Uma equipe de pesquisadores da Graz University of Technology, conhecido por desenvolver ataques como MDS, NetSpectre, Throwhammer e ZombieLoad, introduziu um novo método de espionagem digital chamado SnailLoadEste ataque de canal lateral é capaz de determinar se um usuário visitou sites específicos ou assistiu a determinados vídeos no YouTube, sem precisar interceptar diretamente seu tráfego.
Menciona-se que o motivo para chamar este novo ataque de "SnailLoad" se deve à referência tanto à forma como o ataque é executado quanto ao seu efeito. O servidor atacantee envia arquivos extremamente lentamente, quase a passo de caracol. Esse comportamento permite que o invasor meça cuidadosamente os atrasos de conexão. Além disso, assim como um caracol deixa um rastro, esse ataque deixa uma pegada digital que revela as atividades online do usuário.
Como funciona o SnailLoad
A chave para este ataque Consiste em explorar um gargalo presente em todas as conexões à Internet, especificamente na chamada "última milha", ou seja, o trecho entre o provedor de serviços e o usuário. Ao saturar esse link, O SnailLoad aproveita as mudanças na latência dos pacotes de rede para inferir qual atividade a vítima está realizando.
Ao contrário de outros métodos de rastreamento que dependem de ataques MITM ou análises de tráfego mais sofisticadas, O SnailLoad não requer interceptação de comunicações do usuário. Tudo o que a vítima precisa fazer é acessar uma página controlada. pelo invasor. A partir daí, o servidor começa a enviar arquivos ou imagens grandes a uma velocidade extremamente lenta. Durante esse tempo, mudanças nos atrasos dos pacotes permitem que o invasor deduza se a vítima está visitando sites ou transmitindo conteúdo em plataformas como o YouTube.
O mais preocupante é que nem é preciso correr Código JavaScript no navegador da vítima: O fluxo contínuo de tráfego é suficiente para acionar a análise.
Precisão de ataque e fatores determinantes
A eficácia de O SnailLoad depende diretamente do tipo de conexão com a Internet. Em testes com tecnologias como ADSL, FTTH, FTTB e LTE, a precisão variou significativamente. Para identificar um dos dez vídeos mais populares do YouTube, a taxa de sucesso variou de 37% a 98%, dependendo da conexão.
Do mesmo modo, Em experimentos que visavam detectar a abertura de sites populares, o nível de precisão atingiu um máximo de 62,8%.As conexões FTTH provaram ser as mais vulneráveis, enquanto as conexões FTTB ofereceram a maior resistência. No entanto, qualquer tipo de conexão residencial pode ser afetada.
Outro fator é a quantidade de tráfego externo na rede do usuário: quanto mais heterogêneo for o tráfego, mais difícil será identificar padrões precisos.
Devemos nos preocupar com o SnailLoad?
Embora o ataque seja tecnicamente viável e afete a maioria das conexões de Internet, Os pesquisadores acreditam que é improvável que seja explorado ativamente atualmente. O principal motivo é que, embora o SnailLoad aproveite os gargalos de largura de banda perto do dispositivo do usuário, requer condições controladas e considerável conhecimento técnico por parte do invasor.
Por exemplo, só porque seu roteador não responde a pings não significa que você está protegido, já que os ACKs (reconhecimentos de pacotes) TCP contêm as mesmas informações que permitem que um invasor execute sua análise.
Dificuldades em mitigar este ataque
Elimine a vulnerabilidade pela raiz Não é fácil. O principal problema surge da diferença de largura de banda. entre a rede principal do provedor e conexões individuais de usuários. Enquanto essa desigualdade persistir, o ataque continuará sendo possível.
Algumas medidas de mitigação possíveis incluem adicionar tráfego aleatório executar aplicativos em segundo plano que geram tráfego heterogêneo ou introduzem ruído na conexão. No entanto, essas soluções são limitadas e não resolvem completamente o problema.
Por fim, vale mencionar que o SnailLoad é mais um exemplo de como a privacidade na internet continua a enfrentar riscos inesperados. Embora sua exploração prática ainda não tenha se generalizado, sua existência demonstra que mesmo os mecanismos mais básicos da infraestrutura de rede podem ser usados para fins de vigilância.
O código do lado do servidor que executa o SnailLoad agora está disponível publicamente no GitHub sob a licença MIT, o que significa que qualquer pessoa com conhecimento técnico pode estudá-lo ou até mesmo reproduzi-lo.
Interessado em saber mais sobre o assunto, você pode consultar os detalhes no link a seguir