Geçtiğimiz hafta siber güvenlik çevrelerinde büyük yankı uyandıran yeni bir araştırma, FROST siber takip tekniği olarak adlandırılan yöntemin tüyler ürpertici potansiyelini ortaya koydu. Graz Teknoloji Üniversitesi’nden bir ekip tarafından geliştirilen bu saldırı, bir kullanıcının bilgisayarında hangi uygulamaların açık olduğunu veya hangi web sitelerini ziyaret ettiğini anlamak için o cihazdaki SSD’nin anlık çalışma hızını ölçüyor. Daha da vahimi, saldırının başarılı olması için sizin zararlı bir siteyi ziyaret etmeniz dışında hiçbir şey yapmanız gerekmiyor. Tıklamak, izin vermek ya da bir dosya indirmek yok; sadece o sekmeyi açık bırakmak yeterli.
Saldırının Kalbi: SSD’deki Milisaniyelik “Trafik Sıkışıklığı”
Bu tekniğin temelinde, donanım seviyesinde yaşanan bir kaynak çakışması yatıyor. Bir SSD’ye aynı anda birden fazla uygulama okuma veya yazma talebinde bulunduğunda, milisaniye seviyesinde ölçülebilen küçük gecikmeler oluşuyor. İşte FROST (Fingerprinting Remotely using OPFS-based SSD Timing) tam da bu gecikmeleri bir tür parmak izi gibi kullanıyor.
Araştırmacılar, modern tarayıcıların sunduğu ve web uygulamalarının çevrimdışı çalışabilmesi için geliştirilen OPFS (Origin Private File System) adlı bir arayüzü ustalıkla istismar ediyor. Saldırganın hazırladığı web sitesine girdiğinizde, arka planda çalışan bir JavaScript kodu, sizin SSD’nizde OPFS alanında en az 1 GB boyutunda bir dosya oluşturuyor. Ardından bu dosyaya sürekli olarak rastgele okuma emirleri göndermeye başlıyor. Tam bu sırada siz, örneğin bir video düzenleme programı açarsanız veya tarayıcınızın başka bir sekmesinde yoğun disk kullanan bir siteyi ziyaret ederseniz, SSD’de bir trafik çatışması yaşanıyor. Zararlı JavaScript kodu, kendi okuma emirlerindeki bu milisaniyelik yavaşlamaları hassas bir şekilde kaydediyor.
Yapay Zeka Desen Tanıma ile Yüzde 96’ya Varan Doğruluk
Toplanan bu ham gecikme verileri, kendi başına anlamsız bir gürültü gibi görünüyor. Ancak işin sihirli kısmı burada başlıyor. Saldırganlar, bu verileri daha önce eğitilmiş bir Evrişimli Sinir Ağı (CNN) modeline besliyor. Model, farklı uygulamaların SSD üzerinde yarattığı benzersiz okuma-yazma desenlerini tanıyacak şekilde eğitilmiş durumda.
Üniversitenin laboratuvar ortamında M2 işlemcili bir Mac Mini üzerinde yaptığı testler, yöntemin ne kadar isabetli olabileceğini gözler önüne serdi. Sistem, bilgisayarda çalışan farklı uygulamaları yüzde 96 gibi şaşırtıcı bir doğrulukla tahmin etti. Ziyaret edilen web sitelerinin tespitinde ise bu oran yüzde 89 olarak ölçüldü. Bir düşünün; biri sizin arka planda Slack mi, Adobe Photoshop mu yoksa bir veritabanı yönetim aracı mı kullandığınızı neredeyse emin olacak şekilde bilebiliyor. Bunu yaparken de ne bir yama ne de bir sızma kodu kullanıyor; sadece tarayıcınızın meşru bir özelliğini suistimal ediyor.
Tarayıcılar Arası Çalışabilen Sessiz Tehdit
FROST’u asıl ürkütücü yapan detaylardan biri, farklı tarayıcıları etkileyebilme kabiliyeti. Testler, saldırının Google Chrome üzerinden başlatıldığında, Safari tarayıcısında açık olan bir web sitesinin aktivitesini bile tespit edebildiğini gösterdi. Bunun mümkün olmasının sebebi, sinyalin kaynağının yazılım katmanı değil, doğrudan fiziksel donanım olması. SSD çipi, kendisini hangi tarayıcının zorladığını ayırt etmeden sadece yoğunluğa tepki veriyor ve bu evrensel sinyal, tüm tarayıcılar için geçerli bir sızıntı oluşturuyor.
