SnailLoad Side-Channel Attack เทคนิคใหม่ ใช้ค่า Latency วิเคราะห์ว่าเหยื่อกำลังใช้อินเทอร์เน็ตทำอะไรอยู่ ?

การเข้าสอดส่องถึงพฤติกรรมการใช้งานเว็บของเหยื่อนั้นสามารถทำได้หลายทาง โดยที่คุ้นเคยกันคือการใช้มัลแวร์ฝังบนเครื่องเหยื่อ แต่บางเทคนิคที่ใช้นั้นก็มีความซับซ้อนมากขึ้นไปกว่านั้นเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการที่ทีมนักวิจัยจากมหาวิทยาลัย Graz University of Technology ได้มีการค้นพบวิธีการโจมตีเครื่องของเหยื่อด้วยการใช้วิธีการแบบ Side-Channel Attack (การโจมตีในรูปแบบที่แฮกเกอร์จะใช้วิธีการเก็บและใช้ข้อมูลจากตัวระบบเพื่อที่จะใช้โจมตีภายหลัง) ที่เรียกว่า SnailLoad ซึ่งใช้วิธีสังเกตการณ์ค่าการตอบสนองของตัวเครื่องเหยื่อต่อเครือข่าย (Network Latency) โดยที่ไม่ต้องใช้การฝัง JavaScript หรือ การยิงโค้ดใส่เครื่องแบบการใช้มัลแวร์อื่น ๆ โดยทางทีมวิจัยได้กล่าวถึงความแม่นยำในการจับตามองการใช้งานเว็บไซต์ของเหยื่อด้วยวิธีนี้ว่าสูงพอสมควร เพราะจากการทดสอบใช้วิธีการนี้สามารถตรวจได้แม่นยำถึง 62.8% ว่าเหยื่อกำลังเข้าเว็บไซต์อะไรอยู่จากเว็บไซต์ระดับ Top 100 แถมยังแม่นยำถึง 98% ในการตรวจว่าเหยื่อกำลังดูคลิปอะไรบน Youtube อยู่

โดยการโจมตีนี้จะถูกแบ่งเป็น 4 ขั้นตอน โดยสามารถอธิบายง่าย ๆ ได้ดังนี้

• เหยื่อทำการสื่อสารการเซิร์ฟเวอร์
• เปรียบเทียบความเร็วในการติดต่อสื่อสารของเซิร์ฟเวอร์ กับความเร็วอินเทอร์เน็ตของเครื่องเหยื่อ
• ผู้โจมตีทำการส่งแพ็กเกจไปหาเหยื่อ
• ผู้โจมตีตรวจสอบการดีเลย์ของแพ็กเกจที่ส่งไปถึงส่วน Last Mile ของผู้ใช้งาน เพื่อตรวจสอบว่าในส่วนของการติดต่อสื่อสารปลายทางนั้นกำลังมีกิจกรรมใด เช่น การดูวิดีโอบน Youtube นั้นกำลังดูเรื่องไหนอยู่ เป็นต้น

ภาพจาก https://cybersecuritynews.com/snailload-side-channel-attack/

ซึ่งการทำงานของ SnailLoad นั้น ความแม่นยำของผลลัพธ์ที่ได้จะขึ้นอยู่กับสภาพการทำงานของเครือข่ายและตัว Sampling Rate ที่มีอยู่ ณ เวลานั้น อาจก่อให้เกิดการเปลี่ยนแปลงผลลัพธ์ในการตรวจสอบเนื่องมาจากการวัดค่าที่ผิดเพี้ยนไป

โดยการทดสอบกับกลุ่มทดสอบที่ใช้อินเทอร์เน็ตจากบ้านที่มีรูปแบบการเชื่อมต่ออินเทอร์เน็ตที่หลากหลายรูปแบบนั้น ความแม่นยำในการตรวจจับจะอยู่ระหว่าง 37% - 98% สำหรับการตรวจจับการรับชมวิดีโอ เรียกได้ว่าค่อนข้างเหวี่ยงมากทีเดียว และความแม่นยำในการตรวจสอบการเข้าชมเว็บไซต์ก็เป็นไปตามที่กล่าวไว้ตอนต้นที่ 62.8%

โดยจากแหล่งข่าวนั้น การโจมตีโดยวิธีการดังกล่าวนั้น ยังเป็นเพียงการค้นพบจากกลุ่มนักวิจัยในด้านความปลอดภัยไซเบอร์ภายในมหาวิทยาลัยเท่านั้น ยังไม่ได้มีการกล่าวถึงกรณีในการนำไปก่ออาชญากรรมจริง ๆ แต่ก็แสดงให้เห็นถึงว่าการโจมตีสามารถเกิดขึ้นได้ทุกรูปแบบต่อให้เครื่องไม่ได้ติดมัลแวร์ ดังนั้น คงเป็นอีกโจทย์หนึ่งที่ผู้ใช้งานต้องระวังตัว และผู้พัฒนาเครื่องมือความปลอดภัยทางไซเบอร์ต้องนำไปพัฒนาเครื่องมือในการป้องกันที่เก่งกว่าเดิมต่อไปในอนาคต