A Vrije Universiteit Amsterdam és az ETH Zurich kutatóinak egy csoportja hálózati támadási technikát fejlesztett ki (Network Cache ATtack), amely lehetővé teszi, hogy adatelemzési módszerekkel harmadik fél csatornáin keresztül távolról meghatározza a felhasználó által lenyomott billentyűket az SSH-munkamenet során. A probléma csak a technológiát használó szervereken jelentkezik (Távoli közvetlen memóriaelérés) és (Data-Direct I/O).
Intel , hogy a támadás a gyakorlatban nehezen kivitelezhető, mivel megköveteli a támadó helyi hálózathoz való hozzáférését, steril körülményeket és a gazdagép kommunikáció megszervezését RDMA és DDIO technológiák segítségével, amelyeket általában elszigetelt hálózatokban használnak, például, ahol a számítástechnika. klaszterek működnek. A probléma Minor besorolású (CVSS 2.6, ). A DDIO-t 2012 óta használják Intel szerverprocesszorokban (Intel Xeon E5, E7 és SP). Az AMD és más gyártók processzoraira épülő rendszereket nem érinti a probléma, mivel ezek nem támogatják a hálózaton keresztül továbbított adatok CPU gyorsítótárában való tárolását.
A támadáshoz használt módszer egy sebezhetőségre emlékeztet"“, amely lehetővé teszi a RAM-ban lévő egyes bitek tartalmának megváltoztatását az RDMA-val rendelkező rendszerek hálózati csomagjainak manipulálásával. Az új probléma a késések minimalizálására irányuló munka következménye a DDIO mechanizmus használatakor, amely biztosítja a hálózati kártya és más perifériás eszközök közvetlen interakcióját a processzor gyorsítótárával (a hálózati kártya csomagjainak feldolgozása során az adatok a gyorsítótárban és lekérve a gyorsítótárból, a memória elérése nélkül).
A DDIO-nak köszönhetően a processzor gyorsítótára a rosszindulatú hálózati tevékenység során keletkezett adatokat is tartalmazza. A NetCAT támadás azon alapul, hogy a hálózati kártyák aktívan tárolják az adatokat, és a csomagfeldolgozás sebessége a modern helyi hálózatokban elegendő ahhoz, hogy befolyásolja a gyorsítótár kitöltését, és az adatok késleltetésének elemzésével meghatározza a gyorsítótárban lévő adatok jelenlétét vagy hiányát. átruházás.
Interaktív szekciók használatakor, például SSH-n keresztül, a hálózati csomag a billentyű lenyomása után azonnal elküldésre kerül, pl. a csomagok közötti késések korrelálnak a billentyűleütések közötti késleltetésekkel. Statisztikai elemzési módszerek alkalmazásával és figyelembe véve, hogy a billentyűleütések közötti késések általában a billentyű billentyűzeten elfoglalt helyzetétől függenek, bizonyos valószínűséggel lehetséges a bevitt információ újraalkotása. Például a legtöbb ember sokkal gyorsabban írja be az „s”-t az „a” után, mint a „g”-t az „s” után.
A processzor gyorsítótárában elhelyezett információk lehetővé teszik a hálózati kártya által küldött csomagok pontos idejének megítélését az olyan kapcsolatok feldolgozása során, mint például az SSH. Egy bizonyos forgalom generálásával a támadó meghatározhatja azt a pillanatot, amikor új adatok jelennek meg a rendszer egy adott tevékenységéhez kapcsolódó gyorsítótárban. A gyorsítótár tartalmának elemzéséhez a módszert használják , amely magában foglalja a gyorsítótár feltöltését egy referenciaérték-készlettel, és az ezekhez való hozzáférési idő mérését az újratelepítéskor a változások meghatározásához.
Lehetséges, hogy a javasolt technika nemcsak a billentyűleütések meghatározására használható, hanem a CPU gyorsítótárában elhelyezett egyéb bizalmas adatok meghatározására is. A támadás potenciálisan akkor is végrehajtható, ha az RDMA le van tiltva, de RDMA nélkül a hatékonysága csökken, és a végrehajtás jelentősen megnehezül. A DDIO segítségével egy titkos kommunikációs csatorna is megszervezhető, amely a szerver feltörését követően adatátvitelre szolgál, megkerülve a biztonsági rendszereket.
Forrás: opennet.ru