Analýza provozu - Traffic analysis

Analýza provozu je proces zachycování a zkoumání zpráv za účelem odvození informací ze vzorců v komunikaci , které lze provést, i když jsou zprávy šifrovány . Obecně platí, že čím větší je počet pozorovaných zpráv nebo dokonce zachycených a uložených, tím více lze odvodit z provozu. Analýza provozu může být prováděna v kontextu vojenského zpravodajství , kontrarozvědky nebo analýzy vzorců života a je předmětem zájmu v oblasti počítačové bezpečnosti .

Úkoly analýzy provozu mohou být podporovány specializovanými počítačovými softwarovými programy. Pokročilé techniky analýzy provozu mohou zahrnovat různé formy analýzy sociálních sítí .

Prolomení anonymity sítí

Metodu analýzy provozu lze použít k prolomení anonymity anonymních sítí, např. TOR . Existují dvě metody útoku na analýzu provozu, pasivní a aktivní.

• V metodě pasivní analýzy provozu útočník extrahuje funkce z provozu konkrétního toku na jedné straně sítě a hledá tyto funkce na druhé straně sítě.
• V aktivní metodě analýzy provozu útočník mění časování paketů toku podle konkrétního vzoru a hledá tento vzor na druhé straně sítě; útočník proto může propojit toky na jedné straně s druhou stranou sítě a narušit její anonymitu. Je zobrazeno, i když je do paketů přidán časovací šum, existují aktivní metody analýzy provozu odolné proti takovému šumu.

Ve vojenském zpravodajství

Ve vojenském kontextu je analýza provozu základní součástí signálové inteligence a může být zdrojem informací o záměrech a akcích cíle. Reprezentativní vzory zahrnují:

• Častá komunikace - může naznačovat plánování
• Rychlá a krátká komunikace - může naznačovat jednání
• Nedostatek komunikace - může naznačovat nedostatek aktivity nebo dokončení hotového plánu
• Častá komunikace s konkrétními stanicemi z centrální stanice - může zvýraznit řetězec příkazů
• Kdo s kým hovoří - může určit, které stanice „mají na starosti“ nebo „řídící stanici“ konkrétní sítě. To dále naznačuje něco o personálu spojeném s každou stanicí
• Kdo mluví kdy - může označit, které stanice jsou aktivní v souvislosti s událostmi, což naznačuje něco o předávaných informacích a možná něco o personálu / přístupu osob spojených s některými stanicemi
• Kdo se mění ze stanice na stanici nebo ze střední na střední - může naznačovat pohyb, strach z odposlechu

Mezi analýzou provozu a kryptoanalýzou (běžně nazývanou porušování zákonů ) existuje úzký vztah . Volací značky a adresy jsou často šifrovány , což vyžaduje pomoc při jejich identifikaci. Objem provozu může být často známkou důležitosti adresáta, což dává náznaky nevyřízených cílů nebo pohybům dešifrujícím.

Zabezpečení toku provozu

Zabezpečení toku provozu je použití opatření, která zakrývají přítomnost a vlastnosti platných zpráv v síti, aby se zabránilo analýze provozu. To lze provést provozními postupy nebo ochranou vyplývající z funkcí obsažených v některých kryptografických zařízeních. Použité techniky zahrnují:

• častá změna rádiových volacích značek
• šifrování odesílacích a přijímacích adres zprávy ( zprávy s adresou )
• způsobení toho, že okruh bude po celou dobu nebo po většinu času vypadat zaneprázdněn odesláním fiktivního provozu
• odesílání nepřetržitého šifrovaného signálu bez ohledu na to , zda se přenáší provoz. Toto se také nazývá maskování nebo šifrování odkazů .

Zabezpečení toku provozu je jedním z aspektů zabezpečení komunikace .

Analýza metadat COMINT

The Metadata Intelligence komunikací , či COMINT metadata je termín v komunikační zpravodajských služeb (COMINT) ve vztahu ke konceptu výroby inteligenci analýzou pouze technickou metadata , tudíž je skvělým praktickým příkladem pro analýzu provozu v inteligenci.

Zatímco tradičně se shromažďování informací v systému COMINT odvozuje od zachycování přenosů, klepání na komunikaci cíle a sledování obsahu konverzací, inteligence metadat není založena na obsahu, ale na technických komunikačních datech.

Bez obsahu COMINT se obvykle používá k odvození informací o uživateli určitého vysílače, jako jsou umístění, kontakty, objem aktivity, rutina a její výjimky.

