Graz telefon dinleme saldırısı yalnızca TCP/IP'ye ihtiyaç duyar; ne kötü amaçlı yazılım ne de güvenlik açığı

Draqon

Aktif Üye
Graz Teknik Üniversitesi'nden bir araştırma ekibi, İnternet kullanıcılarının o anda hangi web sitelerini veya videoları görüntülediğini ortaya çıkaran bir saldırı yöntemi keşfetti. Şaşırtıcı bir şekilde, yöntem kurbanın cihazında herhangi bir gözetleme yazılımı gerektirmiyor. Saldırılar, internet üzerinde kurbana IP paketlerinin gönderilebildiği herhangi bir yerden gerçekleştirilebilir. Araştırma ekibinde, Intel işlemcilerindeki Spectre ve Meltdown adlı iki güvenlik açığının keşfedilmesinde de yer alan Daniel Gruss ve Stefan Gast yer alıyor.


Reklamcılık



SnailLoad olarak bilinen gizlice dinleme saldırısı, farklı dosyaların indirilmesinin paket çalıştırma sürelerinde (gidiş-dönüş süreleri, RTT'ler) dalgalanmalar göstermesi ve aynı dosyanın aynı sunucudan aynı sunucudan indirilmesi durumunda bu dalgalanmaların bireysel olduğu gerçeğine dayanmaktadır. aynı ağ yolu. Bu, popüler web siteleri veya YouTube videoları gibi birçok indirme işlemi için geçerlidir. Ayrıca iki dosya aynı anda indirilirse, birinin dalgalanma düzeni diğerinin dalgalanmalarını karakteristik bir şekilde etkiler. Her iki dosyanın desenlerini biliyorsanız, diğer dosyayı yalnızca desenlerden birinden çıkartabilirsiniz.

Tipik gecikme dalgalanmalarının nedeni, sağlayıcıların hızlı çekirdek ağlarından kurbanların bağlantısına giden “son aşamaya” geçiş sırasında ağ düğümlerindeki tamponlardır. Kurbanların herhangi bir ağ etkinliği, arabellekleri belirli bir şekilde doldurup boşaltır ve bu da sunucu tarafında iletimde karakteristik gecikmelere yol açar.

Video ve web sitesi parmak izi alma





Diyagram, sunucunun ve saldırganın internete hızlı bağlantısını, ancak hedef cihazın yavaş bağlantısını gösteriyor



SnailLoad, sağlayıcının çekirdek ağından İnternet kullanıcısının bağlantı hattına geçişte bir darboğazdan yararlanır. Darboğaz, ağ paketleri indirilirken karakteristik gecikmelere neden olur. Saldırganlar, bir İnternet kullanıcısının o anda hangi web sitesini veya videoyu görüntülediğini tespit etmek için bu bilgileri kötüye kullanabilir.


(Resim:

Stefan Konuk ve Personel)



Saldırganların bunu ölçmek için kurbanın sistemine daha uzun bir süre boyunca dosya gönderen ve bireysel veri paketlerinin iletim zamanlarının kesin olarak okunabildiği bir sunucuya ihtiyacı var. Dosya, bir web sitesinde büyük ama görünmez bir resim olabilir; tipik gecikme süresi, ölçüm kurulumunda bir araştırma görevi görür. Son olarak, sondayı kullanarak tanımlamak istediğiniz dosyaların gecikme modellerine ihtiyacınız vardır. Ancak bunlara yaygın web sitelerinden veya YouTube videolarından ulaşmak kolaydır.

Yöntemi pratikte test etmek için araştırmacılar kendilerine belirli YouTube videolarını tanımlama hedefi koydular. Bunu yapmak için kurban çeşitli YouTube videolarını tam HD çözünürlükte izlerken ağ gecikme eğrilerini kaydettiler. Gecikme değerleri, kısa süreli Fourier dönüşümleri kullanılarak işlendi ve bu sonuçlar, çeşitli eğrileri belirli videolara atamak için evrişimli bir sinir ağına beslendi. On farklı İnternet bağlantısı üzerinden değerlendirildiğinde SnailLoad yüzde 37 ila 98 arasında doğruluk elde etti.

Belirli web sitelerini tanımlamak için aynı yöntem kullanıldı. 100 popüler web sitesinin yer aldığı bir senaryoda SnailLoad yüzde 63'lük bir orana ulaştı. Saldırının, eğitim ve test verileri farklı ağ bağlantılarından geldiğinde de doğruluğu azalmış olsa da işe yaraması dikkat çekicidir.

