Siber Muhbir

Araştırmacılar bu hafta yayınlanan bir çalışmada, "SnailLoad, tüm İnternet bağlantılarında mevcut olan bir darboğazdan yararlanıyor" dedi.

"Bu darboğaz, ağ paketlerinin gecikmesini etkileyerek bir saldırganın başka birinin İnternet bağlantısındaki mevcut ağ etkinliğini çıkarmasına izin veriyor. Bir saldırgan bu bilgileri, bir kullanıcının ziyaret ettiği web sitelerini veya bir kullanıcının izlediği videoları çıkarmak için kullanabilir."

Yaklaşımın tanımlayıcı bir özelliği, ortadaki düşman (AitM) saldırısı gerçekleştirme veya ağ trafiğini koklamak için Wi-Fi bağlantısına fiziksel yakınlıkta olma ihtiyacını ortadan kaldırmasıdır.

Özellikle, bir hedefi, tehdit aktörü tarafından kontrol edilen bir sunucudan zararsız bir varlık (örneğin bir dosya, resim veya reklam) yüklemesi için kandırmayı gerektirir ve bu da kurbanın ağ gecikmesini kurbanın sistemindeki çevrimiçi etkinlikleri belirlemek için bir yan kanal olarak kullanır.

Böyle bir parmak izi saldırısı gerçekleştirmek ve bir kullanıcının hangi videoyu veya web sitesini izlediğini veya ziyaret ettiğini öğrenmek için saldırgan, kurbanın ağ bağlantısında bir dizi gecikme ölçümü gerçekleştirir.

Ardından, videolar için %98'e ve web siteleri için %63'e varan bir doğrulukla çıkarım yapmak için aynı ağ kurulumundan gelen izlerle eğitilmiş bir evrişimli sinir ağı (CNN) kullanan bir son işlem aşamasını içerir.

Başka bir deyişle, kurban tarafındaki ağ darboğazı nedeniyle, düşman, paket gidiş dönüş süresini (RTT) ölçerek iletilen veri miktarını çıkarabilir. RTT izleri video başına benzersizdir ve kurban tarafından izlenen videoyu sınıflandırmak için kullanılabilir.

Saldırı, saldıran sunucunun bağlantı gecikmesini uzun bir süre boyunca izlemek için dosyayı salyangoz hızında iletmesi nedeniyle bu şekilde adlandırılmıştır.

Araştırmacılar, "SnailLoad, JavaScript gerektirmez, kurban sisteminde herhangi bir kod yürütme biçimi gerektirmez ve kullanıcı etkileşimi gerektirmez, yalnızca sürekli bir ağ paketi alışverişi gerektirir" diye açıkladı ve "kurban sistemindeki gecikmeyi ölçer ve gecikme değişimlerinden kurban sistemindeki ağ etkinliğini çıkarır" diye ekledi.

"Yan kanalın temel nedeni, bufferbloat adı verilen bir hizmet kalitesi sorunuyla ilgili, tipik olarak kullanıcının modeminden veya yönlendiricisinden önceki son düğüm olan bir aktarım yolu düğümünde arabelleğe almadır."

Açıklama, akademisyenlerin, yönlendirici ürün yazılımının, İletim Kontrol Protokolü'ndeki (TCP) yerleşik rastgeleleştirmeyi atlamak için kurbanla aynı Wi-Fi ağına bağlı bir saldırgan tarafından istismar edilebilecek Ağ Adresi Çevirisi (NAT) eşlemesini işleme biçiminde bir güvenlik açığını ifşa etmesiyle geldi.

Araştırmacılar, "Çoğu yönlendirici, performans nedenleriyle, TCP paketlerinin sıra numaralarını titizlikle incelemiyor" dedi. "Sonuç olarak, bu, saldırganların yönlendiricideki NAT eşlemelerini kötü niyetli olarak temizlemek için sahte sıfırlama (RST) paketleri oluşturarak yararlanabilecekleri ciddi güvenlik açıkları getiriyor."

Saldırı, esasen tehdit aktörünün diğer istemci bağlantılarının kaynak bağlantı noktalarını çıkarmasına ve TCP bağlantı manipülasyonu gerçekleştirmek için kurban istemci ile sunucu arasındaki normal TCP bağlantısının sıra numarasını ve onay numarasını çalmasına olanak tanır.

TCP'yi hedef alan ele geçirme saldırıları, bir kurbanın HTTP web sayfasını zehirlemek veya hizmet reddi (DoS) saldırılarını aşamak için silahlandırılabilir, araştırmacılara göre, güvenlik açığı için yamaların OpenWrt topluluğunun yanı sıra 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti ve Xiaomi gibi yönlendirici satıcıları tarafından hazırlandığını söyledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.