Web stranice mogu špijunirati aktivnost SSD-a

Sigurnosni stručnjaci otkrili su još jedan zabrinjavajući način na koji web preglednik može neizravno otkrivati što korisnik radi na računalu dok surfa internetom. Nova metoda, nazvana FROST, pokazuje da internetska stranica može pratiti aktivnosti korisnika izvan same otvorene kartice, uključujući druge web stranice koje posjećuje i aplikacije koje pokreće na uređaju. Posebno je zanimljivo to što FROST ne zahtijeva instalaciju zlonamjernog softvera, krađu lozinki, iskorištavanje klasične ranjivosti ili probijanje sigurnosne zaštite sustava. Dovoljno je da korisnik posjeti web stranicu na kojoj se nalazi posebno pripremljen JavaScript kod. Taj kod zatim počinje opterećivati SSD uređaj velikim brojem operacija čitanja i pisanja. Metoda se oslanja na jednu zanimljivu slabost modernih sustava. Kada više programa istodobno pristupa istom SSD-u, vrlo sitne promjene u vremenu odziva mogu otkriti što se još događa na računalu. Drugim riječima, web stranica ne mora izravno “vidjeti” koje aplikacije korisnik koristi, ali može mjeriti male promjene u brzini pristupa disku i iz toga pokušati zaključiti što se odvija u pozadini. FROST funkcionira tako da web stranica najprije stvara veliku datoteku, veličine više gigabajta, unutar Origin Private File Systema. Riječ je o posebnom prostoru za pohranu podataka koji preglednik dodjeljuje web stranicama u izoliranom okruženju. Nakon toga skripta počinje izvoditi velik broj nasumičnih čitanja te datoteke i precizno mjeriti latenciju ulazno izlaznih operacija. Kada korisnik u isto vrijeme otvori drugu web stranicu, pokrene aplikaciju za dopisivanje, otvori dokument ili koristi neki drugi program, ti procesi također šalju zahtjeve prema disku. To uzrokuje sitne zastoje i promjene u latenciji, često mjerljive u milisekundama. Upravo ti sitni poremećaji stvaraju svojevrsni “potpis” aktivnosti na računalu. Prikupljeni tragovi latencije zatim se obrađuju pomoću neuronske mreže tipa CNN. CNN je kratica za Convolutional Neural Network, odnosno konvolucijsku neuronsku mrežu. To je vrsta umjetne inteligencije koja se najčešće koristi za prepoznavanje uzoraka u slikama, grafovima, signalima i drugim podacima koji imaju prepoznatljivu strukturu. U ovom slučaju CNN ne analizira fotografije, nego grafove opterećenja SSD-a i promjene u vremenu odziva. Takva neuronska mreža može naučiti prepoznavati obrasce koji se ponavljaju. Primjerice, otvaranje određene web stranice ili pokretanje određene aplikacije može stvoriti karakterističan uzorak opterećenja diska. Nakon treniranja na velikom broju takvih primjera, model može usporediti nove podatke s ranije naučenim obrascima i procijeniti što korisnik radi. Laboratorijski eksperimenti pokazali su vrlo visoku uspješnost, posebno na Apple Mac računalima s M2 čipom. CNN model uspio je prepoznati posjećene web stranice s F1 rezultatom od 88,95 posto, dok je pokrenute aplikacije prepoznavao s F1 rezultatom do 95,83 posto. F1 rezultat je mjera koja kombinira preciznost i pouzdanost detekcije, pa veći postotak znači da je model u testnim uvjetima bio vrlo uspješan. Istraživači su potvrdili da osnovni mehanizam funkcionira i na Linuxu, dok Windows u ovom istraživanju nije testiran. To ne znači nužno da je Windows siguran od ove metode, nego samo da za njega još nema objavljenih rezultata u sklopu ovog rada. Ipak, FROST ima i važna ograničenja. Napad funkcionira samo ako se velika datoteka koju generira web stranica nalazi na istom SSD-u na kojem se nalaze podaci i aplikacije čiju aktivnost napadač pokušava neizravno pratiti. Ako su aplikacije, korisnički podaci ili sustav smješteni na drugom disku, napadač neće moći dobiti korisne informacije na ovaj način. Važno je naglasiti i da trenutačno nema dokaza da je FROST korišten u stvarnim napadima. Za sada je riječ o istraživačkom radu koji pokazuje što je tehnički moguće u kontroliranim laboratorijskim uvjetima. Rezultati bi trebali biti službeno predstavljeni na sigurnosnoj konferenciji DIMVA u srpnju. Najjednostavnija zaštita za korisnike je zatvaranje nepotrebnih kartica koje rade u pozadini, izbjegavanje sumnjivih web stranica i praćenje neuobičajenog ponašanja računala, posebno ako preglednik iznenada počne snažno opterećivati SSD ili zauzimati velike količine prostora. Korisno je i redovito ažurirati web preglednik, jer bi proizvođači u budućnosti mogli ograničiti ovakve tehnike dodatnom zaštitom pristupa lokalnoj pohrani. FROST zato nije klasičan virus niti obična metoda praćenja preko kolačića, nego primjer sofisticiranog side channel napada. Takvi napadi ne kradu podatke izravno, nego analiziraju sporedne tragove rada računala, poput vremena odziva, potrošnje resursa ili opterećenja hardvera. Upravo zato su posebno zanimljivi sigurnosnim istraživačima, ali i upozorenje da čak i obična web stranica, u određenim uvjetima, može otkriti više nego što korisnik očekuje. Tošo MaršićThe post Web stranice mogu špijunirati aktivnost SSD-a first appeared on PC CHIP.