Příklady

Například pokud je emitor známý jako rádiový vysílač určité jednotky a pomocí nástrojů pro určování směru (DF) je poloha emitoru lokalizovatelná, lze odvodit změnu umístění z jednoho bodu do druhého bez poslechu na jakékoli objednávky nebo zprávy. Pokud jedna jednotka hlásí zpět k příkazu na určitém vzoru a jiná jednotka hlásí na stejném vzoru ke stejnému příkazu, pak jsou tyto dvě jednotky pravděpodobně příbuzné a tento závěr je založen na metadatech přenosů těchto dvou jednotek, nikoli o obsahu jejich přenosů.

Využití všech nebo většiny dostupných metadat se běžně používá k vybudování Electronic Order of Battle (EOB) - mapování různých entit na bojišti a jejich spojení. Samozřejmě lze EOB vytvořit poklepáním na všechny konverzace a pokusem se pochopit, která jednotka je kde, ale použití metadat s nástrojem pro automatickou analýzu umožňuje mnohem rychlejší a přesnější sestavení EOB, které vedle poklepání vytváří mnohem lepší a úplnější obrázek .

první světová válka

• Britští analytici v první světové válce si všimli, že volací znak německého viceadmirála Reinharda Scheera , velícího nepřátelské flotile, byl přemístěn na pozemní stanici. Admirál flotily Beatty , neznalý Scheerovy praxe změny volacích značek při opuštění přístavu, odmítl jeho důležitost a nepřihlížel k pokusům analytiků Room 40 o to. Německá flotila bojovala a Britové se s nimi setkali v bitvě u Jutska pozdě . Pokud by se dopravní analýza brala vážněji, Britové by si mohli poradit lépe než „remíza“.
• Francouzské vojenské zpravodajství, formované Kerckhoffovým dědictvím, vybudovalo v předválečných dobách síť odposlechových stanic na západní frontě. Když Němci překročili hranici, Francouzi vypracovali hrubé prostředky pro zaměřování na základě zachycené intenzity signálu. Zaznamenávání volacích značek a objemu provozu jim dále umožnilo identifikovat německé bojové skupiny a rozlišovat mezi rychle se pohybující jízdou a pomalejší pěchotou.

druhá světová válka

• Na začátku roku druhé světové války , je letadlová loď HMS  Glorious byla evakuace piloty a letadla z Norska . Analýza dopravy přinesla náznaky, že se Scharnhorst a Gneisenau stěhovali do Severního moře, ale admirality zprávu odmítla jako neprokázanou. Kapitán Glorious nedržel dostatečnou rozhlednu a byl následně překvapen a potopen. Harry Hinsley , mladý pracovník Bletchley Parku s admirality, později řekl, že jeho zprávy od dopravních analytiků byly poté brány mnohem vážněji.
• Během plánování a zkoušky útoku na Pearl Harbor byl rádiem předáván velmi malý provoz, který podléhal odposlechu. Zúčastněné lodě, jednotky a příkazy byly v Japonsku a byly v kontaktu prostřednictvím telefonu, kurýra, signální lampy nebo dokonce vlajky. Žádný z těchto provozů nebyl zachycen a nemohl být analyzován.
• Špionážní úsilí proti Pearl Harbor před prosincem nezaslalo neobvyklý počet zpráv; Japonská plavidla pravidelně přivolávala Havaj a zprávy na palubu dopravoval konzulární personál. Alespoň jedno takové plavidlo přepravovalo některé důstojníky zpravodajských služeb japonského námořnictva. Takové zprávy nelze analyzovat. Bylo však navrženo, že objem diplomatického provozu do a z určitých konzulárních stanic mohl naznačovat zajímavá místa pro Japonsko, které by tak mohlo navrhnout umístění pro soustředění dopravních analýz a dešifrování.
• Útočné síly admirála Naguma v Pearl Harbor se plavily pod rádiovým tichem a jejich rádia byla fyzicky uzamčena. Není jasné, zda to oklamalo USA; Ve dnech bezprostředně předcházejících útoku na Pearl Harbor nebyla zpravodajská služba Pacifické flotily schopna najít japonské dopravce .
• Japonské námořnictvo hrálo rozhlasových her pro inhibici analýzy provozu (viz příklady níže) s útočnou silou poté, co se plavil na konci listopadu. Rozhlasoví operátoři obvykle přidělovaní dopravcům s charakteristickou „ pěstí “ podle Morseovy abecedy přenášených z vnitrozemských japonských vod, což naznačuje, že dopravci byli stále poblíž Japonska.
• Operace Quicksilver , součást britského podvodného plánu pro invazi do Normandie ve druhé světové válce , přiváděla německé zpravodajské služby kombinací pravdivých a nepravdivých informací o rozmístění vojsk v Británii, což způsobilo, že Němci odvodili pořadí bitvy, které naznačovalo invazi na Pas-de-Calais místo Normandie. Fiktivní divize vytvořené pro tento podvod byly zásobeny skutečnými rádiovými jednotkami, které udržovaly tok zpráv konzistentních s podvodem.

