Tuesday, May 5, 2009

Deep packet inspection



Hace tiempo tenia ganas de escribir un post sobre este punto, dada la implicancias que tiene sobre nuestra privacidad.

Llamamos Deep Packet Inspection (DPI) al filtrado que se realiza de los paquetes que pasan por un punto, de modo tal que no solo se observa el header del mismo, si no que además se observa el contenido de los datos. Luego, según un criterio preestablecido ( si tiene virus, spam, p2p, un texto o lo que se se busque ) el paquete continuara su camino , sera ruteado hacia otro punto o se desechara.

Ok, muchas palabras como paquete, header , contenido de los datos necesitan mas explicación para entender esto.

Primero veamos que es un "paquete",

Dentro de las redes IP podemos hacer una correspondencia entre este termino y una correspondencia..

Una carta, tendra un destinatario, una direccion, un remitente, algunas características especiales, como tipo de envio ( normal, express), un tamaño ( carta,sobre, caja ) y su contenido.



Remitente y Destinatario

Datos



Hasta aca entendido ?

Veamos un paquete IP a nivel de capa de transporte



Comparemos


Hay otros campos que por simplicidad no los incluyo, como Protocolo, tipo de servicio. TTL, pero que bien podríamos encontrarle su contra parte en el correo.

Atención que no estoy hablando de email, es una analogía entre paquetes TCP/IP y el correo. El DPI por su naturaleza permite el acceso a todo tipo de trafico.

Para que se utiliza el DPI ?

En el ámbito privado de las empresas, se suele utilizar por ejemplo a nivel de IDS ( Sistema de deteccion de Intrusos ), IPS ( Sistema de prevencion de Intrusos ) , antivirus para detectar ataques informáticos.

Peeeero los ISP colocan estos dispositivos para poder filtrar el trafico P2P o para prevenir el trafico de material con copyrights o en otros casos como veremos mas adelante, para armar campañas de marketing focalizado.


Y cual es el problema ?


En situaciones normales, nuestros ISP cuando reciben nuestros "paquetes" deberían observar solo el campo Remitente, Destinatario, protocolo y tipo de protocolo y entregarlos al próximo equipo en el camino, hasta llegar a su destino.

Los ISP nunca, pero NUNCA !!!!!! deberían ver lo que hay dentro del campo Datos.

Hoy técnicamente es posible, legalmente no.

Observar lo que hay alli adentro es inconstitucional, solamente el estado y bajo la orden de un juez puede ver lo que nosotros trasmitimos. Ya que esto esta protegido por la constitución :

Art. 18.- Ningún habitante de la Nación puede ser penado sin juicio previo fundado en ley anterior al hecho del proceso, ni juzgado por comisiones especiales, o sacado de los jueces designados por la ley antes del hecho de la causa. Nadie puede ser obligado a declarar contra sí mismo; ni arrestado sino en virtud de orden escrita de autoridad competente. Es inviolable la defensa en juicio de la persona y de los derechos. El domicilio es inviolable, como también la correspondencia epistolar y los papeles privados; y una ley determinará en qué casos y con qué justificativos podrá procederse a su allanamiento y ocupación. Quedan abolidos para siempre la pena de muerte por causas políticas, toda especie de tormento y los azotes. Las cárceles de la Nación serán sanas y limpias, para seguridad y no para castigo de los reos detenidos en ellas, y toda medida que a pretexto de precaución conduzca a mortificarlos más allá de lo que aquélla exija, hará responsable al juez que la autorice.


Porque es peligroso el DPI ?

Lo que hace peligroso a mi entender el DPI es que en manos inescrupulosas puede permitir todo tipo de abusos.

Hoy limitan al p2p, mañana porque no hacer estudios de consumo basado en nuestros hábitos de acceso o utilizar esto como arma política ?

Que pasa en el mundo ?

Un blog que asisto regularmente, es http://www.delitosinformaticos.com.ar/blog
, alli hay varias entradas sobre el tema legal y el DPI.

En Francia se voto una Ley que se llama de los tres tres golpes "three strikes". La ley "obligaria"a los ISP's a chequear el trafico de sus clientes y en caso de encontrar evidencia de datos que infrinjan leyes de copiright enviarían una advertencia al usuario.

Si esto ocurre una segunda ves, repetirían la advertencia. Si el usuario continua con esto en el plazo de un año, le darían de baja el servicio.

La ley fue aprobada en Octubre pasado por el Senado y este año fue rechazada en la Asamblea Nacional. Pero podria volver a votarse en el futuro.


La historia de NebuAd

NebuAD es una compañía de EEUU que hace campañas de marketing focalizado y que como veremos mas adelante, se paso de la raya.

El año pasado Robert M. Topolski un consultor de organizaciones como Public Knowledge y Free Press emitió un documento que muestra los peligros del DPI.

Luego de leer un reporte de un usuario que se quejaba ante el hecho de ver cookies de sitios que nada tenian que ver con sus busquedas, Topolski realizo una serie de tests que mostraban que NebuAd estaba inyectando codigo en los paquetes de los usuarios.



Utilizando un sniffer durante la transacción, vio que al final de la comunicación entre el equipo cliente y el server de google, se agregaban paquetes con codigo Javascript que hacian que el browser visite otros sitios.

Por supuesto que NebuAD no tenían ningún acuerdo con Google .

El informe completo aca : Wiretapping, Forgery and Browser Hijacking



Hay herramientas que permiten detectar algunos equipos que podemos considerar dentro del campo del DPI, como los proxies transparentes.

Pero eso queda para otro post.



2 comments:

Anonymous said...

Muy interesante el articulo. Es increíble el abuso que tenemos que soportar los clientes por parte de los ISPs aca en argentina.

Julio Jaime said...

Si es verdad, el problema son los oligopolios que tenemos.