The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

SnailLoad - атака по определению открываемых сайтов через анализ задержек доставки пакетов

05.07.2024 09:48

Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой атак MDS, NetSpectre, Throwhammer и ZombieLoad, разработала новый метод атаки по сторонним каналам, получивший кодовое имя SnailLoad и позволяющий определять обращение пользователя к тем или иным сайтам или выявлять просмотр определённых видеороликов на YouTube. Код серверной части, используемой для проведения атаки опубликован на GitHub под лицензией MIT.

В отличие от ранее известных атак по косвенной идентификации на основе анализа трафика, метод SnailLoad не требует совершения MITM-атаки, т.е. атакующему не нужно перехватывать транзитный трафик пользователя. Для осуществления атаки достаточно, чтобы жертва открыла в своём браузере подконтрольную атакующему страницу, которая инициирует загрузку с сервера атакующего больших файлов или изображений. Выполнения JavaScript-кода не требуется, достаточно организовать непрерывный поток трафика между жертвой и сервером атакующего.

Aнализ производится на стороне сервера атакующего и базируется на изменении задержек доставки пакетов в зависимости от параллельно выполняемых на системе пользователя запросов к другим сайтам. Метод отталкивается от того, что из-за неравномерности пропускной способности каналов связи между пользователем и провайдером и между шлюзом провайдера и сайтом, разные сетевые соединения влияют друг на друга. Так как узким местом является канал подключения клиента к провайдеру ("последняя миля"), характер отправки пакетов на сервер атакующего меняется в зависимости от другой сетевой активности жертвы. Например, при начале просмотра видео задержки становятся больше и их характер можно сопоставить с задержками, возникающими при просмотре того или иного видео.

Точность определения сильно зависит от типа подключения пользователя к провайдеру. При тестировании метода на различных клиентских подключениях, в которых использовались технологии ADSL, FTTH, FTTB и LTE, точность определения одного из 10 самых популярных роликов на YouTube составила от 37% до 98%. Исследователи также провели эксперимент по применению SnailLoad для определения открытия одного из 100 наиболее популярных сайтов. Максимальная точность при определении сайтов составила 62.8%.

Наименьшая точность зафиксирована для FTTB-соединений, а наибольшая для FTTH. Кроме того, на точность сильно влияет наличие постороннего трафика в канале связи между пользователем и провайдером. Среди способов противодействия атаке упоминается добавление случайного шума в трафик через установку случайных соединений, мониторинг за постоянной фоновой сетевой активностью или параллельное выполнение приложений с неоднородным трафиком.

  1. Главная ссылка к новости (https://www.snailload.com/...)
  2. OpenNews: Новый вид теоретической атаки по деанонимизации в Tor
  3. OpenNews: Предложен метод атаки для удалённого определения фрагментов памяти на сервере
  4. OpenNews: Представлена новая техника скрытой идентификации системы и браузера
  5. OpenNews: Выявлена группа ретрансляторов Tor, используемых для деанонимизации
  6. OpenNews: Эксплуатация уязвимости в DRAM-памяти через локальную сеть
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61495-snailload
Ключевые слова: snailload, attack, traffic
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (68) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:53, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Звучит как необычная уличная магия.

    Загрузка с сервера раскрывает какой ролик на ютубе я смотрю? - кажется, что для этого ютуб должен тоже сливать инфу о своей загрузке.

    В общем, пока не читал, но уже осуждаю.

     
     
  • 2.7, Аноним (7), 10:02, 05/07/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 3.48, Аноним (48), 18:57, 05/07/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 2.15, Аноним (15), 11:41, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Звучит как необычная уличная магия.

    Звучит, как "по задержкам скачивания с нас, мы можем определить степень забитости своего канала". А далее идет длинный список "если":
    - в сети стандартный QoS,
    - трафик не режется или аггрегируется и есть больше одного ISP,
    - дома у тебя нет какого-нибудь сидбокса/промежуточной ноды оверлейной сети,
    - нет проблем на оборудование твоего провайдера,
    - сейчас вечер и ISP жестко оверсейлит канал,
    - еще пачка причин.

    А в конце оказывается, что канал до сервера атакующего нестабильный, а не ты видео грузишь с ютуба.

     
     
  • 3.20, Аноним (20), 12:52, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так суть в том что кому нужно, то эти если должен либо обеспечить, либо как-то нивелировать, либо подобрать именно такого клиента. У атакующего вероятнее всего база различных вариантов, не так ли?
     
     
  • 4.53, Аноним (-), 22:31, 05/07/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.74, Kuromi (ok), 16:26, 07/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Оффтоп, но сейчас провайдеры и правда стали жестко оверселлить канал. По вечерам не жуткие, но тормоза. Причем явно всяким видосикам (Ютуб, онлайн-кинотеатры) приоритет (потому что будет заметно), а вот обычное файло по HTTPS качается с явными просадками.
     
