Перехват сетевого трафика

Сетевой перехват включает в себя вмешательство в процесс расшифровки сообщений, попытки получения доступа к документам в информационных системах и прослушивание электронных устройств. Среди методов — электронные системы мониторинга и управления, перехват нажатий клавиш, атака «человек посередине» (англ. man-in-the-middle), слежение за выходными узлами сетей, а также атаки типа Skype & Type.^{[5][6][7][8][9][10][11]}

Такие системы внедряются компаниями и организациями для сбора, хранения, анализа и отчётности по действиям сотрудников во время работы^[5]. Первоначально цель их применения — повышение эффективности работы, однако невольный перехват, например запись случайных телефонных разговоров работников, также возможен^[5].

Перехват нажатий клавиш (кейлоггинг) — это программа, контролирующая процесс набора текста пользователем. Она анализирует действия, такие как скорость набора, паузы, удаление текста и другие особенности^[6]. По звукам и активности клавиатуры можно расшифровать введённое сообщение. Хотя такие системы не объясняют причины пауз и исправлений, они позволяют анализировать текстовую информацию^[6]. Кейлоггеры могут использоваться с устройствами отслеживания глаз (eye-tracking), что помогает выявлять паттерны набора текста^[6]

Атака «человек посередине» (англ. man-in-the-middle attack, MitM) — активный способ перехвата, при котором злоумышленник внедряется в сетевую систему.^[7] Это позволяет как получать, так и изменять передаваемую между сторонами информацию незаметно для них^[7]. Хотя атакующий перехватывает коммуникацию, он не может подделывать голосовые сообщения, идентичные голосам участников^[7] Обычно злоумышленник создаёт независимую сессию с каждым из пользователей, мимикрируя приватное общение.^[7]

В социальном контексте такой «человек посередине» также сравнивается с «наблюдателями», которые пассивно следят за действиями других пользователей.^[8] Это позволяет черпать информацию, но также может нарушать приватность^[8].

В распределённых сетях узлы могут свободно входить и выходить, что создаёт уязвимость для перехвата^[9]. Так, в анонимных сетевых маршрутах последний выходной узел может перехватывать исходную информацию^[10]. Система Tor позволяет скрывать IP-адреса и защищает слои шифрованием, но её выходные узлы — пример критической точки для перехвата трафика^[10]. Через такие узлы можно получить оригинальный контент сообщений между пользователями^[10].

Skype & Type (S&T) — новая форма акустического перехвата нажатий клавиш, использующая VoIP.^[11] Не требует физической близости с жертвой и может работать лишь с несколькими «утёкшими» нажатиями клавиш^[11]. Зная особенности набора текста жертвой, точность атаки достигает 91,7 %^[11]. Для перехвата используются микрофоны ноутбука, смартфона или гарнитуры, что опасно, если нападающий знает язык ввода.^[11]

Для защиты от сетевого перехвата используются как открытое ПО, так и коммерческие программы, модифицируемые под конкретные задачи. К числу популярных инструментов относятся Advanced Encryption Standard-256 (AES-256), Bro, Chaosreader, CommView, брандмауэры, специальные агенты безопасности, Snort, Tcptrace и Wireshark.

Это алгоритм блочного шифрования (режим CBC) с 256-битным ключом, предназначенный для защиты множества уровней интернет-сервисов.^[12] AES-256 применяется, например, для шифрования переписки в приложениях Zoom^[13].

Bro — система обнаружения сетевых атак и аномального трафика^[14]. Она была разработана в Калифорнийском университете в Беркли и может быть доработана в офлайн анализатор для выявления атак перехвата^[3]. Bro поддерживает UNIX-системы (Digital Unix, FreeBSD, IRIX, SunOS, Solaris) и реализована на языке C++^[14]. До сих пор система активно развивается^[3].

Chaosreader — упрощённый инструмент для анализа сетевого перехвата с открытым исходным кодом^[3] Он формирует HTML-отчёты о зафиксированных сетевых вторжениях, записывая время и место атаки.^[3]

CommView — инструмент под Windows, ориентированный на захват сетевого трафика с помощью анализа и декодирования пакетов.^[3]

Брандмауэрные технологии обеспечивают фильтрацию сетевого трафика и блокировку внешних атак.^[15] Различные типы брандмауэров применимы для защиты разнообразных сетей, требуя аутентификации пользователей^[15].

Secure Node Identification Agent — мобильный агент, выделяющий безопасные соседние узлы и передающий данные в систему мониторинга узлов (NMOA)^[16]. Система используется для защиты ключей и применяется, например, для обмена данными между автономными подводными аппаратами^[16].

