Μια ομάδα ερευνητών από το Vrije Universiteit Amsterdam και το ETH Zurich ανέπτυξαν μια τεχνική επίθεσης δικτύου (Network Cache ATtack), το οποίο επιτρέπει, χρησιμοποιώντας μεθόδους ανάλυσης δεδομένων μέσω καναλιών τρίτων, τον απομακρυσμένο προσδιορισμό των πλήκτρων που πατά ο χρήστης ενώ εργάζεται σε μια περίοδο λειτουργίας SSH. Το πρόβλημα εμφανίζεται μόνο σε διακομιστές που χρησιμοποιούν τεχνολογίες (Αμεση απομακρυσμένη πρόσβαση στη μνήμη) και (Data-Direct I/O).
Intel , ότι η επίθεση είναι δύσκολο να εφαρμοστεί στην πράξη, καθώς απαιτεί πρόσβαση του εισβολέα στο τοπικό δίκτυο, στείρες συνθήκες και οργάνωση της επικοινωνίας του κεντρικού υπολογιστή χρησιμοποιώντας τεχνολογίες RDMA και DDIO, οι οποίες συνήθως χρησιμοποιούνται σε απομονωμένα δίκτυα, για παράδειγμα, στα οποία ο υπολογισμός λειτουργούν συστάδες. Το ζήτημα έχει βαθμολογηθεί ως δευτερεύον (CVSS 2.6, ) και δίνεται σύσταση να μην ενεργοποιούνται τα DDIO και RDMA σε τοπικά δίκτυα όπου δεν παρέχεται η περίμετρος ασφαλείας και επιτρέπεται η σύνδεση αναξιόπιστων πελατών. Το DDIO χρησιμοποιείται σε επεξεργαστές διακομιστών Intel από το 2012 (Intel Xeon E5, E7 και SP). Τα συστήματα που βασίζονται σε επεξεργαστές από την AMD και άλλους κατασκευαστές δεν επηρεάζονται από το πρόβλημα, καθώς δεν υποστηρίζουν την αποθήκευση δεδομένων που μεταφέρονται μέσω του δικτύου στη μνήμη cache της CPU.
Η μέθοδος που χρησιμοποιείται για την επίθεση μοιάζει με ευπάθεια "", το οποίο σας επιτρέπει να αλλάξετε τα περιεχόμενα μεμονωμένων bit στη μνήμη RAM μέσω χειρισμού πακέτων δικτύου σε συστήματα με RDMA. Το νέο πρόβλημα είναι συνέπεια της εργασίας για την ελαχιστοποίηση των καθυστερήσεων κατά τη χρήση του μηχανισμού DDIO, ο οποίος διασφαλίζει την άμεση αλληλεπίδραση της κάρτας δικτύου και άλλων περιφερειακών συσκευών με τη μνήμη cache του επεξεργαστή (κατά τη διαδικασία επεξεργασίας πακέτων κάρτας δικτύου, τα δεδομένα αποθηκεύονται στη μνήμη cache και ανακτήθηκε από τη μνήμη cache, χωρίς πρόσβαση στη μνήμη).
Χάρη στο DDIO, η κρυφή μνήμη του επεξεργαστή περιλαμβάνει επίσης δεδομένα που δημιουργούνται κατά τη διάρκεια κακόβουλης δραστηριότητας δικτύου. Η επίθεση NetCAT βασίζεται στο γεγονός ότι οι κάρτες δικτύου αποθηκεύουν ενεργά δεδομένα στην κρυφή μνήμη και η ταχύτητα επεξεργασίας πακέτων στα σύγχρονα τοπικά δίκτυα είναι επαρκής για να επηρεάσει την πλήρωση της κρυφής μνήμης και να καθορίσει την παρουσία ή την απουσία δεδομένων στην κρυφή μνήμη αναλύοντας τις καθυστερήσεις κατά τη διάρκεια των δεδομένων ΜΕΤΑΦΟΡΑ.
Όταν χρησιμοποιείτε διαδραστικές συνεδρίες, όπως μέσω SSH, το πακέτο δικτύου αποστέλλεται αμέσως μετά το πάτημα του πλήκτρου, π.χ. Οι καθυστερήσεις μεταξύ των πακέτων συσχετίζονται με τις καθυστερήσεις μεταξύ των πληκτρολογήσεων. Χρησιμοποιώντας μεθόδους στατιστικής ανάλυσης και λαμβάνοντας υπόψη ότι οι καθυστερήσεις μεταξύ των πληκτρολογήσεων συνήθως εξαρτώνται από τη θέση του πλήκτρου στο πληκτρολόγιο, είναι δυνατό να αναδημιουργηθούν οι καταχωρημένες πληροφορίες με μια ορισμένη πιθανότητα. Για παράδειγμα, οι περισσότεροι άνθρωποι τείνουν να πληκτρολογούν "s" μετά το "a" πολύ πιο γρήγορα από το "g" μετά το "s".
Οι πληροφορίες που κατατίθενται στην κρυφή μνήμη του επεξεργαστή επιτρέπουν επίσης σε κάποιον να κρίνει τον ακριβή χρόνο των πακέτων που αποστέλλονται από την κάρτα δικτύου κατά την επεξεργασία συνδέσεων όπως το SSH. Δημιουργώντας μια συγκεκριμένη ροή κυκλοφορίας, ένας εισβολέας μπορεί να προσδιορίσει τη στιγμή που εμφανίζονται νέα δεδομένα στην κρυφή μνήμη που σχετίζεται με μια συγκεκριμένη δραστηριότητα στο σύστημα. Για την ανάλυση των περιεχομένων της κρυφής μνήμης, χρησιμοποιείται η μέθοδος , το οποίο περιλαμβάνει τη συμπλήρωση της κρυφής μνήμης με ένα σύνολο τιμών αναφοράς και τη μέτρηση του χρόνου πρόσβασης σε αυτές όταν συμπληρώνονται εκ νέου για τον προσδιορισμό των αλλαγών.
Είναι πιθανό ότι η προτεινόμενη τεχνική μπορεί να χρησιμοποιηθεί για τον προσδιορισμό όχι μόνο πληκτρολογήσεων, αλλά και άλλων τύπων εμπιστευτικών δεδομένων που κατατίθενται στην κρυφή μνήμη της CPU. Η επίθεση μπορεί ενδεχομένως να πραγματοποιηθεί ακόμη και αν το RDMA είναι απενεργοποιημένο, αλλά χωρίς το RDMA η αποτελεσματικότητά του μειώνεται και η εκτέλεση γίνεται σημαντικά πιο δύσκολη. Είναι επίσης δυνατή η χρήση του DDIO για την οργάνωση ενός κρυφού καναλιού επικοινωνίας που χρησιμοποιείται για τη μεταφορά δεδομένων μετά την παραβίαση ενός διακομιστή, παρακάμπτοντας τα συστήματα ασφαλείας.
Πηγή: opennet.ru