قامت مجموعة من الباحثين من جامعة Vrije Universiteit Amsterdam وETH Zurich بتطوير تقنية الهجوم على الشبكة (Network Cache Attack)، والذي يسمح، باستخدام طرق تحليل البيانات عبر قنوات الطرف الثالث، بتحديد المفاتيح التي ضغط عليها المستخدم عن بعد أثناء العمل في جلسة SSH. تظهر المشكلة فقط على الخوادم التي تستخدم التقنيات (الوصول المباشر للذاكرة عن بعد) و (الإدخال/الإخراج المباشر للبيانات).
شركة انتل ، أن الهجوم يصعب تنفيذه عمليا، لأنه يتطلب وصول المهاجم إلى الشبكة المحلية، وظروف معقمة وتنظيم اتصالات المضيف باستخدام تقنيات RDMA وDDIO، والتي تستخدم عادة في الشبكات المعزولة، على سبيل المثال، حيث الحوسبة تعمل المجموعات. تم تصنيف المشكلة على أنها ثانوية (CVSS 2.6، ) ويتم تقديم توصية بعدم تمكين DDIO وRDMA في الشبكات المحلية حيث لا يتم توفير محيط الأمان ويسمح بالاتصال بالعملاء غير الجديرين بالثقة. تم استخدام DDIO في معالجات خوادم Intel منذ عام 2012 (Intel Xeon E5 وE7 وSP). لا تتأثر الأنظمة التي تعتمد على معالجات من AMD والشركات المصنعة الأخرى بهذه المشكلة، لأنها لا تدعم تخزين البيانات المنقولة عبر الشبكة في ذاكرة التخزين المؤقت لوحدة المعالجة المركزية.
الطريقة المستخدمة في الهجوم تشبه الثغرة الأمنية ""، والذي يسمح لك بتغيير محتويات البتات الفردية في ذاكرة الوصول العشوائي (RAM) من خلال معالجة حزم الشبكة في الأنظمة التي تحتوي على RDMA. المشكلة الجديدة هي نتيجة العمل على تقليل التأخير عند استخدام آلية DDIO، والتي تضمن التفاعل المباشر لبطاقة الشبكة والأجهزة الطرفية الأخرى مع ذاكرة التخزين المؤقت للمعالج (في عملية معالجة حزم بطاقة الشبكة، يتم تخزين البيانات في ذاكرة التخزين المؤقت و تم استرجاعها من ذاكرة التخزين المؤقت، دون الوصول إلى الذاكرة).
بفضل DDIO، تشتمل ذاكرة التخزين المؤقت للمعالج أيضًا على البيانات التي تم إنشاؤها أثناء نشاط الشبكة الضار. يعتمد هجوم NetCAT على حقيقة أن بطاقات الشبكة تقوم بتخزين البيانات بشكل نشط، كما أن سرعة معالجة الحزم في الشبكات المحلية الحديثة كافية للتأثير على ملء ذاكرة التخزين المؤقت وتحديد وجود أو عدم وجود البيانات في ذاكرة التخزين المؤقت من خلال تحليل التأخير أثناء البيانات تحويل.
عند استخدام الجلسات التفاعلية، مثل عبر SSH، يتم إرسال حزمة الشبكة مباشرة بعد الضغط على المفتاح، أي. يرتبط التأخير بين الحزم بالتأخير بين ضغطات المفاتيح. باستخدام أساليب التحليل الإحصائي ومع الأخذ في الاعتبار أن التأخير بين ضغطات المفاتيح يعتمد عادة على موضع المفتاح على لوحة المفاتيح، فمن الممكن إعادة إنشاء المعلومات المدخلة باحتمال معين. على سبيل المثال، يميل معظم الأشخاص إلى كتابة "s" بعد "a" بشكل أسرع بكثير من "g" بعد "s".
تسمح المعلومات المودعة في ذاكرة التخزين المؤقت للمعالج أيضًا بالحكم على الوقت الدقيق للحزم المرسلة بواسطة بطاقة الشبكة عند معالجة الاتصالات مثل SSH. من خلال إنشاء تدفق معين لحركة المرور، يمكن للمهاجم تحديد اللحظة التي تظهر فيها البيانات الجديدة في ذاكرة التخزين المؤقت المرتبطة بنشاط معين في النظام. لتحليل محتويات ذاكرة التخزين المؤقت، يتم استخدام الطريقة والذي يتضمن ملء ذاكرة التخزين المؤقت بمجموعة مرجعية من القيم وقياس وقت الوصول إليها عند إعادة تعبئتها لتحديد التغييرات.
من الممكن أن يتم استخدام التقنية المقترحة ليس فقط لتحديد ضغطات المفاتيح، ولكن أيضًا أنواع أخرى من البيانات السرية المودعة في ذاكرة التخزين المؤقت لوحدة المعالجة المركزية. يمكن تنفيذ الهجوم حتى لو تم تعطيل RDMA، ولكن بدون RDMA تنخفض فعاليته ويصبح التنفيذ أكثر صعوبة بشكل ملحوظ. من الممكن أيضًا استخدام DDIO لتنظيم قناة اتصال سرية تُستخدم لنقل البيانات بعد اختراق الخادم، وتجاوز أنظمة الأمان.
المصدر: opennet.ru