     
  • 4.80, Аноним (80), 10:06, 08/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    почитайте тарифы у мобильщиков, ютуб, одноклассники, вк и всякое такое - безлимиты, вероятно, у крупных провов стоят кэши от всех этих товарищей
     
  • 3.81, Pahanivo (ok), 13:50, 08/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гыгы. До длинного списка "если" надо еще как то умудриться заставить конкретную жертвы открыть нужную страницу. Иначе не понятно зачем смотреть куда ходит рандомная жертва.
     
  • 2.24, Аноним (24), 13:12, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    гугл ещё и мысли твои читать умеет, вот к примеру загадай рандомное двузначное число от 10 до 99 и запиши на бумажке, чтоб не забыть.

    вечером напишу какое ты загадал

     
     
  • 3.27, Аноним (27), 15:00, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не понял где смеяться, поясните?
     
     
  • 4.41, Аноним (24), 17:00, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а не нужно смеяться, нет ничего смешного в том что я с точностью от 37% до 98% определю (через анализ доставки пакетов) загаданное тобой число
     
     
  • 5.44, Аноним (44), 17:38, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > я с точностью от 37% до 98%

    Слабо. То есть до 100% никак? А 37% - вообще ни о чём.
    А вот я могу с точностью не "от и до", а "в 50% и 100%" определить число.
    Либо определю, либо нет. :)

     
     
  • 6.45, Аноним (24), 17:47, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    какие 100%, мы же новость комментируем …

    внимательно читай:

    > Точность определения сильно зависит от типа подключения пользователя к провайдеру. При тестировании метода на различных клиентских подключениях, в которых использовались технологии ADSL, FTTH, FTTB и LTE, точность определения одного из 10 самых популярных роликов на YouTube составила от 37% до 98%.

     
     
  • 7.54, Аноним (54), 22:32, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Классику надо знать.
     
  • 3.28, kusb reg (ok), 15:14, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вызов принят, вечером обязательно напиши)
     
     
  • 4.42, Аноним (24), 17:04, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ты наверняка загадал 73 или 37, почему два числа а не одно? да потому что хз в каком порядке у тебя байты в памяти хранятся (не понял? гугли little и big endian)

    если ты не загадывал 37 или 73, то значит в загаданном тобой числе обязательно используются 7 либо 3

    тем кто загадал 69 или 42, напоминаю, в условиях было сказано, загадать рандомное число, а не 69 и 42 вовсе не рандомные числа!

     
     
  • 5.46, kusb reg (ok), 17:57, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я загадал 12 и это была простая логика (11 слишком банально, нужно увеличить на 1)...
     
  • 3.34, anonymous (??), 16:17, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ты сильно упростил, там еще надо ограничений накидать типа нельзя две одинаковые. Но фокус хороший, я помню попался аж мурашки побежали.
     
     
  • 4.43, Аноним (24), 17:09, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    да какие тут фокусы, чистая магия google, т.е. магия чисел
     
  • 2.64, Аноним (-), 19:14, 06/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Звучит как необычная уличная магия.
    > Загрузка с сервера раскрывает какой ролик на ютубе я смотрю? - кажется, что для этого юту

    Вообще-то эта атака - известна, предсказана а возможно и практикуется уже более 10 лет. А те господа знатно покапитанили...

     

  • 1.3, Аноним (3), 09:58, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    На ютубе миллиарды видео. Чтобы выявить, какой именно видос смотрит пользователь, нужно предварительно произвести исследование, как у именно этого пользователя открывается каждое отдельно взятое видео на ютубе.
     
     
  • 2.6, Аноним (7), 10:01, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А если тебе  надо узнать посмотрел (смотрит ли сейчас) ли юзверь конкретно твоё видео. И заодно записать его имя и фамилию?  
     

  • 1.10, eugener (ok), 10:46, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > определения одного из 10 самых популярных роликов на YouTube

    ну такое

     
     
  • 2.18, Массоны Рептилоиды (?), 12:17, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> определения одного из 10 самых популярных роликов на YouTube
    >
    > ну такое

    Baby Shark Dance?

     
     
  • 3.62, eugener (ok), 12:35, 06/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Baby Shark Dance

    Теперь я понял что пародирует клип hard style fish!!! 🙀

     

  • 1.11, Аноним (11), 10:47, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Я так понимаю, что у атакующего должна быть база с данными сколько открывается тот или иной сайт или видео на ютубе?
     
     
  • 2.14, Аноним (3), 11:39, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    умножить на количество всех пользователей интернета, так как одно и то же видео открывается по-разному у Иван Иваныча и у Джон Джонсона.
     
