Análisis de tráfico
[1] Se llama análisis de tráfico al proceso de inferir información a partir de las características del tráfico de comunicación sin analizar la información que se intercambian los comunicantes. Para obtener información podemos basarnos por ejemplo en el origen y destino de las comunicaciones, su tamaño, su frecuencia, la temporización, patrones de comunicación, etc.
El análisis de tráfico está muy relacionado con el análisis de paquetes y se suelen usar de forma conjunta. En el análisis de paquetes se estudia la información contenida en los paquetes que circulan por la red y a partir de eso trata de inferir información.
Aplicación
[1] El origen del análisis de tráfico se encuentra en el análisis de los tráficos de información que tradicionalmente se ha hecho para aplicaciones militares. Este tipo de sistemas tradicionalmente infieren información a partir del análisis de las señales de comunicación. Hoy día el análisis de tráfico es muy útil para inferir información a partir del tráfico que hay en las redes de comunicaciones.
Señales electromagnéticas
El origen de la realización de análisis del tráfico sobre señales electrómagnéticas que transportan información hay que buscarlo en la Primera Guerra Mundial. En ella se estudiaba la dinámica de las comunicaciones militares para a partir de ellas deducir información. Por ejemplo se podía deducir información sobre los movimientos de tropas, localización de cuarteles generales o cadenas de mando de las tropas. Este tipo de técnicas tenían la ventaja de deducir información sin necesidad de acceder al contenido del mensaja en sí, el cual estaba normalmente cifrado u ofuscado.
En el contexto militar, el análisis de tráfico es una parte básica de la inteligencia de señales.
Ejemplos
Como ejemplos típicos de aplicación del análisis del tráfico de las señales podemos ver:
- Si detectamos frecuentes comunicaciones puede significar que se está planeando algo.
- Si detectamos comunicaciones rápidas y cortas puede significar negociaciones.
- Si detectamos falta de comunicaciones puede indicar la falta de actividad o que la realización del plan ha finalizado.
- Si detectamos frecuentes comunicaciones a una estación específica desde una estación central puede indicar un algo cargo de la cadena de mando.
- Si detectamos quien habla con quien podemos averiguar que estaciones están al mando o la estación de control. Esto implica qué personal se comunica a través de cierta estación.
- Si detectamos quien habla y cuando podemos saber que estaciones están activas cuando están sucediendo ciertos eventos, lo cual puede implicar algo sobre la información que se está transmitiendo y quizá algo sobre el personal asociado a dicha estación.
- Si detectamos cambios frecuentes de estación o del medio utilizado para la comunicación, podríamos deducir posibles movimientos o miedo a la intercepción.
Redes de comunicaciones
En el contexto de las redes de comunicaciones, el análisis del tráfico infiere información a partir las características observables de los datos que circulan por la red. Por ejemplo, puede ser interesante el tamaño de los paquetes o la temporización de los mensajes. Este tipo de técnicas pueden ser utilizadas por atacantes para por ejemplo deducir tamaños de claves durante sesiones interactivas o para deducir el origen y destino de una comunicación. También puede ser utilizada por administradores de red para descubrir actividades potencialmente maliciosas.
Por tanto la seguridad informática se ocupa del estudio de las técnicas de análisis de tráfico y de contramedidas para protegernos de dicho tipo de técnicas[1] La elección de la característica del tráfico que es usada en el análisis de tráfico depende fuertemente del tipo de información que queremos inferir y de los protocolos subyancentes involucrados. Por ejemplo:
- [1] Para detectar una comunicación de voz sobre ip nos podemos basar en las temporizaciones de los mensajes. En efecto los protocolos de voz sobre ip envía paquetes a intervalos fijos de tiempo para asegurarse una calidad de llamada.
- [1] Para deducir que información está accediéndose vía SSL podemos usar el tamaño de los paquetes. Esto es debido a que el tamaño de los paquetes SSL frecuentemente es similar al tamaño de los contenidos en texto plano.
Ejemplos
Ejemplos de uso de análisis de tráfico para obtener información sobre:[1][2]
- [3] El idioma usado en llamadas por VoIP
- [4] Contraseñas utilizadas en para el acceso a SSH.
- [5][6] Hábitos de navegación web
- [7][8] Menoscabar el anonimato en redes que intentan proveer comunicación sin que un observador pueda saber que entidades se están comunicando (anonimato a nivel de red) (Darknets).