Araştırmacılar, yöntemin temel mekaniğinin Linux sistemlerde de çalıştığını doğruladı. Henüz Windows tarafında kapsamlı bir test yapılmamış olsa da, teorik olarak işletim sisteminden bağımsız bir donanım davranışına dayandığı için pek çok platformda potansiyel bir risk olarak görülüyor. Yine de cihazınızda birden fazla fiziksel disk varsa veya işletim sistemi ile tarayıcı önbelleği farklı bir sürücüdeyse, saldırının etkinliği ciddi oranda düşüyor.
Kısıtlamalar ve Gerçek Dünya Senaryosu
Hemen panik butonuna basmadan önce, bu saldırının bazı önemli kısıtlamaları olduğunu bilmekte fayda var. Her şeyden önce bu, kontrollü bir laboratuvar çalışması. Şu ana kadar FROST’un vahşi ortamda aktif olarak kullanıldığına dair herhangi bir kanıt bulunmuyor. İkinci olarak, saldırının çalışabilmesi için tarayıcının OPFS alanında oluşturduğu dosya boyutu bazı senaryolarda onlarca, hatta yüzlerce gigabayta kadar ulaşabiliyor. Depolama alanındaki bu ani ve anormal azalmayı fark eden bilinçli bir kullanıcının durumdan şüphelenmesi kuvvetle muhtemel.
Ayrıca saldırının hedefi olan uygulamaların, zararlı JavaScript kodunun çalıştığı tarayıcı ile aynı fiziksel SSD üzerinde bulunması şart. Harici bir diskteki bir oyun veya program, bu saldırının menzili dışında kalıyor. Tüm bu etkenler, FROST’un şimdilik kitlesel bir tehdit olmaktan ziyade, hedef odaklı ve sofistike saldırılar için uygun bir araç olduğunu gösteriyor.
Şirketlerin Cevabı ve Geleceğe Dair Öngörüler
Araştırma ekibi, bulgularını sorumlu bir şekilde Google, Apple ve Mozilla ile paylaştı. Ancak alınan yanıtlar, bu yeni tehdit sınıfının ne kadar karmaşık olduğunu kanıtlar nitelikte. Google, parmak izi toplama (fingerprinting) tekniklerini kendi programları kapsamında doğrudan bir güvenlik açığı olarak değerlendirmediğini belirtti. Apple, mevcut saldırı senaryosunun kendi tehdit modeli dışında kaldığını ifade etti. Mozilla ise araştırmayı incelediğini kabul etmekle birlikte henüz somut bir koruma mekanizması yayınlamadı.
Uzmanlar, orta vadede tarayıcı üreticilerinin çözümü OPFS gibi depolama API’lerine katı boyut veya performans sınırlamaları getirmekte bulacağını düşünüyor. Tıpkı Spectre ve Meltdown güvenlik açıklarında olduğu gibi, donanım ve yazılım arasındaki bu sıra dışı etkileşimin, web platformlarının temel mimarisinde köklü değişikliklere yol açması sürpriz olmayacak.
Peki Şimdi Ne Yapmalı?
FROST saldırısının gerçek zamanlı bir tehdit olmaması, önlem almayı gereksiz kılmıyor. En basit ve en etkili savunma yöntemi, işiniz bittiğinde tarayıcı sekmelerini kapatmak. Zararlı sayfa açık olmadığı sürece ölçümlerin yapılması imkansız. Bunun yanında, özellikle dizüstü bilgisayarınızda depolama alanının sebepsiz yere ve hızla azaldığını fark ederseniz, bunu ciddiye alıp hangi sitenin bu kadar alan tükettiğini kontrol etmeniz akıllıca olacaktır. Bu olay, tarayıcılarımızın artık sadece birer sayfa görüntüleyici olmadığının, uçsuz bucaksız birer platforma dönüştüğünün ve her yeni kabiliyetin beraberinde yeni bir saldırı yüzeyi getirdiğinin en çarpıcı hatırlatıcılarından biri. hedefbilgitoplumu.com
