Análisis de tráfico

Proceso de interceptación y examen de mensajes.

El análisis de tráfico es el proceso de interceptar y examinar mensajes para deducir información de patrones de comunicación . Se puede realizar incluso cuando los mensajes están cifrados . ^[1] En general, cuanto mayor sea el número de mensajes observados, mayor información se inferirá. El análisis del tráfico se puede realizar en el contexto de la inteligencia militar , la contrainteligencia o el análisis de patrones de vida , y también es una preocupación en la seguridad informática .

Las tareas de análisis de tráfico pueden estar respaldadas por programas informáticos específicos . Técnicas avanzadas de análisis de tráfico que pueden incluir diversas formas de análisis de redes sociales .

Históricamente, el análisis de tráfico ha sido una técnica vital en el criptoanálisis , especialmente cuando el intento de descifrar depende de sembrar con éxito un ataque de texto sin formato conocido , lo que a menudo requiere una suposición inspirada basada en qué tan específico podría influir el contexto operativo en lo que comunica un adversario, que puede ser suficiente para establecer una cuna corta.

Rompiendo el anonimato de las redes

El método de análisis de tráfico se puede utilizar para romper el anonimato de redes anónimas, por ejemplo, TOR . ^[1] Hay dos métodos de ataque de análisis de tráfico, pasivo y activo.

• En el método de análisis de tráfico pasivo, el atacante extrae características del tráfico de un flujo específico en un lado de la red y busca esas características en el otro lado de la red.
• En el método de análisis de tráfico activo, el atacante altera los tiempos de los paquetes de un flujo de acuerdo con un patrón específico y busca ese patrón en el otro lado de la red; por lo tanto, el atacante puede vincular los flujos de un lado al otro de la red y romper el anonimato de la misma. Se muestra que, aunque se añade ruido de temporización a los paquetes, existen métodos activos de análisis de tráfico resistentes a dicho ruido. ^{[ verificación fallida ] [1]}

En inteligencia militar

En un contexto militar, el análisis del tráfico es una parte básica de la inteligencia de señales , y puede ser una fuente de información sobre las intenciones y acciones del objetivo. Los patrones representativos incluyen:

• Comunicaciones frecuentes: pueden denotar planificación.
• Comunicaciones rápidas y breves: pueden denotar negociaciones.
• Falta de comunicación: puede indicar una falta de actividad o la finalización de un plan finalizado.
• Comunicación frecuente a estaciones específicas desde una estación central: puede resaltar la cadena de mando
• Quién habla con quién: puede indicar qué estaciones están "a cargo" o la "estación de control" de una red en particular. Esto implica además algo sobre el personal asociado con cada estación.
• Quién habla cuándo: puede indicar qué estaciones están activas en relación con eventos, lo que implica algo sobre la información que se transmite y tal vez algo sobre el personal/acceso de aquellos asociados con algunas estaciones.
• Quién cambia de estación en estación, o de medio en medio – puede indicar movimiento, miedo a ser interceptado

Existe una estrecha relación entre el análisis de tráfico y el criptoanálisis (comúnmente llamado descifrado de códigos ). Los indicativos de llamada y las direcciones suelen estar cifrados y requieren ayuda para identificarlos. El volumen de tráfico a menudo puede ser un signo de la importancia de un destinatario, dando pistas sobre objetivos o movimientos pendientes a los criptoanalistas.

Seguridad del flujo de tráfico

La seguridad del flujo de tráfico es el uso de medidas que ocultan la presencia y las propiedades de mensajes válidos en una red para evitar el análisis del tráfico. Esto puede hacerse mediante procedimientos operativos o mediante la protección resultante de las características inherentes a algunos equipos criptográficos. Las técnicas utilizadas incluyen:

• cambiar los indicativos de radio con frecuencia
• cifrado de las direcciones de envío y recepción de un mensaje ( mensajes codress )
• haciendo que el circuito parezca ocupado en todo momento o gran parte del tiempo enviando tráfico ficticio
• enviar una señal cifrada continua , ya sea que se esté transmitiendo tráfico o no. Esto también se llama enmascaramiento o cifrado de enlaces .

La seguridad del flujo de tráfico es un aspecto de la seguridad de las comunicaciones .

Análisis de metadatos COMINT

La Inteligencia de Metadatos de Comunicaciones , o metadatos COMINT , es un término en inteligencia de comunicaciones (COMINT) que se refiere al concepto de producir inteligencia analizando solo los metadatos técnicos , por lo que es un gran ejemplo práctico para el análisis de tráfico en inteligencia. ^[2]

Mientras que tradicionalmente la recopilación de información en COMINT se deriva de interceptar transmisiones, interceptar las comunicaciones del objetivo y monitorear el contenido de las conversaciones, la inteligencia de metadatos no se basa en el contenido sino en datos técnicos comunicacionales.

