Podsłuch w Sieci - czy można go wykryć

Kilka dni temu informowaliśmy o tym, że firmy Nokia i Siemens, dostarczając Iranowi technologię niezbędną do rozbudowy infrastruktury telekomunikacyjnej, najprawdopodobniej wyposażyły władze w system umożliwiający przechwytywanie komunikacji, działający w oparciu o technologię głębokiej inspekcji pakietów (DPI). Więcej na ten temat w artykule: Iran szpieguje Sieć dzięki zachodniej technologii. O wyjaśnienie zasady działania systemu DPI poprosiliśmy Adriana Dorobisza, inżyniera systemowego w firmie Dagma.

PC World: Na czym polega działanie mechanizmu DPI?

Adrian Dorobisz, Dagma: "Deep Packet Inspection" to ogólna nazwa typu filtrowania pakietów, w którym oprócz skanowania nagłówków badana jest również zawartość pakietów - a więc transportowane dane. Urządzenia posiadające możliwości filtrowania DPI sprawdzają więc ruch od warstwy 2 do 7 modelu OSI. Ponieważ oprócz typu ruchu badamy też dane, możliwe staje się filtrowanie i monitorowanie ruchu w zależności od treści, które są przesyłane.

Początkowo tak głęboka analiza pakietów została opracowana w celu walki ze złośliwym oprogramowaniem i atakami na sieci firmowe. Klasyczne firewalle nie posiadały możliwości analizy zawartości samego ruchu, a więc ich możliwości ochronne były bardzo ograniczone - można było jedynie zablokować lub zezwolić na dany ruch w zależności od portu i protokołu. Stąd narodziła się potrzeba powstania systemów IPS/IDS i stopniowo rozwijano technologie coraz dokładniej monitorujące przesyłany ruch. Obecnie dzięki głębokiej analizie pakietów firmy mogą lepiej chronić się przed wirusami, robakami internetowymi, atakami przepełnienia bufora, czy atakami typu denial-of-service.

Czy można rozpoznać, gdy DPI jest wykorzystywana do podsłuchu przesyłanych Internetem informacji?

Od zaawansowanego narzędzia służącego do identyfikowania zagrożeń w przesyłanym ruchu dzieli nas już tylko krok od filtrowania ruchu w zależności od przesyłanej treści, słów kluczowych itp. Politycznie niepoprawna treść może być raportowana do odpowiednich władz, wstrzymywana itp.

Możliwość wykrycia tego typu "podsłuchu" zależy od metody, którą jest on prowadzony. Bardzo niewiele wiemy o typie rozwiązania zastosowanego w Iranie. Według doniesień medialnych jest to rozwiązanie dostarczone przez koncern europejski, jednak bardzo mało wiemy o jego metodzie działania, a więc od tego momentu możemy jedynie spekulować. Jeśli ruch jest analizowany poprzez serwery proxy (a więc serwery pośredniczące w przekazywaniu całego ruchu do/z danego kraju), to możliwe staje się wykrycie takiego faktu.

Można też wtedy próbować ominąć takie serwery proxy, chociażby poprzez tunelowanie do ruchu innych proxy z wykorzystaniem protokołu SSL. Istnieje również mechanizm specjalnie stworzony do anonimizacji ruchu internetowego - nazywany TOR (the onion router). Jeśli jednak inspekcja następuje na poziomie firewalla/IPS bądź jeszcze niżej, na poziomie samego osprzętu sieciowego (switche, routery) to wykrycie takiego podsłuchu może być niemożliwe.