Un grupo de investigadores da Vrije Universiteit Amsterdam e da ETH Zurich desenvolveron unha técnica de ataque á rede (Network Cache ATtack), que permite, mediante métodos de análise de datos a través de canles de terceiros, determinar de forma remota as teclas presionadas polo usuario mentres traballa nunha sesión SSH. O problema só aparece nos servidores que utilizan tecnoloxías (Acceso remoto directo á memoria) e (E/S directa de datos).
Intel , que o ataque é difícil de implementar na práctica, xa que require o acceso do atacante á rede local, condicións estériles e a organización da comunicación do host mediante tecnoloxías RDMA e DDIO, que adoitan empregarse en redes illadas, por exemplo, nas que a informática os clusters operan. O problema está clasificado como Menor (CVSS 2.6, ) e recoméndase non habilitar DDIO e RDMA en redes locais onde non se proporciona o perímetro de seguridade e se permite a conexión de clientes pouco fiables. DDIO utilízase nos procesadores de servidor Intel desde 2012 (Intel Xeon E5, E7 e SP). Os sistemas baseados en procesadores de AMD e outros fabricantes non se ven afectados polo problema, xa que non admiten o almacenamento de datos transferidos pola rede na caché da CPU.
O método utilizado para o ataque aseméllase a unha vulnerabilidade "“, que permite cambiar o contido de bits individuais na RAM mediante a manipulación de paquetes de rede en sistemas con RDMA. O novo problema é consecuencia do traballo para minimizar os atrasos ao utilizar o mecanismo DDIO, que garante a interacción directa da tarxeta de rede e outros dispositivos periféricos coa caché do procesador (no proceso de procesamento de paquetes de tarxetas de rede, os datos almacénanse na caché e recuperado da caché, sen acceder á memoria).
Grazas a DDIO, a caché do procesador tamén inclúe os datos xerados durante a actividade da rede maliciosa. O ataque NetCAT baséase no feito de que as tarxetas de rede almacenan datos activamente na caché, e a velocidade do procesamento de paquetes nas redes locais modernas é suficiente para influír no enchido da caché e determinar a presenza ou ausencia de datos na caché analizando os atrasos durante os datos. Transferir.
Cando se usan sesións interactivas, como a través de SSH, o paquete de rede envíase inmediatamente despois de que se preme a tecla, é dicir. os atrasos entre paquetes correlacionan cos atrasos entre as teclas. Usando métodos de análise estatística e tendo en conta que os atrasos entre as teclas adoitan depender da posición da tecla no teclado, é posible recrear a información introducida cunha certa probabilidade. Por exemplo, a maioría da xente adoita escribir "s" despois de "a" moito máis rápido que "g" despois de "s".
A información depositada na caché do procesador tamén permite xulgar o tempo exacto dos paquetes enviados pola tarxeta de rede cando se procesan conexións como SSH. Ao xerar un determinado fluxo de tráfico, un atacante pode determinar o momento no que aparecen novos datos na caché asociados a unha actividade específica no sistema. Para analizar o contido da caché utilízase o método , que consiste en encher a caché cun conxunto de valores de referencia e medir o tempo de acceso aos mesmos cando se repobo para determinar os cambios.
É posible que a técnica proposta poida utilizarse para determinar non só as pulsacións de teclas, senón tamén outros tipos de datos confidenciais depositados na caché da CPU. O ataque pode realizarse aínda que RDMA estea desactivado, pero sen RDMA a súa eficacia redúcese e a execución faise significativamente máis difícil. Tamén é posible usar DDIO para organizar unha canle de comunicación encuberta utilizada para transferir datos despois de que un servidor se vexa comprometido, evitando os sistemas de seguridade.
Fonte: opennet.ru