COMINT sin contenido se utiliza generalmente para deducir información sobre el usuario de un determinado transmisor, como ubicaciones, contactos, volumen de actividad, rutina y sus excepciones.

Ejemplos

Por ejemplo, si a un emisor se le conoce como radiotransmisor de una determinada unidad, y mediante el uso de herramientas radiogoniométricas (DF) se puede localizar la posición del emisor, se puede deducir el cambio de ubicación de un punto a otro, sin necesidad de escuchar. a cualquier pedido o informe. Si una unidad informa a un comando sobre un determinado patrón, y otra unidad informa sobre el mismo patrón al mismo comando, las dos unidades probablemente estén relacionadas. Esa conclusión se basa en los metadatos de las transmisiones de las dos unidades, no en el contenido de sus transmisiones.

El uso de todos o la mayor parte de los metadatos disponibles se utiliza comúnmente para crear un Orden de batalla electrónico (EOB) mediante el mapeo de diferentes entidades en el campo de batalla y sus conexiones. Por supuesto, la EOB podría construirse tocando todas las conversaciones y tratando de entender qué unidad está dónde, pero usar los metadatos con una herramienta de análisis automático permite una construcción de la EOB mucho más rápida y precisa, lo que, junto con las pulsaciones, construye una Imagen mucho mejor y completa.

Primera Guerra Mundial

• Los analistas británicos durante la Primera Guerra Mundial notaron que el distintivo de llamada del vicealmirante alemán Reinhard Scheer , al mando de la flota hostil, había sido transferido a una estación terrestre. El almirante de la Flota Beatty , ignorante de la práctica de Scheer de cambiar los distintivos de llamada al salir del puerto, desestimó su importancia e ignoró los intentos de los analistas de la Sala 40 de aclarar este punto. La flota alemana partió y los británicos tardaron en encontrarse con ellos en la batalla de Jutlandia . ^[3] Si el análisis del tráfico se hubiera tomado más en serio, los británicos podrían haber obtenido mejores resultados que un "empate". ^{[ ¿ investigacion original? ]}
• La inteligencia militar francesa, moldeada por el legado de Auguste Kerckhoff , había erigido una red de estaciones de intercepción en el frente occidental en tiempos de antes de la guerra. Cuando los alemanes cruzaron la frontera, los franceses idearon medios rudimentarios para encontrar la dirección basándose en la intensidad de las señales interceptadas. El registro de los distintivos de llamada y del volumen de tráfico permitió a los franceses identificar los grupos de combate alemanes y distinguir la caballería que se movía rápidamente y la infantería más lenta. ^[3]

Segunda Guerra Mundial

• En la primera parte de la Segunda Guerra Mundial , el portaaviones HMS  Glorious estaba evacuando pilotos y aviones de Noruega . El análisis del tráfico produjo indicios de que Scharnhorst y Gneisenau se estaban adentrando en el Mar del Norte , pero el Almirantazgo desestimó el informe por considerarlo no probado. El capitán del Glorious no mantuvo suficiente vigilancia y posteriormente fue sorprendido y hundido. Harry Hinsley , el joven enlace de Bletchley Park con el Almirantazgo, dijo más tarde que los informes de los analistas de tráfico se tomaron mucho más en serio a partir de entonces. ^[4]
• Durante la planificación y ensayo del ataque a Pearl Harbor , se transmitió por radio muy poco tráfico, sujeto a interceptación. Los barcos, unidades y comandos involucrados estaban todos en Japón y en contacto por teléfono, mensajería, lámpara de señales o incluso bandera. Nada de ese tráfico fue interceptado y no pudo analizarse. ^[3]
• El esfuerzo de espionaje contra Pearl Harbor antes de diciembre no envió una cantidad inusual de mensajes; Los barcos japoneses hacían escala regularmente en Hawaii y el personal consular llevaba mensajes a bordo. Al menos uno de esos buques transportaba a algunos oficiales de inteligencia de la Armada japonesa. Estos mensajes no se pudieron analizar. Se ha sugerido, ^[5] sin embargo, que el volumen de tráfico diplomático hacia y desde ciertas estaciones consulares podría haber indicado lugares de interés para Japón, lo que podría haber sugerido lugares para concentrar el análisis del tráfico y los esfuerzos de descifrado. ^{[ cita necesaria ]}
• La Fuerza de Ataque a Pearl Harbor del almirante Nagumo navegó bajo silencio de radio, con sus radios físicamente bloqueadas. No está claro si eso engañó a Estados Unidos, ya que la inteligencia de la Flota del Pacífico no había podido localizar a los portaaviones japoneses en los días inmediatamente anteriores al ataque a Pearl Harbor . ^[3]
• La Armada japonesa utilizó juegos de radio para inhibir el análisis del tráfico (véanse los ejemplos a continuación) con la fuerza de ataque después de que zarpó a finales de noviembre. Los operadores de radio normalmente asignados a los transportistas, con un característico " puño " en código Morse, transmitían desde aguas interiores japonesas, lo que sugiere que los transportistas todavía estaban cerca de Japón. ^{[3] [6]}
• La Operación Quicksilver , parte del plan de engaño británico para la invasión de Normandía durante la Segunda Guerra Mundial, alimentó a la inteligencia alemana con una combinación de información verdadera y falsa sobre el despliegue de tropas en Gran Bretaña, lo que provocó que los alemanes dedujeran un orden de batalla que sugería una invasión en el Paso de Calais , en lugar de Normandía. Las divisiones ficticias que se crearon para el engaño estaban dotadas de unidades de radio reales, que mantenían un flujo de mensajes coherente con el engaño. ^[7]

