Beveiligingsonderzoekers van de Graz University of Technology hebben een nieuwe spionagemethode onthuld genaamd SnailLoad. Deze techniek kan met een nauwkeurigheid van 98% bepalen welke video’s een gebruiker bekijkt en met een succespercentage van 63% de bezochte websites identificeren. Het zorgwekkende is dat de enige bekende manier om deze aanval te beperken, is door de internetsnelheid te verlagen.
SnailLoad Side-Channel Privacy aanval uitgelegd
In hun artikel “SnailLoad: Exploiting Remote Network Latency Measurements without JavaScript” beschrijven onderzoekers Stefan Gast, Roland Czerny, Jonas Juffinger, Fabian Rauscher, Simone Franza en Daniel Gruss hoe SnailLoad werkt zonder malware te installeren of netwerkverkeer te observeren via een soort ‘man-in-the-middle’ aanval. Sterker nog, een aanvaller hoeft niet eens fysiek dichtbij te zijn om Wi-Fi-pakketten af te luisteren.
In plaats daarvan maakt SnailLoad op ingenieuze wijze gebruik van bandbreedteknelpunten in de buurt van het apparaat dat je gebruikt. Dit wordt beschreven als de “subtiele variaties in de round-trip tijden van netwerkpakketten” die een side-channel signaal bevatten dat wordt beïnvloed door de activiteit van het slachtoffer. Simpeler gezegd, door de beoogde gebruiker een klein bestand te laten downloaden, wat elke soort inhoud kan zijn, inclusief een advertentie, lettertype of afbeelding, kan de aanvaller de latentie meten, de veranderingen in de snelheid van een internetverbinding, om af te leiden met welke activiteit ze bezig zijn.
Snelheid is de sleutel, of eigenlijk traagheid van snelheid. Dat bestand wordt gedownload van een server met een langzame verbinding zodat dit latentiepatroon kan worden gevolgd. Het feit dat het bestand met een slakkengang wordt verzonden, geeft aanleiding tot de naam van de aanval. “Afgezien van het feit dat het langzaam is,” aldus de onderzoekers, “laat SnailLoad, net als een slak, sporen na en is het een beetje griezelig.”
Meer dan een beetje griezelig gezien het feit dat de aanval een volledig passief en op afstand werkend scenario is, maar toch met verschillende mate van nauwkeurigheid kan bepalen welke video een gebruiker bekijkt of met welke websiteactiviteit hij bezig is. De griezeligheidsfactor neemt toe als je je realiseert dat er geen gemakkelijke oplossing is, aangezien de beperking een verslechtering van de internetverbinding zou vereisen om ruis te introduceren die voor de meeste gebruikers niet acceptabel zou zijn. “De hoofdoorzaak kan niet worden weggenomen en verder onderzoek is nodig om bevredigende oplossingen te vinden,” aldus het onderzoek.
Hoe werkt SnailLoad precies?
SnailLoad maakt gebruik van een passieve vorm van spionage, waarbij de aanvaller geen directe toegang tot het netwerk of de apparaten van de gebruiker nodig heeft. Door nauwkeurige metingen van de netwerkvertragingen (latency) kan SnailLoad informatie verzamelen over het gebruik van de internetverbinding. Dit gebeurt op de volgende manier:
- Initiële download: De aanvaller laat de gebruiker een klein bestand downloaden. Dit bestand kan elke vorm aannemen, zoals een afbeelding, lettertype of advertentie, en wordt gedownload van een server met een trage verbinding.
- Meten van latency: Terwijl het bestand wordt gedownload, meet de aanvaller de round-trip tijden van de netwerkpakketten. Dit zijn de tijden die nodig zijn voor een pakket om van de server naar de gebruiker te gaan en weer terug.
- Analyseren van patronen: De aanvaller analyseert de variaties in de round-trip tijden. Deze variaties worden beïnvloed door de activiteit van de gebruiker, zoals het bekijken van video’s of het bezoeken van websites.
- Afleiden van activiteit: Op basis van de gemeten latencies en de geanalyseerde patronen kan de aanvaller met een hoge mate van nauwkeurigheid afleiden welke video de gebruiker bekijkt of welke website hij bezoekt.
Waarom is SnailLoad zorgwekkend?
