Сетевое подслушивание

Сетевое подслушивание , также известное как атака подслушивания , атака сниффинга или атака слежения , представляет собой метод, который извлекает информацию о пользователе через Интернет. Эта атака происходит на электронные устройства, такие как компьютеры и смартфоны. Эта сетевая атака обычно происходит при использовании незащищенных сетей, таких как общедоступные Wi-Fi-соединения или общие электронные устройства. ^[1] Атаки подслушивания через сеть считаются одной из наиболее актуальных угроз в отраслях, которые полагаются на сбор и хранение данных. ^[1] Интернет-пользователи используют подслушивание через Интернет для повышения информационной безопасности. ^[2]

Типичного перехватчика сети можно назвать хакером «черной шляпы» , и он считается хакером низкого уровня, поскольку успешно подслушивать сеть несложно. ^[1] Угроза сетевого подслушивания вызывает растущую обеспокоенность. На рассмотрение общественности выносятся исследования и дискуссии, например, типы подслушивания, инструменты с открытым исходным кодом и коммерческие инструменты для предотвращения подслушивания. ^[3] Модели против попыток прослушивания сети создаются и развиваются по мере того, как конфиденциальность становится все более ценной. разделы, посвященные случаям успешных попыток сетевого прослушивания, а также его законам и политике в Агентстве национальной безопасности . Упоминаются ^[4] Некоторые законы включают Закон о конфиденциальности электронных коммуникаций и Закон о надзоре за внешней разведкой. ^[4]

Типы сетевого прослушивания включают вмешательство в процесс расшифровки сообщений в системах связи, попытки доступа к документам, хранящимся в сетевой системе, и прослушивание электронных устройств. Типы включают электронные системы мониторинга и контроля производительности, регистрацию нажатий клавиш, атаки «человек посередине», наблюдение за выходными узлами в сети, а также Skype & Type. ^{[5] [6] [7] [8] [9] [10] [11]}

Электронные системы мониторинга и контроля эффективности используются сотрудниками или компаниями и организациями для сбора, хранения, анализа и составления отчетов о действиях или результатах работодателей во время их работы. ^[5] Начало этой системы используется для повышения эффективности работы сотрудников, но могут возникнуть случаи непреднамеренного подслушивания, например, когда случайные телефонные звонки или разговоры сотрудников будут записываться. ^[5]

Регистрация нажатий клавиш — это программа, которая может контролировать процесс письма пользователя. Его можно использовать для анализа действий пользователя при наборе текста, поскольку регистрация нажатий клавиш предоставляет подробную информацию о таких действиях, как скорость набора текста, пауза, удаление текстов и другие действия. ^[6] Отслеживая действия и звуки ударов по клавиатуре, можно перевести сообщение, набранное пользователем. Хотя системы регистрации нажатий клавиш не объясняют причины пауз или удаления текстов, они позволяют злоумышленникам анализировать текстовую информацию. ^[6] Регистрация нажатий клавиш также может использоваться с устройствами отслеживания глаз, которые отслеживают движения глаз пользователя, чтобы определить закономерности действий пользователя при наборе текста, которые можно использовать для объяснения причин пауз или удаления текстов. ^[6]

Атака « Человек посередине» — это метод активного подслушивания, который вторгается в сетевую систему. ^[7] Он может получать и изменять информацию, передаваемую между двумя сторонами, незаметно для всех. ^[7] Злоумышленник захватывает системы связи и получает контроль над передачей данных, но не может вставлять голосовые сообщения, которые звучат или действуют как реальные пользователи. ^[7] Злоумышленники также создают независимые коммуникации через систему, при этом пользователи ведут себя так, как будто разговор между пользователями является конфиденциальным. ^[7]

«Человека посередине» также можно назвать скрывающимся в социальном контексте. Луркер — это человек, который редко или никогда ничего не публикует в сети, но остается в сети и наблюдает за действиями других пользователей. ^[8] Скрытность может быть ценной, поскольку позволяет людям получать знания от других пользователей. ^[8] Однако, как и подслушивание, скрытие личной информации других пользователей нарушает конфиденциальность и социальные нормы. ^[8]

