Análisis de tráfico

Proceso de interceptación y examen de mensajes.

El análisis de tráfico es el proceso de interceptar y examinar mensajes para deducir información de patrones en la comunicación . Puede realizarse incluso cuando los mensajes están cifrados . ^[1] En general, cuanto mayor sea el número de mensajes observados, mayor información se puede inferir. El análisis de tráfico se puede realizar en el contexto de la inteligencia militar , la contrainteligencia o el análisis de patrones de vida , y también es una preocupación en la seguridad informática .

Las tareas de análisis de tráfico pueden contar con el apoyo de programas informáticos especializados . Técnicas avanzadas de análisis de tráfico que pueden incluir diversas formas de análisis de redes sociales .

El análisis de tráfico ha sido históricamente una técnica vital en el criptoanálisis , especialmente cuando el intento de descifrado depende de sembrar con éxito un ataque de texto simple conocido , lo que a menudo requiere una suposición inspirada basada en qué tan específico el contexto operativo probablemente podría influir en lo que un adversario comunica, lo que puede ser suficiente para establecer una base de datos corta.

Romper el anonimato de las redes

El método de análisis de tráfico se puede utilizar para romper el anonimato de redes anónimas, por ejemplo, TOR . ^[1] Hay dos métodos de ataque de análisis de tráfico: pasivo y activo.

• En el método de análisis de tráfico pasivo, el atacante extrae características del tráfico de un flujo específico en un lado de la red y busca esas características en el otro lado de la red.
• En el método de análisis de tráfico activo, el atacante altera los tiempos de los paquetes de un flujo según un patrón específico y busca ese patrón en el otro lado de la red; por lo tanto, el atacante puede vincular los flujos de un lado con el otro lado de la red y romper el anonimato de la misma. Se muestra que, aunque se agrega ruido de tiempo a los paquetes, existen métodos de análisis de tráfico activo robustos contra dicho ruido. ^{[ verificación fallida ] [1]}

En inteligencia militar

En un contexto militar, el análisis del tráfico es una parte básica de la inteligencia de señales y puede ser una fuente de información sobre las intenciones y acciones del objetivo. Algunos patrones representativos son:

• Comunicaciones frecuentes: pueden denotar planificación
• Comunicaciones rápidas y breves: pueden denotar negociaciones
• Falta de comunicación: puede indicar una falta de actividad o de finalización de un plan finalizado.
• Comunicación frecuente a estaciones específicas desde una estación central: puede resaltar la cadena de mando
• Quién habla con quién: puede indicar qué estaciones están "a cargo" o son la "estación de control" de una red en particular. Esto implica además algo sobre el personal asociado con cada estación.
• Quién habla y cuándo: puede indicar qué estaciones están activas en relación con los eventos, lo que implica algo sobre la información que se transmite y quizás algo sobre el personal/acceso de aquellos asociados con algunas estaciones.
• Quien cambia de estación o de medio a medio, puede indicar movimiento, miedo a ser interceptado.

Existe una estrecha relación entre el análisis de tráfico y el criptoanálisis (comúnmente llamado descifrado de códigos ). Los indicativos y las direcciones suelen estar cifrados , por lo que es necesario contar con ayuda para identificarlos. El volumen de tráfico puede ser a menudo un signo de la importancia de un destinatario, lo que da pistas a los criptoanalistas sobre objetivos o movimientos pendientes.

Seguridad del flujo de tráfico

La seguridad del flujo de tráfico consiste en el uso de medidas que ocultan la presencia y las propiedades de los mensajes válidos en una red para impedir el análisis del tráfico. Esto se puede lograr mediante procedimientos operativos o mediante la protección resultante de las características inherentes a algunos equipos criptográficos. Las técnicas utilizadas incluyen:

• cambiar frecuentemente los indicativos de la radio
• Cifrado de las direcciones de envío y recepción de un mensaje ( mensajes codress )
• haciendo que el circuito parezca ocupado todo el tiempo o la mayor parte del tiempo enviando tráfico ficticio
• Envío de una señal cifrada continua , independientemente de si se está transmitiendo tráfico o no. Esto también se denomina enmascaramiento o cifrado de enlace .

La seguridad del flujo de tráfico es un aspecto de la seguridad de las comunicaciones .

Análisis de metadatos COMINT

La inteligencia de metadatos de comunicaciones , o metadatos COMINT , es un término en inteligencia de comunicaciones (COMINT) que se refiere al concepto de producir inteligencia mediante el análisis únicamente de metadatos técnicos , por lo tanto, es un gran ejemplo práctico para el análisis de tráfico en inteligencia. ^[2]

Aunque tradicionalmente la recopilación de información en COMINT se deriva de la interceptación de transmisiones, la intervención de las comunicaciones del objetivo y el monitoreo del contenido de las conversaciones, la inteligencia de metadatos no se basa en el contenido sino en datos técnicos de comunicación.

