Explota un cuello de botella presente en todas las conexiones a Internet
Un grupo de investigadores de seguridad de la Universidad Tecnológica de Graz ha demostrado un nuevo ataque de canal lateral conocido como SnailLoad que podría usarse para inferir de forma remota la actividad web de un usuario.
"SnailLoad explota un cuello de botella presente en todas las conexiones a Internet", dijeron los investigadores en un estudio publicado esta semana.
"Este cuello de botella influye en la latencia de los paquetes de red, lo que permite a un atacante inferir la actividad actual de la red en la conexión a Internet de otra persona. Un atacante puede utilizar esta información para inferir los sitios web que visita un usuario o los vídeos que ve un usuario".
Una característica definitoria de este enfoque es que elimina la necesidad de llevar a cabo un ataque de adversario en el medio (AitM) o estar en proximidad física a la conexión Wi-Fi para rastrear el tráfico de la red.
Específicamente, implica engañar a un objetivo para que cargue un activo inofensivo (por ejemplo, un archivo, una imagen o un anuncio) desde un servidor controlado por un actor de amenazas, que luego explota la latencia de la red de la víctima como canal secundario para determinar las actividades en línea en el sistema de la víctima.
Para realizar un ataque de huellas digitales de este tipo y obtener qué vídeo o sitio web podría estar viendo o visitando un usuario, el atacante realiza una serie de mediciones de latencia de la conexión de red de la víctima mientras el contenido se descarga del servidor mientras navega o visualiza.
Luego implica una fase de posprocesamiento que emplea una red neuronal convolucional (CNN) entrenada con rastros de una configuración de red idéntica para hacer la inferencia con una precisión de hasta el 98% para videos y el 63% para sitios web.
En otras palabras, debido al cuello de botella de la red por parte de la víctima, el adversario puede deducir la cantidad de datos transmitidos midiendo el tiempo de ida y vuelta del paquete (RTT). Los rastreos RTT son únicos por vídeo y pueden usarse para clasificar el vídeo visto por la víctima.
El ataque se llama así (SnailLoad) porque el servidor atacante transmite el archivo a paso de tortuga para monitorear la latencia de la conexión durante un período prolongado de tiempo.
"SnailLoad no requiere JavaScript, ni ninguna forma de ejecución de código en el sistema víctima, ni interacción del usuario, sino sólo un intercambio constante de paquetes de red", explicaron los investigadores, agregando que "mide la latencia del sistema víctima e infiere la actividad de la red en el sistema víctima a partir de las variaciones de latencia".
"La causa principal del canal lateral es el almacenamiento en búfer en un nodo de ruta de transporte, generalmente el último nodo antes del módem o router del usuario, relacionado con un problema de calidad de servicio llamado bufferbloat".