Ang isang pangkat ng mga mananaliksik mula sa Vrije Universiteit Amsterdam at ETH Zurich ay bumuo ng isang diskarte sa pag-atake sa network (Network Cache ATtack), na nagpapahintulot, gamit ang mga pamamaraan ng pagsusuri ng data sa pamamagitan ng mga third-party na channel, na malayuang matukoy ang mga key na pinindot ng user habang nagtatrabaho sa isang session ng SSH. Ang problema ay lilitaw lamang sa mga server na gumagamit ng mga teknolohiya (Remote direct memory access) at (Data-Direct I/O).
Intel , na ang pag-atake ay mahirap ipatupad sa pagsasanay, dahil nangangailangan ito ng pag-access ng umaatake sa lokal na network, mga sterile na kondisyon at ang organisasyon ng komunikasyon ng host gamit ang mga teknolohiyang RDMA at DDIO, na kadalasang ginagamit sa mga nakahiwalay na network, halimbawa, kung saan nagko-compute. gumagana ang mga kumpol. Ang isyu ay na-rate na Minor (CVSS 2.6, ) at ibinibigay ang rekomendasyon na huwag paganahin ang DDIO at RDMA sa mga lokal na network kung saan hindi ibinigay ang perimeter ng seguridad at pinapayagan ang koneksyon ng mga hindi mapagkakatiwalaang kliyente. Ang DDIO ay ginamit sa mga processor ng Intel server mula noong 2012 (Intel Xeon E5, E7 at SP). Ang mga system batay sa mga processor mula sa AMD at iba pang mga tagagawa ay hindi apektado ng problema, dahil hindi nila sinusuportahan ang pag-iimbak ng data na inilipat sa network sa cache ng CPU.
Ang paraan na ginamit para sa pag-atake ay kahawig ng isang kahinaan "", na nagpapahintulot sa iyo na baguhin ang mga nilalaman ng mga indibidwal na bit sa RAM sa pamamagitan ng pagmamanipula ng mga packet ng network sa mga system na may RDMA. Ang bagong problema ay isang kinahinatnan ng trabaho upang mabawasan ang mga pagkaantala kapag gumagamit ng mekanismo ng DDIO, na nagsisiguro ng direktang pakikipag-ugnayan ng network card at iba pang mga peripheral na aparato sa cache ng processor (sa proseso ng pagproseso ng mga packet ng network card, ang data ay naka-imbak sa cache at nakuha mula sa cache, nang hindi ina-access ang memorya).
Salamat sa DDIO, kasama rin sa cache ng processor ang data na nabuo sa panahon ng malisyosong aktibidad ng network. Ang pag-atake ng NetCAT ay batay sa katotohanan na ang mga network card ay aktibong nag-cache ng data, at ang bilis ng pagproseso ng packet sa mga modernong lokal na network ay sapat na upang maimpluwensyahan ang pagpuno ng cache at matukoy ang pagkakaroon o kawalan ng data sa cache sa pamamagitan ng pagsusuri ng mga pagkaantala sa panahon ng data. paglipat.
Kapag gumagamit ng mga interactive na session, tulad ng sa pamamagitan ng SSH, ang network packet ay ipinapadala kaagad pagkatapos pindutin ang key, i.e. ang mga pagkaantala sa pagitan ng mga packet ay nauugnay sa mga pagkaantala sa pagitan ng mga keystroke. Gamit ang mga pamamaraan ng pagsusuri sa istatistika at isinasaalang-alang na ang mga pagkaantala sa pagitan ng mga keystroke ay karaniwang nakasalalay sa posisyon ng key sa keyboard, posible na muling likhain ang ipinasok na impormasyon na may isang tiyak na posibilidad. Halimbawa, karamihan sa mga tao ay may posibilidad na mag-type ng "s" pagkatapos ng "a" na mas mabilis kaysa sa "g" pagkatapos ng "s".
Ang impormasyong idineposito sa cache ng processor ay nagpapahintulot din sa isa na hatulan ang eksaktong oras ng mga packet na ipinadala ng network card kapag nagpoproseso ng mga koneksyon gaya ng SSH. Sa pamamagitan ng pagbuo ng isang partikular na daloy ng trapiko, matutukoy ng isang attacker ang sandali kung kailan lalabas ang bagong data sa cache na nauugnay sa isang partikular na aktibidad sa system. Upang pag-aralan ang mga nilalaman ng cache, ginagamit ang pamamaraan , na nagsasangkot ng pag-populate sa cache ng isang reference na hanay ng mga halaga at pagsukat ng oras ng pag-access sa kanila kapag muling na-repula upang matukoy ang mga pagbabago.
Posible na ang iminungkahing pamamaraan ay maaaring gamitin upang matukoy hindi lamang ang mga keystroke, kundi pati na rin ang iba pang mga uri ng kumpidensyal na data na idineposito sa cache ng CPU. Ang pag-atake ay maaaring isagawa kahit na ang RDMA ay hindi pinagana, ngunit kung walang RDMA ang pagiging epektibo nito ay nababawasan at ang pagpapatupad ay nagiging mas mahirap. Posible ring gamitin ang DDIO upang ayusin ang isang patagong channel ng komunikasyon na ginagamit upang maglipat ng data pagkatapos na makompromiso ang isang server, na lumalampas sa mga sistema ng seguridad.
Pinagmulan: opennet.ru