Skupina výskumníkov z Vrije Universiteit Amsterdam a ETH Zurich vyvinula techniku sieťového útoku (Network Cache ATtack), ktorý umožňuje pomocou metód analýzy údajov prostredníctvom kanálov tretích strán na diaľku určiť klávesy stlačené používateľom počas práce v relácii SSH. Problém sa vyskytuje iba na serveroch, ktoré používajú technológie (Priamy prístup do pamäte na diaľku) a (Data-Direct I/O).
Intel , že útok je v praxi ťažko realizovateľný, keďže si vyžaduje prístup útočníka do lokálnej siete, sterilné podmienky a organizáciu hostiteľskej komunikácie pomocou technológií RDMA a DDIO, ktoré sa zvyčajne používajú napríklad v izolovaných sieťach, v ktorých klastre fungujú. Problém je hodnotený ako vedľajší (CVSS 2.6, ) a odporúča sa nepovoliť DDIO a RDMA v lokálnych sieťach, kde nie je zabezpečený bezpečnostný perimeter a je povolené pripojenie nedôveryhodných klientov. DDIO sa používa v serverových procesoroch Intel od roku 2012 (Intel Xeon E5, E7 a SP). Systémy založené na procesoroch od AMD a iných výrobcov nie sú týmto problémom ovplyvnené, pretože nepodporujú ukladanie dát prenášaných cez sieť do vyrovnávacej pamäte CPU.
Metóda použitá na útok pripomína zraniteľnosť ““, ktorý umožňuje meniť obsah jednotlivých bitov v RAM prostredníctvom manipulácie so sieťovými paketmi v systémoch s RDMA. Nový problém je dôsledkom práce na minimalizácii oneskorení pri použití mechanizmu DDIO, ktorý zabezpečuje priamu interakciu sieťovej karty a iných periférnych zariadení s vyrovnávacou pamäťou procesora (v procese spracovania paketov sieťovej karty sa dáta ukladajú do vyrovnávacej pamäte a načítané z vyrovnávacej pamäte bez prístupu do pamäte).
Vďaka DDIO cache procesora obsahuje aj dáta generované pri zákernej sieťovej aktivite. Útok NetCAT je založený na skutočnosti, že sieťové karty aktívne ukladajú údaje do vyrovnávacej pamäte a rýchlosť spracovania paketov v moderných lokálnych sieťach je dostatočná na ovplyvnenie naplnenia vyrovnávacej pamäte a určenie prítomnosti alebo neprítomnosti údajov vo vyrovnávacej pamäti analýzou oneskorení počas údajov. prevod.
Pri použití interaktívnych relácií, napríklad cez SSH, sa sieťový paket odošle ihneď po stlačení klávesu, t.j. oneskorenia medzi paketmi korelujú s oneskoreniami medzi stlačeniami kláves. Použitím metód štatistickej analýzy a pri zohľadnení toho, že oneskorenia medzi stlačeniami kláves zvyčajne závisia od polohy klávesu na klávesnici, je možné s určitou pravdepodobnosťou znovu vytvoriť zadané informácie. Väčšina ľudí má napríklad tendenciu písať „s“ po „a“ oveľa rýchlejšie ako „g“ po „s“.
Informácie uložené vo vyrovnávacej pamäti procesora tiež umožňujú posúdiť presný čas paketov odoslaných sieťovou kartou pri spracovaní spojení, ako je SSH. Generovaním určitého prevádzkového toku môže útočník určiť moment, kedy sa vo vyrovnávacej pamäti objavia nové údaje spojené s konkrétnou aktivitou v systéme. Na analýzu obsahu vyrovnávacej pamäte sa používa metóda , ktorá zahŕňa vyplnenie vyrovnávacej pamäte referenčnou sadou hodnôt a meranie času prístupu k nim pri opätovnom vyplnení, aby sa určili zmeny.
Je možné, že navrhovanú techniku možno použiť nielen na určenie stlačenia kláves, ale aj na iné typy dôverných údajov uložených vo vyrovnávacej pamäti CPU. Útok môže byť potenciálne vykonaný aj v prípade, že je RDMA zakázaná, ale bez RDMA je jeho účinnosť znížená a realizácia je výrazne ťažšia. Je tiež možné použiť DDIO na organizáciu skrytého komunikačného kanála používaného na prenos údajov po napadnutí servera, čím sa obídu bezpečnostné systémy.
Zdroj: opennet.ru