bencede
New member
Graz Teknoloji Üniversitesi'ndeki bir araştırma ekibi tarafından keşfedilen bir saldırı yöntemi, şu anda İnternet kullanıcılarının hangi web sitelerini veya videoları görüntülediğini ortaya koyuyor. Şaşırtıcı bir şekilde, yöntem kurbanın cihazında herhangi bir gözetleme yazılımı gerektirmiyor. Saldırılar, internet üzerinde kurbana IP paketlerinin gönderilebildiği herhangi bir noktadan başlatılabilir. Araştırma grubunda Intel işlemcilerindeki iki güvenlik açığının (Spectre ve Meltdown) keşfedilmesine katkıda bulunan Daniel Gruss ve Stefan Gast da yer alıyor.
Duyuru
SnailLoad adı verilen gizlice dinleme saldırısı, farklı dosyaların indirilmesinde paket gecikmesinde dalgalanmalar (Gidiş Dönüş Süreleri, RTT) olması ve aynı dosya aynı yol ağı üzerindeki aynı sunucudan yüklendiği sürece bu dalgalanmaların bireysel olması gerçeğine dayanmaktadır. . Yaygın web siteleri veya YouTube videoları gibi birçok indirme işleminde bu durum geçerlidir. Ayrıca, iki dosya aynı anda indirildiğinde, birinin dalgalanma modeli karakteristik olarak diğerinin dalgalanmasını etkiler. Her iki dosyanın da modelini biliyorsanız, diğer dosyayı yalnızca modellerden birinden çıkartabilirsiniz.
Tipik gecikme dalgalanmalarının nedeni, sağlayıcıların hızlı çekirdek ağlarından kurbanların bağlantısına giden “son kilometreye” geçiş sırasında ağ düğümlerindeki tamponlardır. Kurbanların herhangi bir ağ etkinliği, arabellekleri belirli bir şekilde doldurup boşaltır ve bu da sunucu tarafında karakteristik iletim gecikmelerine neden olur.
Parmak izi videoları ve web siteleri
SnailLoad, sağlayıcının çekirdek ağından İnternet abonesinin bağlantı hattına geçişte bir darboğazdan yararlanır. Darboğaz, ağ paketleri indirilirken karakteristik gecikmelere neden olur. Saldırganlar, bir İnternet kullanıcısının o anda hangi web sitesini veya videoyu görüntülediğini tespit etmek için bu bilgileri kötüye kullanabilir.
(Resim:
Stefan konuğu ve personeli)
Saldırganların ölçüm amacıyla, kurbanın sistemine uzun bir süre boyunca dosya gönderen ve bireysel veri paketlerinin iletim sürelerinin tam olarak okunabileceği bir sunucuya ihtiyacı vardır. Dosya, bir web sayfasında büyük ama görünmez bir resim olabilir; tipik gecikme süresi, ölçüm kurulumunda bir araştırma görevi görür. Son olarak, sondayı kullanarak tanımlamak istediğiniz dosyaların gecikme modellerine ihtiyacınız vardır. Ancak bunlara yaygın web sitelerinden veya YouTube videolarından ulaşmak kolaydır.
Yöntemi pratikte test etmek için araştırmacılar belirli YouTube videolarını belirlemeye başladı. Bu amaçla kurban çeşitli YouTube videolarını Full HD çözünürlükte izlerken ağ gecikme eğrilerini kaydettiler. Gecikme değerleri, kısa vadeli Fourier dönüşümleri kullanılarak işlendi ve bu sonuçlar, farklı eğrileri belirli videolara atamak için evrişimli bir sinir ağına beslendi. SnailLoad, ondan fazla farklı İnternet bağlantısını değerlendirerek %37 ile %98 arasında bir doğruluk elde etti.
