Graz Teknoloji Üniversitesi’nden bir grup güvenlik araştırmacısı, SnailLoad olarak bilinen ve bir kullanıcının web etkinliğini uzaktan anlamak için kullanılabilecek yeni bir yan kanal saldırısı gösterdi.
Araştırmacılar “SnailLoad, tüm İnternet bağlantılarında mevcut olan bir darboğazdan yararlanıyor” söz konusu Bu hafta yayınlanan bir çalışmada.
“Bu darboğaz, ağ paketlerinin gecikmesini etkileyerek, saldırganın bir başkasının İnternet bağlantısındaki mevcut ağ etkinliğini çıkarmasına olanak tanır. Saldırgan, bu bilgiyi, bir kullanıcının ziyaret ettiği web sitelerini veya bir kullanıcının izlediği videoları çıkarmak için kullanabilir.”
Yaklaşımın tanımlayıcı bir özelliği, ortadaki düşman (AitM) saldırısı gerçekleştirme veya ağ trafiğini koklamak için Wi-Fi bağlantısına fiziksel olarak yakın olma ihtiyacını ortadan kaldırmasıdır.
Spesifik olarak, bir hedefin, tehdit aktörü tarafından kontrol edilen bir sunucudan zararsız bir varlık (örn. bir dosya, resim veya bir reklam) yüklemesi için kandırılması ve daha sonra kurbanın ağ gecikmesinden, ağdaki çevrimiçi etkinlikleri belirlemek için bir yan kanal olarak yararlanılması anlamına gelir. kurban sistemi.
Böyle bir parmak izi saldırısı gerçekleştirmek ve kullanıcının hangi videoyu veya web sitesini izlediğini veya ziyaret ettiğini öğrenmek için saldırgan, kurbanın ağ bağlantısına ilişkin, içerik sunucuya göz atarken veya görüntülerken sunucudan indirilirken bir dizi gecikme ölçümü gerçekleştirir.
Daha sonra, videolar için %98’e ve web siteleri için %63’e kadar doğrulukla çıkarım yapmak üzere aynı ağ kurulumundan gelen izlerle eğitilmiş bir evrişimli sinir ağını (CNN) kullanan bir işlem sonrası aşamayı içerir.
Başka bir deyişle, kurban tarafındaki ağ darboğazından dolayı, saldırgan, paketin gidiş-dönüş süresini (RTT) ölçerek iletilen veri miktarını çıkarabilmektedir. RTT izleri video başına benzersizdir ve mağdurun izlediği videoyu sınıflandırmak için kullanılabilir.
Saldırının bu şekilde adlandırılmasının nedeni, saldıran sunucunun, uzun bir süre boyunca bağlantı gecikmesini izlemek için dosyayı salyangoz hızıyla iletmesidir.
Araştırmacılar, “SnailLoad hiçbir JavaScript gerektirmez, kurban sisteminde herhangi bir kod yürütme biçimi gerektirmez ve kullanıcı etkileşimi gerektirmez, yalnızca ağ paketlerinin sürekli değişimini gerektirir” diye açıklayan araştırmacılar, “kurban sistemindeki gecikmeyi ölçer ve ağ etkinliği hakkında çıkarımda bulunur” diye ekledi. gecikme değişikliklerinden dolayı kurban sistemini.”
“Yan kanalın temel nedeni, genellikle kullanıcının modemi veya yönlendiricisinden önceki son düğüm olan bir taşıma yolu düğümündeki ara belleğe alma işlemidir. hizmet kalitesi sorunu isminde tampon şişkinliği“
Açıklama, akademisyenlerin, saldırganın kurbanla aynı Wi-Fi ağına bağlanarak İletim Kontrol Protokolü’ndeki (TCP) yerleşik rastgeleleştirmeyi aşmak için kullanabileceği, yönlendirici aygıt yazılımının Ağ Adresi Çevirisi (NAT) eşlemesini işleme biçimindeki bir güvenlik açığını ifşa etmesinin ardından geldi.
Araştırmacılar, “Çoğu yönlendirici, performans nedenleriyle TCP paketlerinin sıra numaralarını titizlikle denetlemez” dedi. söz konusu“Sonuç olarak, bu durum saldırganların yönlendiricideki NAT eşlemelerini kötü amaçlı olarak temizlemek için sahte sıfırlama (RST) paketleri oluşturarak istismar edebilecekleri ciddi güvenlik açıkları ortaya çıkarır.”
Saldırı, esasen tehdit aktörünün diğer istemci bağlantılarının kaynak portlarını çıkarmasına ve kurban istemci ile sunucu arasındaki normal TCP bağlantısının sıra numarasını ve onay numarasını çalarak TCP bağlantı manipülasyonu gerçekleştirmesine olanak tanır.
Araştırmacılara göre, TCP’yi hedef alan ele geçirme saldırıları, kurbanın HTTP web sayfasını zehirlemek veya hizmet reddi (DoS) saldırıları gerçekleştirmek için silah haline getirilebilir; araştırmacılar, güvenlik açığına yönelik yamaların OpenWrt topluluğu ve yönlendirici satıcıları tarafından hazırlandığını söyledi. 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti ve Xiaomi gibi.