Распределенные сети, включая сети связи, обычно проектируются таким образом, чтобы узлы могли свободно входить и выходить из сети. ^[9] Однако это создает опасность, при которой атаки могут легко получить доступ к системе и могут привести к серьезным последствиям, например, утечке номера телефона пользователя или номера кредитной карты. ^[9] Во многих анонимных сетевых путях последний узел перед выходом из сети может содержать фактическую информацию, отправленную пользователями. ^[10] Выходные узлы Tor являются примером. Tor — это анонимная система связи, которая позволяет пользователям скрывать свои IP-адреса. ^[10] Он также имеет уровни шифрования, которые защищают информацию, передаваемую между пользователями, от попыток подслушивания при попытке наблюдать за сетевым трафиком. ^[10] Однако выходные узлы Tor используются для подслушивания конца сетевого трафика. ^[10] Последний узел на сетевом пути, через который проходит трафик, например выходные узлы Tor, может получать исходную информацию или сообщения, которые передавались между разными пользователями. ^[10]

Skype & Type (S&T) — это новая атака с использованием акустического подслушивания клавиатуры, использующая преимущества голосовой связи по IP (VoIP). ^[11] S&T практична и может использоваться во многих приложениях в реальном мире, поскольку она не требует, чтобы злоумышленники находились рядом с жертвой, и может работать только с некоторыми утечками нажатий клавиш, а не с каждым нажатием клавиши. ^[11] Зная некоторые закономерности набора текста жертвой, злоумышленники могут добиться точности 91,7% при вводе текста жертвой. ^[11] Злоумышленники могут использовать различные записывающие устройства, включая микрофоны ноутбуков, смартфоны и микрофоны гарнитур, чтобы подслушать стиль и скорость набора текста жертвы. ^[11] Особенно опасно, когда злоумышленники знают, на каком языке печатает жертва. ^[11]

Компьютерные программы, исходный код которых доступен общественности бесплатно или для коммерческого использования, могут использоваться для предотвращения прослушивания сети. Их часто модифицируют для соответствия различным сетевым системам, а инструменты зависят от того, какую задачу они выполняют. В этом случае Advanced Encryption Standard-256, Bro, Chaosreader, CommView, межсетевые экраны, агентства безопасности, Snort, Tcptrace и Wireshark — это инструменты, обеспечивающие сетевую безопасность и прослушивание сети.

Это режим цепочки блоков шифра (CBC) для зашифрованных сообщений и кодов сообщений на основе хэша. AES -256 содержит 256 ключей для идентификации фактического пользователя и представляет собой стандарт, используемый для защиты многих уровней в Интернете. ^[12] AES-256 используется приложениями Zoom Phone, которые помогают шифровать сообщения чата, отправляемые пользователями Zoom. ^[13] Если эта функция используется в приложении, пользователи будут видеть только зашифрованные чаты при использовании приложения, а уведомления о зашифрованном чате будут отправляться без какого-либо содержимого. ^[13]

Bro — это система, которая обнаруживает сетевых злоумышленников и аномальный трафик в Интернете. ^[14] Он появился в Калифорнийском университете в Беркли, обнаруживая вторжения в сетевые системы. ^[3] По умолчанию система не применяется для обнаружения подслушивания, но может быть модифицирована в автономный инструмент анализа атак подслушивания. ^[3] Bro работает под управлением операционных систем Digital Unix, FreeBSD, IRIX, SunOS и Solaris с реализацией примерно 22 000 строк C++ и 1900 строк Bro. ^[14] Он все еще находится в процессе разработки для реальных приложений. ^[3]

Chaosreader — это упрощенная версия многих инструментов подслушивания с открытым исходным кодом. ^[3] Он создает HTML- страницы с содержимым при сетевого вторжения . обнаружении ^[3] При возникновении атаки не предпринимаются никакие действия, и будет записываться только такая информация, как время, сетевое местоположение, систему или стену, которую пользователь пытается атаковать. ^[3]

CommView специфичен для систем Windows, что ограничивает возможности реальных приложений из-за особенностей использования системы. ^[3] Он фиксирует сетевой трафик и попытки перехвата, используя анализ и декодирование пакетов. ^[3]

Технология брандмауэра фильтрует сетевой трафик и блокирует атаки злоумышленников на сетевую систему. ^[15] Это предотвращает проникновение пользователей в частные сети. Наличие брандмауэра на входе в сетевую систему требует аутентификации пользователей, прежде чем разрешить действия, выполняемые пользователями. ^[15] Существуют разные типы технологий межсетевых экранов, которые можно применять к разным типам сетей.

