Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Security Professionals - ipfw add deny all from eindgebruikers to any

QUICK vs HTTPs fingerprinting

Reageer met quote
30-01-2021, 17:10 door Anoniem, 2 reacties
Ik vond het zelf wat zware kosten, maar wel interessant:

https://arxiv.org/abs/2101.11871

TLDR:

QUIC (Quick UDP Internet Connections), as an alternative to traditional HTTP, demonstrates its unique transmission characteristics: based on UDP for encrypted resource transmission, accelerating web page rendering. However, existing encrypted transmission schemes based on TCP are vulnerable to website fingerprinting (WFP) attacks, allowing adversaries to infer the users' visited websites by eavesdropping on the transmission channel. Whether QUIC protocol can effectively resisting to such attacks is worth investigating. In this work, we demonstrated the extreme vulnerability of QUIC under WFP attacks by comparing attack results under well-designed condition
12 jaar oud lek in Windows defender ontdekt.
Vraag aan Arnoud
Reacties (2)
Reageer met quote
30-01-2021, 22:45 door Anoniem
Door Anoniem: Ik vond het zelf wat zware kosten, maar wel interessant:

https://arxiv.org/abs/2101.11871

TLDR:

QUIC (Quick UDP Internet Connections), as an alternative to traditional HTTP, demonstrates its unique transmission characteristics: based on UDP for encrypted resource transmission, accelerating web page rendering. However, existing encrypted transmission schemes based on TCP are vulnerable to website fingerprinting (WFP) attacks, allowing adversaries to infer the users' visited websites by eavesdropping on the transmission channel. Whether QUIC protocol can effectively resisting to such attacks is worth investigating. In this work, we demonstrated the extreme vulnerability of QUIC under WFP attacks by comparing attack results under well-designed condition

Inderdaad boeiend.

Laat ik proberen het wat duidelijker samen te vatten dan de summary van het paper.

Het gaat hier feitelijk om een vorm van een side-channel / timing attack .

Het scenario is dat je kijkt naar encrypted verkeer, waarvan je de werkelijke bestemming niet ziet (tunnel/proxy whatever). En de inhoud natuurlijk ook niet, want encryptie.
Wat je wel ziet zijn pakketgroottes/ datavolumes, en timing en pauzes van datastromen.

Ze hebben de sites (frontpages zo te zien) van de 92 top universiteiten genomen, en die gecloned, en kijken voor de analyse alleen naar het feitelijk encrypted verkeer (dus niet de SSL handshake) .
Ze bezoeken de geclonede sites elk 100x met een HTTPS en QUIC client .
(Ik heb vrij snel gelezen - zag niet meteen wat ze gedaan hebben qua certificaat - misschien een self-signed cert. Maar feitelijk beperken ze zich tot de structuur van de site en , in kenmerken waar ze in verkeer naar kijken ).

Dan gebruiken ze machine learning om modellen te maken/leren en aan de verkeers-stroom-patronen de bezochte site te herkennen.

En dan kunnen ze met behoorlijke accuracy zeggen welke site bezocht werd.

QUIC is , ietwat kort door de bocht , 'tcp over udp' . Het is een protocol stack, met retransmissie, flow control e.d. dat UDP als drager protocol gebruikt.
De reden is dat met de groei van Internet TCP 'versteend' . Het duurt decennia voordat verbetere TCP versies in voldoende aantallen gedeployed zijn op clients en servers om echt profijt te hebben van de verbeteringen.
(De verbeteringen betreffen met name de flow control en congestie beheer - zoek op TCP Vegas,Reno, Cubic, BBR etc als termen) .
Google heeft toen QUIC bedacht - waarbij ze de client stack (qua flowcontrol) in de browser implementeren, en de server stack ook userland kan zijn .

Dat research paper kijkt of er voor die side-channel analyse verschil is tussen HTTPS verkeer met QUIC dan wel TCP als transport .Blijkbaar is het herkennen van de site op basis van de eerste set van packets makkelijker als het om QUIC verkeer gaat dan om TCP .
Ik las het niet expliciet in het paper, maar QUIC ambieert een heel snelle start van nuttige data transfer - met de natte vinger denk ik dan dat dat ook wel verklaart waarom je meer informatie haalt uit de vroege data van een QUIC sessie dan van een TCP sessie.

Boeiend - maar imo voor de normale security praktijk helemaal onderop de stapel van zorgen.

Het _probleem_ dat ook traffic analyse informatie kan opleveren is bekend in de crypto wereld - de 'number stations' - korte golf zenders die eindeloze reeksen van getallen oplezen weten dat ook.
Die zenden _altijd_ . Niet alleen als er iets te melden is aan de spionnen die de luisteraars zijn.
Ook al zijn de uitzendingen one time pad - alleen zenden als er een bericht is , is ook nuttige informatie voor contra-spionage.

Soms gaat dat mis - en worden spionnen daardoor herkend .
Lees Matt Blaze : https://www.mattblaze.org/blog/neinnines/ .
Een number-station waarbij de 'opvul-berichten' het cijfer 9 missen in de reeksen. En daarbij onderscheidbaar zijn van echte berichten. Er bleek een correlatie tussen de afwezigheid van een verdacht spionnen echtpaar en de timeslots in het number station dat dan herkenbare (geen 9 ) 'opvul berichten' bevatte.
Reageer met quote
31-01-2021, 20:52 door Anoniem
Bedankt voor de uitleg hierboven, echt super duidelijk, thanks!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Image

Security-engineer IAM

Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.

Lees meer

Heb jij een Hacker Mindset?

5 reacties
Aantal stemmen: 325
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter