Det har dykt upp en mycket intressant forskningsrapport som undersöker möjligheterna spåra peer to peer (P2P)-baserad, IP-baserad telefoni (VoIP) även om denna skickas genom ett anonymiserande nätverk.
Rapporten, som sponsrats av USAs flygvapen tar avstamp i behovet hos myndigheter (Law Enforcement Agencies) att kunna spåra samtal. Problemställningen som presenteras är att allt mer av telefonitrafiken går från traditionell telefoni (POTS) till IP-baserad. Rapporten citerar Frost & Sullivan som hävdar att 75% av all telefoni kommer att vara IP-baserad 2007. (oklart om det är på global nivå, eller USA som avses, men det spelar mindre roll.)
Speciellt problematisk ur övervakningssynpunkt är den typ av VoIP som inte är centraliserad, utan där trafiken routas mellan noder i nätverket (P2P). Denna trafik är oftast krypterad med moderna, starka krypton. Vidare förekommer det att denna typ av trafik sedan tunnlas genom anonymiserande nätverk, exempelvis Onion Routing och Tor. Vad rapporten undersökt, och visar är att det går att spåra den här typen av trafik, även genom anonymiserande nätverk.
Eftersom VoIP-trafik är realtidstrafik finns det stora krav på en låg totalfördröjning, mindre än 150 ms. Undersökningar har visat att fördröjningen mellan paket med VoIP-trafik är låg, 20-30 ms (kallas IPD - Inter Packet Delay). Rapporten tar fasta på att variansen replikeras genom nätverket.
Rapporten beskriver två metoder för spårning, en passiv och en aktiv. I den passiva metoden försöker man detektera IPD-variansens mönster nära VoIP-källan, för att sedan leta efter motsvarande mönster för VoIP-strömmar och på detta sätt identifiera var strömmen tar vägen.
Den andra metoden är mycket mer spännande, den använder nämligen IPD-varians för att lägga in en elektronisk vattenstämpel i strömmen. Genom att stoppa in en paketbuffert nära källan (ingess i Internet) och sedan variera IPD-variansen kodas en identitetssträng in i bitströmmen! Bilden nedan visar hur det tänkta nätverket ser ut, notera cylindern kallad Watermarking Engine till höger i bilden:
Vattenstämpelenheten mäter den IPD-varians som kommer från VoIP-källan och sedan minskas eller ökas IPD för att på så sätt lägga till en vattenstämpel i form av ett antal bitar. Figuren nedan visar hur man genom förskjutning mot kortare IPD gentemot normalfördelningen kodar in en nolla, och högre IPD ger en etta:
(Båda bilder är från rapporten och tillhör författarna till rapporten.)
Författarna har framgångsrikt testat sin metod genom att spåra samtal gjorda med Skype skickad över Internet, genom ett anonymiserande nätverk och slutligen genom en PPTP-tunnel.
Jag tycker att den här rapporten är högintressant av flera skäl:
- Jag har tittat en hel del pÃ¥ olika metoder för elektronisk vattenmärkning av bilder, musik – väsentligen innehÃ¥llet i trafiken, men jag har inte tidigare sett tidsbaserade-attacker används pÃ¥ detta sätt för att aktivt skapa en vattenstämpel pÃ¥ trafiken i sig.
- Anonymiserande nätverk har blivit något av nyckelmetod i kampen mellan integritet och olika typer av övervakning. Inte minst i debatten om fildelning, datalagring och buggning ses anonymiserande nätverk som motmedlet mot övervakning och Birgersson nya tjänst Relakks är ett bra exempel på detta. Dock saknas det enligt min mening bra analyser av hur anonymiserande och säkra dessa nätverk egentligen är. Som rapporten visar finns det uppenbara sårbarheter mot timing-attacker i dagens nätverk.
Naturligtvis är det fullt möjligt för utvecklarna av anonymiserande nätverk att skydda sig mot den här typen av attacker, exempelvis genom att bygga in detektion av IPD-varians, genom randomisering av IPD-varians och/eller motsvarande IPD-varians-generatorer som tar bort misstänkta vattenstämplar.
En sista sak att notera är att metoderna som presenteras i rapporten väsentligen kräver att man har access till hela nätet. Detta innebär att det är myndigheter och länder, snarare än ISPer och organisationer. Om metoderna används i verkligheten är det inte buset som är i farten, utan storebror.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
“En sista sak att notera är att metoderna som presenteras i rapporten väsentligen kräver att man har access till hela nätet.”
För att spÃ¥ra godtyckliga samtal, ja. Men inte för att fastställa huruvida tvÃ¥ givna noder i nätet pratar eller ej. DÃ¥ räcker det med tillgÃ¥ng till tvÃ¥ punkter i nätet—en i närheten av vardera av de tvÃ¥ misstänkta parterna.
Sista stycket innebär givetvis att storebrors anonymitet går förlorad, och därmed hela den påstådda poängen med avlyssningen. Buset vaktar givetvis sin tunga när de vet att de är avlyssnade. De skulle således lika gärna, i hemlighet kunna avlyssna någon som står och skriker i en megafon på torget.
Dem det drabbar är de ärliga, som får sin integritet söndersmulad och kanske av misstag råkar ut för tråkigheter när övervakaren begår misstag.
Linus: “För att spÃ¥ra godtyckliga samtal, ja. Men inte för att fastställa huruvida tvÃ¥ givna noder i nätet pratar eller ej. DÃ¥ räcker det med tillgÃ¥ng till tvÃ¥ punkter i nätet — en i närheten av vardera av de tvÃ¥ misstänkta parterna.”
Sant. Men problemet som jag ser det är att hitta ungefär var ingress och egress är. Är du ex en ISP, så kan du övervaka ena änden av trafiken, men där trafiken sedan övergår i en, två, X stycken andra operatörers nät har du (troligen) ingen överblick längre. Det är därför jag antar att man i princip behöver vara nationell myndighet eller tom internationellt organ för att kunna utnyttja detta.
Tänker jag fel?