A Inspeção Profunda de Pacotes (DPI) e a Criptografia

Em todos os lugares que você olha, o uso da criptografia está aumentando: na Internet, em nuvens públicas e privadas, nas empresas e em dispositivos pessoais. Um dos impulsionadores dessa tendência é a demanda global por melhor proteção da privacidade pessoal na Internet. É uma demanda que disparou na sequência das revelações de Edward Snowden sobre as atividades de interceptação da NSA e continua aumentando desde então.

Essa demanda foi adotada pelos principais provedores de conteúdo como Facebook, YouTube e Netflix, Google, que são responsáveis ​​pela maior parte do tráfego criptografado da Internet atualmente. A criptografia os ajuda a atender à demanda pública de privacidade pessoal, enquanto protegem melhor sua própria propriedade intelectual.

A proteção de informações pessoais e de propriedade intelectual de clientes também contribui para o aumento do uso da criptografia pelas empresas. Isso inclui o uso de criptografia atrás do firewall, bem como em toda a ampla rede de data centers, provedores de nuvem pública, privada e operadoras móveis que compõem a rede corporativa contemporânea.

Conformidade

As empresas e seus fornecedores de serviços também adotaram a criptografia para atender a regulamentações como o Regulamento Geral de Proteção de Dados (GDPR), a Lei Geral de Proteção de Dados (LGPD).

Adicione a isso iniciativas voluntárias, como “Let’s Encrypt” e “Encryption Everywhere”, do Internet Security Research Group (ISRG) e Symantec, respectivamente, e os padrões da Internet em evolução, como HTTP Public Key Pinning (HPKP) e HTTP Strict Transport Security (HSTS), e a tendência para a criptografia onipresente de tráfego parece quase inevitável.

Os criminosos também gostam de criptografia

Trata-se de um assunto polêmico e que envolve muita discussão, porque usando mecanismos de criptografia os criminosos ganham armas para se esconder, dificultando o trabalho de autoridades ou de profissionais de segurança.

O Relatório de Ameaças do Ano de 2019 encontrou 2,4 milhões de ataques maliciosos criptografados nos primeiros seis meses de 2019, quase atingindo o total do ano de 2018 na metade do tempo. E isso segue um aumento de 27% no uso de criptografia para malware e outros ataques maliciosos em 2018.

Dentro da empresa, a criptografia também é cada vez mais usada por funcionários rebeldes que pretendem roubar informações valiosas da empresa, produto ou cliente.

É possível classificar tráfego criptografado?

A identificação e classificação do tráfego de rede há muito tempo desempenham um papel fundamental na proteção das empresas e de seus ecossistemas de provedores de serviços digitais contra ataques maliciosos internos ou externos.

A classificação de tráfego,  também é fundamental para impor políticas corporativas ou otimizar os fluxos de tráfego, atender às metas de qualidade de serviço e gerar receita por meio de ofertas de serviços diferenciadas.

Esses benefícios estão prestes a desaparecer com o aumento da criptografia? Não.  O Deep Packet Inspection está morto? Não. De fato, dado o aumento da criptografia, a tecnologia de classificação é mais importante do que nunca.

A Inspeção Profunda de pacotes (Deep Packet Inspection)

É importante lembrar que usar criptografia não significa que o tráfego é indetectável; significa apenas que o conteúdo permanece privado.
A análise do tráfego de rede usando tecnologias avançadas como a Inspeção Profunda de Pacotes (Deep Packet Inspection ou simplesmente DPI) ainda pode classificar o tráfego criptografado, permitindo que a proteção, a conformidade e a inovação continuem na era da criptografia.

O objetivo principal de um mecanismo de DPI é classificar aplicativos e serviços independentemente dos protocolos subjacentes (de transporte), sendo estes criptografados ou não.

Como um mecanismo de DPI classifica dados criptografados?

Antes de tudo, é necessário fazer engenharia reversa dos protocolos nas camadas 4 e 7 mais importantes para identificar e correlacionar padrões e classificar aplicativos.

Entre esses protocolos estão os que adicionam camadas de criptografia como TLS (1.1, 1.2 e 1.3), dtls, quic, spdy e http2. Usando o cache DNS, além dos modelos estatísticos de tráfego, é possível identificar o tráfego restante.

Aqui estão alguns exemplos de técnicas de classificação para o tráfego criptografado usado pelos mecanismos de DPI com uma indicação de precisão e limitações.

Exemplo 1: Classificação do tráfego criptografado com SSL / TLS (por exemplo, https)

Protocolos típicos: Google, Facebook, WhatsApp

Método de classificação: Leia o nome do serviço no certificado SSL / TLS ou na SNI (Server Name Indication)

Precisão: método determinístico – 100% exato

Limitações: se o SNI não aparecer no início do handshake, o certificado SSL / TLS poderá estar disponível somente após 5 ou 6 pacotes, o que pode causar um pequeno atraso. Dependendo do provedor de conteúdo, o mesmo certificado pode ser usado para diferentes serviços (como email, notícias etc.).

Importante: é de opinião comum que o TLS 1.3 torne o tráfego indetectável com as técnicas atuais. No último rascunho do TLS 1.3 (draft-ietf-tls-tls13-23), o SNI permanece claro e é até trocado nos processos de retomada da sessão (0 ou 1 RTT). Isso significa que as atuais técnicas de classificação continuam sendo eficazes.

Exemplo 2: Classificando P2P criptografado

Protocolos típicos: BitTorrent (RC4 Criptografado), Ares

Método de classificação: Identificação Estatística de Protocolo (SPID) A identificação estatística de protocolo é uma técnica baseada na medição da divergência do tráfego que está sendo analisado e em um modelo estatístico de tráfego.

Precisão: Normalmente, mais de 90% das sessões P2P são identificadas para o BitTorrent criptografado por RC4.

Informações adicionais: Esta técnica requer mais pacotes do que outros (normalmente 15 para BitTorrent) para ter um modelo de tráfego correto para correspondência.

Exemplo 3: Classificando o Skype

Método de classificação: Procurar padrões binários nos fluxos de tráfego
Esse padrão geralmente é encontrado nos primeiros 2 ou 3 pacotes

Precisão: 90 – 95% de precisão

Informações adicionais: além da pesquisa de padrões binários, um método estatístico é usado para identificar diferentes serviços no Skype, como voz do Skype, vídeo do Skype e bate-papo do Skype. Este método usa uma combinação de tremulação, atraso, comprimento de pacotes, espaçamento de pacotes, etc.

Graças a essas e outras técnicas de classificação, a otimização do tráfego, a aplicação de políticas e a experiência do usuário não são afetadas pela criptografia.

Além disso, fornecedores especializados de DPI,  desenvolveram um certo número de processos específicos que vão um passo além para elevar a inteligência de rede e garantir a classificação precisa do tráfego criptografado. Ao usar o DPI, os provedores de serviços de comunicação podem continuar a oferecer qualidade de serviço e gerenciar a utilização de recursos, respeitando a privacidade do assinante.

Quando combinado com aprendizado de máquina (Machine Learning) e análises avançadas em soluções de Análise de tráfego de rede, o DPI também pode ajudar as empresas a detectar atividades maliciosas que, de outra forma, passariam despercebidas sob o uso da criptografia.