Nel panorama della sicurezza informatica, uno dei vettori di attacco più studiati è l’inferenza delle attività degli utenti attraverso il traffico di rete. Storicamente, questi attacchi richiedevano che l’aggressore avesse accesso diretto al flusso di dati, ad esempio attraverso un attacco di tipo man-in-the-middle o monitorando fisicamente i pacchetti di rete in prossimità della vittima.
Un nuovo studio condotto da ricercatori dell’Istituto austriaco di Tecnologie di Elaborazione delle Informazioni e Comunicazione Applicata (IAIK) della Graz University of Technology, ha rivelato una vulnerabilità inedita, nascosta nelle fluttuazioni di latenza della rete.
Il team di studiosi ha documentato una possibile violazione chiamata SnailLoad, che sfrutta le variazioni di latenza per tracciare comuni attività online come la visione di un video o la navigazione su siti web.
Definito come un possibile attacco remoto che non richiede uno scenario di tipo person-in-the-middle, SnailLoad rientra tra le minacce side-channel che sfruttano informazioni indirette per dedurre dati sensibili ma, anziché concentrarsi su segnali fisici come il consumo di energia o le emissioni elettromagnetiche, usa la natura asincrona della comunicazione di rete per ottenere informazioni dettagliate senza mai toccare direttamente i dati trasmessi o infrangere le difese crittografiche.
Latenza e fingerprinting: le armi di SnailLoad
SnailLoad si alimenta di una combinazione di fluttuazioni di latenza e fingerprinting del contenuto online. Ogni contenuto, come un sito web o un video, genera un’impronta digitale unica basata sul modello di pacchetti di dati inviati al dispositivo dell’utente. I ricercatori sono riusciti a raccogliere queste impronte e individuare con un’alta precisione le attività degli utenti.
A differenza di altri metodi che richiedono JavaScript o altre forme di esecuzione di codice, SnailLoad opera senza la necessità di alcuna interazione da parte dell’utente. Alla base della sua efficacia c’è il fenomeno del bufferbloat, che causa ritardi variabili nella trasmissione dei dati quando un nodo di rete accumula troppi pacchetti nei suoi buffer. Questo accumulo provoca variazioni di latenza secondo uno schema che dipende dal contenuto utilizzato.
SnailLoad sembrerebbe efficace anche quando i pacchetti echo ICMP, utilizzati per misurare la latenza, sono bloccati. Questo rende l’attacco estremamente resiliente e versatile. Gli aggressori possono utilizzare connessioni a bassa larghezza di banda, come un download lento o il caricamento altrettanto lento di un’immagine, da qui il riferimento alla lumaca (Snail) nel nome, per creare un canale di monitoraggio. Anche una semplice connessione utilizzata da un client di chat può essere sfruttata.
Il grado di accuratezza di SnailLoad
La ricerca è stata presentata ad agosto alla 33esima edizione della USENIX Security Symposium di Filadelfia, una delle principali Conferenze Internazionali nel campo della sicurezza informatica. I ricercatori hanno mostrato la precisione con cui un potenziale attacco SnailLoad è in grado di identificare i video guardati su YouTube o i siti web visitati in scenari senza accesso diretto al percorso di trasmissione della rete.
L’applicabilità di SnailLoad è stata testata su diverse connessioni Internet dimostrando come la precisione dell’attacco può variare a seconda della tecnologia di connessione utilizzata con punteggi F1 (la metrica che si utilizza) che vanno dal 37% al 98%. Le tecnologie che condividono la “last mile” (l’ultimo tratto della connessione fino all’utente finale) tra più utenti, come FTTB e LTE, tendono ad avere risultati meno precisi rispetto, ad esempio, alla fibra ottica, in particolare di tipo FTTH.
In generale, invece, su un set di 10 video la precisione nell’indicare quelli effettivamente guardati è stata molto alta e pari al 98%. Mentre in uno scenario di fingerprinting di 100 siti web di videogiochi, l’individuazione ha raggiunto una capacità di classificare correttamente le attività del 62,8%.
Le potenziali vittime e il contesto globale
Mentre molti attacchi informatici richiedono spesso un target specifico, questa nuova modalità può colpire qualsiasi utente connesso a Internet. Questo potrebbe rendere particolarmente vulnerabili le aziende che gestiscono grandi volumi di dati sensibili, come quelle nei settori finanziario, sanitario e governativo e dare vita a una nuova generazione di attacchi completamente remoti più passivi e meno interattivi. Un aspetto su cui è fortemente incentrata l’attività di divulgazione del team di ricerca della Graz University of Technology. Al momento, però, tutto è strettamente teorico e non risultano notizie su attacchi reali.
I ricercatori affermano di essere in contatto con Google e altri fornitori di servizi per informarli del rischio e di continuare nelle ricerche per sviluppare strategie di mitigazione.
Di fatto, questa possibile minaccia non fa altro che evidenziare, la necessità di investire in tecnologie in grado di monitorare e mitigare attacchi basati sulla latenza che non vadano, però, a compromettere le prestazioni delle reti.
L’uso di VPN e altri strumenti di privacy non sembrerebbero sufficienti così come, scrivono i ricercatori nelle FAQ, eliminare il meccanismo di ACK dal protocollo TCP significherebbe rimuovere la sua garanzia di affidabilità e creare problemi di compatibilità rendendo tutto ancora più complesso.
Eppure, gli attacchi side-channel continuano ad evolversi per bypassare le difese tradizionali. Recentemente si è parlato anche di Holmes, un attacco di website fingerprinting individuato dall’Università della Tecnologia di Pechino che utilizza un’analisi spaziale-temporale del traffico web per identificare le attività degli utenti nelle prime fasi di caricamento di una pagina web.