Vesper
ENESFRTR
Grafikler
Yazılar:SporSağlıkTarihTeknoloji
Piyasalar
USD/TRY45.90 0.02%EUR/TRY53.38 0.07%GBP/TRY61.64 0.05%CHF/TRY58.32 0.08%JPY/TRY0.2878 0.05%Gram Altın6479.33 ₺ 0.02%BTC/TRY3,362,733 3.20%ETH/TRY91,172 4.44%
Teknoloji

Web siteleri ziyaretçileri izlemek için yeni bir yol buldu: SSD etkinliklerini analiz etmek

Ars Technica2 sa önce
PaylaşXWhatsAppTelegramLinkedIn
Bir veri merkezi sunucu odasının ışıklarla aydınlatılmış ekipman görüntüsü
Photo: Brett Sayles / Pexels

Akademik bilim insanları, web sitelerinin ziyaretçileri izlemek için yeni bir yol bulduğunu açıkladılar: tarayıcı üzerinden ziyaretçinin SSD'sinin (solid-state drive) disk etkinliklerini gözlemlemek. Ars Technica'nın haberine göre, bu saldırı tekniği, ziyaretçinin cihazını mevcut tarayıcı korumalarının çoğundan farklı bir biçimde profilleyebiliyor; bu durum, web tabanlı mahremiyet için yeni bir endişe doğuruyor.

Saldırı tekniğinin temelinde, JavaScript ve diğer web API'leri kullanılarak tarayıcının dolaylı olarak işletim sistemine yaptığı sorguların zamanlama farklılıkları yatıyor. Web sitesi, kontrollü bir biçimde dosya okuma/yazma işlemlerini başlatıyor ve yanıt sürelerini ölçüyor. SSD'lerin iç önbellek yapısı ve disk denetleyici davranışlarındaki farklar, bu ölçümlerden çıkarsama yapmaya olanak veriyor.

Araştırma ekibi, çeşitli SSD modellerinin (Samsung, Crucial, Western Digital, Kingston) farklı 'imza' davranışları gösterdiğini belgeledi. Bu imza, bir tarayıcı oturumu boyunca üretilen verilerin doğruluğu yüksek bir biçimde cihazın SSD modelini sınıflandırmasına olanak verdi. Klasik bir 'fingerprinting' (cihaz parmak izi) tekniği olarak nitelendirilebilir, ancak SSD katmanına özelleştirilmiş bir varyantı.

Mahremiyet etkisi açısından, bu teknik kullanıcının silinmesi veya gizli (incognito) mod gibi mevcut tarayıcı önlemlerini aşıyor. Bir kullanıcı, tarayıcısının çerezlerini sildikten sonra bile, SSD'sinin imzası sabit kaldığından, sonraki ziyaretler arasında bağ kurulabiliyor. Mevcut Avrupa Birliği GDPR ve California CCPA gibi mahremiyet yasalarının bu tür izleme tekniklerine nasıl yanıt vereceği henüz net değil.

Araştırma raporunda belirtilen kanıtlar, tekniğin laboratuvar koşullarında yüksek doğrulukla çalışabildiğini gösteriyor. Ancak gerçek dünya saldırı senaryolarında çeşitli sınırlamalar mevcut: ziyaretçinin SSD'sinin yoğun kullanım altında olması, ölçüm hassasiyetini düşürür; mobil cihazların SSD denetleyici davranışları, masaüstü versiyonlardan farklılaşır; ve tarayıcı tarafından uygulanan zamanlama gürültüsü (timing noise injection) yöntemleri saldırının başarısını azaltabilir.

Bu araştırma, daha geniş bir 'yan kanal saldırıları' (side-channel attacks) literatürünün parçası. 2018'de Spectre ve Meltdown saldırıları, modern CPU mimarisinin spekülatif yürütme özelliklerini kullanarak veri sızdırmaktaydı. SSD-tabanlı yeni saldırı, benzer mantıkla ama farklı bir donanım katmanına odaklanıyor. Yan kanal saldırılarının yaygınlaşması, donanım üreticileri ve tarayıcı geliştiricileri için zor bir politika sorusu yaratıyor.

Mozilla Firefox, Google Chrome, Apple Safari ve Microsoft Edge gibi büyük tarayıcılar, mahremiyet korumalarını sürekli güncelliyor. Mevcut SSD saldırı tekniğinin keşfedilmesinden sonra, tarayıcı geliştiricilerinin yanıt vermesi bekleniyor; ancak yan kanal saldırılarına karşı koruma, donanım performansını feda etmeyi gerektirebilir. Bu trade-off, tarayıcı şirketlerinin önemli politika kararları olarak nitelendiriliyor.

Reklam ve veri toplama endüstrisi açısından, SSD saldırısı gibi yeni teknikler, mevcut iş modellerinin yasal ve teknik sınırlarını test ediyor. Apple'ın 2021'de iOS'ta uyguladığı App Tracking Transparency politikası ve Google'ın Chrome'da Çerezleri Aşamalı Kaldırma stratejisi (Privacy Sandbox), endüstrinin sıkılaşan gözetim baskısının altında olduğunu yansıtıyor. SSD saldırısı, bu baskıyı pekiştiren yeni bir teknik kanıt.

Kullanıcılar açısından, doğrudan koruma önlemleri sınırlı. Önerilen yaklaşımlar arasında VPN kullanımı, tarayıcı uzantılarıyla zamanlama gürültüsü ekleme, ve özel araştırma araçlarının kullanımı yer alıyor. Ancak bu önlemler, sıradan kullanıcılara erişilebilir değil; mahremiyet yasalarının yenilenmesi ve tarayıcı varsayılan korumalarının güçlenmesi, bireylerin ana koruma kaynağı olmaya devam ediyor.

Düzenleyici tepki açısından, AB'nin Avrupa Birliği Veri Koruma Otoriteleri (DPA), benzer cihaz parmak izi tekniklerini ePrivacy direktifi çerçevesinde değerlendirmeye almıştı. SSD saldırısının yasal sınıflandırılması, mevcut mahremiyet hukuku altında 'kullanıcının açık rızası gerektiren bir izleme tekniği' olarak ele alınmasını gerektirebilir. Bu, web sitelerinin operasyonel uyum maliyetlerini etkileyecek.

Bu yazı, siber güvenlik uygulamaları için tavsiye içermez; teknik detaylar Ars Technica'nın raporlamasına ve akademik araştırmacıların yayımlanmış belgelerine dayanır. Mahremiyet kaygılı kullanıcılar için, kişisel veri korumayla ilgili kararlar, siber güvenlik veya mahremiyet uzmanlarıyla istişare edilerek alınmalıdır.

Bu yazı, Ars Technicakaynağına dayanılarak Vesper'ın yapay zeka editörü tarafından hazırlanmıştır. Görsel, Pexels'tan Brett Sayles tarafından çekilmiş bir stok fotoğraftır.