Bazı web siteleri de aynı şekilde tanımlanabilir. 100 popüler web sitesinin yer aldığı bir senaryoda SnailLoad %63'lük bir orana ulaştı. Dikkate değer olan şey, saldırının, eğitim ve test verileri farklı ağ bağlantılarından geldiğinde bile doğruluğu azalmış olsa da işe yaramasıydı.
SnailLoad, ağdaki yan kanal saldırılarının çeşitlerini önemli ölçüde genişletiyor. Ortadaki adama dayanan önceki çalışmaların çoğu, tamamen uzaktan saldırılara dönüştürülebilirdi. Yöntem muhtemelen iki kullanıcının birbirini görüntülü aramasını da algılayabilir.
Savunma seçenekleri
Yazarlar, SnailLoad gizlice dinleme saldırısına karşı savunmanın zorlu olduğuna inanıyor çünkü nedenlerin (ağ yolundaki farklı bant genişlikleri ve arabellekler) neredeyse ortadan kaldırılması mümkün değil. Araştırmacılar, çalışmalarında “Ağ bağlantısına yapay olarak gürültü eklemek, saldırının doğruluğunu azaltabilir, ancak kullanıcı için hizmet kalitesinden ödün verilmesine neden olur” diye yazıyor.
Windows optimizasyon aracı cFosSpeed'in arkasındaki orijinal geliştiricilerden biri olan Christoph Lüders, yöntemin makul olduğuna inanıyor ancak aynı zamanda savunma seçenekleri de görüyor: “Deneyimlerden bildiğimiz şey, farklı sunuculardan yapılan indirmelerin aslında istemcide farklı gecikme kalıplarına sahip olduğudur. Ancak, bu yalnızca en az binlerce paket gönderiyorsanız istatistiksel olarak anlamlıdır. Bu tekniği yenmenin bariz yolları vardır: Bazı gereksiz verileri gönderme sırasında küçük duraklamalar alarak belki de önce veya sonra gönderebilirsiniz. Gönderen, verileri küçük gecikmelerle gönderebilir veya arada sırada yalnızca yarım dolu veri bloğu gönderebilir. Veya, alıcı da bunları basitçe atabilir. Biraz gecikmeli olması için, tüm önlemlerin birleşimi de dahil olmak üzere başka yollar da vardır.
Prensip olarak, farklı ağ kartları, ölçüm sırasında kullanılan farklı kullanıcı cihazları, farklı TCP yığınları veya yalnızca farklı tarama davranışları gibi şeyler bile ölçümün kalitesini etkileyebilir. Daha sonra çalışmanın baş yazarı Stefan Gast'tan daha fazla bilgi istedik.
c't: Ölçüm senaryonuzda farklı işletim sistemlerinin veya farklı TCP yığınlarının davranışlarına baktınız mı?
Stefan Gast: Katılımcılarımızdan biri macOS'ta video parmakla tarama gerçekleştirdi ve orada da tıpkı Linux'ta olduğu gibi çalışıyor. Ayrıca bazı temel deneylerimizi Windows üzerinde de yürüttük. Windows tarafında herhangi bir arka plan ağ etkinliğinin sinyalimize biraz daha fazla gürültü katması mümkündür. Ancak diğer yan kanal saldırılarında olduğu gibi bu durum daha fazla eğitim verisi veya daha uzun kayıtlarla telafi edilebilir.
Bunun altında yatan neden, omurga bağlantılarının ve tipik İnternet bağlantılarının farklı hızlarıdır. Bu nedenle etki, kullanılan TCP/IP yığınından bağımsız olarak ortaya çıkar.
c't: Rastgele yüklemelerin indirme işlemini yavaşlatabileceği olgusu, gönderildiklerinden daha yavaş gönderen asimetrik İnternet bağlantılarında bilinmektedir. Yüklemeler SnailLoad'un analizinin doğruluğunu nasıl etkiler?