Агент идентификации безопасного узла — это мобильный агент, используемый для распознавания безопасных соседних узлов и информирующий систему мониторинга узлов (NMOA). ^[16] NMOA остается внутри узлов и контролирует потребляемую энергию, а также получает информацию об узлах, включая идентификатор узла, местоположение, уровень сигнала, количество переходов и многое другое. ^[16] Он обнаруживает близлежащие узлы, выходящие за пределы диапазона, путем сравнения мощности сигнала. ^[16] NMOA сигнализирует агенту идентификации безопасного узла (SNIA) и обновляет друг друга по информации о соседних узлах. ^[16] Node BlackBoard — это база знаний, которая считывает и обновляет данные агентов, действуя как мозг системы безопасности. ^[16] Агент Node Key Management создается при вставке ключа шифрования в систему. ^[16] Он используется для защиты ключа и часто используется между автономными подводными аппаратами (AUV) , которые представляют собой подводные роботы, передающие данные и узлы. ^[16]

Snort используется во многих системах, и его можно запускать в автономном режиме с помощью потока 4. Stream4 собирает препроцессоры с другой опцией потока. Функция исправления snort-reply часто используется для восстановления выполнения. ^[3] В настоящее время он разработан Cisco и действует как бесплатная система обнаружения вторжений в сеть. ^[3]

Tcptrace используется для анализа сетевых перехватов на основе pcap — сетевого приложения для захвата пакетов, которое обнаруживает сетевой трафик. Он имеет важную функцию, которая отслеживает атаки перехвата и может восстанавливать захваченные потоки TCP. ^[3]

Wireshark , также называемый Ethereal, представляет собой широко используемый в реальном мире инструмент для подслушивания с открытым исходным кодом. Большинство функций Ethereal ориентированы на пакеты и содержат опцию повторной сборки TCP для экспериментов по отслеживанию попыток вторжения. ^[3]

Модели созданы для защиты системной информации, хранящейся в Интернете, и могут быть специфичными для определенных систем, например, для защиты существующих документов, предотвращения атак на обработку мгновенных сообщений в сети и создания поддельных документов для отслеживания злоумышленников.

Документы, содержащие фальшивую, но конфиденциальную информацию, такую ​​как вымышленные номера социального страхования, номера банковских счетов и паспортные данные, будут намеренно размещаться на веб-сервере. ^[17] Эти документы имеют маяки, которые срабатывают, когда пользователь пытается их открыть, что затем вызывает тревогу на другом сайте, который записывает время доступа к документам и IP-адрес пользователя. ^[17] Информация, собранная с маяков, затем регулярно отправляется на выходные узлы Tor, где пользователь будет уличен в злонамеренном действии. ^[17]

Схема шифрования Butterfly использует временные метки и обновляет начальные значения генераторов псевдослучайных чисел (PRNG) в сетевой системе для генерации ключей аутентификации и параметров для зашифрованных сообщений, которые будут отправлены. ^[18] Эта схема может работать в организациях, которые ищут относительно недорогую, но эффективную схему безопасности, и может работать в различных системах, поскольку она имеет простую конструкцию, которую легко изменить для конкретных целей. Схема шифрования Butterfly эффективна, поскольку использует изменяющийся параметр и имеет непредсказуемую временную метку, что создает систему безопасности высокого уровня. ^[18]

Cfones — это модель, созданная для защиты VoIP-коммуникаций. Он использует протокол Short Authenticated Strings (SAS), который требует от пользователей обмениваться ключами, чтобы гарантировать отсутствие сетевых злоумышленников в системе. ^[7] Это характерно для систем связи, которые включают как голосовые, так и текстовые сообщения. В этой модели строка передается реальным пользователям, и для соединения с другим пользователем строки должны быть заменены и должны совпадать. ^[7] Если другой пользователь попытается вторгнуться в систему, строка не будет совпадать, и Cfones блокирует вход злоумышленников в сеть. ^[7] Эта модель предназначена для предотвращения атак «человек посередине». ^[7]

