Namierzyć gumowe ucho

Problem podsłuchu towarzyszy sieciom komputerowym od samego początku. Najnowszym osiągnięciem wykrywania ataków jest technika NSA do analizy czasu przesyłania danych.

Problem podsłuchu towarzyszy sieciom komputerowym od samego początku. Najnowszym osiągnięciem wykrywania ataków jest technika NSA do analizy czasu przesyłania danych.

Fundamentem kontroli sieci - według pomysłu NSA - jest założenie, że każde urządzenie aktywne wprowadza pewne opóźnienie w propagacji sygnału. Niektóre ataki, polegające np. na przekierowaniu ruchu, wprowadzają bardzo duże opóźnienia, dzięki czemu porównanie czasu propagacji danych, ułatwi wykrycie ataku. Samo naruszenie bezpieczeństwa sieci może być spowodowane manipulacją routingu, zmianami w konfiguracji przełączników i routerów sieciowych, kompromitacją zapory (przekierowanie konkretnych pakietów do zewnętrznej sieci) lub innych urządzeń (serwery wydruku, koncentratory VPN). W ten sposób wykorzystywano poważny błąd związany z protokołem BGP, opisywany przez Peitera „Mudge” Zatko, dawnego członka grupy hackerskiej l0pht. Oprócz mechanizmów ściśle sieciowych, technika ta zwiększy prawdopodobieństwo wykrycia ataków związanych z podstawieniem fałszywej strony, przechwytującej prawdziwe dane i przekazującej je do rzeczywistego serwisu, takiego jak bankowość elektroniczna.

Zmierzyć i porównać

Nowością nie jest sam pomiar czasu transferu danych w sieci, ale porównywanie czasów dla pakietów związanych z różnymi protokołami. Sensor umieszczony w drodze komunikacji pakietów zarejestruje je wraz z dokładnym czasem ich nadejścia. Po zidentyfikowaniu pakietów najniższej warstwy, obliczone zostanie minimalne opóźnienie transmisji, następnie program wyizoluje pakiety z wyższej warstwy i także dla nich obliczy minimalne opóźnienia.

Jeśli różnica między wartościami opóźnień obu warstw przekroczy zaprogramowany poziom, może oznaczać to atak związany z manipulacją pakietami wyższych warstw. Zatem jeśli pakiety związane z transmisją HTTPS przebywają ten sam dystans o wiele wolniej niż pakiety ICMP, być może oznacza to, że transmisja związana z ruchem SSL jest po drodze przechwytywana. Oprogramowanie NSA, o którym mowa, będzie analizowało taki ruch i w razie wykrycia podejrzeń, podniesie alarm.

Oczywiście przyczyną takich opóźnień nie zawsze musi być atak, być może jest to zamierzona konfiguracja routingu, która połączenia realizowane z użyciem danego protokołu kieruje inną drogą. Niemniej administratorzy dostaną narzędzia, które ułatwią im takie analizy.

Pomiar czasu

Analizę czasu propagacji informacji (distance bounding) proponowano wielokrotnie jako jedną z metod zabezpieczenia transmisji wrażliwych danych. Przykładem były prace nad ochroną terminali płatności elektronicznych przed atakiem pośrednictwa. W tym ataku fałszywy terminal był mechanizmem przekazującym komunikację z chipową kartą płatniczą do oddalonego terminala, autoryzującego rzeczywistą transakcję przy użyciu uwierzytelnienia kartą ofiary. Ponieważ informacja może podróżować co najwyżej z prędkością światła, różnice w czasie propagacji informacji od karty płatniczej do terminala można wyznaczyć.