en seguridad informática

El análisis del tráfico también es una preocupación en la seguridad informática . Un atacante puede obtener información importante monitoreando la frecuencia y el tiempo de los paquetes de red. Un ataque de sincronización al protocolo SSH puede utilizar información de sincronización para deducir información sobre contraseñas ya que, durante la sesión interactiva, SSH transmite cada pulsación de tecla como un mensaje. ^[8] El tiempo entre mensajes pulsados ​​se puede estudiar utilizando modelos ocultos de Markov . Canción, et al. Afirman que puede recuperar la contraseña cincuenta veces más rápido que un ataque de fuerza bruta .

Los sistemas de enrutamiento Onion se utilizan para ganar anonimato. El análisis de tráfico se puede utilizar para atacar sistemas de comunicación anónimos como la red de anonimato Tor . Adam Back, Ulf Möeller y Anton Stiglic presentan ataques de análisis de tráfico contra sistemas que proporcionan anonimato. ^[9] Steven J. Murdoch y George Danezis de la Universidad de Cambridge presentaron ^[10] una investigación que muestra que el análisis de tráfico permite a los adversarios inferir qué nodos retransmiten los flujos anónimos. Esto reduce el anonimato proporcionado por Tor. Han demostrado que secuencias que de otro modo no estarían relacionadas pueden vincularse al mismo iniciador.

Los sistemas de remailer también pueden ser atacados mediante análisis de tráfico. Si se observa que un mensaje va a un servidor de reenvío y un mensaje de longitud idéntica (si ahora anónimo) sale del servidor poco después, un analista de tráfico puede conectar (automáticamente) al remitente con el receptor final. Existen variaciones en las operaciones de remailer que pueden hacer que el análisis del tráfico sea menos efectivo.

El análisis del tráfico implica interceptar y examinar las amenazas a la ciberseguridad para recopilar información valiosa sobre los datos anónimos que fluyen a través del nodo de salida . Al utilizar una técnica basada en el rastreo de la web oscura y un software especializado, se pueden identificar las características específicas del tráfico de red de un cliente dentro de la web oscura. ^[11]

Contramedidas

Es difícil superar el análisis del tráfico sin cifrar los mensajes y enmascarar el canal. Cuando no se envían mensajes reales, el canal se puede enmascarar ^[12] enviando tráfico ficticio, similar al tráfico cifrado, manteniendo así constante el uso del ancho de banda. ^[13] "Es muy difícil ocultar información sobre el tamaño o la duración de los mensajes. Las soluciones conocidas requieren que Alice envíe un flujo continuo de mensajes con el ancho de banda máximo que jamás utilizará... Esto podría ser aceptable para aplicaciones militares. pero no es para la mayoría de las aplicaciones civiles." El problema militar versus civil se aplica en situaciones en las que al usuario se le cobra por el volumen de información enviada.

Incluso para el acceso a Internet, donde no hay un cargo por paquete, los ISP hacen suposiciones estadísticas de que las conexiones desde los sitios de los usuarios no estarán ocupadas el 100% del tiempo. El usuario no puede simplemente aumentar el ancho de banda del enlace, ya que el enmascaramiento también lo cubriría. Si el enmascaramiento, que a menudo puede incorporarse a los cifradores de extremo a extremo, se convierte en una práctica común, los ISP tendrán que cambiar sus suposiciones sobre el tráfico.