Stefan Gast: Paralel aktarımlar, ister yükleme ister indirme olsun, İnternet bağlantısının (yukarı veya aşağı yönde) kapasitesini gerçekten aştıkları takdirde sonuçlarımızı önemli ölçüde kötüleştirir. Bunu indirmeler için inceledik ve gösterdik, makalemizde Bölüm 8, Şekil 11'e bakınız. Paralel yüklemelerde de benzer bir etki olacaktır, ancak giden paketler daha sonra İnternet ağ geçidinizde, yani yönlendiricinizde birikecektir.
(dz)
Duyuru
SnailLoad adı verilen gizlice dinleme saldırısı, farklı dosyaların indirilmesinde paket gecikmesinde dalgalanmalar (Gidiş Dönüş Süreleri, RTT) olması ve aynı dosya aynı yol ağı üzerindeki aynı sunucudan yüklendiği sürece bu dalgalanmaların bireysel olması gerçeğine dayanmaktadır. . Yaygın web siteleri veya YouTube videoları gibi birçok indirme işleminde bu durum geçerlidir. Ayrıca, iki dosya aynı anda indirildiğinde, birinin dalgalanma modeli karakteristik olarak diğerinin dalgalanmasını etkiler. Her iki dosyanın da modelini biliyorsanız, diğer dosyayı yalnızca modellerden birinden çıkartabilirsiniz.
Tipik gecikme dalgalanmalarının nedeni, sağlayıcıların hızlı çekirdek ağlarından kurbanların bağlantısına giden “son kilometreye” geçiş sırasında ağ düğümlerindeki tamponlardır. Kurbanların herhangi bir ağ etkinliği, arabellekleri belirli bir şekilde doldurup boşaltır ve bu da sunucu tarafında karakteristik iletim gecikmelerine neden olur.
Parmak izi videoları ve web siteleri
SnailLoad, sağlayıcının çekirdek ağından İnternet abonesinin bağlantı hattına geçişte bir darboğazdan yararlanır. Darboğaz, ağ paketleri indirilirken karakteristik gecikmelere neden olur. Saldırganlar, bir İnternet kullanıcısının o anda hangi web sitesini veya videoyu görüntülediğini tespit etmek için bu bilgileri kötüye kullanabilir.
(Resim:
Stefan konuğu ve personeli)
Saldırganların ölçüm amacıyla, kurbanın sistemine uzun bir süre boyunca dosya gönderen ve bireysel veri paketlerinin iletim sürelerinin tam olarak okunabileceği bir sunucuya ihtiyacı vardır. Dosya, bir web sayfasında büyük ama görünmez bir resim olabilir; tipik gecikme süresi, ölçüm kurulumunda bir araştırma görevi görür. Son olarak, sondayı kullanarak tanımlamak istediğiniz dosyaların gecikme modellerine ihtiyacınız vardır. Ancak bunlara yaygın web sitelerinden veya YouTube videolarından ulaşmak kolaydır.
Yöntemi pratikte test etmek için araştırmacılar belirli YouTube videolarını belirlemeye başladı. Bu amaçla kurban çeşitli YouTube videolarını Full HD çözünürlükte izlerken ağ gecikme eğrilerini kaydettiler. Gecikme değerleri, kısa vadeli Fourier dönüşümleri kullanılarak işlendi ve bu sonuçlar, farklı eğrileri belirli videolara atamak için evrişimli bir sinir ağına beslendi. SnailLoad, ondan fazla farklı İnternet bağlantısını değerlendirerek %37 ile %98 arasında bir doğruluk elde etti.
Bazı web siteleri de aynı şekilde tanımlanabilir. 100 popüler web sitesinin yer aldığı bir senaryoda SnailLoad %63'lük bir orana ulaştı. Dikkate değer olan şey, saldırının, eğitim ve test verileri farklı ağ bağlantılarından geldiğinde bile doğruluğu azalmış olsa da işe yaramasıydı.
SnailLoad, ağdaki yan kanal saldırılarının çeşitlerini önemli ölçüde genişletiyor. Ortadaki adama dayanan önceki çalışmaların çoğu, tamamen uzaktan saldırılara dönüştürülebilirdi. Yöntem muhtemelen iki kullanıcının birbirini görüntülü aramasını da algılayabilir.
