Olfatear archivos BitTorrent ilícitos

Se ha desarrollado una nueva técnica para detectar y rastrear contenido ilegal transferido utilizando el protocolo de intercambio de archivos BitTorrent. Según sus creadores, el enfoque puede monitorear las redes sin interrumpir el flujo de datos y proporciona a los investigadores pruebas contundentes de transferencias de archivos ilícitas.





Los archivos de contrabando pueden incluir películas, música o software pirateados e incluso pornografía infantil. Cuando la herramienta detecta un archivo de este tipo, mantiene un registro de las direcciones de red involucradas para un análisis posterior, dice el Mayor Karl Schrader, quien dirigió el trabajo en el Instituto de Tecnología de la Fuerza Aérea , en Kettering, OH.

El uso de software peer-to-peer (P2P) y del protocolo BitTorrent en particular ha aumentado de manera constante durante los últimos años. De hecho, para muchos proveedores de servicios de Internet (ISP), la gran mayoría del tráfico de Internet ahora consiste en transferencias P2P.

Por lo general, los ISP solo están interesados ​​en detectar este tipo de tráfico para controlarlo o reducirlo y liberar ancho de banda para otros usos. Sin embargo, este enfoque no revela nada sobre el contenido de cada transferencia, dice Schrader. Unas cuantas herramientas de monitoreo de red pueden identificar archivos BitTorrent específicos, pero el proceso es generalmente lento, ya que se debe examinar el contenido de cada archivo. El tiempo que lleva esto también aumenta exponencialmente a medida que aumenta la cantidad de archivos que deben escanearse.



Nuestro sistema se diferencia en que es completamente pasivo, lo que significa que no cambia ninguna información que ingrese o salga de una red, dice Schrader. Funciona, dice, al detectar primero los archivos que llevan el sello distintivo del protocolo BitTorrent al examinar los primeros 32 bits de los datos del encabezado de los archivos. Luego, el sistema examina el hash de los archivos, un código de identificación único que se utiliza para coordinar la descarga simultánea de cientos de fragmentos de archivos por parte de diferentes usuarios. Si un hash coincide con alguno almacenado en una base de datos de hash prohibidos, el sistema hará un registro de la transferencia y almacenará las direcciones de red involucradas.

Estoy convencido de que la solución funciona y que será bastante barata, ya que es muy especializada, dice Hendrik Schulze, director de tecnología de Ipoque , una empresa de análisis de redes con sede en Leipzig, Alemania. Las soluciones más generalizadas que intentan monitorear una amplia gama de tipos de archivos pueden ser más flexibles, dice, pero también serán más caras.

Una de las razones por las que la nueva técnica es tan rápida es que el aparato requerido consiste en un chip de matriz de puerta programable en campo (FPGA) especialmente configurado y una tarjeta de memoria flash que almacena un registro de la actividad ilícita.



Esta configuración significa que el contenido de los archivos se puede escanear directamente tocando el búfer de un controlador Ethernet, dejando así el tráfico de la red sin perturbaciones. También significa que es imposible para los usuarios saber si una red está siendo monitoreada, dice Schrader. Nuestro sistema no modifica el tráfico de ninguna manera, ni interfiere en la entrega de tráfico dentro o fuera de una red, dice.

Ross Anderson , experto en seguridad informática de la Universidad de Cambridge, Reino Unido, dice que la idea no es nada nuevo. Cisco lleva años vendiendo kits al gobierno chino para el 'Gran Cortafuegos de China' que hace exactamente lo que proponen estos tipos, dice. Del mismo modo, una empresa australiana llamada Brilliant Digital Entertainment vende una herramienta llamada CopyRouter que analiza hashes para identificar archivos ilegales en otros tipos de redes P2P.

Schulze agrega que el enfoque se basa en tener una lista actualizada de archivos ilegales. El sistema tiene que actualizar una gran lista de archivos hash con frecuencia, dice. Alguien tiene que calificar los hash como infracciones de derechos de autor u otro contenido delictivo.

Desde un punto de vista legal, Schulze dice que la privacidad puede ser un problema más significativo. Ni Estados Unidos ni ningún país europeo permitiría que [cualquiera] instale un dispositivo que inspeccione el tráfico de cada usuario solo para detener la piratería en Internet, dice. En este enfoque, se considera que todos los usuarios son sospechosos.

Incluso si el marco legal permitiera la tecnología, aún no está listo para funcionar. Pruebas del sistema, cuyos detalles se publicarán a finales de este año en un libro llamado Avances en análisis forense digital V , demostró que era eficaz para detectar el 99 por ciento de los archivos ilícitos, pero solo a velocidades de 100 megabits por segundo.

Eso es demasiado lento para fines comerciales o de aplicación de la ley, según Anderson. Schulze está de acuerdo: hoy en día se requiere un gigabit por segundo o diez gigabits por segundo para monitorear una red. También dice que no está claro si el sistema podría producir falsos positivos, etiquetando incorrectamente archivos legítimos como ilegales.

Otro inconveniente es que el sistema no puede hacer frente a archivos cifrados. Hoy, alrededor del 25 por ciento del tráfico de BitTorrent está encriptado, dice Schulze. Si una herramienta de este tipo llegara a ser ampliamente utilizada, es casi seguro que cualquiera que tuviera algo que ocultar cambiaría al uso de cifrado, dice.

esconder