Схемы дружественных помех (DFJ и OFJ) — это модели, которые могут снизить риск подслушивания за счет преднамеренного вмешательства в сеть, когда неизвестный пользователь находится рядом с защищенной зоной. ^{[1] [19]} Модели проверялись на вероятность атак подслушивания в тестовой среде и было обнаружено, что вероятность атак ниже по сравнению с системой, в которой не установлены схемы дружественных помех. ^[1] Особенностью схем DFJ и OFJ является то, что модели обеспечивают большую безопасную зону покрытия, которая эффективно защищена от перехвата. ^[1]

Схема медового шифрования используется для усиления защиты частной информации систем обмена мгновенными сообщениями, включая WhatsApp и Snapchat , а также для отслеживания информации перехватчика. ^[12] HE содержит поддельный, но похожий открытый текст на этапе расшифровки процесса обмена мгновенными сообщениями с неверным ключом. ^[12] В результате сообщения, которые перехватчик пытается расшифровать, становятся тарабарщиной. ^[12] Схемы HE используются в конкретных системах, не ограничиваясь системами обмена мгновенными сообщениями, паролями и кредитными картами. ^[12] Однако применение ее к другим системам по-прежнему остается сложной задачей, поскольку необходимо вносить изменения внутри схемы, чтобы она соответствовала системе. ^[12]

Структура Интернета вещей включает в себя четыре уровня мер безопасности: уровень управления, облачный уровень, уровень шлюза и уровень устройств IoT. ^[20] Уровень управления обрабатывает веб- и мобильные приложения. ^[20] Облачный уровень контролирует управление услугами и ресурсами. Он действует как точка доступа для пользователей для подключения к другим интернет-сервисам. ^[20] Уровень шлюза управляет модулем фильтрации пакетов. Он связывает сеть конечных точек служб, обрабатывает документы или информацию и содержит задачи безопасности, включая аутентификацию, авторизацию и шифрование. ^[20] Двумя основными задачами уровня шлюза являются обнаружение пользователей и фильтрация реальных и злонамеренных пользователей. ^[20] Уровень устройств Интернета вещей проверяет производительность уровня шлюза и дважды проверяет, удалены ли все злонамеренные пользователи из сети. В частности, аттестация — это механизм измерения целостности конечной точки и при необходимости удаляет узлы из сети. ^[20]

Полностью доверять сетевым устройствам или сетевым компаниям может быть рискованно. Пользователи устройств зачастую не подозревают об угрозах в Интернете и предпочитают игнорировать важность защиты своей личной информации. ^[21] Это открывает злонамеренным хакерам возможность получить доступ к личным данным, о которых пользователи могут не знать. ^[21] Несколько обсуждавшихся случаев сетевого прослушивания включают Alipay и облачные вычисления.

Частная информация от пользователя мобильных платежных приложений, в данном случае Alipay , извлекается с использованием иерархической идентификации, специфичной для мобильных платежных приложений. ^[22] Система сначала распознает используемое приложение по данным о трафике, затем классифицирует отдельные действия пользователя в приложении и, наконец, различает комплексные шаги внутри каждого действия. ^[22] Отдельные действия в мобильных платежных приложениях обобщены в несколько групп, включая совершение платежа, перевод денег между банками, сканирование чеков и просмотр предыдущих записей. ^[22] Классифицируя и наблюдая за конкретными действиями пользователя в каждой группе действий, злоумышленник перехватывает сетевой трафик и получает личную информацию пользователей приложения. ^[22] Разработаны стратегии предотвращения инцидентов, такие как идентификация по отпечатку пальца или лицу, а также электронное письмо или текстовое подтверждение действий, выполненных в приложении. ^[22]