Savunma seçenekleri
Yazarlar, SnailLoad gizlice dinleme saldırısına karşı savunmanın zorlu olduğuna inanıyor çünkü nedenlerin (ağ yolundaki farklı bant genişlikleri ve arabellekler) neredeyse ortadan kaldırılması mümkün değil. Araştırmacılar, çalışmalarında “Ağ bağlantısına yapay olarak gürültü eklemek, saldırının doğruluğunu azaltabilir, ancak kullanıcı için hizmet kalitesinden ödün verilmesine neden olur” diye yazıyor.
Windows optimizasyon aracı cFosSpeed'in arkasındaki orijinal geliştiricilerden biri olan Christoph Lüders, yöntemin makul olduğuna inanıyor ancak aynı zamanda savunma seçenekleri de görüyor: “Deneyimlerden bildiğimiz şey, farklı sunuculardan yapılan indirmelerin aslında istemcide farklı gecikme kalıplarına sahip olduğudur. Ancak, bu yalnızca en az binlerce paket gönderiyorsanız istatistiksel olarak anlamlıdır. Bu tekniği yenmenin bariz yolları vardır: Bazı gereksiz verileri gönderme sırasında küçük duraklamalar alarak belki de önce veya sonra gönderebilirsiniz. Gönderen, verileri küçük gecikmelerle gönderebilir veya arada sırada yalnızca yarım dolu veri bloğu gönderebilir. Veya, alıcı da bunları basitçe atabilir. Biraz gecikmeli olması için, tüm önlemlerin birleşimi de dahil olmak üzere başka yollar da vardır.
Prensip olarak, farklı ağ kartları, ölçüm sırasında kullanılan farklı kullanıcı cihazları, farklı TCP yığınları veya yalnızca farklı tarama davranışları gibi şeyler bile ölçümün kalitesini etkileyebilir. Daha sonra çalışmanın baş yazarı Stefan Gast'tan daha fazla bilgi istedik.
c't: Ölçüm senaryonuzda farklı işletim sistemlerinin veya farklı TCP yığınlarının davranışlarına baktınız mı?
Stefan Gast: Katılımcılarımızdan biri macOS'ta video parmakla tarama gerçekleştirdi ve orada da tıpkı Linux'ta olduğu gibi çalışıyor. Ayrıca bazı temel deneylerimizi Windows üzerinde de yürüttük. Windows tarafında herhangi bir arka plan ağ etkinliğinin sinyalimize biraz daha fazla gürültü katması mümkündür. Ancak diğer yan kanal saldırılarında olduğu gibi bu durum daha fazla eğitim verisi veya daha uzun kayıtlarla telafi edilebilir.
Bunun altında yatan neden, omurga bağlantılarının ve tipik İnternet bağlantılarının farklı hızlarıdır. Bu nedenle etki, kullanılan TCP/IP yığınından bağımsız olarak ortaya çıkar.
c't: Rastgele yüklemelerin indirme işlemini yavaşlatabileceği olgusu, gönderildiklerinden daha yavaş gönderen asimetrik İnternet bağlantılarında bilinmektedir. Yüklemeler SnailLoad'un analizinin doğruluğunu nasıl etkiler?
Stefan Gast: Paralel aktarımlar, ister yükleme ister indirme olsun, İnternet bağlantısının (yukarı veya aşağı yönde) kapasitesini gerçekten aştıkları takdirde sonuçlarımızı önemli ölçüde kötüleştirir. Bunu indirmeler için inceledik ve gösterdik, makalemizde Bölüm 8, Şekil 11'e bakınız. Paralel yüklemelerde de benzer bir etki olacaktır, ancak giden paketler daha sonra İnternet ağ geçidinizde, yani yönlendiricinizde birikecektir.
(dz)