Ataque de análise de tráfego

No domínio da inteligência e segurança informática , o ataque de análise de tráfego refere-se aos métodos que permitem extrair informação de fluxos de comunicação de qualquer tipo (emissões de rádio, tráfego de internet, mas também correio em papel, reuniões entre agentes, etc.) sem necessariamente ter acesso ao conteúdo das mensagens trocadas (especialmente quando as mensagens são criptografadas . Este tipo de ataque pode ser considerado um ataque de canal auxiliar .

Princípio

O atacante ao interceptar elementos na comunicação entre seus alvos pode deduzir pistas sobre sua atividade. Vários dados podem ser estudados, por exemplo:

• frequência e volume das comunicações: tráfego intenso pode indicar atividade renovada, preparação para a ação. Por outro lado, uma queda no tráfego pode indicar uma diminuição nos recursos ou uma suspensão de certas células.
• distribuição de mensagens: uma análise remetente-destinatário pode dar indicações da organização do adversário, por exemplo, uma distribuição de mensagens de cima para baixo ou a existência de nós correspondentes a muitos destinatários pode identificar uma cadeia de comando .
• O rápido retorno e avanço das mensagens pode indicar uma negociação.
• a evolução dos indicadores pode dar indicações: por exemplo, uma diminuição repentina nas comunicações pode indicar que o adversário suspeita que está a ser vigiado e optou por limitar as suas comunicações ou optou por mudar para outros modos.

Contramedidas

As contramedidas consistem em que o defensor manuseie os indicadores de tráfego para torná-los ilegíveis até mesmo para manipular o atacante. Essas contramedidas geralmente envolvem a inserção de mensagens geradas aleatoriamente no fluxo de mensagens legítimas (as mensagens sendo criptografadas, o invasor não pode, em teoria, diferenciá-las). O método mais radical é manter um fluxo permanente e constante, de forma que o invasor não consiga extrair informações úteis dele. No entanto, dependendo do caso, esse método pode ser complexo ou caro. Uma alternativa que requer menos recursos é adicionar ao fluxo de tráfego legítimo um fluxo de tráfego gerado de acordo com formas aleatórias mascarando as formas dos mesmos. Como última alternativa, se o defensor for informado da vigilância do atacante, ele pode alterar conscientemente o tráfego para enganá-lo, por exemplo, um exército sabendo que está sendo ouvido ao gerar um tráfego de comunicação fictício significativo em uma região pode focar a atenção de seu oponente enquanto prepara uma ofensiva em outro setor.

Exemplos históricos

• Durante a Primeira Guerra Mundial , o exército francês, tendo perdido uma parte significativa de sua rede de escuta ao longo da fronteira após a ofensiva alemã, teve que recorrer a análises de sinal mais simples com base na intensidade dos sinais de rádio . Apesar de seu caráter rudimentar, essas análises possibilitaram dar indicações sobre a atividade das tropas alemãs, mas também identificar diferentes unidades de combate ao diferenciar unidades de cavalaria de avanço rápido de unidades de infantaria de movimento mais lento.

• Durante a Segunda Guerra Mundial, as forças japonesas se prepararam para o ataque a Pearl Harbor , minimizando as comunicações dentro de sua força de ataque e simulando comunicações que sugeriam que essa frota estava perto do Japão.

• A operação Quicksilver , parte dos preparativos para os desembarques na Normandia, era acreditar no exército alemão que os Aliados estavam preparando um desembarque no Pas-de-Calais. Como parte deste dispositivo, unidades fictícias foram criadas e equipadas com rádios para simular o tráfego de comunicações correspondente a tais preparações.

Exemplos de segurança de computador

Em 2005, Steven J. Murdoch e George Danezis, da Universidade de Cambridge, mostraram que os  sistemas "  Onion Router " para anonimato do tráfego da Internet eram vulneráveis ​​a ataques de análise de tráfego, reduzindo sua eficácia.

Os servidores de e-mail anônimos mal protegidos podem ser frustrados por ataques de análise de tráfego, comparando as conexões de entrada com as correspondências de mensagens.

Artigos relacionados

• ataque de canal auxiliar
• Inteligência de origem eletromagnética

referências

1. (in) Kahn, David, The Codebreakers: The Story of Secret Writing , Macmillan,1974( ISBN  978-0-02-560460-5 )
2. (em) Edwin T. Layton , Roger Pineau e John Costello , "And I Was There" Pearl Harbor And Midway - Breaking the Secrets. , William Morrow & Co,1985, 596  p. ( ISBN  978-0-688-04883-9 )
3. (em) John C Masterman , The Double-Cross System na Guerra de 1939 a 1945 , Australian National University Press,1972( 1 st  ed. 1945), 203  p. ( ISBN  978-0-7081-0459-0 , leia online )
4. Murdoch, Steven J., George Danezis, "  Low-Cost Traffic Analysis of Tor  " ,2005