En gruppe forskere fra Vrije Universiteit Amsterdam og ETH Zürich har udviklet en netværksangrebsteknik (Network Cache ATtack), som gør det muligt ved hjælp af dataanalysemetoder via tredjepartskanaler at fjernbestemme de taster, der trykkes af brugeren, mens han arbejder i en SSH-session. Problemet opstår kun på servere, der bruger teknologier (Fjern direkte hukommelsesadgang) og (Data-Direct I/O).
Intel , at angrebet er svært at implementere i praksis, da det kræver angriberens adgang til det lokale netværk, sterile forhold og tilrettelæggelse af værtskommunikation ved hjælp af RDMA- og DDIO-teknologier, som normalt bruges i isolerede netværk, f.eks. klynger fungerer. Problemet er vurderet som mindre (CVSS 2.6, ) og der gives en anbefaling om ikke at aktivere DDIO og RDMA i lokale netværk, hvor sikkerhedsperimeteren ikke er tilvejebragt, og tilslutning af utroværdige klienter er tilladt. DDIO har været brugt i Intel-serverprocessorer siden 2012 (Intel Xeon E5, E7 og SP). Systemer baseret på processorer fra AMD og andre producenter er ikke berørt af problemet, da de ikke understøtter lagring af data overført over netværket i CPU-cachen.
Metoden, der blev brugt til angrebet, ligner en sårbarhed "", som giver dig mulighed for at ændre indholdet af individuelle bits i RAM gennem manipulation af netværkspakker i systemer med RDMA. Det nye problem er en konsekvens af arbejdet med at minimere forsinkelser ved brug af DDIO-mekanismen, som sikrer direkte interaktion af netværkskortet og andre perifere enheder med processorcachen (i processen med at behandle netværkskortpakker lagres data i cachen og hentet fra cachen uden adgang til hukommelsen).
Takket være DDIO inkluderer processorcachen også data genereret under ondsindet netværksaktivitet. NetCAT-angrebet er baseret på det faktum, at netværkskort aktivt cacher data, og hastigheden af pakkebehandling i moderne lokale netværk er tilstrækkelig til at påvirke fyldningen af cachen og bestemme tilstedeværelsen eller fraværet af data i cachen ved at analysere forsinkelser under data overførsel.
Ved brug af interaktive sessioner, såsom via SSH, sendes netværkspakken umiddelbart efter, at der er trykket på tasten, dvs. forsinkelser mellem pakker korrelerer med forsinkelser mellem tastetryk. Ved hjælp af statistiske analysemetoder og under hensyntagen til, at forsinkelser mellem tastetryk normalt afhænger af tastens position på tastaturet, er det muligt at genskabe den indtastede information med en vis sandsynlighed. For eksempel har de fleste en tendens til at skrive "s" efter "a" meget hurtigere end "g" efter "s".
Informationen, der er deponeret i processorcachen, gør det også muligt at bedømme det nøjagtige tidspunkt for pakker sendt af netværkskortet, når man behandler forbindelser som SSH. Ved at generere en bestemt trafikstrøm kan en angriber bestemme det øjeblik, hvor nye data vises i cachen, der er knyttet til en bestemt aktivitet i systemet. Til at analysere indholdet af cachen anvendes metoden , som involverer udfyldning af cachen med et referencesæt af værdier og måling af adgangstiden til dem, når de genudfyldes for at bestemme ændringer.
Det er muligt, at den foreslåede teknik kan bruges til at bestemme ikke kun tastetryk, men også andre typer fortrolige data deponeret i CPU-cachen. Angrebet kan potentielt udføres, selvom RDMA er deaktiveret, men uden RDMA reduceres dets effektivitet og udførelsen bliver væsentligt vanskeligere. Det er også muligt at bruge DDIO til at organisere en skjult kommunikationskanal, der bruges til at overføre data, efter at en server er blevet kompromitteret, uden om sikkerhedssystemer.
Kilde: opennet.ru