Graz Teknoloji Üniversitesi’ndeki araştırmacılar, yalnızca internet bağlantı hızlarındaki dalgalanmaları izleyerek kullanıcıların çevrimiçi etkinliklerini gözetlemeyi başardı. SnailLoad olarak bilinen bu güvenlik açığından yararlanılması için kötü amaçlı kod gerekmiyor ve veri trafiğinin ele geçirilmesi gerekmiyor. Her türlü uç cihaz ve internet bağlantısı etkilenir.
SnailLoad saldırı kurulumu
- Kurban bir sunucuyla iletişim kurar.
- Sunucunun hızlı bir internet bağlantısı var, kurbanın son mil bağlantısı da nispeten yavaş.
- Son mil meşgulse saldırganın kurbana paketleri gecikir.
- Yan kanal saldırısında saldırgan, kullanıcının hangi web sitesini veya videoyu izlediğini tahmin eder.
Şüphelenmeyen kurbanın, örneğin bir web sitesini ziyaret ederken veya bir tanıtım videosunu izlerken, saldırganla yalnızca tek bir doğrudan temas kurması gerekir. Bu etkileşim sırasında kurban farkında olmadan aslında zararsız bir dosya indirir. Herhangi bir kötü amaçlı kod içermeyen bu dosya, güvenlik yazılımı tarafından tespit edilmekten kaçınır. Bu dosyanın aktarımı son derece yavaştır ve saldırgana, kurbanın internet bağlantısındaki gecikme değişimi hakkında sürekli bilgi sağlar. Bu gizli yaklaşım, saldırganın kurbanın çevrimiçi etkinliğini yeniden yapılandırmasına olanak tanıyarak kurbanın mahremiyetine tehdit oluşturur.
SnailLoad, gecikme verilerini çevrimiçi içeriğin parmak iziyle birleştiriyor
IAIK’ten Stefan Gast, “Kurban bir web sitesine eriştiğinde, çevrimiçi bir video izlediğinde veya birisiyle video aracılığıyla konuştuğunda, internet bağlantısının gecikmesi, kullanılan belirli içeriğe bağlı olarak belirli bir düzende dalgalanıyor” diyor.
Bunun nedeni, tüm çevrimiçi içeriğin benzersiz bir “parmak izine” sahip olmasıdır. Verimli iletim için çevrimiçi içerik, ana sunucudan kullanıcıya birbiri ardına gönderilen küçük veri paketlerine bölünür. Bu veri paketlerinin sayısı ve boyutu, tıpkı insan parmak izi gibi, her çevrimiçi içerik parçası için benzersizdir.
Araştırmacılar, test amacıyla sınırlı sayıda YouTube videosunun ve popüler web sitelerinin parmak izlerini önceden topladı. Test denekleri bu videoları ve web sitelerini kullandığında, araştırmacılar bunu karşılık gelen gecikme dalgalanmalarından tanıyabildi. IAIK’ten Daniel Gruss şöyle diyor: “Ancak saldırı tam tersi şekilde de işleyebilir”: “Saldırganlar öncelikle kurban çevrimiçi olduğunda gecikme dalgalanmalarının modelini ölçüyor ve ardından eşleşen parmak izine sahip çevrimiçi içerik arıyor.”
Yavaş internet bağlantıları saldırganların işini kolaylaştırıyor
Araştırmacılar, video izleyen denekler üzerinde casusluk yaparken yüzde 98’e varan bir başarı oranı elde etti.
Gruss, “Videoların veri hacmi ne kadar yüksekse ve kurbanların internet bağlantısı ne kadar yavaşsa başarı oranı da o kadar iyi” diye açıklıyor. Sonuç olarak, temel web sitelerinde casusluk yapmanın başarı oranı yüzde 63 civarına düştü. Gruss, “Ancak saldırganlar makine öğrenimi modellerini bizim testimizde yaptığımızdan daha fazla veriyle beslerse bu değerler kesinlikle artacaktır” diye ekledi.
Kapatılması neredeyse imkansız olan boşluk
“Bu güvenlik açığını kapatmak zor. Gruss, tek seçeneğin, sağlayıcıların müşterilerinin internet bağlantılarını rastgele bir düzende yapay olarak yavaşlatması olacağını söyledi. Ancak bu, video konferanslar, canlı yayınlar veya çevrimiçi bilgisayar oyunları gibi zaman açısından kritik uygulamalarda gözle görülür gecikmelere yol açacaktır.
Kavram kanıtı kodu GitHub’da mevcuttur. Araştırma makalesine buradan ulaşabilirsiniz.