SnailLoad is zorgwekkend vanwege de volgende redenen:
- Hoge nauwkeurigheid: Met een nauwkeurigheid van 98% kan SnailLoad precies bepalen welke video een gebruiker bekijkt. Dit maakt het een zeer effectieve spionagemethode.
- Moeilijk te detecteren: Omdat SnailLoad geen malware installeert of netwerkverkeer direct afluistert, is het moeilijk voor traditionele beveiligingsmaatregelen om deze aanval te detecteren.
- Passief en op afstand: De aanval kan op afstand worden uitgevoerd zonder dat de aanvaller fysiek aanwezig hoeft te zijn. Dit vergroot het bereik en de mogelijkheden van de aanvaller.
- Geen eenvoudige oplossingen: De enige bekende manier om deze aanval te beperken is door de internetsnelheid te verlagen, wat voor de meeste gebruikers niet acceptabel is.
Deze slak is tot nu toe nog niet ontsnapt in het wild
Het goede nieuws is dat SnailLoad tot nu toe alleen een laboratoriumgebaseerde bedreiging is die alleen uit onderzoek bestaat. “We geloven dat de meeste internetverbindingen zijn getroffen”, aldus de onderzoekers. Op dit moment is het echter onwaarschijnlijk dat SnailLoad in het wild wordt uitgebuit.
Het feit dat de sampleset die werd gebruikt om SnailLoad te trainen en te testen zo klein was, met slechts 10 internetverbindingen, wordt aangehaald als een andere reden om op dit moment niet al te bezorgd te zijn. Dit wordt benadrukt door de noodzaak om ‘vingerafdrukken’ te nemen van video’s (van YouTube in het onderzoek) en individuele websites om de SnailLoad analyse te kunnen vergelijken en te bepalen welke werd bekeken of gebruikt. In een echt scenario is het vooralsnog moeilijk te zien hoe dit zou kunnen worden uitgebuit.
“Deze potentiële aanval laat het brede scala aan mogelijke aanvalsvectoren zien”, aldus Boris Cipot, senior security engineer bij de Synopsys Software Integrity Group, “en zorgt voor extra stress bij beveiligingspersoneel dat de apparaten van gebruikers moet beschermen tegen ongewenste snuffelpraktijken”. Cipot waarschuwde dat het mogelijk is dat soortgelijke aanvalsvectoren al in gebruik zijn zonder dat we het weten.
Wat kunnen we doen om ons te beschermen?
Hoewel er momenteel geen eenvoudige oplossing is om SnailLoad te voorkomen, zijn er enkele maatregelen die gebruikers kunnen nemen om hun privacy te beschermen:
- Gebruik een VPN: Een Virtual Private Network (VPN) kan helpen om je internetverkeer te versleutelen en te verbergen, waardoor het voor aanvallers moeilijker wordt om je activiteiten af te leiden.
- Houd je software up-to-date: Zorg ervoor dat je besturingssysteem en andere software up-to-date zijn om eventuele beveiligingslekken te dichten die aanvallers kunnen misbruiken.
- Wees voorzichtig met downloads: Wees voorzichtig met het downloaden van bestanden van onbekende of onbetrouwbare bronnen, aangezien deze mogelijk kunnen worden gebruikt om je internetactiviteiten te volgen.
- Gebruik beveiligingssoftware: Installeer en gebruik betrouwbare beveiligingssoftware om je apparaat te beschermen tegen mogelijke bedreigingen.
Hoewel deze maatregelen niet specifiek gericht zijn op SnailLoad, kunnen ze helpen om je algehele beveiliging en privacy te verbeteren en je beter te beschermen tegen diverse vormen van cyberaanvallen.
Conclusie
SnailLoad is een zorgwekkende nieuwe spionagemethode die de internetsnelheid vertraagt om de activiteiten van gebruikers af te leiden. Hoewel het tot nu toe alleen een theoretische bedreiging is, benadrukt het de noodzaak voor voortdurende innovatie en onderzoek op het gebied van cyberbeveiliging. Door bewust te zijn van dergelijke potentiële aanvallen en door proactieve beveiligingsmaatregelen te nemen, kunnen we ons beter beschermen tegen ongewenste snuffelpraktijken.