Avusturya’nın Graz Teknoloji Üniversitesi’nden araştırmacılar, kullanıcı etkinliğini anlamak için ağ gecikmesinden yararlanan SnailLoad adlı yeni bir yan kanal saldırısını ortaya çıkardı. SnailLoad, saldırganların, ağ trafiğine doğrudan erişime ihtiyaç duymadan, kurbanların ziyaret ettiği web siteleri veya izlediği videolar hakkında bilgi toplamasına olanak tanıyan, invaziv olmayan bir saldırı tekniğidir.
SnailLoad Exploit Nasıl Çalışır
SnailLoad, çoğu internet bağlantısında mevcut olan bant genişliği darboğazından yararlanır. Bir kullanıcının cihazı bir sunucuyla iletişim kurduğunda, bağlantının son mili genellikle sunucunun bağlantısından daha yavaştır. Saldırgan, kurbanın bağlantısının ne zaman meşgul olduğunu anlamak için kurbana gönderilen kendi paketlerindeki gecikmeleri ölçebilir.
Saldırı, bir dosyanın veya herhangi bir web sitesi bileşeninin (bir stil sayfası, bir yazı tipi, bir resim veya bir reklam gibi) indirilmesi gibi gizlenir. Saldıran sunucu, bağlantı gecikmesini uzun bir süre boyunca izlemek için dosyayı bir salyangoz hızında gönderir. Araştırmacılar, “yavaş olmasının yanı sıra, SnailLoad, tıpkı bir salyangoz gibi, izler bırakır ve biraz ürkütücüdür” diyerek tekniğe ‘SnailLoad’ adını vermeye karar verdiler.
Saldırı, kurbanın sisteminde herhangi bir JavaScript veya kod yürütülmesini gerektirmez. Bu, kurbanın, son derece yavaş bir hızda veri gönderen, saldırgan tarafından kontrol edilen bir sunucudan içerik yüklemesini içerir. Saldırgan, zaman içindeki gecikmeyi izleyerek kalıpları belirli çevrimiçi etkinliklerle ilişkilendirebilir.
Araştırmacılar, SnailLoad saldırısını yeniden oluşturmak için gereken koşulları paylaştı:
- Mağdur saldırı sunucusuyla iletişim kurar.
- İletişim kurulan sunucunun internet bağlantısı, kurbanın son mil bağlantısından daha hızlıdır.
- Saldırganın kurbana gönderdiği paketler son mil meşgulse gecikir.
- Saldırgan, yan kanal saldırısı yoluyla kurbanın ziyaret ettiği web sitesini veya izlediği videoyu çıkarsıyor.
SnailLoad araştırma makalesinde ayrıntılı olarak açıklanan ilgili kullanıcı çalışmasında, araştırmacılar SnailLoad saldırı tekniğini kullanan bir ölçüm betiğini çalıştırmak için gönüllü olan yerel lisans ve lisansüstü öğrencilere yaklaştılar. Araştırmacılar hiçbir noktada hiçbir kişisel bilginin bilgi sızıntısına maruz kalmadığından emin olmak için adımlar attılar.
Ayrıca araştırmacılar, makale yayınlandıktan sonra toplanan izleri yok etmeyi ve öğrencilere herhangi bir noktada doğrudan izlerin silinmesini veya izlerinin makalenin sonuçlarından hariç tutulmasını talep etme seçeneğini sunmayı planlamışlardı.
Araştırmacılar, saldırı tekniğini 9 Mart’ta makalelerinin sorumlu ifşa bölümünde Google’a bildirdiler ve Google sorunun ciddiyetini kabul etti. Teknoloji devi ayrıca YouTube için olası sunucu tarafı hafifletmelerini araştırdığını belirtti. Araştırmacılar, GitHub’da çalışan bir kavram kanıtı, talimatlar ve çevrimiçi bir demo paylaştı.
SnailLoad Etkileri ve Azaltma
SnailLoad, testlerde kurbanların izlediği YouTube videolarını tespit etmede %98’e varan doğruluk oranı elde etmeyi başardı. Ayrıca en çok ziyaret edilen 100 listedeki web sitelerinin parmak izi almasında %62,8 doğruluk gösterdi.
Şu anda doğada gözlemlenmese de SnailLoad, potansiyel olarak çoğu internet bağlantısını etkileyebilir. Kök neden ağ altyapısındaki temel bant genişliği farklılıklarından kaynaklandığı için azaltma zordur. Araştırmacılar, ağa rastgele gürültü eklemenin saldırının doğruluğunu azaltabileceğini ancak performansı etkileyebileceğini ve kullanıcılar için rahatsızlık yaratabileceğini belirtti.
Çevrimiçi gizlilik endişeleri arttıkça, SnailLoad şifreli trafiğin bile gizli zamanlama farkları yoluyla bilgi sızdırmak için nasıl potansiyel olarak istismar edilebileceğini vurguluyor. Bu yeni sınıf uzaktan yan kanal saldırılarına karşı etkili karşı önlemler geliştirmek için daha fazla araştırma gerekebilir.