- Descubrir potenciales usos maliciosos de la red.[9][10][11] Por ejemplo es típico el uso de análisis de tráfico para detectar ataques que se realizan a desde máquinas intermedias previamanete comprometidas(los llamados en inglés steeping stones).
- [12][13][14] Clasificación de flujos de tráfico cifrados. Se establece que aplicación o tipo de aplicación los genera.
Contramedidas
El objetivo de las contramedidas es destruir, o al menos reducir, las relaciones existentes entre lo que se quiere comunicar, lo que se puede observa en el tráfico y lo que quiere saber el observador sobre la comunicación.
Las técnicas principales para evitar que se pueda inferir información a partir del análisis del tráfico son las siguientes:
- Hacer difícil la detección del tráfico en sí mismo y de las relaciones que existen entre los distintos mensajes. Por ejemplo en sistemas de comunicación por señales electrómagnéticas se recomienda cambiar frecuentemente el tipo de señales usadas. De esta forma se dificulta que se asocie unas transmisiones con otras. Otro ejemplo de esta técnica es el uso de esteganografía.
- Uso de técnicas criptográficas no solo para ocultar la información en sí, sino también para ocultar cualquier información que viaje en el mensaje o asociado a este (Ej. información de direccionamiento, información de control, metadatos técnicos o datos de protocolos subyacentes). De esta forma además de proteger la información, nos protegemos frente a posibles deducciones de correspondencias entre los paquetes que circulan por la red.
- Simulación del envío de información, es decir, enviar datos que no sirven más que para confundir al analista y que no sepa distinguir el tráfico de información del tráfico de información de relleno.
- Introducción de métodos de encaminamiento no directos. Si A se quiere comunicar con B, no usar un camino directo sino uno indirecto y de esta forma hacer que el camino real sea difícil de detectar. Por ejemplo, para conseguir este propósito en el ámbito de las redes de comunicaciones es frecuente el uso de encaminamiento de cebolla o comunicarnos a través de una serie de proxys.
- Empleo de técnicas que intentan engañar al observador para que este establezca relaciones falsas a partir de las que haga inferencias incorrectas. Por ejemplo hay propuestas[2] para transformar el tráfico (en inglés morphing traffic) de forma que análisis de tráfico estadísticos devuelvan resultados incorrectos y que clasifiquen un tráfico de cierto tipo como de otro tipo diferente.
Referencias
- Henk C. A. Van Tilborg, Sushil Jajodia, "Encyclopedia of Cryptography and Security", Volumen 1. Second Edition. Springer 2011
- Charles V. Wright et al."Traffic Morphing: An Efficient Defense Against Statistical Traffic Analysis"
- C. V. Wright, L. Ballard, F. Monrose, and G. M. Masson. "Language Identification of Encrypted VoIP Traffic: Alejandra y Roberto or Alice and Bob?". In Proceedings of the 16th Annual USENIX Security Symposium, pages 43–54, Boston, MA, August 2007.
- D. Song, D. Wagner, and X. Tian. "Timing analysis of keystrokes and SSH timing attacks". In Proceedings of the 10th USENIX Security Symposium, August 2001.
- M. Liberatore and B. Levine. "Inferring the Source of Encrypted HTTP Connections". In Proceedings of the ACM conference on Computer and Communications Security, pages 255–263, October 2006.
- Q. Sun, D. R. Simon, Y.-M. Wang, W. Russell, V. N. Padmanabhan, and L. Qiu. Statistical identification of encrypted web browsing traffic. In Proceedings of the IEEE Symposium on Security and Privacy, pages 19–30, May 2002.
- Adam Back,"Traffic Analysis Attacks and Trade-Offs in Anonymity Providing Systems"
- Marc Rennhard,"Practical Anonymity for the Masses with Mix-Networks",Networks Laboratory; Zurich Switzerland. February 2003
- Donoho D. et al.,"Multiscale Stepping-Stone Detection: Detection Pairs of Jittered Interactive Streams by Exploiting Maximum Tolerable Day"
- Yin Zhang et al."Detecting Stepping Stones"
- Wang X."Inter-packet delay based correlation for tracing encrypted connections through steeping stones"
- Thomas Karagiannis et al.,"BLINC: Multilevel Traffic Classification in the Dark"
- Patrick McDaniel et al."Enterprise Security: A Community of Interest Based Approach"
- Kuai Xu et al."Profiling Internet Backbone Traffic: Behavior Models and Applications"