FROST to rewolucyjne podejście do monitorowania aktywności użytkowników w sieci. Wystarczy wizyta na odpowiednio przygotowanej stronie internetowej, aby udostępnić dane o działaniu dysku SSD.
Przez lata przyzwyczailiśmy się do tego, że strony internetowe gromadzą o nas znaczną ilość informacji. Śledzą nasze kliknięcia, ruchy kursora, potrafią odtworzyć historię przeglądania, a nawet rejestrować wprowadzane dane. Jednakże, nowe badania przeprowadzone przez naukowców z TU Graz wprowadzają zupełnie nowy wymiar inwigilacji. Strony internetowe mogą teraz monitorować aktywność naszego komputera, analizując działanie dysku SSD.
Tak, dobrze przeczytaliście. Dysk SSD, który miał być synonimem szybkości, ciszy i bezpieczeństwa dzięki braku ruchomych części, teraz okazuje się, że jego mikrosekundowe opóźnienia mogą zdradzać otwarte karty w przeglądarce, a nawet uruchomione aplikacje. Wszystko to bez konieczności instalowania jakiegokolwiek oprogramowania, uzyskiwania zgód czy wyświetlania uciążliwych okienek. Wystarczy odwiedzić specjalnie przygotowaną stronę.
SSD jako narzędzie podsłuchu. Jak to jest możliwe?
Mechanizm FROST (Fingerprinting Remotely using OPFS-based SSD Timing) wykorzystuje technikę „kanału bocznego” (side channel). Pozwala ona na wnioskowanie o działaniu systemu nie na podstawie bezpośrednich danych, lecz poprzez analizę efektów ubocznych, takich jak czas wykonania operacji, zużycie energii czy zakłócenia elektromagnetyczne.
W tym przypadku kluczowe jest zjawisko „contention”, czyli współdzielenia zasobów. Gdy wiele procesów jednocześnie korzysta z tego samego dysku SSD, ich operacje zaczynają na siebie wzajemnie wpływać, powodując subtelne zmiany w czasie odczytu danych. Te minimalne fluktuacje, choć pozornie nieistotne, okazują się na tyle charakterystyczne, że pozwalają na odtworzenie aktywności użytkownika.
Kluczowym elementem jest tutaj OPFS (Origin Private File System) – mechanizm zintegrowany z przeglądarkami, umożliwiający stronom tworzenie prywatnych plików na dysku użytkownika bez jego wiedzy i zgody. Operacja ta odbywa się dyskretnie, bez żadnych powiadomień.
Strona internetowa może zatem utworzyć plik o bardzo dużej pojemności, nawet kilkadziesiąt gigabajtów, a następnie przeprowadzać na nim szybkie, losowe operacje odczytu. Poprzez pomiar opóźnień w tych operacjach, spowodowanych przez inne procesy aktywne na dysku, można uzyskać unikalny „odcisk palca” aktywności użytkownika.
Co dokładnie można podejrzeć za pomocą FROST?
Badania przeprowadzone na systemach macOS i Linux przyniosły niepokojące wyniki. W przypadku identyfikacji odwiedzanych stron internetowych, FROST osiągnął skuteczność na poziomie 88,95% w scenariuszu zamkniętym (obejmującym 50 najpopularniejszych witryn) i 86,95% w scenariuszu otwartym. Oznacza to, że strona atakująca jest w stanie z wysokim prawdopodobieństwem określić, czy użytkownik odwiedza takie serwisy jak YouTube, Facebook czy Amazon.
Jeszcze bardziej imponujące rezultaty uzyskano w kontekście rozpoznawania aplikacji. FROST potrafił zidentyfikować uruchomione aplikacje systemowe na macOS, takie jak Safari, Mapy, Muzyka, Kalkulator czy App Store, z niesamowitą skutecznością wynoszącą 95,83%.
Co istotne, atak działa nawet pomiędzy różnymi przeglądarkami. Badacze udowodnili, że przeglądarka Chrome może monitorować aktywność Safari i na odwrót, ponieważ kluczowym elementem jest tu sam dysk, a nie rodzaj używanej przeglądarki.
Jakie są ograniczenia tego ataku? Czy działa on zawsze?
Na szczęście istnieją pewne ograniczenia. Przede wszystkim, mechanizm OPFS musi mieć możliwość utworzenia pliku o znaczącej wielkości. Przeglądarki Chrome i Safari pozwalają na wykorzystanie do 60% pojemności dysku. Firefox ma ograniczenie do 10 GB, jednak można je ominąć, tworząc pliki w ramach wielu różnych domen.
