Un equip d' investigadors de la Universitat Tecnològica de Graz, conegut per desenvolupar atacs com MDS, NetSpectre, Throwhammer i ZombieLoad, ha presentat un nou mètode d'espionatge digital anomenat SnailLoad. Aquest atac de canal lateral és capaç de determinar si un usuari ha visitat llocs web específics o si ha vist determinats vídeos a YouTube, sense necessitat d'interceptar directament el trànsit.
S'esmenta que el motiu de cridar aquest nou atac SnailLoad és per la referència tant a la manera com l'atac s'executa com al seu efecte. El servidor atacanti envia fitxers de manera extremadament lenta, gairebé com a “pas de cargol”. Aquest comportament permet a l'atacant mesurar amb cura els retards en la connexió. A més, igual que un cargol deixa rastre, aquest atac deixa una empremta digital que revela les activitats en línia de l'usuari.
Com funciona SnailLoad
La clau d'aquest atac rau a explotar un coll d'ampolla present a totes les connexions a Internet, concretament a la coneguda “last mile”, és a dir, el tram entre el proveïdor de serveis i l'usuari. En saturar aquest enllaç, SnailLoad aprofita els canvis en la latència dels paquets de xarxa per inferir quina activitat està fent la víctima.
A diferència d'altres mètodes de rastreig que depenen d'atacs MITM o d'una anàlisi de trànsit més sofisticada, SnailLoad no requereix interceptar les comunicacions de l'usuari. Només cal que la víctima accedeixi a una pàgina controlada per l'atacant. Des d'allà, el servidor comença a enviar fitxers o imatges pesades a una velocitat extremadament lenta. Durant aquest temps, els canvis en els retards dels paquets permeten a l'atacant deduir si la víctima visita llocs web o reprodueix contingut en plataformes com YouTube.
El més preocupant és que ni tan sols cal executar codi JavaScript al navegador de la víctima: el flux de trànsit continu és suficient per generar lanàlisi.
Precisió de l'atac i factors determinants
L'efectivitat de SnailLoad depèn directament del tipus de connexió a Internet. En proves realitzades amb tecnologies com ADSL, FTTH, FTTB i LTE, la precisió va variar notablement. Per identificar un dels deu vídeos més populars de YouTube, la taxa d'èxit va oscil·lar entre un 37% i un 98%, depenent de la connexió.
De la mateixa manera, en els experiments dirigits a detectar l'obertura de llocs web populars, el nivell de precisió va assolir un màxim del 62,8%. Les connexions FTTH van resultar ser les més vulnerables, mentre que FTTB va oferir més resistència. No obstant això, qualsevol tipus de connexió domèstica es pot veure afectada.
Un altre factor que influeix és la quantitat de trànsit extern a la xarxa de l'usuari: com més trànsit heterogeni existeixi, més difícil és identificar patrons precisos.
Ens hauríem de preocupar per SnailLoad?
Tot i que l'atac és tècnicament viable i afecta la majoria de les connexions d'Internet, els investigadors creuen que és poc probable que s'exploti activament actualment. La raó principal és que, si bé SnailLoad aprofita els colls dampolla dample de banda prop del dispositiu de lusuari, requereix condicions controlades i un coneixement tècnic considerable per part de l'atacant.
Per exemple, que el teu router no respongui als pings no vol dir que estiguis protegit, ja que els ACK de TCP (confirmacions de recepció de paquets) contenen la mateixa informació que permet a l'atacant fer la seva anàlisi.
Dificultats per mitigar aquest atac
Eliminar la vulnerabilitat d'arrel no és senzill. El principal problema sorgeix de la diferència d'amplada de banda entre la xarxa troncal del proveïdor i les connexions individuals dels usuaris. Mentre aquesta desigualtat existeixi, l'atac continuarà sent possible.
Algunes possibles mesures de mitigació inclouen afegir trànsit aleatori en segon pla, executar aplicacions que generin trànsit heterogeni o introduir soroll a la connexió. Tot i això, aquestes solucions són limitades i no resolen per complet el problema.
Finalment, cal esmentar que SnailLoad és un exemple més de com la privadesa a Internet segueix enfrontant riscos inesperats. Tot i que la seva explotació pràctica encara no s'ha generalitzat, la seva existència demostra que fins i tot els mecanismes més bàsics de la infraestructura de xarxa es poden fer servir amb finalitats de vigilància.
El codi del costat del servidor que permet executar SnailLoad ja està disponible públicament a GitHub sota llicència MIT, cosa que significa que qualsevol amb coneixements tècnics pot estudiar-ho o fins i tot reproduir-ho.
Interessat en poder conèixer més sobre això, pots consultar els detalls al següent enllaç.