28 de junio de 2024Sala de prensaSeguridad de redes / Protección de datos Un grupo de investigadores de seguridad de la Universidad Tecnológica de Graz ha demostrado un nuevo ataque de canal lateral conocido como SnailLoad que podría usarse para inferir de forma remota la actividad web de un usuario. «SnailLoad explota un cuello de botella presente en todas las conexiones a Internet», dijeron los investigadores en un estudio publicado esta semana. «Este cuello de botella influye en la latencia de los paquetes de red, lo que permite a un atacante inferir la actividad de red actual en la conexión a Internet de otra persona. Un atacante puede usar esta información para inferir los sitios web que visita un usuario o los videos que mira». Una característica definitoria de este enfoque es que evita la necesidad de llevar a cabo un ataque de adversario en el medio (AitM) o estar cerca físicamente de la conexión Wi-Fi para rastrear el tráfico de la red. En concreto, implica engañar a un objetivo para que cargue un activo inofensivo (por ejemplo, un archivo, una imagen o un anuncio) desde un servidor controlado por un actor de amenazas, que luego explota la latencia de la red de la víctima como un canal secundario para determinar las actividades en línea en el sistema de la víctima. Para realizar un ataque de toma de huellas digitales de este tipo y obtener qué vídeo o sitio web podría estar viendo o visitando un usuario, el atacante realiza una serie de mediciones de latencia de la conexión de red de la víctima a medida que se descarga el contenido del servidor mientras navega o visualiza. A continuación, implica una fase de posprocesamiento que emplea una red neuronal convolucional (CNN) entrenada con rastros de una configuración de red idéntica para realizar la inferencia con una precisión de hasta el 98% para vídeos y el 63% para sitios web. En otras palabras, debido al cuello de botella de la red del lado de la víctima, el adversario puede deducir la cantidad de datos transmitidos midiendo el tiempo de ida y vuelta del paquete (RTT). Los rastros de RTT son únicos por vídeo y se pueden utilizar para clasificar el vídeo visto por la víctima. El ataque se llama así porque el servidor atacante transmite el archivo a paso de tortuga para controlar la latencia de la conexión durante un período prolongado de tiempo. «SnailLoad no requiere JavaScript, ninguna forma de ejecución de código en el sistema de la víctima y ninguna interacción del usuario, sino solo un intercambio constante de paquetes de red», explicaron los investigadores, y agregaron que «mide la latencia en el sistema de la víctima e infiere la actividad de red en el sistema de la víctima a partir de las variaciones de latencia». «La causa principal del canal lateral es el almacenamiento en búfer en un nodo de ruta de transporte, generalmente el último nodo antes del módem o enrutador del usuario, relacionado con un problema de calidad de servicio llamado bufferbloat». La revelación se produce después de que los académicos revelaran una falla de seguridad en la forma en que el firmware del enrutador maneja el mapeo de Traducción de Direcciones de Red (NAT) que podría ser explotada por un atacante conectado a la misma red Wi-Fi que la víctima para eludir la aleatorización incorporada en el Protocolo de Control de Transmisión (TCP). «La mayoría de los enrutadores, por razones de rendimiento, no inspeccionan rigurosamente los números de secuencia de los paquetes TCP», dijeron los investigadores. «En consecuencia, esto introduce vulnerabilidades de seguridad graves que los atacantes pueden explotar creando paquetes de reinicio falsificados (RST) para borrar maliciosamente las asignaciones NAT en el enrutador». El ataque básicamente permite al actor de la amenaza inferir los puertos de origen de otras conexiones de clientes, así como robar el número de secuencia y el número de reconocimiento de la conexión TCP normal entre el cliente víctima y el servidor para realizar la manipulación de la conexión TCP. Los ataques de secuestro dirigidos a TCP podrían luego ser utilizados como arma para envenenar la página web HTTP de una víctima o realizar ataques de denegación de servicio (DoS), según los investigadores, quienes dijeron que la comunidad OpenWrt, así como los proveedores de enrutadores como 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti y Xiaomi, están preparando parches para la vulnerabilidad. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.