La COMINT sin contenido se utiliza generalmente para deducir información sobre el usuario de un determinado transmisor, como ubicaciones, contactos, volumen de actividad, rutina y sus excepciones.

Ejemplos

Por ejemplo, si se sabe que un emisor es el transmisor de radio de una determinada unidad y, mediante el uso de herramientas de radiogoniometría , se puede localizar la posición del emisor, se puede deducir el cambio de ubicación de un punto a otro sin necesidad de escuchar órdenes ni informes. Si una unidad informa a una orden sobre un patrón determinado y otra unidad informa sobre el mismo patrón a la misma orden, es probable que las dos unidades estén relacionadas. Esa conclusión se basa en los metadatos de las transmisiones de las dos unidades, no en el contenido de sus transmisiones.

El uso de todos o la mayor parte de los metadatos disponibles se utiliza habitualmente para crear un orden de batalla electrónico (EOB) mediante el mapeo de diferentes entidades en el campo de batalla y sus conexiones. Por supuesto, el EOB se puede crear mediante el uso de todas las conversaciones e intentando comprender qué unidad se encuentra en qué lugar, pero el uso de los metadatos con una herramienta de análisis automática permite una creación mucho más rápida y precisa del EOB, que, junto con el uso de los metadatos, crea una imagen mucho mejor y más completa.

Primera Guerra Mundial

• Los analistas británicos durante la Primera Guerra Mundial notaron que el indicativo de llamada del vicealmirante alemán Reinhard Scheer , al mando de la flota hostil, había sido transferido a una estación terrestre. El almirante de la flota Beatty , ignorante de la práctica de Scheer de cambiar los indicativos de llamada al salir del puerto, desestimó su importancia e hizo caso omiso de los intentos de los analistas de la Sala 40 de demostrarlo. La flota alemana partió y los británicos tardaron en encontrarse con ellos en la batalla de Jutlandia . ^[3] Si el análisis del tráfico se hubiera tomado más en serio, los británicos podrían haber obtenido algo mejor que un "empate". ^{[¿ Investigación original? ]}
• La inteligencia militar francesa, moldeada por el legado de Auguste Kerckhoffs , había erigido una red de estaciones de interceptación en el Frente Occidental en tiempos de preguerra. Cuando los alemanes cruzaron la frontera, los franceses idearon métodos rudimentarios para determinar la dirección basándose en la intensidad de la señal interceptada. El registro de los indicativos de llamada y de los volúmenes de tráfico permitió además a los franceses identificar a los grupos de combate alemanes y distinguir la caballería de rápido movimiento de la infantería más lenta. ^[3]

Segunda Guerra Mundial

• A principios de la Segunda Guerra Mundial , el portaaviones HMS  Glorious estaba evacuando pilotos y aviones de Noruega . El análisis de tráfico arrojó indicios de que el Scharnhorst y el Gneisenau se dirigían hacia el Mar del Norte , pero el Almirantazgo desestimó el informe por no estar probado. El capitán del Glorious no mantuvo la suficiente vigilancia y, posteriormente, fue sorprendido y hundido. Harry Hinsley , el joven enlace de Bletchley Park con el Almirantazgo, dijo más tarde que sus informes de los analistas de tráfico se tomaron mucho más en serio a partir de entonces. ^[4]
• Durante la planificación y los ensayos para el ataque a Pearl Harbor , se transmitió muy poco tráfico por radio, sujeto a interceptación. Los barcos, unidades y comandos involucrados estaban todos en Japón y en contacto por teléfono, correo, lámpara de señales o incluso bandera. Ninguno de ese tráfico fue interceptado y no pudo ser analizado. ^[3]
• El esfuerzo de espionaje contra Pearl Harbor antes de diciembre no envió una cantidad inusual de mensajes; los barcos japoneses hacían escala regularmente en Hawái y el personal consular llevaba mensajes a bordo. Al menos uno de esos barcos llevaba a algunos oficiales de inteligencia de la Armada japonesa. Dichos mensajes no pudieron analizarse. Se ha sugerido, ^[5] sin embargo, que el volumen de tráfico diplomático hacia y desde ciertas estaciones consulares podría haber indicado lugares de interés para Japón, lo que podría haber sugerido lugares para concentrar los esfuerzos de análisis de tráfico y descifrado. ^{[ cita requerida ]}
• La fuerza de ataque a Pearl Harbor del almirante Nagumo navegó en silencio, con sus radios físicamente bloqueadas. No está claro si eso engañó a los EE. UU., ya que la inteligencia de la Flota del Pacífico no había podido localizar a los portaaviones japoneses en los días inmediatamente anteriores al ataque a Pearl Harbor . ^[3]
• La Armada japonesa utilizó la radio para inhibir el análisis del tráfico (ver ejemplos a continuación) con la fuerza de ataque después de que zarpara a fines de noviembre. Los operadores de radio normalmente asignados a los portaaviones, con un característico " puño " en código Morse, transmitieron desde aguas interiores japonesas, lo que sugería que los portaaviones aún estaban cerca de Japón. ^{[3] [6]}
• La Operación Quicksilver , parte del plan de engaño británico para la invasión de Normandía durante la Segunda Guerra Mundial, proporcionó a la inteligencia alemana una combinación de información verdadera y falsa sobre los despliegues de tropas en Gran Bretaña, lo que hizo que los alemanes dedujeran un orden de batalla que sugería una invasión en el Paso de Calais , en lugar de Normandía. Las divisiones ficticias que se crearon para el engaño fueron provistas de unidades de radio reales, que mantenían un flujo de mensajes que era consistente con el engaño. ^[7]

