เอกสาร Snowden เปิดเผยกระบวนการโจมตีโดย NSA เพื่อผลหลายๆ อย่าง เช่น การนำให้เหยื่อไปเข้าเว็บที่ต้องการ หรือบล็อคเว็บ ตอนนี้ Fox-IT บริษัทให้บริการด้านความปลอดภัยก็ออกมาวิเคราะห์การโจมตีแบบหนึ่งที่เปิดเผยออกมาตั้งแต่ปีที่แล้ว คือ QUANTUMINSERT ที่แก้ไขข้อมูลเว็บแล้วยิงกลับไปให้เบราว์เซอร์

ทาง Fox-IT เรียกการโจมตีในกลุ่ม QUANTUM ว่า man-on-the-side (MOTS) เพราะผู้โจมตีไม่ได้ไปขวางทางข้อมูลระหว่างเซิร์ฟเวอร์กับผู้ใช้จริงๆ แต่สามารถตรวจสอบข้อมูลที่ส่งไปมา และสามารถแทรกข้อมูลปลอมเข้าไปในเครือข่ายได้ กระบวนการนี้ผู้โจมตีต้องมีเซ็นเซอร์ทำหน้าที่ตรวจสอบข้อมูลที่ส่งไปมาในลิงก์ที่ต้องการโจมตี และเซิร์ฟเวอร์ที่อยู่ในเครือข่ายที่สามารถปลอมไอพีได้ เมื่อตรวจพบการเชื่อมต่อที่ต้องการโจมตีเซ็นเซอร์จะแจ้งไปยังเซิร์ฟเวอร์ให้ส่งข้อมูลปลอมไปยังผู้ใช้ก่อนที่เซิร์ฟเวอร์จริงจะตอบกลับ

เอกสารที่หลุดออกมาของ Snowden เองก็ยังมีสไลด์ของ Communication Security Establishment Canada ระบุกระบวนการตรวจสอบการโจมตี QUANTUM เอาไว้ด้วยการตรวจสอบว่ามีแพ็กเก็ตที่เลขลำดับตรงกัน แต่กลับมีเนื้อหาต่างกันอย่างมาก

ทาง Fox-IT พัฒนาแนวทางนี้กลายเป็นแพตช์สำหรับ Snort ให้รองรับการตรวจสอบการโจมตีเช่นนี้ และเปิดโค้ดออกมา โดยหวังว่าทาง Snort จะรวมโค้ดนี้เข้าไปในโครงการ

ที่มา - Fox-IT