Bilgisayar korsanları sıklıkla çeşitli gizli verileri toplamak için web aktivitelerini izlerler.
Çevrimiçi faaliyetlerinizi izleyen bilgisayar korsanları, kimlik avı planları ve sosyal mühendislik saldırıları düzenleyebilir ve bu da başarı şanslarını artıracaktır.
Graz Teknoloji Üniversitesi’nden siber güvenlik araştırmacıları, JavaScript, kod yürütme veya kullanıcı etkileşimi gerektirmeden kullanıcı etkinliklerini çıkarmak için ağ gecikmesini kullanan yeni bir yan kanal saldırısı olan SnailLoad’u keşfettiler:
- Stefan Misafir
- Roland Czerny
- Jonas Juffinger
- Fabian Rauscher
- Simon Fransa
- Daniel’e selamlar
Saldırgan kontrolündeki sunucudan gelen gecikme sürelerindeki değişimleri ölçerek, kurbanın makinesinde hangi videoların izlendiğini veya hangi web sitelerinin ziyaret edildiğini tespit ediyor.
SnailLoad, testler sırasında YouTube videolarını tespit etmede %98, ilk 100 web sitesini tespit etmede ise %62,8 doğruluk oranına ulaştı ve böylece daha önce yapılan aracı saldırılar uzak ortamlara da yayıldı.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
SnailLoad Yan Kanal Saldırısı
SnailLoad, aracı bir kişi senaryosu gerektiren önceki saldırılardan farklıdır. Herhangi bir internet sunucusundan pasif olarak çalışır ve minimum ağ etkinliği gerektirir.
SnailLoad, kurbanın son mil bağlantısındaki tampon şişkinliğinden kaynaklanan zamanlama farklılıklarından yararlanarak, kullanıcıların ziyaret ettiği siteleri çeşitli internet teknolojilerinde YouTube videoları için %98’e varan, ilk 100 web sitesi için ise %62,8’e varan doğrulukla belirleyebiliyor.
Bu teknik, çok sayıda ağ yan kanal saldırısını, yeni güvenlik sorunları ortaya çıkaran uzak PITM dışı senaryolara kadar genişletebilir.
Aşağıda SnailLoad’un saldırı kurulumundan bahsettik:
- Mağdur-sunucu iletişimi farklı ağ hızları üzerinden gerçekleşir.
- Sunucunun bağlantısı yüksek hızlıdır ve kurbanın son adımı daha yavaştır.
- Saldırganın paketleri, kurbanın son milinin tıkanması durumunda gecikmeler yaşar.
- Saldırgan, kurbanın web etkinliğini anlamak için paket gecikme modellerini kullanır.
SnailLoad, ağ koşullarına ve örnekleme oranlarına bağlı olarak etkinliğinde değişiklik gösterir. Herhangi bir internet bağlantısı üzerinden 512KB’den büyük dosyaların indirilmesini tespit edebilir.
On ev bağlantısında gerçekleştirilen video parmak izi deneylerinde, %37 ile %98 arasında değişen F1 puanları elde edilirken, fiber tabanlı bağlantılarda bant genişlikleri ve paylaşılan altyapılardaki farklılıklar nedeniyle farklı sonuçlar elde edildi.
Web sitesi parmak izi, açık dünya senaryosu için %62,8’lik bir makro ortalama F1 puanı üretti ve performans, site özelliklerine göre değişti.
Ayrıca SnailLoad, video görüşmeleri gibi diğer kullanıcı etkileşimlerini de tespit edebilme yeteneğine sahip olduğundan, PITM dışı ağ etkinliği çıkarım saldırıları için olası bir araç haline geliyor.
SnailLoad’un farklı internet bağlantıları üzerinde yapılan deneylerde video parmak izinde %37-98 oranında doğruluk sağladığı, web sitesi parmak izinde ise %62,8 oranında doğruluk sağladığı görüldü.
Bu durum, daha önce sadece aracı saldırılarla sınırlı olan birden fazla ağ tarafı kanal saldırısının, uzak, müdahalesiz ortamlara dönüştürülebileceğini gösteriyor.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo