Badacze od dawna wiedzą, że mogą uzyskać ukryte informacje na temat wewnętrznego działania witryny internetowej, mierząc czas potrzebny na spełnienie różnych żądań i ekstrapolując informacje – i potencjalne słabe strony – z niewielkich różnic. Takie „ataki taktowania sieciowego” są opisywane od lat, ale często są zbyt skomplikowane, aby atakujący w świecie rzeczywistym mogli je wykorzystać w praktyce, nawet jeśli działają w teorii. Jednak jeden z badaczy ostrzegł to podczas konferencji poświęconej bezpieczeństwu Black Hat w Las Vegas w tym tygodniu Ataki na synchronizację sieci są w rzeczywistości wykonalne i gotowy do eksploatacji.
James Kettle, dyrektor ds. badań w firmie PortSwigger zajmującej się bezpieczeństwem aplikacji internetowych, opracował zestaw technik ataku taktowania sieci, które można wykorzystać do ujawnienia trzech różnych kategorii luk w zabezpieczeniach witryn internetowych. Zatwierdził metody, korzystając ze stworzonego przez siebie środowiska testowego, w którym skompilowano 30 000 prawdziwych witryn internetowych, z których wszystkie oferują programy nagradzania błędów. Mówi, że celem tej pracy jest wykazanie, że gdy ktoś ma pojęcie o rodzajach informacji, jakie mogą dostarczyć ataki taktowania sieci, wykorzystanie ich staje się bardziej wykonalne.
„Zawsze unikałem badania ataków czasowych, ponieważ jest to temat cieszący się dobrą reputacją” – mówi Kettle. „Wszyscy badają ten temat i twierdzą, że ich badania są praktyczne, ale wydaje się, że nikt tak naprawdę nie używa ataków czasowych w prawdziwym życiu, więc na ile jest to praktyczne? Mam nadzieję, że ta praca pokaże ludziom, że w dzisiejszych czasach te rzeczy rzeczywiście działają i skłoni ich do zastanowienia się nad tym”.
Czajnik został częściowo zainspirowany artykułem badawczym z 2020 r. zatytułowanym „Ponadczasowe ataki czasowe”, co miało na celu rozwiązanie wspólnego problemu. Znany jako „jitter sieciowy” pseudonim gazety odnosi się do opóźnień czasowych pomiędzy wysłaniem i odebraniem sygnału w sieci. Te wahania wpływają na pomiary taktowania, ale są niezależne od przetwarzania serwera WWW mierzonego pod kątem ataków taktowania, więc mogą zniekształcać odczyty. Badanie przeprowadzone w 2020 r. wykazało jednak, że wysyłając żądania za pośrednictwem wszechobecnego protokołu sieciowego HTTP/2, można umieścić dwa żądania w jednym pakiecie komunikacyjnym TCP, dzięki czemu wiadomo, że oba żądania dotarły do serwera w tym samym czasie. Następnie, ze względu na konstrukcję protokołu HTTP/2, odpowiedzi będą zwracane w takiej kolejności, że ta, której przetworzenie zajęło mniej czasu, była pierwsza, a ta, której przetworzenie trwało dłużej, była druga. Daje to wiarygodne, obiektywne informacje o taktowaniu systemu bez konieczności posiadania dodatkowej wiedzy o docelowym serwerze internetowym — stąd „ataki ponadczasowe”.
Ataki oparte na taktowaniu sieci należą do klasy hacków znanych jako „kanały boczne”, podczas których osoba atakująca zbiera informacje o celu na podstawie jego rzeczywistych właściwości fizycznych. W swojej nowej pracy Kettle udoskonalił technikę „ponadczasowych ataków czasowych” w celu zmniejszenia szumu sieci, a także podjął kroki w celu rozwiązania podobnych problemów związanych z szumem związanym z serwerem, aby jego pomiary były dokładniejsze i bardziej wiarygodne. Następnie zaczął stosować ataki czasowe, aby szukać w przeciwnym razie niewidocznych błędów w kodowaniu i wad w witrynach internetowych, które zwykle są trudne do znalezienia dla programistów lub złych aktorów, ale które są uwydatnione w informacjach wyciekających wraz z pomiarami taktowania.
Oprócz wykorzystywania ataków czasowych do znajdowania ukrytych punktów zaczepienia do ataku, Kettle opracował także skuteczne techniki wykrywania dwóch innych powszechnych typów możliwych do wykorzystania błędów internetowych. Jedna z nich, znana jako luka polegająca na wstrzykiwaniu po stronie serwera, umożliwia osobie atakującej wprowadzenie złośliwego kodu w celu wysyłania poleceń i uzyskiwania dostępu do danych, które nie powinny być dostępne. Drugie, zwane źle skonfigurowanymi odwrotnymi serwerami proxy, umożliwia niezamierzony dostęp do systemu.
Podczas swojej środowej prezentacji na konferencji Black Hat Kettle zademonstrował, w jaki sposób może wykorzystać atak taktujący w sieci Web, aby wykryć błędną konfigurację i ostatecznie ominąć zaporę ogniową docelowej aplikacji internetowej.
„Ponieważ zauważyłeś błędną konfigurację odwrotnego serwera proxy, po prostu omiń zaporę sieciową” – powiedział WIRED przed swoim wystąpieniem. „Po znalezieniu zdalnych serwerów proxy wykonanie tej czynności jest całkowicie banalne, a ataki czasowe świetnie nadają się do wyszukiwania takich problemów”.
Oprócz swojego wystąpienia Kettle udostępnił funkcjonalność narzędzia open source do skanowania podatności na zagrożenia, znanego jako Górnik Param. Narzędzie jest rozszerzeniem popularnej platformy oceny bezpieczeństwa aplikacji internetowych Burp Suite, której twórcą jest pracodawca Kettle, firma PortSwigger. Kettle ma nadzieję podnieść świadomość na temat użyteczności ataków na taktowanie sieci, ale chce też mieć pewność, że techniki te będą wykorzystywane do obrony, nawet jeśli ludzie nie rozumieją leżących u ich podstaw koncepcji.
„Zintegrowałem wszystkie te nowe funkcje z Param Minerem, aby ludzie, którzy nic o tym nie wiedzą, mogli uruchomić to narzędzie i znaleźć niektóre z tych luk” – mówi Kettle. „Pokazuje ludziom rzeczy, które w innym przypadku by przeoczyli”.