SnailLoad, ağ üzerinden yan kanal saldırılarına yönelik seçenekleri önemli ölçüde genişletir. Ortadaki adama dayanan önceki çalışmaların çoğu, tamamen uzaktan saldırılara dönüştürülebilirdi. Yöntem muhtemelen iki kullanıcının birbiriyle görüntülü arama yaptığını da tespit edebilir.

Savunma seçenekleri


Yazarlar, SnailLoad gizlice dinleme saldırısına karşı savunmanın zorlu olduğunu düşünüyor çünkü nedenleri (ağ yolundaki farklı bant genişlikleri ve arabellekler) ortadan kaldırmak zor. Araştırmacılar, çalışmalarında “Ağ bağlantısına yapay olarak eklenen gürültü, saldırının doğruluğunu azaltabilir, ancak bu, kullanıcının hizmet kalitesi pahasına olur” diye yazıyor.

Windows ayarlama aracı cFosSpeed'in arkasındaki orijinal geliştiricilerden biri olan Christoph Lüders, yöntemin makul olduğunu düşünüyor ancak aynı zamanda buna karşı koymanın yollarını da görüyor: “Deneyimlerimizden bildiğimiz şey, farklı sunuculardan yapılan indirmelerin gerçekten de istemcide farklı gecikme kalıpları bıraktığıdır. Ancak, bu yalnızca en az binlerce paket gönderirseniz istatistiksel olarak anlamlıdır. Bu tekniği aşmanın bariz yolları vardır: Belki sadece HTTP-X başlıklarıyla birkaç gereksiz veri gönderebilirsiniz. Gönderim sırasında gönderen, verileri küçük gecikmelerle gönderebilir veya ara sıra yalnızca yarısı dolu bir veri bloğu gönderebilir. Ya da gönderen, eski veri bloklarını basitçe yeniden gönderebilir. Alıcı da bunları biraz geciktirebilir. alındı bildirimleri (ACK paketleri) Kesinlikle başka yollar da var ve elbette tüm önlemlerin kombinasyonları.”

Prensip olarak, farklı ağ kartları, ölçüm sırasında kullanıcıların cihazlarının farklı düzeylerde kullanılması, farklı TCP yığınları veya yalnızca farklı gezinme davranışları gibi şeyler ölçümün kalitesini etkileyebilir. Bu nedenle, çalışmanın baş yazarı Stefan Gast'tan daha fazla bilgi istedik.

c't: Ölçüm senaryonuzda farklı işletim sistemlerinin veya farklı TCP yığınlarının nasıl davrandığını araştırdınız mı?

Stefan Gast: Katılımcılarımızdan biri video parmak izini macOS'ta gerçekleştirdi ve bu, Linux'ta olduğu kadar orada da çalışıyor. Ayrıca bazı temel deneylerimizi Windows üzerinde gerçekleştirdik. Windows'taki herhangi bir arka plan ağ etkinliğinin sinyalimize biraz daha fazla gürültü katması mümkündür. Ancak bu, diğer yan kanal saldırılarında olduğu gibi daha fazla eğitim verisi veya daha uzun kayıtlarla telafi edilebilir.

Bunun altında yatan neden, omurga bağlantılarının ve tipik İnternet bağlantılarının farklı hızlarıdır. Böylece etki, kullanılan TCP/IP yığınından bağımsız olarak ortaya çıkar.

c't: Aldıklarından daha yavaş gönderen asimetrik İnternet bağlantılarının, rastgele yüklemelerin indirme işlemini yavaşlatabileceği olgusuna sahip olduğu bilinmektedir. Yüklemeler SnailLoad'un analizinin doğruluğunu nasıl etkiler?

Stefan Gast: Paralel aktarımlar, ister yükleme ister indirme olsun, İnternet bağlantısının (yukarı veya aşağı yönde) kapasitesini gerçekten aştıkları takdirde sonuçlarımızı önemli ölçüde kötüleştirir. İndirmeler için bunu araştırdık ve kanıtladık; makalemizdeki Bölüm 8, Şekil 11'e bakın. Paralel yüklemeler de benzer bir etkiye sahip olacaktır, ancak giden paketler daha sonra kullanıcının kendi İnternet ağ geçidinde, yani yönlendiricide birikecektir.




(dz)