Eine Gruppe von Forschern der Vrije Universiteit Amsterdam und der ETH Zürich hat eine Netzwerkangriffstechnik entwickelt (Network Cache ATtack), das es ermöglicht, mithilfe von Datenanalysemethoden über Kanäle von Drittanbietern aus der Ferne zu ermitteln, welche Tasten der Benutzer während der Arbeit in einer SSH-Sitzung gedrückt hat. Das Problem tritt nur auf Servern auf, die Technologien verwenden (Direkter Fernspeicherzugriff) und (Datendirekte E/A).
Intel , dass der Angriff in der Praxis schwer umzusetzen ist, da er den Zugriff des Angreifers auf das lokale Netzwerk, sterile Bedingungen und die Organisation der Host-Kommunikation mithilfe von RDMA- und DDIO-Technologien erfordert, die normalerweise in isolierten Netzwerken verwendet werden, beispielsweise in denen Computer Cluster funktionieren. Das Problem wird als geringfügig eingestuft (CVSS 2.6, ) und es wird empfohlen, DDIO und RDMA nicht in lokalen Netzwerken zu aktivieren, in denen der Sicherheitsbereich nicht gewährleistet ist und die Verbindung nicht vertrauenswürdiger Clients zulässig ist. DDIO wird seit 2012 in Intel-Serverprozessoren verwendet (Intel Xeon E5, E7 und SP). Systeme, die auf Prozessoren von AMD und anderen Herstellern basieren, sind von dem Problem nicht betroffen, da sie das Speichern von über das Netzwerk übertragenen Daten im CPU-Cache nicht unterstützen.
Die für den Angriff verwendete Methode ähnelt einer Sicherheitslücke.„, wodurch Sie den Inhalt einzelner Bits im RAM durch Manipulation von Netzwerkpaketen in Systemen mit RDMA ändern können. Das neue Problem ist eine Folge der Arbeit zur Minimierung von Verzögerungen bei der Verwendung des DDIO-Mechanismus, der eine direkte Interaktion der Netzwerkkarte und anderer Peripheriegeräte mit dem Prozessor-Cache gewährleistet (bei der Verarbeitung von Netzwerkkartenpaketen werden Daten im Cache gespeichert und aus dem Cache abgerufen werden, ohne auf den Speicher zuzugreifen).
Dank DDIO enthält der Prozessor-Cache auch Daten, die bei böswilligen Netzwerkaktivitäten generiert wurden. Der NetCAT-Angriff basiert auf der Tatsache, dass Netzwerkkarten Daten aktiv zwischenspeichern und die Geschwindigkeit der Paketverarbeitung in modernen lokalen Netzwerken ausreicht, um die Füllung des Caches zu beeinflussen und durch Analyse von Verzögerungen während der Datenübertragung das Vorhandensein oder Nichtvorhandensein von Daten im Cache festzustellen überweisen.
Bei der Nutzung interaktiver Sitzungen, beispielsweise über SSH, wird das Netzwerkpaket sofort nach dem Drücken der Taste gesendet, d. h. Verzögerungen zwischen Paketen korrelieren mit Verzögerungen zwischen Tastenanschlägen. Mithilfe statistischer Analysemethoden und unter Berücksichtigung der Tatsache, dass die Verzögerungen zwischen Tastenanschlägen normalerweise von der Position der Taste auf der Tastatur abhängen, ist es möglich, die eingegebenen Informationen mit einer gewissen Wahrscheinlichkeit wiederherzustellen. Beispielsweise tendieren die meisten Menschen dazu, „s“ nach „a“ viel schneller einzugeben als „g“ nach „s“.
Anhand der im Prozessor-Cache abgelegten Informationen lässt sich auch bei der Verarbeitung von Verbindungen wie SSH der genaue Zeitpunkt der von der Netzwerkkarte gesendeten Pakete beurteilen. Durch die Generierung eines bestimmten Datenverkehrsflusses kann ein Angreifer den Zeitpunkt bestimmen, zu dem neue Daten im Cache erscheinen, die mit einer bestimmten Aktivität im System verknüpft sind. Um den Inhalt des Caches zu analysieren, wird die Methode verwendet Dazu gehört das Auffüllen des Caches mit einem Referenzsatz von Werten und das Messen der Zugriffszeit auf diese beim erneuten Auffüllen, um Änderungen festzustellen.
Es ist möglich, dass mit der vorgeschlagenen Technik nicht nur Tastenanschläge, sondern auch andere Arten vertraulicher Daten ermittelt werden können, die im CPU-Cache abgelegt sind. Der Angriff kann potenziell auch dann ausgeführt werden, wenn RDMA deaktiviert ist. Ohne RDMA ist seine Wirksamkeit jedoch verringert und die Ausführung wird erheblich schwieriger. Es ist auch möglich, DDIO zu verwenden, um einen verdeckten Kommunikationskanal zu organisieren, der zur Datenübertragung verwendet wird, nachdem ein Server kompromittiert wurde, und Sicherheitssysteme zu umgehen.
Source: opennet.ru