suas transmissões.

Usar todos ou o máximo dos metadados disponíveis é comumente usado para construir uma Ordem Eletrônica de Batalha (EOB) - mapeando diferentes entidades no campo de batalha e suas conexões. É claro que o EOB poderia ser construído tocando todas as conversas e tentando entender qual unidade está onde, mas usar os metadados com uma ferramenta de análise automática permite um acúmulo de EOB muito mais rápido e preciso que, junto com o toque, cria uma imagem muito melhor e completa .

Primeira Guerra Mundial

• Analistas britânicos na Primeira Guerra Mundial notaram que o indicativo de chamada do vice-almirante alemão Reinhard Scheer , comandando a frota hostil, havia sido transferido para uma estação terrestre. O almirante da frota Beatty , ignorante da prática de Scheer de mudar os indicativos ao deixar o porto, descartou sua importância e desconsiderou as tentativas dos analistas da Sala 40 de fazer o ponto. A frota alemã fez uma surtida e os britânicos demoraram a encontrá-los na Batalha da Jutlândia . Se a análise de tráfego tivesse sido levada mais a sério, os britânicos poderiam ter se saído melhor do que um "empate".
• A inteligência militar francesa, moldada pelo legado de Kerckhoffs , havia erguido uma rede de estações de interceptação na frente ocidental em tempos pré-guerra. Quando os alemães cruzaram a fronteira, os franceses descobriram meios grosseiros para encontrar a direção com base na intensidade do sinal interceptado. A gravação de sinais de chamada e volume de tráfego permitiu-lhes identificar grupos de combate alemães e distinguir entre cavalaria veloz e infantaria mais lenta.

Segunda Guerra Mundial

• No início da Segunda Guerra Mundial , o porta-aviões HMS  Glorious estava evacuando pilotos e aviões da Noruega . A análise de tráfego produziu indícios de que Scharnhorst e Gneisenau estavam entrando no Mar do Norte, mas o Almirantado considerou o relatório não comprovado. O capitão do Glorious não manteve vigilância suficiente e foi posteriormente surpreendido e afundado. Harry Hinsley , o jovem contato de Bletchley Park com o Almirantado, disse mais tarde que seus relatórios dos analistas de tráfego foram levados muito mais a sério depois disso.
• Durante o planejamento e ensaio para o ataque a Pearl Harbor , muito pouco tráfego foi passado por rádio, sujeito a interceptação. Os navios, unidades e comandos envolvidos estavam todos no Japão e em contato por telefone, correio, lâmpada de sinalização ou mesmo bandeira. Nenhum desse tráfego foi interceptado e não pôde ser analisado.
• O esforço de espionagem contra Pearl Harbor antes de dezembro não enviou um número incomum de mensagens; Navios japoneses regularmente faziam escala no Havaí e mensagens eram transportadas a bordo por pessoal consular. Pelo menos um desses navios transportava alguns oficiais da Inteligência da Marinha Japonesa. Essas mensagens não podem ser analisadas. Foi sugerido, no entanto, que o volume de tráfego diplomático de e para certas estações consulares pode ter indicado locais de interesse para o Japão, o que poderia, portanto, ter sugerido locais para concentrar a análise de tráfego e os esforços de descriptografia.
• A Força de Ataque Pearl Harbor do almirante Nagumo navegou em silêncio de rádio, com seus rádios fisicamente bloqueados. Não está claro se isso enganou os EUA; A inteligência da Frota do Pacífico não conseguiu localizar os porta-aviões japoneses nos dias imediatamente anteriores ao ataque a Pearl Harbor .
• A Marinha Japonesa jogou jogos de rádio para inibir a análise de tráfego (ver exemplos, abaixo) com a força de ataque depois que ela partiu no final de novembro. Operadores de rádio normalmente atribuídos a transportadoras, com um " punho " de código Morse característico , transmitido de águas interiores japonesas, sugerindo que as transportadoras ainda estavam perto do Japão.
• A Operação Mercúrio , parte do plano de engano britânico para a invasão da Normandia na Segunda Guerra Mundial , alimentou a inteligência alemã com uma combinação de informações verdadeiras e falsas sobre o envio de tropas na Grã-Bretanha, fazendo com que os alemães deduzissem uma ordem de batalha que sugeria uma invasão no Pas-de-Calais em vez da Normandia. As divisões fictícias criadas para esse engano foram fornecidas com unidades de rádio reais, que mantiveram um fluxo de mensagens consistente com o engano.

