Атака с использованием анализа трафика

Атака с использованием анализа трафика — это один из методов удалённой сетевой атаки, целью которой является прослушивание каналов связи, анализ передаваемых данных и связанной с ними служебной информации (метаданных) для изучения архитектуры построения системы, получения конфиденциальной пользовательской информации.^[1]

Введение править

рис 1

Компьютерные системы безопасности сосредоточены на защите содержимого сообщений, обеспечивая конфиденциальность, целостность и доступность. Однако связанные с передаваемыми данными, метаданные включают в себя время и длину сообщения, подробную информацию о связывающихся потоках, идентификационные данные сторон и их местоположение. Анализ этой информации и знание типов компьютерных сетей могут быть использованы для получения конфиденциальной информации из перехваченных сообщений злоумышленником.^[2]

Рассмотрим пример атаки в сетях с пакетной передачей данных (см. рис 1). Пусть Алиса осуществляет доступ в глобальную сеть с помощью интернет-провайдера (ISP) через DSL-соединение. Пусть Алиса использует защищенный протокол, например TLS, чтобы обезопасить конфиденциальные данные (например, пароли и номера кредитных карт). Боб хочет проследить за действиями Алисы. Он имеет прямой доступ в интернет (возможно является другим ISP), но не имеет доступа к компьютеру Алисы или к её ISP. Однако, Боб имеет доступ к ресурсу, который использует Алиса, а именно к очереди пакетов внутри её DSL-маршрутизатора (роутера). Боб с высокой частотой, но низкой пропускной способностью посылает сообщения маршрутизатору Алисы, измеряя их время приема-передачи. Для передачи данных DSL использует два порта: первый для данных исходящих от Алисы, а другой для входящего трафика. Запросы Боба и входящий трафик Алисы совместно используют одну и ту же очередь, следовательно задержка, которую наблюдает Боб, изменится на основе трафика, адресуемого Алисе. Несмотря на то, что ping'и перемещаются через различные промежуточные маршрутизаторы, их время приема-передачи, прежде всего, зависит от трафика Алисы. Это является следствием двух причин. С одной стороны, у промежуточных маршрутизаторов значительно более высокая пропускная способность по сравнению с объемом трафика, текущего через них. С другой стороны, промежуточные маршрутизаторы предают несколько информационных потоков. Поэтому задержки в этих маршрутизаторах не изменяются со временем. Следовательно, задержки, вызванные информационными потоками пользователей, постоянны. Задержка передачи трафика Боба строго коррелируется с моделью трафика Алисы, таким образом, Боб может определить действие Алисы. Преимущество данной атаки заключается в том, что не требуется специального доступа или привилегий для атакующего. Злоумышленнику даже не нужна высокая вычислительная мощность. Проводя такую атаку возможно показать только синхронизацию и объем трафика, а не фактическое содержание пакетов.^[3]

Однако можно получить более значимые данные, просто анализируя трафик пользователя. Основываясь на перехваченных данных, Боб может выполнить анализ трафика и восстановить секретные данные основанные на количестве и размере пакетов, времени синхронизации. С помощью анализа трафика можно получить такую информацию о пользователе, как список посещённых веб-сайтов, заполучить пароли, и восстановить разговоры с использованием VoIP. Злоумышленник может отправить свой трафик в один из маршрутизаторов, на который приходят данные от Алисы, и далее использовать разделяемую очередь маршрутизатора для отправки информации с него на сторонний канал (и провести дальнейший анализ перехваченной информации). Целью атаки может стать, например, внутренняя сеть предприятия или военной базы, если эта сеть выходит в Интернет. ^[3]

Поводом для проведения атаки с использованием анализа трафика может служить:

1) Киберпреследование: злоумышленник может следить за поведением определённого пользователя в сети Интернет. Мотивы могут быть различны. Например, определить находится ли пользователь дома и определить состав его семьи, уровень доходов. Существуют методы анализа зашифрованного трафика, которые позволяют получить содержание передаваемых пользователем данных: статистические модели могут восстановить введённые символы на основе времени синхронизации нажатия на клавиши или определить язык зашифрованных вызовов VoIP и провести тест на наличие определённых фраз в разговоре.^[3]

2) Размаскирование Отношений: Удалённый анализ трафика может также использоваться, чтобы обнаружить, связываются ли пользователи, чтобы понять, какие общественные или профессиональные отношения между ними. Данные могут быть получены при анализе прямого сетевого соединения между пользователями через TCP или VoIP или при анализе их косвенного общения мгновенными сообщениями. ^[3]

История возникновения метода править

Анализ трафика является одним из ключевых методов радиоэлектронной разведки и радиоэлектронной борьбы. В книге «Intelligence Power in Peace and War» Майкла Херманна , который был председателем Объединенного разведывательного комитета Великобритании, описывается ценность извлечения данных из второстепенных признаков радио сообщений. Во время военных действий подобные методы позволяют получить данные о местоположении целей, определяя таким образом, ход сражения. Данные могут быть получены без предварительной их дешифровки. Анализ трафика использовался военными еще до изобретения беспроводной связи. Однако, стал занимать ключевую роль, когда беспроводная связь стала широко использоваться, особенно в морских и воздушных операциях. Примером использования анализа трафика служит перехват британцами сообщений передаваемых по радио ВВС Германии в 1941 году, позволивший определить количество самолетов противника. ^[2]

Во время Второй мировой войны радисты узнавали других операторов по характерном способу, которым они набирают код Морзе. По сравнению с криптоанализом, анализ трафика позволяет избежать значительных временных затрат и усилий. Также можно обеспечить высокий уровень надёжности полученной информации из перехваченных данных противника.^[2]

Примечания править

↑ Информационная безопасность компьютерных систем и сетей, 2011.
↑ ¹ ² ³ George Danezis.
↑ ¹ ² ³ ⁴ S. Kadloor, X. Gong, N. Kiyavash, T. Tezcan, N. Borisov. Low-Cost Side Channel Remote Traffic Analysis Attack in Packet Networks // 2010 IEEE International Conference on Communications. — May 2010. — С. 1–5. — doi:10.1109/ICC.2010.5501972. Архивировано 20 ноября 2017 года.

Источники править

В.Ф.Шаньгин. Информационная безопасность компьютерных систем и сетей. — Москва: Издательский Дом «ИНФРА-М»,Издательский Дом «ФОРУМ», 2011. — С. 40. — ISBN 978-5-8199-0331-5 (И.Д. "ФОРУМ") 978-5-16-003132-3 (И.Д. "ИНФРА-М"). Архивная копия от 27 января 2018 на Wayback Machine

George Danezis. Introducing Traffic Analysis Attacks, Defences and Public Policy Issues. — Leuven-Heverlee, Belgium. — С. 1—12.

[_59aeee9a48ed4dc9-1] Информационная безопасность компьютерных систем и сетей, 2011.

[_c0d82967b8ef3e7c-2] ¹ ² ³ George Danezis.

[:0-3] ¹ ² ³ ⁴ S. Kadloor, X. Gong, N. Kiyavash, T. Tezcan, N. Borisov. Low-Cost Side Channel Remote Traffic Analysis Attack in Packet Networks // 2010 IEEE International Conference on Communications. — May 2010. — С. 1–5. — doi:10.1109/ICC.2010.5501972. Архивировано 20 ноября 2017 года.

[1]

[2]

[3]