Các nhà nghiên cứu bảo mật đã phác thảo một kỹ thuật mới giúp tấn công kênh bên dựa trên thời gian từ xa hiệu quả hơn bất kể tắc nghẽn mạng giữa đối thủ và máy chủ mục tiêu.
Xa xôi tấn công thời gian hoạt động trên kết nối mạng bị ảnh hưởng chủ yếu bởi các biến thể về thời gian truyền mạng (hoặc jitter), do đó, phụ thuộc vào tải của kết nối mạng tại bất kỳ thời điểm nào.
Nhưng vì việc đo thời gian thực hiện các thuật toán mã hóa là rất quan trọng để thực hiện một cuộc tấn công thời gian và do đó rò rỉ thông tin, jitter trên đường truyền mạng từ kẻ tấn công đến máy chủ có thể khiến việc khai thác thành công các kênh bên thời gian dựa vào một sự khác biệt nhỏ trong thời gian thực hiện.
Phương thức mới, được gọi là Tấn công vượt thời gian (TTAs) bởi các nhà nghiên cứu từ Tập đoàn nghiên cứu DistriNet và Đại học New York Abu Dhabi, thay vào đó tận dụng việc ghép kênh các giao thức mạng và thực thi đồng thời bằng các ứng dụng, do đó làm cho các cuộc tấn công miễn nhiễm với điều kiện mạng.
Các nhà nghiên cứu cho biết: “Các cuộc tấn công thời gian dựa trên đồng thời này tạo ra sự khác biệt về thời gian tương đối bằng cách phân tích thứ tự trả lời và do đó không dựa vào bất kỳ thông tin thời gian tuyệt đối nào”.
Sử dụng ghép kênh yêu cầu của HTTP / 2 để giảm Jitter
Không giống như các cuộc tấn công dựa trên thời gian thông thường, trong đó thời gian thực hiện được đo lường độc lập và tuần tự, kỹ thuật mới nhất cố gắng trích xuất thông tin từ thứ tự và chênh lệch thời gian tương đối giữa hai yêu cầu được thực hiện đồng thời mà không dựa vào bất kỳ thông tin thời gian nào.
Để làm như vậy, một diễn viên xấu bắt đầu một cặp yêu cầu HTTP / 2 đến máy chủ nạn nhân trực tiếp hoặc sử dụng một trang web chéo – chẳng hạn như quảng cáo độc hại hoặc lừa nạn nhân truy cập trang web do kẻ tấn công kiểm soát – để khởi chạy yêu cầu máy chủ thông qua mã JavaScript.
Máy chủ trả về một kết quả có sự khác biệt về thời gian đáp ứng giữa yêu cầu thứ hai và yêu cầu thứ nhất. TTA, sau đó, hoạt động bằng cách tính đến sự khác biệt này là tích cực hay tiêu cực, trong đó tích cực chỉ ra rằng thời gian xử lý yêu cầu đầu tiên mất ít thời gian hơn so với xử lý yêu cầu thứ hai.
“Trên các máy chủ web được lưu trữ qua HTTP / 2, chúng tôi thấy rằng chênh lệch thời gian nhỏ tới 100ns có thể được suy ra chính xác từ thứ tự phản hồi của khoảng 40.000 cặp yêu cầu”, các nhà nghiên cứu lưu ý.
“Chênh lệch thời gian nhỏ nhất mà chúng ta có thể quan sát được trong một cuộc tấn công thời gian truyền thống trên Internet là 10μs, cao hơn 100 lần so với cuộc tấn công dựa trên đồng thời của chúng ta.”
Một hạn chế của phương pháp này là các cuộc tấn công nhắm vào các máy chủ sử dụng HTTP / 1.1 không thể khai thác giao thức để kết hợp nhiều yêu cầu trong một gói mạng, do đó yêu cầu một cuộc tấn công thời gian đồng thời được thực hiện bằng nhiều kết nối thay vì gửi tất cả các yêu cầu qua cùng một kết nối .
Điều này xuất phát từ việc sử dụng đầu-dòng của HTTP / 1.1 (HOL) chặn, khiến tất cả các yêu cầu trên cùng một kết nối được xử lý tuần tự, trong khi HTTP / 2 giải quyết vấn đề này thông qua ghép kênh yêu cầu.
Hiện tại, 37,46% của tất cả trang web máy tính để bàn được phục vụ qua HTTP / 2, một con số tăng hơn nữa lên 54,04% cho các trang web hỗ trợ HTTPS. Mặc dù điều này làm cho một số lượng lớn các trang web dễ bị TTAs, các nhà nghiên cứu lưu ý rằng nhiều trong số chúng dựa vào các mạng phân phối nội dung (CDN), như Cloudflare, vẫn sử dụng HTTP / 1.1 cho các kết nối giữa CDN và trang web gốc.
Dịch vụ Tor Onion và Wi-Fi EAP-PWD dễ bị tổn thương
Nhưng trong một vòng xoắn, các nhà nghiên cứu nhận thấy rằng các cuộc tấn công thời gian dựa trên đồng thời cũng có thể được triển khai đối với các dịch vụ hành tây Tor, bao gồm cả các dịch vụ chỉ hỗ trợ HTTP / 1.1, cho phép kẻ tấn công tạo hai kết nối Tor đến một dịch vụ hành tây cụ thể, sau đó gửi đồng thời một yêu cầu trên mỗi kết nối để đo chênh lệch thời gian là 1μs.
Đó không phải là tất cả. Các Xác thực EAP-PWD phương thức sử dụng mật khẩu dùng chung giữa máy chủ và thay thế khi kết nối với mạng Wi-Fi, bị tấn công từ điển bằng cách khai thác rò rỉ thời gian trong Giao thức bắt tay Dragonfly để tiết lộ thông tin về chính mật khẩu.
Mặc dù các cuộc tấn công thời gian có thể được chống lại bằng cách đảm bảo thực hiện liên tục thời gian, nhưng nói thì dễ hơn làm, đặc biệt là đối với các ứng dụng dựa trên các thành phần của bên thứ ba. Ngoài ra, các nhà nghiên cứu đề nghị thêm một độ trễ ngẫu nhiên cho các yêu cầu đến và đảm bảo rằng các yêu cầu khác nhau không được kết hợp trong một gói.
Đây không phải là lần đầu tiên các cuộc tấn công thời gian từ xa được sử dụng để rò rỉ thông tin nhạy cảm. Các nhà nghiên cứu trước đây đã chứng minh rằng có thể khai thác các kênh bên bộ đệm để phát hiện mật khẩu SSH từ bộ đệm CPU của Intel (NetCAT) và thậm chí đạt được Thực hiện đầu cơ giống như bóng ma qua kết nối mạng (NetSpectre).
“Vì NetSpectre tấn công các ứng dụng nhắm vào lớp mạng, theo lý thuyết, kẻ tấn công có thể tận dụng các cuộc tấn công thời gian dựa trên đồng thời của chúng tôi để cải thiện độ chính xác về thời gian”, các nhà nghiên cứu cho biết.
Những phát hiện sẽ được trình bày tại Hội nghị chuyên đề bảo mật USENIX vào cuối năm nay. Các nhà nghiên cứu cũng đã công bố một Công cụ dựa trên Python để kiểm tra các máy chủ HTTP / 2 để tìm lỗ hổng TTA.