V počítačové bezpečnosti

Analýza provozu se také týká počítačové bezpečnosti . Útočník může získat důležité informace sledováním frekvence a načasování síťových paketů. Časový útok na protokol SSH může pomocí informací o načasování odvodit informace o heslech, protože během interaktivní relace SSH přenáší každý stisk klávesy jako zprávu. Čas mezi zprávami o stisku klávesy lze studovat pomocí skrytých Markovových modelů . Song a kol. tvrdí, že dokáže obnovit heslo padesátkrát rychleji než útok hrubou silou .

Cibulové směrovací systémy se používají k získání anonymity. Analýzu provozu lze použít k útoku na anonymní komunikační systémy, jako je anonymní síť Tor . Adam Back, Ulf Möeller a Anton Stiglic představují útoky na analýzu provozu proti systémům poskytujícím anonymitu. Steven J. Murdoch a George Danezis z University of Cambridge představili výzkum, který ukázal, že analýza provozu umožňuje protivníkům odvodit, které uzly přenášejí anonymní toky. To snižuje anonymitu poskytovanou Torem. Ukázali, že jinak nesouvisející streamy lze propojit zpět se stejným iniciátorem.

Na systémy remaileru lze zaútočit také pomocí analýzy provozu. Pokud je pozorována zpráva směřující na remailující server a zpráva o stejné délce (pokud je nyní anonymizována), která se brzy po ukončení serveru objeví, analytik provozu může být schopen (automaticky) spojit odesílatele s konečným příjemcem. Existují varianty operací remaileru, díky nimž může být analýza provozu méně efektivní.

Protiopatření

Je těžké porazit analýzu provozu bez šifrování zpráv a maskování kanálu. Když se neposílají žádné skutečné zprávy, kanál lze maskovat odesláním fiktivního provozu, podobně jako šifrovaný provoz, čímž se udržuje konstantní využití šířky pásma. „Je velmi těžké skrýt informace o velikosti nebo načasování zpráv. Známá řešení vyžadují, aby Alice odesílala nepřetržitý proud zpráv v maximální šířce pásma, kterou kdy použije ... To by mohlo být přijatelné pro vojenské aplikace, ale je ne pro většinu civilních aplikací. “ Vojensko-civilní problémy platí v situacích, kdy je uživateli účtován objem odeslaných informací.

I pro přístup k internetu, kde není účtován poplatek za každý paket, poskytovatelé internetu vytvářejí statistický předpoklad, že připojení z uživatelských stránek nebudou zaneprázdněna 100% času. Uživatel nemůže jednoduše zvýšit šířku pásma odkazu, protože maskování by to také naplnilo. Pokud se maskování, které lze často zabudovat do komplexních šifrování, stane běžnou praxí, budou ISP muset změnit své předpoklady provozu.

Viz také

• Klábosení (inteligence signálů)
• Datový sklad
• ECHELON
• Elektronické pořadí bitvy
• ELINT
• Analýza vzorců života
• SIGINT
• Analýza sociálních sítí
• Uchovávání telekomunikačních dat
• Zendianův problém

Reference

• Ferguson, Niels; Schneier, Bruce (2003). Praktická kryptografie . p. 114. ISBN 0-471-22357-3.
• Wang XY, Chen S, Jajodia S (listopad 2005). „Sledování anonymních volání VoIP peer-to-peer na internetu“ (PDF) . Sborník příspěvků z 12. konference ACM o bezpečnosti počítačových komunikací (CCS 2005) . Archivovány z původního (PDF) 30. 8. 2006.
• FMV Švédsko
• Víceúčelová fúze dat v operacích koalice NATO

Další čtení

• http://www.cyber-rights.org/interception/stoa/interception_capabilities_2000.htm - studie Duncana Campbella
• https://web.archive.org/web/20070713232218/http://www.onr.navy.mil/02/baa/docs/07-026_07_026_industry_briefing.pdf
• Vybrané příspěvky v anonymitě - na Free Haven