Несколько слов о DPI
Все мы думаем, что следят лишь за теми, кто себя «плохо ведёт». Кроме этого, заблуждением, скорее всего, является вера в ограниченность ресурсов для обработки информации, например человеческих. Это мнение активно форсируется в окружающей нас информационной среде: Интернете, телевидении и радио. Методы технической автоматизации слежки обычно не раскрываются либо выглядят, как часть технологической утопии в околонаучных детективных фильмах, что прямо негативно сказывается на восприятии их как реальных и формирует уничижительное отношение обывателя к подобным технологиям.
Продолжая тему глобального заговора, не будет лишним упомянуть такой метод, а если быть более точным, набор технологий под общим названием DPI (Deep Packet Inspection).
Имея святую веру в свою непогрешимость, некоторые индивиды реально считают, что допустимо всё, что явно не запрещено, и можно остаться незамеченным. Спешу разочаровать этих наивных людей, ведь всегда существовали люди, которые получали зарплату за то, что обеспечивали безопасность и собирали информацию. Мы не будем сейчас углубляться в историю шпионажа или искусства слежки. Моя задача всего лишь показать возможность автоматизации той её части, которая касается мира IT.
Итак, DPI. Технология вбирает в себя множество областей знания: от математики уровня начальной школы до физики электрических процессов. Рассмотрим математику информационно-технических средств.
Про математику можно долго рассуждать и верить или не верить в пригодность её аппарата для такого применения, однако всё лежит на поверхности. Как-то, читая статью про системы обнаружения вторжений, обратил внимание на работу испанских специалистов по сетевой безопасности, которая была приведена в списке литературы. Заинтересовавшись, ознакомился и с ней. Оказывается, что целью было определение аномалий сетевого трафика с целью обнаружения вторжений. Они применяли статистические методы и сравнение с образцовым трафиком. Подобный подход даёт огромный выигрыш в производительности, поскольку не требуется анализировать каждый пакет в потоке, а достаточно собрать статистику. Нет операций сравнения с образцом или тяжёлого поиска последовательностей, и это не что-то новое и уникальное, это просто статистика, точно такая же, которая используется для предсказаний погоды. Чтобы понять технологию, не требуется какого-то специального образования, достаточно лишь курса высшей математики любого вуза нашей страны, если этот курс включал в себя теорию статистики. Вот так всё просто, оказывается. Люди склонны искать сложности, а тем временем истина лежит на поверхности. Как применять данный метод для идентификации источников аномального трафика, в работе также указывается. Но авторы не одиноки. В мире существует множество других исследователей и институтов, работающих над похожими проблемами. Например, уже в одном из американских университетов проводилось исследование по идентификации точек обмена P2P-трафиком. Да-да, того самого, который используется файлообменными сетями и протоколом BitTorrent. Занималась исследованием группа китайских учёных, финансировалось оно крупнейшими IT-компаниями США и Японии, которые, надо отметить, обладают весомыми позициями в министерствах обороны этих двух стран. Вообще, китайцы, надо сказать, собаку съели на анализе трафика. Чего только стоит их Великий китайский фаервол. Забегая вперёд, скажу, что результаты работы положительные, и с очень высокой долей вероятности можно определить два узла, ведущих обмен частями файла с точной идентификацией каждого из них. Самое интересное, что природа трафика в данном случае абсолютно не интересна, и это может быть даже шифрованный либо обфусцированный трафик. Данный метод тоже основан на старой доброй статистике. Что это даёт? Прежде всего, выявление связей и круга общения конкретного объекта: как бы он ни шифровался, всегда возможно определить круг его взаимодействия, а в дальнейшем и установить личность.
Конечно, для проведения статистического анализа требуется получить копию потока где-то на пути от одного объекта к другому, что в текущих реалиях не представляет никакой проблемы: все операторы либо должны иметь средства СОРМ, либо они должны быть у вышестоящих операторов, что в итоге охватывает 100% трафика, даже с избыточностью по оборудованию.
Отлично. С математикой стало более-менее ясно. Следует перейти к технологиям мира IT. Итак, с помощью математики мы выявили сеть узлов, которые обмениваются некоей информацией, которая нам может быть интересна. Надо заметить, что это уже сильно снижает затраты на дальнейшую детальную обработку. Таким образом, обладая идентификаторами узлов, можно построить фильтры, с помощью которых получить лишь ту часть трафика, которой обмениваются эти узлы. Если обмен не зашифрован, то спокойно можно просмотреть всю информацию из отфильтрованного потока, а если зашифрован, то включаются методы криптоанализа. Как правило, всё классически: MITM, атака на ключ, поиск закономерностей. То есть в работу включаются методы более медленные, в силу чего применение их для всего потока невозможно.
Примененяется глубокий анализ пакетов, к счастью, не только для целей вскрыть информацию или проследить за кем-то. Очень часто на сетях операторов связи или крупных владельцев сетей связи приходится обеспечивать приоритеты одного вида трафика над другим. В таком случае используется та же технология DPI, но уже в «мирных целях». Можно, например, урезать полосу для BitTorrent-сессий и обеспечить нормальное прохождение голоса. Спасибо в таком случае должен сказать сам клиент, даже тот, который пользуется торрентами, так как в противном случае он и сам не мог бы нормально просматривать Интернет или позвонить другу на другой континент. Есть, конечно, и негативные примеры использования технологии, хотя и в мирных целях: фильтрация по адресам из-за ограничения доступа к некоторым ресурсам, блокировка таких сервисов, как Skype, VoIP, ICQ, Jabber на сетях мобильных операторов, но к счастью, это пока единичные случаи.
Сама технология не представляет ни опасности, ни пользы: её представляют лишь люди, которые берут технологию на вооружение, и цели, которые они преследуют.