Na segurança do computador

A análise de tráfego também é uma preocupação na segurança do computador . Um invasor pode obter informações importantes monitorando a frequência e o tempo dos pacotes de rede. Um ataque de temporização no protocolo SSH pode usar informações de temporização para deduzir informações sobre senhas , uma vez que, durante a sessão interativa, o SSH transmite cada pressionamento de tecla como uma mensagem. O tempo entre as mensagens de pressionamento de tecla pode ser estudado usando modelos de Markov ocultos . Song, et al. afirmam que ele pode recuperar a senha cinquenta vezes mais rápido do que um ataque de força bruta .

Os sistemas de roteamento Onion são usados ​​para obter anonimato. A análise de tráfego pode ser usada para atacar sistemas de comunicação anônimos como a rede de anonimato Tor . Adam Back, Ulf Möeller e Anton Stiglic apresentam ataques de análise de tráfego contra sistemas de fornecimento de anonimato. Steven J. Murdoch e George Danezis, da Universidade de Cambridge, apresentaram uma pesquisa mostrando que a análise de tráfego permite que os adversários inferam quais nós retransmitem os fluxos anônimos. Isso reduz o anonimato fornecido pelo Tor. Eles mostraram que fluxos não relacionados de outra forma podem ser vinculados de volta ao mesmo iniciador.

Os sistemas de remailer também podem ser atacados por meio de análise de tráfego. Se uma mensagem for observada indo para um servidor de reencaminhamento, e uma mensagem de comprimento idêntico (se agora anonimizada) for vista saindo do servidor logo em seguida, um analista de tráfego pode ser capaz de conectar (automaticamente) o remetente ao destinatário final. Existem variações nas operações do repostador que podem tornar a análise de tráfego menos eficaz.

Contramedidas

É difícil derrotar a análise de tráfego sem criptografar mensagens e mascarar o canal. Quando nenhuma mensagem real está sendo enviada, o canal pode ser mascarado enviando tráfego fictício, semelhante ao tráfego criptografado, mantendo assim o uso de largura de banda constante. "É muito difícil ocultar informações sobre o tamanho ou o tempo das mensagens. As soluções conhecidas exigem que Alice envie um fluxo contínuo de mensagens na largura de banda máxima que ela usará ... Isso pode ser aceitável para aplicações militares, mas é não para a maioria das aplicações civis. " Os problemas militares versus civis se aplicam em situações em que o usuário é cobrado pelo volume de informações enviadas.

Mesmo para acesso à Internet, onde não há cobrança por pacote, os ISPs fazem suposições estatísticas de que as conexões dos sites dos usuários não estarão ocupadas 100% do tempo. O usuário não pode simplesmente aumentar a largura de banda do link, já que o mascaramento também a preencheria. Se o mascaramento, que muitas vezes pode ser embutido em criptografadores de ponta a ponta, se tornar uma prática comum, os ISPs terão que mudar suas suposições de tráfego.

Veja também

• Chatter (inteligência de sinais)
• Armazém de dados
• ESCALÃO
• Ordem Eletrônica de Batalha
• ELINT
• Análise de padrões de vida
• SIGINT
• Análise de rede social
• Retenção de dados de telecomunicações
• Problema Zendian

Referências

• Ferguson, Niels; Schneier, Bruce (2003). Criptografia prática . p. 114. ISBN 0-471-22357-3.
• Wang XY, Chen S, Jajodia S (novembro de 2005). "Rastreando Chamadas VoIP Peer-to-Peer Anônimas na Internet" (PDF) . Proceedings of the 12th ACM Conference on Computer Communications Security (CCS 2005) . Arquivado do original (PDF) em 30/08/2006.
• FMV Suécia
• Fusão de dados de múltiplas fontes em operações de coalizão da OTAN

Leitura adicional

• http://www.cyber-rights.org/interception/stoa/interception_capabilities_2000.htm - um estudo de Duncan Campbell
• https://web.archive.org/web/20070713232218/http://www.onr.navy.mil/02/baa/docs/07-026_07_026_industry_briefing.pdf
• Artigos selecionados no anonimato - em Free Haven