Grupa badaczy z Vrije Universiteit Amsterdam i ETH Zurich opracowała technikę ataku sieciowego (Network Cache ATtack), który pozwala, wykorzystując metody analizy danych za pośrednictwem zewnętrznych kanałów, na zdalne określenie klawiszy wciśniętych przez użytkownika podczas pracy w sesji SSH. Problem pojawia się tylko na serwerach korzystających z technologii (Zdalny, bezpośredni dostęp do pamięci) i (We/wy bezpośrednie).
Intel , że atak jest trudny do zrealizowania w praktyce, gdyż wymaga dostępu atakującego do sieci lokalnej, sterylnych warunków oraz organizacji komunikacji hosta z wykorzystaniem technologii RDMA i DDIO, które zwykle stosowane są w izolowanych sieciach, np. w których działają klastry. Problem ma ocenę drugorzędną (CVSS 2.6, ) i zalecono, aby nie włączać DDIO i RDMA w sieciach lokalnych, w których nie zapewniono obwodu bezpieczeństwa i dozwolone jest podłączanie niezaufanych klientów. DDIO jest stosowane w procesorach serwerowych Intel od 2012 roku (Intel Xeon E5, E7 i SP). Problem nie dotyczy systemów opartych na procesorach AMD i innych producentów, ponieważ nie obsługują one przechowywania danych przesyłanych przez sieć w pamięci podręcznej procesora.
Metoda zastosowana do ataku przypomina lukę w zabezpieczeniach ”„, który umożliwia zmianę zawartości poszczególnych bitów w pamięci RAM poprzez manipulację pakietami sieciowymi w systemach z RDMA. Nowy problem jest konsekwencją prac nad minimalizacją opóźnień przy wykorzystaniu mechanizmu DDIO, który zapewnia bezpośrednią interakcję karty sieciowej i innych urządzeń peryferyjnych z pamięcią podręczną procesora (w procesie przetwarzania pakietów karty sieciowej dane zapisywane są w pamięci podręcznej i pobrane z pamięci podręcznej, bez dostępu do pamięci).
Dzięki DDIO w pamięci podręcznej procesora znajdują się także dane wygenerowane podczas szkodliwej aktywności sieciowej. Atak NetCAT polega na tym, że karty sieciowe aktywnie buforują dane, a prędkość przetwarzania pakietów w nowoczesnych sieciach lokalnych jest wystarczająca, aby wpłynąć na zapełnienie pamięci podręcznej i określić obecność lub brak danych w pamięci podręcznej poprzez analizę opóźnień podczas przesyłania danych przenosić.
W przypadku korzystania z sesji interaktywnych, np. poprzez SSH, pakiet sieciowy wysyłany jest natychmiast po naciśnięciu klawisza, tj. opóźnienia pomiędzy pakietami korelują z opóźnieniami pomiędzy naciśnięciami klawiszy. Stosując metody analizy statystycznej i biorąc pod uwagę, że opóźnienia pomiędzy naciśnięciami klawiszy zależą zwykle od położenia klawisza na klawiaturze, można z pewnym prawdopodobieństwem odtworzyć wprowadzone informacje. Na przykład większość ludzi ma tendencję do wpisywania „s” po „a” znacznie szybciej niż „g” po „s”.
Informacje przechowywane w pamięci podręcznej procesora pozwalają także ocenić dokładny czas pakietów wysyłanych przez kartę sieciową podczas przetwarzania połączeń typu SSH. Generując określony przepływ ruchu, atakujący może określić moment, w którym w pamięci podręcznej pojawią się nowe dane powiązane z konkretną aktywnością w systemie. Aby przeanalizować zawartość pamięci podręcznej, stosuje się metodę , co polega na zapełnieniu pamięci podręcznej referencyjnym zestawem wartości i zmierzeniu czasu dostępu do nich po ponownym zapełnieniu w celu określenia zmian.
Możliwe, że proponowaną technikę można zastosować do określenia nie tylko naciśnięć klawiszy, ale także innych typów poufnych danych przechowywanych w pamięci podręcznej procesora. Atak można potencjalnie przeprowadzić nawet przy wyłączonym RDMA, jednak bez RDMA jego skuteczność jest zmniejszona, a wykonanie staje się znacznie trudniejsze. Możliwe jest również wykorzystanie DDIO do zorganizowania tajnego kanału komunikacyjnego używanego do przesyłania danych po włamaniu do serwera, z pominięciem systemów bezpieczeństwa.
Źródło: opennet.ru