En seguridad informática

El análisis del tráfico también es una preocupación en la seguridad informática . Un atacante puede obtener información importante al monitorear la frecuencia y el tiempo de los paquetes de red. Un ataque de tiempo en el protocolo SSH puede usar información de tiempo para deducir información sobre las contraseñas ya que, durante la sesión interactiva, SSH transmite cada pulsación de tecla como un mensaje. ^[8] El tiempo entre mensajes de pulsaciones de teclas se puede estudiar utilizando modelos ocultos de Markov . Song, et al. afirman que puede recuperar la contraseña cincuenta veces más rápido que un ataque de fuerza bruta .

Los sistemas de enrutamiento de cebolla se utilizan para obtener anonimato. El análisis de tráfico se puede utilizar para atacar sistemas de comunicación anónimos como la red de anonimato Tor . Adam Back, Ulf Möeller y Anton Stiglic presentan ataques de análisis de tráfico contra sistemas que proporcionan anonimato. ^[9] Steven J. Murdoch y George Danezis de la Universidad de Cambridge presentaron ^[10] una investigación que muestra que el análisis de tráfico permite a los adversarios inferir qué nodos retransmiten los flujos anónimos. Esto reduce el anonimato proporcionado por Tor. Han demostrado que flujos que de otro modo no estarían relacionados se pueden vincular al mismo iniciador.

Los sistemas de remailer también pueden ser atacados mediante el análisis de tráfico. Si se observa que un mensaje va a un servidor de remailer y un mensaje de longitud idéntica (si ahora está anonimizado) sale del servidor poco después, un analista de tráfico puede conectar (automáticamente) al remitente con el receptor final. Existen variaciones de las operaciones de remailer que pueden hacer que el análisis de tráfico sea menos efectivo.

El análisis de tráfico implica interceptar y examinar las amenazas de ciberseguridad para recopilar información valiosa sobre los datos anónimos que fluyen a través del nodo de salida . Mediante el uso de una técnica basada en el rastreo de la web oscura y un software especializado, se pueden identificar las características específicas del tráfico de red de un cliente dentro de la web oscura. ^[11]

Contramedidas

Es difícil vencer el análisis de tráfico sin cifrar los mensajes y enmascarar el canal. Cuando no se envían mensajes reales, el canal se puede enmascarar ^[12] enviando tráfico ficticio, similar al tráfico cifrado, manteniendo así constante el uso del ancho de banda. ^[13] "Es muy difícil ocultar información sobre el tamaño o el tiempo de los mensajes. Las soluciones conocidas requieren que Alice envíe un flujo continuo de mensajes con el máximo ancho de banda que jamás utilizará... Esto puede ser aceptable para aplicaciones militares, pero no lo es para la mayoría de las aplicaciones civiles". Los problemas militares versus civiles se aplican en situaciones en las que se cobra al usuario por el volumen de información enviada.

Incluso en el caso del acceso a Internet, donde no se cobra por paquete, los ISP parten de la hipótesis estadística de que las conexiones desde los sitios de los usuarios no estarán ocupadas el 100% del tiempo. El usuario no puede simplemente aumentar el ancho de banda del enlace, ya que el enmascaramiento también lo ocuparía. Si el enmascaramiento, que a menudo se puede incorporar en los encriptadores de extremo a extremo, se convierte en una práctica común, los ISP tendrán que cambiar sus hipótesis sobre el tráfico.