Ver también

• Charla (inteligencia de señales)
• Almacén de datos
• ESCALÓN
• Orden de batalla electrónico
• ELINT
• Análisis de patrones de vida
• FIRMA
• Análisis de redes sociales
• Retención de datos de telecomunicaciones
• Problema zendiano

Referencias

1. Soltani, Ramin; Goeckel, Dennis; Towsley, Don; Houmansadr, Amir (27 de noviembre de 2017). "Hacia huellas dactilares de flujo de red demostrablemente invisibles". 2017 51a Conferencia Asilomar sobre Señales, Sistemas y Computadoras . IEEE. págs. 258–262. arXiv : 1711.10079 . doi :10.1109/ACSSC.2017.8335179. ISBN 978-1-5386-1823-3. S2CID  4943955.{{cite conference}}: CS1 maint: date and year (link)
2. "Diccionario de términos militares y asociados" (PDF) . Departamento de Defensa . 12 de abril de 2001. Archivado desde el original (PDF) el 8 de noviembre de 2009.
3. Kahn, David (1974). The Codebreakers: La historia de la escritura secreta . Macmillan. ISBN 0-02-560460-0. Kahn-1974.
4. Howland, Vernon W. (1 de octubre de 2007). "La pérdida del HMS Glorious: un análisis de la acción". Archivado desde el original el 22 de mayo de 2001 . Consultado el 26 de noviembre de 2007 .
5. Costello, Juan (1995). Días de infamia: Macarthur, Roosevelt, Churchill: la impactante verdad revelada: cómo sus acuerdos secretos y errores estratégicos causaron desastres en Pear Harbor y Filipinas . Bolsillo. ISBN 0-671-76986-3.
6. Layton, Edwin T.; Roger Pineau, John Costello (1985). "Y yo estuve allí": Pearl Harbor y Midway - Rompiendo los secretos . William Morrow y compañía ISBN 0-688-04883-8.
7. Masterman, John C (1972) [1945]. El sistema de doble cruz en la guerra de 1939 a 1945 . Prensa de la Universidad Nacional de Australia. pag. 233.ISBN​ 978-0-7081-0459-0.
8. Canción, Dawn Xiaodong; Wagner, David; Tian, ​​Xuqing (2001). "Análisis de tiempo de pulsaciones de teclas y ataques de tiempo en SSH". X Simposio de Seguridad USENIX. {{cite journal}}: Citar diario requiere |journal=( ayuda )
9. Adán de vuelta; Ulf Moeller y Anton Stiglic (2001). "Ataques de análisis de tráfico y compensaciones en sistemas que proporcionan anonimato" (PDF) . Actas de Springer - Cuarto taller internacional sobre ocultación de información.
10. Murdoch, Steven J.; George Danezis (2005). "Análisis de tráfico de bajo costo de Tor" (PDF) .
11. Gokhale, C.; Olugbara, OO (17 de agosto de 2020). "Análisis del tráfico de la Dark Web de amenazas a la ciberseguridad a través del espacio de direcciones del protocolo de Internet de Sudáfrica". SN Informática . 1 (5): 273. doi : 10.1007/s42979-020-00292-y . ISSN  2661-8907.
12. Xinwen Fu, Bryan Graham, Riccardo Bettati y Wei Zhao. "Ataques y contramedidas de análisis de tráfico activo" (PDF) . Archivado desde el original (PDF) el 13 de septiembre de 2006 . Consultado el 6 de noviembre de 2007 .{{cite web}}: CS1 maint: multiple names: authors list (link)
13. Niels Ferguson y Bruce Schneier (2003). Criptografía práctica . John Wiley e hijos.

• Ferguson, Niels; Schneier, Bruce (2003). Criptografía práctica . Wiley. pag. 114.ISBN _ 0-471-22357-3.
• Wang XY, Chen S, Jajodia S (noviembre de 2005). "Seguimiento de llamadas VoIP anónimas entre pares en Internet" (PDF) . Actas de la 12ª Conferencia ACM sobre seguridad de las comunicaciones informáticas (CCS 2005) . Archivado desde el original (PDF) el 30 de agosto de 2006.
• FMV Suecia
• Fusión de datos de múltiples fuentes en las operaciones de la coalición de la OTAN

Otras lecturas

• http://www.cyber-rights.org/interception/stoa/interception_capabilities_2000.htm — un estudio de Duncan Campbell
• https://web.archive.org/web/20070713232218/http://www.onr.navy.mil/02/baa/docs/07-026_07_026_industry_briefing.pdf
• Artículos seleccionados en anonimato: en Free Haven