Een groep onderzoekers van de Vrije Universiteit Amsterdam en ETH Zürich hebben een netwerkaanvaltechniek ontwikkeld
Intel
De gebruikte methode voor de aanval lijkt op een kwetsbaarheid'
Dankzij DDIO bevat de cache van de processor ook gegevens die zijn gegenereerd tijdens kwaadaardige netwerkactiviteiten. De NetCAT-aanval is gebaseerd op het feit dat netwerkkaarten actief gegevens in de cache opslaan, en dat de snelheid van de pakketverwerking in moderne lokale netwerken voldoende is om het vullen van de cache te beïnvloeden en de aan- of afwezigheid van gegevens in de cache te bepalen door vertragingen tijdens gegevensverwerking te analyseren. overdracht.
Bij gebruik van interactieve sessies, zoals via SSH, wordt het netwerkpakket direct na het indrukken van de toets verzonden, d.w.z. vertragingen tussen pakketten correleren met vertragingen tussen toetsaanslagen. Met behulp van statistische analysemethoden en rekening houdend met het feit dat de vertragingen tussen toetsaanslagen meestal afhangen van de positie van de toets op het toetsenbord, is het mogelijk om de ingevoerde informatie met een bepaalde waarschijnlijkheid opnieuw te creëren. De meeste mensen hebben bijvoorbeeld de neiging om 's' na 'a' veel sneller te typen dan 'g' na 's'.
De informatie die in de cache van de processor wordt opgeslagen, maakt het ook mogelijk om het exacte tijdstip te beoordelen van pakketten die door de netwerkkaart worden verzonden bij het verwerken van verbindingen zoals SSH. Door een bepaalde verkeersstroom te genereren kan een aanvaller het moment bepalen waarop nieuwe gegevens in de cache verschijnen die verband houden met een specifieke activiteit in het systeem. Om de inhoud van de cache te analyseren, wordt de methode gebruikt
Het is mogelijk dat de voorgestelde techniek kan worden gebruikt om niet alleen toetsaanslagen te bepalen, maar ook andere soorten vertrouwelijke gegevens die in de CPU-cache zijn opgeslagen. De aanval kan mogelijk zelfs worden uitgevoerd als RDMA is uitgeschakeld, maar zonder RDMA wordt de effectiviteit ervan verminderd en wordt de uitvoering aanzienlijk moeilijker. Het is ook mogelijk om DDIO te gebruiken om een geheim communicatiekanaal te organiseren dat wordt gebruikt om gegevens over te dragen nadat een server is gecompromitteerd, waarbij beveiligingssystemen worden omzeild.
Bron: opennet.ru