miércoles, diciembre 02, 2015

Evident X-Stream: Deep Packet Inspection en España

Estos días se ha armado un poco de revuelo por culpa de la aparición de información relativa a un nuevo sistema de análisis de información capturada en la red llamado Evident X-Stream. De este sistema poco se sabe aún más que la información que se ha publicado en algunos medios que dicen tener acceso a los documentos que describen el proyecto que parece ser que está desarrollado BEA Systems, pero que no deja de ser una consola de análisis de evidencias capturadas por la red.

Figura 1: Evident X-Stream - DPI en España

Como se puede ver en el gráfico, el sistema podría ser similar al archifamoso X-KeyScore que utiliza(ba) la NSA para almacenar y procesar todas las evidencias de información capturadas en la red para la generación de inteligencia en investigaciones de delitos en la red. Es decir, algo similar al SITEL que existe para la interceptación legal de las telecomunicaciones, pero centrado en los contenidos transmitidos por la red de datos.


Figura 2: Esquema de funcionamiento de Evident X-Stream

Al final, el soporte se basa en capturar evidencias en el los puntos de conexión a la red, en este caso en los ISP, y aplicar sistemas de Deep Packet Inspection para capturar el tráfico, recomponerlo como hacen los sniffers de red y generar objetos entendibles a alto nivel, como correos electrónicos, mensajes de datos, ficheros transmitidos por la red, etcétera. 

Figura 3: Detalle del sistema X-KeyScore para investigar e-mails

Por supuesto, a día de hoy esto no está cubierto por la legalidad de nuestro país, así que habrá que ver si se puede llegar a aplicar o no. Las noticias especulan que el Ministerio de Interior querrá ponerlo en marcha para el año 2017 en España, y aplicarlo en casos de seguridad nacional o ciberterrorismo, aunque para ello se deben dar aún muchos pasos. Con sistemas como estos, posiblemente se podrían atacar muchos de los sistemas de comunicación usadas por grupos terroristas.

El debate Político y Social

Al final, los sistemas de cifrado extremo a extremo, los canales de comunicación encubiertos basados en sistemas infrecuentes, el so de técnicas como la esteganografía o los canales paralelos de telecomunicaciones siempre dificultarán el 100% de la inspección, pero lo más importante de todo seguirá siendo el debate social, político y legal.

Ahora, con la sensibilidad alta por los atentados de París, probablemente muchas más personas están dispuestas a mover el dial de la privacidad un poco más cerca del de la seguridad, para defender otros derechos como el derecho a la vida a cambio de pagar un poco con el derecho a la privacidad. Lo importante del debate es decidir si queremos que se puedan investigar los delitos en Internet o no. Si estamos dispuestos a que alguien, con la supervisión de la justicia, pueda abrir nuestros correos electrónicos al igual que se abren las maletas en los aeropuertos o no. Si queremos que nos pasen un escáner a nuestros archivos al igual que nos pasan el escáner 3D en las fronteras.

Saludos Malignos!

8 comentarios:

  1. El problema no reside en si queremos o no que nos lean los correos electrónicos, el problema está en que la información es poder y el poder tarde o temprano corrompe, no lo digo yo lo dice la historia!, que aplicación le daría el responsable a toda esa info?...Muy buen blog.

    ResponderEliminar
  2. La verdad es que todo esto es asqueroso: empezando porque lo compran cuando aún no es legal, siguiendo porque estamos al final de la legislatura y no sabemos quien venga si continuará con esto y ya se han gastado el dinero y finalizando con el mismo sistema, que nos equipara a países con dictaduras. Esto no es contra el terrorismo yihadista, esto es contra todos nosotros y para controlar la disidencia en este mundo y Europa cada vez más totalitaria. Quien tenga ojos, que vea, porque además los mismos que han estado haciendo esto ilegalmente como la NSA confirma que no les ha servido para nada.

    ResponderEliminar
  3. Totalmente deacuerdo. Es mas, todos los totalitarismos pasan por controlar de manera generalizada a su poblacion lo maximo posible, para asi como bien decis controlar las posibles disidencias, insurgerncias, o simplemente manifestaciones que se organicen para protestar por todo este tipo de cosas. Y lo hacen escudandose en que es por el derecho a la vida etc el quitar cada vez mÁs otros derechos hasta que nos quede...que?, derecho a vivir bajo sus condiciones? Saludos a todos :)

    ResponderEliminar
  4. Me gustaría ver que máquinas hacen esto. Se me hace difícil imaginar un appliance que pueda situarse en el core de un ISP (donde se trabajan con enlaces agregados de 40 o 100 Gpbs o incluso más) y capaz de analizar todo el tráfico a un nivel tan profundo. Por no imaginar la cantidad de flujos que tienen que analizar.

    Un saludo!

    ResponderEliminar
  5. Si fuese posible que analisis con dispositivos asi se hicieran solo en momentos oportunos (una investigaciones legal para prevenir o bien luego investigar ataques como lo de Paris) pues estaria bien, pero como alguien menciono estas herramientas es poder y el poder corrompe tarde o temprano y no hay defensa contra eso. entonces aparecen otros escenarios, politicos confabulados con fuerzas de seguridad para darle otros usos a las herramientas, sacar ventaja contra adversarios, controlar poblacion, etc. razones de sobra hay para implementarlos pero que peligroso en lo que se pueden convertir

    ResponderEliminar
  6. Se me hace difícil pensar que una organización terrorista medianamente eficiente no disponga de unos cuantos servidores en terceros países controlados por ellos para tunelizar comunicaciones y saltarse las monitorizaciones en los ISP...

    ResponderEliminar
  7. Me parece mal la falta de privacidad que existe.No hace falta ir a un hipotético sistema, ya en muchos centros de trabajo con buena infraestructura de red se hace, y ahora denuncia y demuestra que telefónica, por ejemplo, monitoriza todo el trafico de sus empleados en un edificio... es un absurdo pensar que esto no se realiza.

    A gran escala les va a resultar difícil, cuando metas todo el trafico por https a ver si pueden examinarlo en su totalidad sin que se resienta la red.

    ResponderEliminar
  8. No se hasta qué punto nos creen imbéciles o qué. En primer lugar, la seguridad por ocultación es un simple juego de niños. Escanea que algo sale. En segundo lugar, con la de técnicas de generación de canales de comunicación que hay (por ejemplo un morse donde los puertos pares activados son el punto y los impares la raya, generando un mensaje de más de 65.000 caracteres) improbables de detectar por esos monstruos de sistemas, cualquier sistema de muestre en modo CSI-Cyber el tráfico de red es una cagada.
    Con lo sencillo que sería formar una brigada de autenticos informáticos, formados para comprender las comunicaciones a bajo nivel (y de camino evitar que el talento tenga que emigrar del país).
    Lo dicho: una nueva forma de pagar millones por algo que sólo sirve para controlar al ciudadano inocente y que, como en el caso de los controles aeroportuarios, se saltan a la torera los delincuentes, mientras el sufrido ciudadano es tratado como un j****** delincuente... País!

    ResponderEliminar