Snort — бесплатная IDS, поддерживающая офлайн-режим и используемая для реконструкции сетевых потоков^[3]. Поддерживается Cisco.^[3]

Tcptrace анализирует pcap-файлы и позволяет отслеживать перехват и реконструировать TCP-потоки.^[3]

Wireshark (ранее Ethereal) — наиболее распространённый открытый анализатор сетевого трафика, умеющий реконструировать TCP и отслеживать попытки вторжений.^[3]

Для защиты информации в сети, помимо инструментов, разрабатываются и разные модели:

Такие документы содержат ложные, но похожие на реальные персональные данные и размещаются в открытом доступе. При открытии маяк передаёт сигнал с указанием времени и IP-адреса, что позволяет отследить злоумышленника.^[17]

Использует метки времени и псевдослучайные генераторы для создания аутентификационных ключей^[18]. Эффективна благодаря изменяемым параметрам и непредсказуемым временным меткам^[18].

Защищённые телефоны (Cfones) используют протокол обмена короткими аутентификационными строками, что защищает от внедрения злоумышленников в голосовые и текстовые коммуникации^[7]. Если строка не совпадает, соединение блокируется.^[7]

Модели, снижающие риск перехвата, намеренно создают помехи при появлении подозрительных пользователей возле защищаемой зоны.^[1][19] Охватывают большие защищённые зоны^[1]

Honey encryption генерирует правдоподобный, но ложный расшифрованный текст при попытке подбора ключа к сообщениям в системах мгновенного обмена сообщениями (например, WhatsApp, Snapchat).^[12] Это защищает секретную переписку и затрудняет анализ паролей и кредитных карт^[12]. Однако универсальное применение требует адаптаций^[12]

В системах интернета вещей реализуются четыре уровня защиты: уровень управления, облачный, шлюзовый и уровень устройств.^[20] Шлюзовой уровень фильтрует пакеты и отвечает за аутентификацию, авторизацию и шифрование, а IoT-устройства проверяют целостность и устраняют вредоносные узлы^[20].

Чрезмерное доверие к устройствам и компаниям чревато риском; пользователи, игнорируя угрозы, не защищают личные данные, облегчая действия злоумышленников^[21]. Среди наиболее известных инцидентов — атаки на Alipay и облачные сервисы.

Через иерархическую идентификацию пользовательских действий в мобильных приложениях для платежей (например, Alipay) злоумышленники перехватывают сетевой трафик и получают конфиденциальную информацию^[22]. Защитные меры включают биометрическую аутентификацию и подтверждение операций по электронной почте или SMS^[22].

Облачные вычисления открывают доступ к широкому спектру сервисов и ресурсов^[23]. Однако специфика модели делает их уязвимыми — злоумышленник может определить центр обработки данных, перехватить IP-адреса и даже ключи шифрования^[23]. Примером была платформа Amazon EC2, перешедшая на собственный сервис управления ключами AWS^[23].

Часто пользователь сам решает, какую информацию размещать в сети, однако такие данные, как история болезней, хранятся и обрабатываются компаниями, несущими ответственность за IT-безопасность^[21]. Перехват медицинских записей может использоваться страховыми или другими компаниями в корыстных целях^[24]. Для борьбы с угрозой медицинские учреждения внедряют аутентификацию, криптографические протоколы и шифрование^[24].

Титул III Закона о защите электронной информации (англ. Electronic Communications Privacy Act, ECPA) объявляет уголовным преступлением несанкционированный перехват, хранение и распространение данных, полученных с помощью технических средств^[4]. Федеральным и региональным органам власти разрешается прослушивание только по решению суда, с согласия участников или при предотвращении преступлений^[4]. Наказания включают тюремное заключение до пяти лет и штрафы до 250 000 долларов для физлиц и до 500 000 — для организаций.^[4] Кроме того, предусмотрены штрафы за каждый день нарушения.^[4]

Закон о слежке в целях внешней разведки (англ. Foreign Intelligence Surveillance Act, FISA) регламентирует выдачу судебных ордеров на наблюдение, обыски, а также применение технических средств для контроля физических и электронных коммуникаций.^[4] Действие FISA позволяет спецслужбам осуществлять упреждающее электронное наблюдение, не нарушая ECPA.^[4]

ОЭСР выпустила рекомендации по защите приватности медицинских данных пациентов.^[24] Все медицинские учреждения должны гарантировать информационную безопасность пациентов и их персональных данных^[24].