Dass sich selbst über eine externe Analyse des Netzwerkverkehrs Rückschlüsse auf die Internetaktivitäten einzelner User ziehen lassen, ist keine ganz neue Erkenntnis. Gewisse Muster können dabei verraten, was die User gerade im Netz tun – und zwar, ohne dafür Zugriff auf die eigentlich übertragenen Daten zu benötigen. Forschende an der TU Graz haben nun aber einen neuen Weg entdeckt, mit dem das sehr viel einfacher und unauffälliger als bisher geht, und zwar so einfach, dass dies durchaus Sorge bereiten darf.

Snailload Logo
Keine neue Attacke ohne eigenes Logo, hier das von Snailload.
TU Graz

Die Snailload genannte Seitenkanalattacke ermöglicht es, vollständig ohne Ausführung von Schadcode einen Zielrechner auszuspionieren, um etwa herauszufinden, welche Videos oder Webseiten besucht werden. Damit ist so ein Angriff mit herkömmlichen Mitteln auch nicht so einfach aufzuspüren. Zudem funktioniert das Ganze natürlich mit einer großen Palette an unterschiedlichen Geräten und Systemen, da es sich um keine klassische Sicherheitslücke handelt, die einfach so geschlossen werden könnte. Die einzige Voraussetzung ist, dass das Zielsystem parallel eine Verbindung zu einem Server des Angreifers offen hat und dort laufend Daten übertragen werden können – etwa über eine im Hintergrund offene Webseite.

Eindeutige Spuren

Ob das Ansehen eines Videos oder der Aufruf einer Homepage – alle Online-Inhalte haben einen spezifischen digitalen Fingerabdruck: Sie werden für den effizienten Versand in kleine Datenpakete aufgeteilt, die nacheinander vom Server des Hosts an die User und Userinnen geschickt werden. Das führt zu Geschwindigkeitsschwankungen der Internetverbindung. Experten bezeichnen das als Latenzzeit. Dieses Muster aus Anzahl und Größe dieser Datenpakete ist für jeden Online-Inhalt einzigartig – eben wie ein menschlicher Fingerabdruck, wie Stefan Gast vom Grazer Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) erklärt.

Angreifer können das ausnutzen, sobald sie einmal Kontakt zum Endgerät ihres Opfers herstellen können. In der Folge werde dann "eine im Grunde harmlose kleine Datei" vom Server der Angreifenden heruntergeladen. Das Tückische dabei: Die Datei enthält keinen Schadcode, wird also von Sicherheitssoftware auch nicht als bedenklich eingestuft. Durch das regelmäßige Herunterladen dieser Datei erhalten die Angreifer dann aber laufend Informationen zu den Latenzzeiten der Internetverbindung und damit eben indirekt auch den Online-Aktivitäten des Opfers.

Training

Um die Internetaktivitäten über die Latenzschwankungen nachverfolgen zu können, haben die Forschenden für ihre Tests zuerst die digitalen Fingerabdrücke einer begrenzten Zahl von Youtube-Videos und populärer Websites analysiert. Wenn diese von den Testpersonen genutzt wurden, konnten sie durch die jeweils entsprechenden Latenzschwankungen erkannt werden.

Snailload Angriff
Bei Snailload handelt es sich um einen sogenannten Seitenkanalangriff, der über die Beobachtung von außen Rückschlüsse erlaubt.
TU Graz

Beim Ausspionieren der Testpersonen, die Videos schauten, erzielte das Team schließlich eine Trefferquote von bis zu 98 Prozent. "Die Erfolgsrate war umso besser, je größer das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer waren", betonte Daniel Gruss. Dementsprechend sank die Erfolgsquote beim Ausspähen des Besuchs einfacher Websites auf knapp über 60 Prozent.

Alles eine Frage des Interesses

"Wenn Angreifende ihre Machine-Learning-Modelle mit mehr Daten füttern als wir bei unserem Test, werden diese Werte aber sicher noch steigen", zeigte sich Daniel Gruss überzeugt. Für ihn ist es klar, dass der Angriff auch andersrum funktionieren kann: Wenn das Opfer im Internet aktiv ist, könnte ein Angreifer zuerst die Latenzschwankungen messen und anschließend nach Online-Inhalten mit dem passenden Fingerabdruck suchen.

Wie man dieses Problem bereinigen könnte, ist noch nicht klar. "Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kundinnen und Kunden nach einem zufälligen Muster künstlich verlangsamen", so Gruss. Bei zeitkritischen Anwendungen wie Videokonferenzen, Livestreams oder Online-Computerspielen würde dies allerdings zu spürbaren Verzögerungen führen, wie Gruss erörterte.

Mehr Informationen

Das Team um Stefan Gast und Daniel Gruss hat eine Website zu Snailload eingerichtet, auf der sich weitere Details zu dem Angriff finden. Ihr Paper zu der neuen Attacke werden sie auf den Fachkonferenzen Black Hat USA 2024 und USENIX Security Symposium präsentieren. Das Team der TU Graz hat sich in den vergangenen Jahren immer wieder auch international einen Namen mit seiner Forschung zum Thema Seitenkanalattacken und dabei speziell dem Aufspüren von Prozessorlücken gemacht. (apo, APA, 24.6.2024)