     
  • 3.19, Аноним (15), 12:27, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А потом обновляй этот список после каждого перестроения маршрутов, ведь путь трафика меняется.
     
  • 3.25, Аноним (11), 13:30, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я так понимаю, что исследователи опираются на нюансы технологий подключения к глобальной сети, которые никак не зависят от конечного устройства. Возможно это описано в методе атаке, но я с английским не очень.
     

  • 1.12, Аноним (12), 11:06, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Вы включили режим «Только HTTPS» для повышения безопасности, однако HTTPS-версия сайта demo.snailload.com недоступна.

    Сразу ффтопку.

     
  • 1.13, Аноним (15), 11:23, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    > Кроме того, на точность сильно влияет наличие постороннего трафика в канале связи между пользователем и провайдером.

    Торренты борются за твою приватность, юзернейм! Сидируй!

     
     
  • 2.17, Аноним (17), 11:52, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Великолепно, случайный непредсказуемый трафик, и тебе польза и всем остальным тоже. Вин-вин.
     
  • 2.21, Аноним (20), 12:55, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это не совсем случайный трафик. И под капотом разве там http, https?
     
     
  • 3.39, Аноним (39), 16:48, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Посторонний трафик и не должен быть http и даже tcp
     
  • 3.50, Аноним (-), 19:05, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В торрентах BitTorrent, а не HTTP. Но для защиты от этой атаки весь ваш трафик должен ходить в сети типа Yggdrasil или через VPN.
     
  • 2.23, Rev (ok), 13:00, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Торренты, и ноды Tor и Yggdrasil.
     
     
  • 3.70, Аноним (70), 03:15, 07/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так победим
     
  • 3.78, Аноним (78), 19:25, 07/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Пока что Торренты и i2p - столбы интернета.
     

  • 1.22, Аноним (20), 12:58, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Среди способов противодействия атаке упоминается добавление случайного шума в трафик через установку случайных соединений, мониторинг за постоянной фоновой сетевой активностью или параллельное выполнение приложений с неоднородным трафиком.

    Покупайте роутеры с функцией случайных соединений и выполнения приложений с неоднородным трафиком.

     
     
  • 2.49, Аноним (-), 19:02, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И пользуйтесь для общения децентрализованным Status через Tor.
     

  • 1.26, penetrator (?), 14:52, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    чепуха полнейшая

    - просмотр одного и того же видео - запуск SnailLoad Demo дважды последовательно
    - сравнение двух паттернов SnailLoad
    - даже на минимальных отрезках они не одниковые

    т.е. SnailLoad показывает, что я что-то делаю на компьютере (но это и так понятно потому что у меня запущен сам "хакерский" сайт), а в реальности тест показывает насколько тупит страница SnailLoad при непонятной ему загрузке моей сети

     
  • 1.33, Аноним (33), 15:51, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Мне кажется, это чей-то эксперимент, чтобы проверить, клюнут ли СМИ на громкие заголовки. "Определить видос по задержкам трафика" нахрен! Ничего глупее еще не слышал. Запомните этот твит: через неделю авторы выпустят саморазоблачение со списком всех СМИ, которые на это повелись.
     
  • 1.35, Соль земли (?), 16:22, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да, разные видосы с разных серверов гугла грузятся. Разная задержка. Но зачем кому-то скрывать видосы? Гугл админы так вообще всё видят как на ладони. И что теперь?
     
  • 1.36, Соль земли (?), 16:24, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вообще всегда напрягали сайты, которые долго грузятся. Обычно всегда какое-нибудь казино со 100500 перенаправлениями. И какой-то экзешник уже скачивается.
     
  • 1.37, anonymous (??), 16:29, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    напомнило городскую легенду о том, что с помощью информации о загрузке канализации из водоканала определить какие регионы и города лояльны конкретному политику. Типа того что если в регионе много людей симпатизируют Сидорову то в момент просмотра тв передачи о Сидорове они не отрываясь сидят терпят а как только закончится все разом ломанутся в туалет и будет пик на графиках водоканала. Таким образом можно перераспределить средства на важные участки.
     
     
  • 2.40, Аноним (39), 16:51, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну раньше это была легенда, а теперь бигдата. Типичные рекомендации (оно же реклама, маркетинг, оптимизация)  как раз про это.
     

  • 1.47, Ноним (?), 18:20, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Максимальная точность при определении сайтов составила 62.8%.

    Бесполезно чуть более, чем полностью. Чудесная атака с чудесными условиями с не менее чудесными результатами.

     
     
  • 2.52, Аноним (52), 21:53, 05/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В любой теории выдвигается тезис и далее идёт подгонка тестирования под результат. По другому гранты не отработать.
     
     
  • 3.58, Аноним (7), 06:46, 06/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Без подгонки результата даже зачёта в институте на получишь.
     