Облачные вычисления — это вычислительная модель, которая обеспечивает доступ ко множеству различных настраиваемых ресурсов, включая серверы, хранилища, приложения и сервисы. ^[23] Характер облака делает его уязвимым для угроз безопасности, и злоумышленники могут легко подслушать его. ^[23] В частности, злоумышленник может просто идентифицировать центр обработки данных виртуальной машины, используемой для облачных вычислений, и получить информацию об IP-адресе и доменных именах центра обработки данных. ^[23] Это становится опасным, когда злоумышленник получает доступ к частным криптографическим ключам для определенных серверов, с которых он может получить данные, хранящиеся в облаке. ^[23] Например, платформа Amazon EC2, расположенная в Сиэтле, штат Вашингтон, штат Вашингтон, США, когда-то подвергалась риску таких проблем, но теперь использует Amazon Web Service (AWS) для управления своими ключами шифрования. ^[23]

Иногда пользователи могут выбирать, что они размещают в Интернете, и должны нести ответственность за свои действия, в том числе за то, должен ли пользователь фотографировать свой номер социального страхования и отправлять его через приложение для обмена сообщениями. Однако такие данные, как медицинские записи или банковские счета, хранятся в сетевой системе, в которой компании также несут ответственность за безопасность данных пользователей. ^[21] Медицинские записи пациентов могут быть украдены страховыми компаниями, медицинскими лабораториями или рекламными компаниями в своих интересах. ^[24] Такая информация, как имя, номер социального страхования, домашний адрес, адрес электронной почты и история диагнозов, может быть использована для отслеживания человека. ^[24] Подслушивание отчетов об истории болезни пациента незаконно и опасно. Для борьбы с сетевыми угрозами многие медицинские учреждения используют аутентификацию конечных точек, криптографические протоколы и шифрование данных. ^[24]

В разделе III Закона о конфиденциальности электронных коммуникаций (ECPA) говорится, что «прослушивание телефонных разговоров или электронное подслушивание является федеральным преступлением; иметь средства прослушивания телефонных разговоров или электронного подслушивания; использовать для раскрытия информации, полученной посредством незаконного прослушивания телефонных разговоров или электронного подслушивания, или для раскрытия информации, полученной посредством прослушивания телефонных разговоров или электронного подслушивания по решению суда, для воспрепятствования правосудию». ^[4] Сотрудникам правоохранительных органов федерального уровня и штата может быть разрешено перехватывать проводные, устные и электронные сообщения только в том случае, если выдано постановление суда, согласие сторон или когда злонамеренный пользователь пытается получить доступ к системе. ^[4] В случае нарушения закона может последовать уголовное наказание, гражданская ответственность, административные и профессиональные дисциплинарные взыскания и/или исключение доказательств. ^[4] Общее наказание составляет не более пяти лет лишения свободы и не более 250 000 долларов США для физических лиц и не более 500 000 долларов США для организаций. ^[4] В случае причинения ущерба может быть назначен штраф в размере 100 долларов США за день нарушения или 10 000 долларов США в общей сложности. ^[4]

Закон о наблюдении за внешней разведкой выдает судебные постановления на «электронное наблюдение, физические обыски, установку и использование перьевых регистраторов, ловушек и устройств слежения, а также приказы о раскрытии материальных предметов». ^[4] Постановления суда об электронном наблюдении позволяют федеральным чиновникам использовать электронное наблюдение, которое включает в себя подслушивание, не нарушая при этом Закон о конфиденциальности электронных коммуникаций или Раздел III. ^[4]

Руководство по защите конфиденциальности данных пациентов выпущено Организацией экономического сотрудничества и развития (ОЭСР). ^[24] Политика гласит, что индивидуальные данные пациентов или персональные данные должны быть в безопасности, и пациенты не столкнутся с какими-либо произвольными потерями, связанными с вторжением в их личную информацию или состоянием здоровья. ^[24] Эта политика действует как минимальный стандарт использования электронного здравоохранения, и ее должны соблюдать все медицинские учреждения для защиты конфиденциальности данных пациентов. ^[24]

• Черная шляпа (компьютерная безопасность)
• Краудсенсинг
• Подслушивание
• Обнаружение конечных точек и реагирование
• Безопасность конечных точек
• Система обнаружения вторжений
• Анализатор пакетов
• Хакер безопасности
• Ван Эк фрикинг