Met een slakkengang (afb: TU Graz)
Activiteiten van webgebruikers zouden via een zijkanaalaanval (Snailload) eenvoudig in detail kunnen worden gevolgd door schommelingen in de internetverbindingssnelheid te analyseren, hebben onderzoekers van de Technische Universiteit van Graz ontdekt. De aanval werkt zonder dat daar klikken op een foute koppeling (waardoor kwaadaardige code wordt geladen) of toegang tot het dataverkeer voor nodig is. Het lek zou zich moeilijk laten dichten, stellen ze. Het onderzoeksresultaat zal op Black Hat USA 2024 en USENIX Security Symposium worden gepresenteerd.
Internetgebruikers laten veel sporen achter op het wereldwijde web. Maatregelen zoals webtra’s, vpn-verbindingen en dergelijke geven de gebruiker enige mate van gegevensbescherming, maar een nieuw ontdekte kwetsbaarheid in het webverkeer maakt het echter mogelijk om al deze bescherming te omzeilen door de fluctuaties in de webverbinding van een gebruiker te meten.
Alle soorten apparaten die aan het web hangen en internetverbindingen hebben die kwetsbaarheid. Aanvallers volgen die snelheidsschommelingen in de internetverbinding via een zeer trage bestandsoverdracht.
Via de zijkanaalaanval Snailload zijn de webactiviteiten van een gebruiker te reconstrueren (afb: snailload.com)
Het slachtoffer hoeft slechts één keer direct contact te hebben met de aanvaller – bijvoorbeeld bij het bezoeken van een webstek of het bekijken van een promotievideo – om ongemerkt een in wezen onschadelijk bestand binnen te halen. Omdat dit bestand geen kwaadaardige code bevat, wordt het niet als gevaarlijk herkend door beveiligingsprogramma’s.
De overdracht van dit bestand is extreem traag, waardoor de aanvaller voortdurend informatie krijgt over de snelheidsvariatie van de internetverbinding van het slachtoffer. Daaruit zou de webactiviteit van het slachtoffer zijn te reconstrueren.
“Wanneer het slachtoffer een webstek bezoekt, een video bekijkt of via video met iemand spreekt, fluctueert de vertraging van de internetverbinding volgens een specifiek patroon dat afhankelijk is van de specifieke inhoud die wordt gebruikt”, zegt Stefan Gast van de IAIK.
Dit komt doordat alle webinhoud een unieke “vingerafdruk” heeft: voor een efficiënte overdracht wordt de inhoud opgedeeld in kleine datapakketjes die na elkaar van de server naar de gebruiker worden verzonden. Het patroon van het aantal en de omvang van deze datapakketten is uniek voor elk stukje inhoud, zoals een menselijke vingerafdruk.
Voor hun proeven verzamelden de onderzoekers vooraf de vingerafdrukken van een beperkt aantal YouTube-filmpjes en populaire webstekken. Als de proefpersonen deze video’s bekeken of weblocaties bezochten, konden de onderzoekers dit zien aan de bijbehorende snelheidschommelingen. “De aanval zou echter ook andersom werken”, zegt medeonderzoeker Daniel Gruss. “Aanvallers meten eerst het patroon van snelheidsschommelingen wanneer een slachtoffer op het web is en zoeken vervolgens naar inhoud met de bijpassende vingerafdruk.”
63% tot 98%
Bij het bespioneren van proefpersonen die video’s aan het bekijken waren, behaalden de onderzoekers een successcore van 98%. Gruss: “Hoe hoger het datavolume van de video’s en hoe langzamer de internetverbinding van de slachtoffers, hoe hoger het succespercentage.” Zo daalde de score voor het bespioneren van basiswebstekken zonder grote gegevensoverdracht naar 63%. “Als aanvallers hun ki-modellen echter met meer gegevens voeden dan wij in onze test hebben gedaan, zullen deze waarden zeker stijgen”, stelt Gruss.
Volgens Grusse is het dichten van dit veiligheidslek lastig. “De enige optie zou zijn dat webeheerders de internetverbindingen van hun klanten kunstmatig in een willekeurig patroon zouden vertragen”, zegt Gruss. Dit zou echter leiden tot vertragingen voor tijdkritische toepassingen zoals videoconferenties, webvideo e.d. Of het dan zo slim is om dat wereldkundig te maken is dan de vraag (en ik=as werk daar dan, een beetje, aan mee, o schande).
bron: Alpha Galileo