Eng Grupp vu Fuerscher vun der Vrije Universiteit Amsterdam an der ETH Zürich hunn eng Netzwierkattack Technik entwéckelt (Network Cache ATtack), wat et erlaabt, d'Datenanalysemethoden iwwer Drëtt-Partei-Kanäl ze benotzen, d'Schlësselen, déi vum Benotzer gedréckt ginn, während der Aarbecht an enger SSH Sessioun op afstand ze bestëmmen. De Problem erschéngt nëmmen op Serveren déi Technologien benotzen (Remote direkten Erënnerung Zougang) an (Data-Direct I/O).
Intel , datt d'Attack an der Praxis schwéier ëmzesetzen ass, well et den Ugräifer Zougang zum lokalen Netzwierk erfuerdert, sterile Bedéngungen an d'Organisatioun vun der Hostkommunikatioun mat RDMA- an DDIO-Technologien, déi normalerweis an isoléierten Netzwierker benotzt ginn, zum Beispill, an deem Informatik Cluster funktionnéieren. D'Thema ass bewäert Minor (CVSS 2.6, ) an eng Empfehlung gëtt net fir DDIO an RDMA an lokalen Netzwierker z'aktivéieren, wou de Sécherheetsperimeter net zur Verfügung gestallt gëtt an d'Verbindung vun onvertrauleche Clienten erlaabt ass. DDIO gouf an Intel Server Prozessoren zënter 2012 benotzt (Intel Xeon E5, E7 a SP). Systemer baséiert op Prozessoren vun AMD an aner Hiersteller sinn net vum Problem betraff, well se net ënnerstëtzen d'Späichere vun Daten, déi iwwer d'Netzwierk am CPU Cache transferéiert ginn.
D'Methode benotzt fir den Attack gläicht eng Schwachstelle "", wat Iech erlaabt den Inhalt vun eenzelne Bits am RAM duerch Manipulatioun vun Netzwierkpaketen a Systemer mat RDMA z'änneren. Den neie Problem ass eng Konsequenz vun der Aarbecht fir Verzögerungen ze minimiséieren wann Dir den DDIO Mechanismus benotzt, deen eng direkt Interaktioun vun der Netzwierkkaart an aner Peripheriegeräter mat dem Prozessor Cache garantéiert (am Prozess vun der Veraarbechtung vun Netzkaart Pakete ginn Daten am Cache gespäichert an aus dem Cache zréckgezunn, ouni Zougang zu Erënnerung).
Dank DDIO enthält de Prozessor Cache och Daten, déi während béiswëlleg Netzwierkaktivitéit generéiert ginn. Den NetCAT Attack baséiert op der Tatsaach datt d'Netzkaarten aktiv Daten cache, an d'Geschwindegkeet vun der Paketveraarbechtung an modernen lokalen Netzwierker ass genuch fir d'Füllung vum Cache ze beaflossen an d'Präsenz oder d'Feele vun Daten am Cache ze bestëmmen andeems d'Verzögerungen während Daten analyséieren. transferéieren.
Wann Dir interaktiv Sessiounen benotzt, wéi iwwer SSH, gëtt de Netzwierkpaket direkt geschéckt nodeems de Schlëssel gedréckt ass, d.h. Verzögerungen tëscht Pakete korreléieren mat Verzögerungen tëscht Tastatur. Mat statisteschen Analysemethoden a berücksichtegt datt d'Verzögerungen tëscht Tastatur normalerweis vun der Positioun vum Schlëssel op der Tastatur hänken, ass et méiglech déi aginn Informatioun mat enger gewësser Wahrscheinlechkeet nei ze kreéieren. Zum Beispill, déi meescht Leit tendéieren "s" no "a" vill méi séier wéi "g" no "s".
D'Informatioun, déi am Prozessor Cache deposéiert gëtt, erlaabt et och d'exakt Zäit vu Päckchen ze beurteelen, déi vun der Netzwierkkaart geschéckt ginn wann Dir Verbindunge wéi SSH veraarbecht. Andeems Dir e bestëmmte Trafficflow generéiert, kann en Ugräifer de Moment bestëmmen wann nei Donnéeën am Cache erscheinen, verbonne mat enger spezifescher Aktivitéit am System. Fir den Inhalt vum Cache ze analyséieren, gëtt d'Method benotzt , wat involvéiert d'Populatioun vum Cache mat engem Referenzset vu Wäerter an d'Messung vun der Zougangszäit zu hinnen wann se nei populéiert ginn fir Ännerungen ze bestëmmen.
Et ass méiglech datt déi proposéiert Technik benotzt ka ginn fir net nëmmen Tastekombinatiounen ze bestëmmen, awer och aner Zorte vu vertraulechen Donnéeën, déi am CPU Cache deposéiert sinn. D'Attack kann potenziell duerchgefouert ginn och wann RDMA behënnert ass, awer ouni RDMA gëtt seng Effektivitéit reduzéiert an d'Ausféierung gëtt wesentlech méi schwéier. Et ass och méiglech DDIO ze benotzen fir e geheime Kommunikatiounskanal ze organiséieren deen benotzt gëtt fir Daten ze transferéieren nodeems e Server kompromittéiert gouf, Sécherheetssystemer ëmgoen.
Source: opennet.ru