Команда исследователи из Технологического университета Граца, известный разработкой таких атак, как MDS, NetSpectre, Throwhammer и ZombieLoad, представил новый метод цифрового шпионажа под названием SnailLoadЭта атака по сторонним каналам позволяет определить, посещал ли пользователь определенные веб-сайты или смотрел ли определенные видео на YouTube, без необходимости прямого перехвата его трафика.
Отмечается, что название новой атаки «SnailLoad» связано как со способом её реализации, так и с её эффектом. Атакующий сервери отправляет файлы крайне медленно, почти со скоростью улитки. Такое поведение позволяет злоумышленнику тщательно измерять задержки соединения. Более того, подобно тому, как улитка оставляет за собой след, эта атака оставляет цифровой след, раскрывающий действия пользователя в сети.
Как работает SnailLoad
Ключ к этой атаке Он заключается в использовании узкого места, присутствующего во всех соединениях. к Интернету, особенно на так называемой «последней миле», то есть на участке между провайдером и пользователем. Насыщая этот канал, SnailLoad использует изменения в задержке сетевых пакетов, чтобы определить, какую активность выполняет жертва.
В отличие от других методов отслеживания, которые полагаются на атаки MITM или более сложный анализ трафика, SnailLoad не требует перехвата сообщений пользователь. Все, что нужно сделать жертве, — это зайти на контролируемую страницу. Злоумышленником. После этого сервер начинает отправлять большие файлы или изображения на чрезвычайно низкой скорости. В это время изменения в задержках пакетов позволяют злоумышленнику определить, посещает ли жертва веб-сайты или воспроизводит потоковое видео на таких платформах, как YouTube.
Самое тревожное, что для этого даже не обязательно бежать. Код JavaScript в браузере жертвы: Непрерывный поток трафика достаточен для запуска анализа.
Точность атаки и определяющие факторы
Эффективность SnailLoad напрямую зависит от типа интернет-подключения. В тестах с использованием таких технологий, как ADSL, FTTH, FTTB и LTE, точность значительно варьировалась. При определении одного из десяти самых популярных видеороликов YouTube вероятность успеха варьировалась от 37% до 98% в зависимости от типа соединения.
Кроме того, В экспериментах по обнаружению открытия популярных веб-сайтов уровень точности достигал максимума в 62,8%.Наиболее уязвимыми оказались соединения FTTH, а наибольшей устойчивостью – соединения FTTB. Однако затронутым может оказаться любой тип домашнего подключения.
Другим фактором является объем внешнего трафика в сети пользователя: чем более неоднороден трафик, тем сложнее выявить точные закономерности.
Стоит ли нам беспокоиться о SnailLoad?
Хотя атака технически осуществима и затрагивает большинство интернет-соединений, Исследователи полагают, что его активная эксплуатация маловероятна. В настоящее время. Основная причина в том, что SnailLoad использует узкие места в полосе пропускания вблизи устройства пользователя, требует контролируемых условий и значительных технических знаний со стороны злоумышленника.
Например, тот факт, что ваш маршрутизатор не отвечает на пинги, не означает, что вы защищены, поскольку TCP ACK (подтверждения пакетов) содержат ту же информацию, которая позволяет злоумышленнику выполнить свой анализ.
Трудности в смягчении этой атаки
Устранить уязвимость в корне Это непросто. Основная проблема возникает из-за разницы в пропускной способности. между магистральной сетью провайдера и индивидуальные соединения Пока существует это неравенство, атака будет возможна.
Некоторые возможные меры смягчения включают добавление случайного трафика. Работающие в фоновом режиме приложения, генерирующие неоднородный трафик или создающие помехи в соединении. Однако эти решения ограничены и не решают проблему полностью.
Наконец, стоит отметить, что SnailLoad — ещё один пример того, как конфиденциальность в интернете продолжает сталкиваться с неожиданными рисками. Хотя его практическое применение пока не получило широкого распространения, его существование демонстрирует, что даже самые простые механизмы сетевой инфраструктуры могут быть использованы для слежки.
Серверный код, который запускает SnailLoad, теперь доступен публично на GitHub по лицензии MIT, что означает, что любой, кто обладает техническими знаниями, может изучить его или даже воспроизвести.
Хотите узнать больше об этом, вы можете ознакомиться с подробностями в по следующей ссылке.