Véase también

• Chatter (inteligencia de señales)
• Almacén de datos
• ESCALÓN
• Orden de batalla electrónica
• ELINT
• Análisis de patrones de vida
• SEÑAL
• Análisis de redes sociales
• Retención de datos de telecomunicaciones
• Problema zendiano

Referencias

1. Soltani, Ramin; Goeckel, Dennis; Towsley, Don; Houmansadr, Amir (27 de noviembre de 2017). "Hacia huellas dactilares de flujo de red demostrablemente invisibles". 2017 51.ª Conferencia Asilomar sobre señales, sistemas y computadoras . IEEE. págs. 258–262. arXiv : 1711.10079 . doi :10.1109/ACSSC.2017.8335179. ISBN . 978-1-5386-1823-3.S2CID 4943955  .{{cite conference}}: CS1 maint: date and year (link)
2. "Diccionario de términos militares y asociados" (PDF) . Departamento de Defensa . 12 de abril de 2001. Archivado desde el original (PDF) el 2009-11-08.
3. Kahn, David (1974). Los descifradores de códigos: la historia de la escritura secreta . Macmillan. ISBN 0-02-560460-0. Kahn-1974.
4. Howland, Vernon W. (1 de octubre de 2007). "La pérdida del HMS Glorious: un análisis de la acción". Archivado desde el original el 22 de mayo de 2001. Consultado el 26 de noviembre de 2007 .
5. Costello, John (1995). Días de infamia: Macarthur, Roosevelt, Churchill: la impactante verdad revelada: cómo sus acuerdos secretos y errores estratégicos causaron desastres en Pear Harbor y Filipinas . Bolsillo. ISBN 0-671-76986-3.
6. Layton, Edwin T.; Roger Pineau, John Costello (1985). "Y yo estuve allí": Pearl Harbor y Midway: Descifrando los secretos . William Morrow & Co. ISBN 0-688-04883-8.
7. Masterman, John C (1972) [1945]. El sistema de doble traición en la guerra de 1939 a 1945. Prensa de la Universidad Nacional de Australia. pág. 233. ISBN 978-0-7081-0459-0.
8. Song, Dawn Xiaodong; Wagner, David; Tian, ​​Xuqing (2001). "Análisis de tiempo de pulsaciones de teclas y ataques de tiempo en SSH". 10.º Simposio de seguridad de USENIX. {{cite journal}}: Requiere citar revista |journal=( ayuda )
9. Adam Back; Ulf Möeller y Anton Stiglic (2001). "Traffic Analysis Attacks and Trade-Offs in Anonymity Provider Systems" (PDF) . Actas de Springer - 4.º Taller internacional sobre ocultación de información. Archivado (PDF) desde el original el 23 de junio de 2013. Consultado el 5 de octubre de 2013 .
10. Murdoch, Steven J.; George Danezis (2005). "Análisis de tráfico de bajo coste de Tor" (PDF) . Archivado (PDF) desde el original el 26 de noviembre de 2013. Consultado el 18 de octubre de 2005 .
11. Gokhale, C.; Olugbara, OO (17 de agosto de 2020). "Análisis del tráfico de la Dark Web sobre amenazas de ciberseguridad a través del espacio de direcciones del protocolo de Internet de Sudáfrica". SN Computer Science . 1 (5): 273. doi : 10.1007/s42979-020-00292-y . ISSN  2661-8907.
12. Xinwen Fu, Bryan Graham, Riccardo Bettati y Wei Zhao. "Ataques y contramedidas de análisis de tráfico activo" (PDF) . Archivado desde el original (PDF) el 2006-09-13 . Consultado el 2007-11-06 .{{cite web}}: CS1 maint: multiple names: authors list (link)
13. Niels Ferguson y Bruce Schneier (2003). Criptografía práctica . John Wiley & Sons.

• Ferguson, Niels; Schneier, Bruce (2003). Criptografía práctica . Wiley. pág. 114. ISBN 0-471-22357-3.
• Wang XY, Chen S, Jajodia S (noviembre de 2005). "Seguimiento de llamadas VoIP anónimas entre pares en Internet" (PDF) . Actas de la 12.ª Conferencia de la ACM sobre seguridad de las comunicaciones informáticas (CCS 2005) . Archivado desde el original (PDF) el 30 de agosto de 2006.
• FMV Suecia
• Fusión de datos de múltiples fuentes en las operaciones de la coalición de la OTAN

Lectura adicional

• http://www.cyber-rights.org/interception/stoa/interception_capabilities_2000.htm — un estudio de Duncan Campbell
• https://web.archive.org/web/20070713232218/http://www.onr.navy.mil/02/baa/docs/07-026_07_026_industry_briefing.pdf
• Documentos seleccionados en anonimato — sobre Free Haven