  • 1.51, Аноним (-), 21:36, 05/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Беларусов, протестующих из-за ареста Виктора Бабарико, в 2020-2021 годах милиция ловила по схожему принципу. Скидывали файл определённого размера в мессенджер и вычисляли по трафику.
     
     
  • 2.55, Аноним (55), 01:06, 06/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ловила может и так, а поймала потому, что в каждом чате по два тихаря сидело.
     
  • 2.56, penetrator (?), 04:54, 06/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    там MITM был, они могли проверить количество исследуемого трафика

    здесь же ты ловишь задержки собственного трафика ничего не зная об исследуемом

    это вообще не одно и тоже

     
  • 2.57, Аноним (7), 06:45, 06/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там могли и в обратную сторону. Жертва скидывает фотку или видео админку паблика. Автор паблика без сжатия выкладывает это фото или видео.  Теперь по количеству байт можно вычислить того кто слал эту фотку или видео.
     
  • 2.77, Анонист (?), 17:31, 07/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Скидывали файл определённого размера в мессенджер и вычисляли по трафику.

    Бpeд какой. Учитывая, что файлы грузятся чанками через https. Всё гораздо проще.

     

  • 1.59, Аноним (-), 09:49, 06/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > точность определения одного из 10 самых популярных роликов на YouTube
    > одного из 100 наиболее популярных сайтов.

    Это может быть и работает, если атакующий заранее знает что будет грузиться один из 10 известных ему роликов или один из 100 известных ему сайтов, но что он будет делать, когда у него приорами будет 10 миллионов гипотез о том что грузится? В лучшем случае постериорно он сможет сократить список гипотез до 10k.

     
  • 1.60, Аноним (60), 11:40, 06/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Главное телеметрию занести в IBM, но эта другое!
     

  • 1.61, Аноним (61), 11:49, 06/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    сферический конь в вакууме.
    к роутеру подключено куча устройств - от телефонов до умных розеток.
     
     
  • 2.72, Kuromi (ok), 16:22, 07/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Умные розетки и лампочки шлют околонулевой трафик, так что не важно.
     

  • 1.68, Tron is Whistling (?), 22:17, 06/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    - одного из 10 самых популярных роликов
    Понятно. Один из миллиона (за пределами лаборатории) будет уже посложнее. Очередной пшик театра безопастности.
     
  • 1.69, Tron is Whistling (?), 22:18, 06/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    - Среди способов противодействия атаке упоминается добавление случайного шума

    Ну, сторонники альтернативной теории информации, набегай с заявами о том, что весь ваш шум - устраним.

     
  • 1.79, Флудер (?), 09:11, 08/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Исследование из категории "любое изменение в природе сопровождается изменением электромагнитного взаимодействия". То есть, чтобы ни произошло (например, муравей пошевелил усиком где-то в Африке) - электромагнитная карта вселенной изменилась - и чтобы это отследить нужно всего лишь иметь регистрирующую аппаратуру, обладающую соответствующей чувствительностью. Теоретически вполне возможно, практически - как сказка. Ну а так - исследование роликов на ютубе идет - зарплата капает, все довольны.
     
  • 1.82, another_one (ok), 16:28, 08/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > одного из 10 самых популярных роликов

    Для которых гугль использует свои кеширующие системы доставки контента в сетях провайдеров? Чуть в сторону (ролик/провайдер/страна) и эксперимент провалится, я правильно понял?

     
  • 1.83, Аноним (83), 23:15, 08/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не перестаю удивляться, насколько же дырявая вся компьютерная инфраструктура в целом
    Ощущение что все это делается намерено, т.к. зайди в любой рандомный день в новости - минимум одну статью про уязвимости в чем-то да найдешь

    Было ли такое, скажем, в 80х? Или никто толком не искал?

     
     
  • 2.85, Брат Анон (ok), 10:52, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Раньше было тоже самое. Системы по масштабу (сложности) были меньше, поэтому и дыр обнаруживали меньше. Но природа человека не изменилась. Ровно поэтому ничего не изменилось, просто сейчас всё это повсплывало наружу. "Хозяйка, да тут нужно всю систему менять". Умные люди про это уже лет 30 говорят. Но миллион хомячков ошибаться не может.
     

  • 1.84, _kp (ok), 11:00, 09/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > случайного шума в трафик через установку случайных соединений, мониторинг за постоянной фоновой сетевой активностью или параллельное выполнение приложений

    Майнер в каждый дом? :)

     
     
  • 2.86, Брат Анон (ok), 10:54, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, технически мы и сейчас не может гарантировать, что у нас майнеры не работают фоном. 5..10% нагрузка сверху -- кто там разберёт, что это? Конкретному пользователю копейка платы за лектричество, а майнеру -- аппаратаменты на Сухаревском!)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру