Eine Gruppe von Forschern der Vrije Universiteit Amsterdam und der ETH Zürich hat eine Netzwerkangriffstechnik entwickelt
Intel
Die für den Angriff verwendete Methode ähnelt einer Sicherheitslücke.
Dank DDIO enthält der Prozessor-Cache auch Daten, die bei böswilligen Netzwerkaktivitäten generiert wurden. Der NetCAT-Angriff basiert auf der Tatsache, dass Netzwerkkarten Daten aktiv zwischenspeichern und die Geschwindigkeit der Paketverarbeitung in modernen lokalen Netzwerken ausreicht, um die Füllung des Caches zu beeinflussen und durch Analyse von Verzögerungen während der Datenübertragung das Vorhandensein oder Nichtvorhandensein von Daten im Cache festzustellen überweisen.
Bei der Nutzung interaktiver Sitzungen, beispielsweise über SSH, wird das Netzwerkpaket sofort nach dem Drücken der Taste gesendet, d. h. Verzögerungen zwischen Paketen korrelieren mit Verzögerungen zwischen Tastenanschlägen. Mithilfe statistischer Analysemethoden und unter Berücksichtigung der Tatsache, dass die Verzögerungen zwischen Tastenanschlägen normalerweise von der Position der Taste auf der Tastatur abhängen, ist es möglich, die eingegebenen Informationen mit einer gewissen Wahrscheinlichkeit wiederherzustellen. Beispielsweise tendieren die meisten Menschen dazu, „s“ nach „a“ viel schneller einzugeben als „g“ nach „s“.
Anhand der im Prozessor-Cache abgelegten Informationen lässt sich auch bei der Verarbeitung von Verbindungen wie SSH der genaue Zeitpunkt der von der Netzwerkkarte gesendeten Pakete beurteilen. Durch die Generierung eines bestimmten Datenverkehrsflusses kann ein Angreifer den Zeitpunkt bestimmen, zu dem neue Daten im Cache erscheinen, die mit einer bestimmten Aktivität im System verknüpft sind. Um den Inhalt des Caches zu analysieren, wird die Methode verwendet
Es ist möglich, dass mit der vorgeschlagenen Technik nicht nur Tastenanschläge, sondern auch andere Arten vertraulicher Daten ermittelt werden können, die im CPU-Cache abgelegt sind. Der Angriff kann potenziell auch dann ausgeführt werden, wenn RDMA deaktiviert ist. Ohne RDMA ist seine Wirksamkeit jedoch verringert und die Ausführung wird erheblich schwieriger. Es ist auch möglich, DDIO zu verwenden, um einen verdeckten Kommunikationskanal zu organisieren, der zur Datenübertragung verwendet wird, nachdem ein Server kompromittiert wurde, und Sicherheitssysteme zu umgehen.
Source: opennet.ru