Drugim warunkiem jest konieczność korzystania z tego samego fizycznego dysku SSD przez aplikacje, które chcemy monitorować. Jest to powszechne w przypadku laptopów, jednak na stacjach roboczych z wieloma dyskami sytuacja może być bardziej złożona.
Trzecim ograniczeniem jest potencjalne zauważenie przez użytkownika nagłego zmniejszenia wolnego miejsca na dysku. Należy jednak zaznaczyć, że znaczna część użytkowników rzadko monitoruje stan zajętości swojego dysku.
Atak FROST nie został dotychczas zaobserwowany w rzeczywistych incydentach bezpieczeństwa. Obecnie jest to badanie naukowe, które zostanie zaprezentowane na konferencji DIMVA. Historia uczy nas jednak, że podobne odkrycia, jak Meltdown, Spectre czy Rowhammer, ewoluowały od badań teoretycznych do realnych zagrożeń, a cyberprzestępcy potrafią wykazać się dużą kreatywnością w wykorzystywaniu luk.
Czy istnieją metody obrony przed FROST?
Naukowcy sugerują kilka potencjalnych rozwiązań, jednak każde z nich wiąże się z pewnymi kompromisami. Ograniczenie maksymalnego rozmiaru plików OPFS mogłoby negatywnie wpłynąć na działanie aplikacji webowych wymagających dużej przestrzeni dyskowej, takich jak edytory wideo czy zintegrowane środowiska programistyczne (IDE) działające w przeglądarce.
Ograniczenie dostępu do precyzyjnych timerów mogłoby zakłócić działanie wielu nowoczesnych interfejsów programowania aplikacji (API).
Wymaganie zgody użytkownika na korzystanie z OPFS mogłoby doprowadzić do sytuacji, w której użytkownicy, podobnie jak w przypadku ciasteczek, klikaliby „Zezwól” bezrefleksyjnie.
Najprostszą i najbardziej oczywistą radą jest zamykanie zakładek przeglądarki, których aktualnie nie używamy. To proste działanie może znacząco zredukować ryzyko.
Dlaczego FROST jest tak istotny?
FROST pokazuje, że przeglądarka internetowa, która miała być bezpieczną piaskownicą dla użytkownika, zaczyna przypominać pełnoprawny system operacyjny. Wraz z rozszerzaniem jej funkcjonalności pojawiają się nieprzewidziane konsekwencje i nowe wektory ataków.
Jest to również ważny sygnał dla branży technologicznej. Jeśli pozwalamy stronom internetowym na dostęp do coraz bardziej zaawansowanych funkcji sprzętowych, musimy liczyć się z tym, że ktoś znajdzie sposób na ich niewłaściwe wykorzystanie.
Nie chodzi tu o wywoływanie paniki, lecz o budowanie świadomości. Nawet jeśli nie mamy nic do ukrycia, nie oznacza to, że ktoś nie będzie chciał poznać naszych działań.
FROST – Zapowiedź przyszłych zagrożeń
Badacze podkreślają, że skoro możliwe jest identyfikowanie odwiedzanych stron i uruchomionych aplikacji, to w teorii można również monitorować wszelką aktywność generującą charakterystyczne obciążenie dysku. Oznacza to potencjalną możliwość wykrywania otwierania dokumentów, pracy programów graficznych, a nawet rozgrywki w gry komputerowe.
To nie koniec tej historii. To dopiero początek nowej ery w dziedzinie cyberbezpieczeństwa i prywatności.
### Wyniki Biznes Fakty: FROST to technologia, która otwiera nowe możliwości w zakresie analizy zachowań użytkowników online, co ma bezpośrednie implikacje dla branży reklamowej i marketingowej. Możliwość precyzyjnego profilowania na podstawie aktywności dyskowej może zrewolucjonizować targetowanie reklam, zwiększając ich efektywność i ROI. W kontekście e-commerce, zrozumienie, jakie aplikacje lub strony są aktywne podczas sesji zakupowej, może pomóc w personalizacji ofert i optymalizacji ścieżek zakupowych, potencjalnie zwiększając konwersję. Z drugiej strony, rozwój takich metod inwigilacji rodzi pytania o prywatność użytkowników i potencjalne naruszenia regulacji RODO, co może wymagać od firm dostosowania ich strategii gromadzenia i przetwarzania danych, a także inwestycji w zabezpieczenia. Skuteczność FROST w identyfikacji stron (86,95%) i aplikacji (95,83%) sugeruje, że narzędzia wykorzystujące tę technologię mogą stać się cennym elementem strategii analitycznych, pod warunkiem odpowiedniego ich zastosowania i poszanowania prawa do prywatności.
Według danych portalu: spidersweb.pl