Екип от изследователи от Техническия университет в Грац, известен с разработването на атаки като MDS, NetSpectre, Throwhammer и ZombieLoad, въведе нов метод за дигитален шпионаж, наречен SnailLoadТази атака по странични канали е способна да определи дали потребителят е посетил конкретни уебсайтове или е гледал определени видеоклипове в YouTube, без да е необходимо директно да прехваща трафика му.
Споменава се, че причината за наричането на тази нова атака „SnailLoad“ се дължи както на начина, по който се изпълнява атаката, така и на нейния ефект. Атакуващият сървъри изпраща файлове изключително бавно, почти със „темповете на охлюв“. Това поведение позволява на атакуващия внимателно да измерва закъсненията на връзкатаОсвен това, точно както охлювът оставя следа, тази атака оставя дигитален отпечатък, който разкрива онлайн дейностите на потребителя.
Как работи SnailLoad
Ключът към тази атака Това се състои в използването на пречка, присъстваща във всички връзки към интернет, по-специално в така наречената „последна миля“, т.е. участъкът между доставчика на услуги и потребителя. Чрез насищане на тази връзка, SnailLoad използва промените в латентността на мрежовите пакети, за да прецени каква дейност извършва жертвата.
За разлика от други методи за проследяване, които разчитат на MITM атаки или по-сложен анализ на трафика, SnailLoad не изисква прихващане на комуникации на потребителя. Всичко, което жертвата трябва да направи, е да получи достъп до контролирана страница. от нападателя. Оттам сървърът започва да изпраща големи файлове или изображения с изключително бавна скорост. През това време промените в закъсненията на пакетите позволяват на нападателя да заключи дали жертвата посещава уебсайтове или стриймва съдържание на платформи като YouTube.
Най-тревожното е, че дори не е необходимо да се бяга JavaScript код в браузъра на жертвата: Непрекъснатият поток от трафик е достатъчен, за да задейства анализа.
Точност на атаката и определящи фактори
Ефективността на SnailLoad зависи пряко от вида на интернет връзката. В тестове, използващи технологии като ADSL, FTTH, FTTB и LTE, точността варира значително. За идентифициране на едно от десетте най-популярни видеоклипа в YouTube, процентът на успех варира от 37% до 98%, в зависимост от връзката.
По същия начин, В експерименти, насочени към откриване на отварянето на популярни уебсайтове, нивото на точност достигна максимум от 62,8%.FTTH връзките се оказаха най-уязвими, докато FTTB връзките оказаха най-голяма устойчивост. Въпреки това, всеки тип домашна връзка може да бъде засегната.
Друг фактор е количеството външен трафик в мрежата на потребителя: колкото по-разнороден е трафикът, толкова по-трудно е да се идентифицират точни модели.
Трябва ли да се тревожим за SnailLoad?
Въпреки че атаката е технически осъществима и засяга повечето интернет връзки, Изследователите смятат, че е малко вероятно да бъде активно експлоатиран в момента. Основната причина е, че макар SnailLoad да се възползва от пречките в честотната лента близо до устройството на потребителя, изисква контролирани условия и значителни технически познания от страна на нападателя.
Например, само защото вашият рутер не отговаря на ping-ове, не означава, че сте защитени, тъй като TCP ACK-овете (потвърждения на пакети) съдържат същата информация, която позволява на атакуващия да извърши своя анализ.
Трудности при смекчаване на тази атака
Премахнете уязвимостта в основата ѝ Не е лесно. Основният проблем произтича от разликата в честотната лента. между опорната мрежа на доставчика и индивидуални връзки на потребителите. Докато това неравенство съществува, атаката ще остане възможна.
Някои възможни мерки за смекчаване включват добавяне на случаен трафик изпълняващи се приложения във фонов режим, които генерират хетерогенен трафик или внасят шум във връзката. Тези решения обаче са ограничени и не решават напълно проблема.
Накрая, заслужава да се спомене, че SnailLoad е пореден пример за това как поверителността в интернет продължава да е изправена пред неочаквани рискове. Въпреки че практическата му употреба все още не е широко разпространена, съществуването му показва, че дори най-основните механизми на мрежовата инфраструктура могат да бъдат използвани за целите на наблюдение.
Сървърният код, който изпълнява SnailLoad, вече е публично достъпен в GitHub под лиценза на MIT, което означава, че всеки с технически познания може да го изучава или дори да го възпроизвежда.
Ако искате да научите повече за това, можете да се консултирате с подробностите в следваща връзка.