Amsterdam Vrije Üniversitesi ve ETH Zürih'ten bir grup araştırmacı bir ağ saldırısı tekniği geliştirdi (Network Cache ATtack), üçüncü taraf kanallar aracılığıyla veri analiz yöntemlerini kullanarak, SSH oturumunda çalışırken kullanıcının bastığı tuşların uzaktan belirlenmesine olanak tanır. Sorun yalnızca teknolojileri kullanan sunucularda ortaya çıkıyor (Uzaktan doğrudan hafıza erişimi) ve (Doğrudan Veri G/Ç).
Intel Saldırganın yerel ağa erişimini, steril koşulları ve genellikle yalıtılmış ağlarda kullanılan, örneğin bilgisayarların kullanıldığı RDMA ve DDIO teknolojilerini kullanarak ana bilgisayar iletişiminin organizasyonunu gerektirdiğinden, saldırının pratikte uygulanması zordur. kümeler faaliyet göstermektedir. Sorun Küçük olarak derecelendirildi (CVSS 2.6, ) ve güvenlik çevresinin sağlanmadığı ve güvenilmez istemcilerin bağlantısına izin verilen yerel ağlarda DDIO ve RDMA'nın etkinleştirilmemesi tavsiye edilir. DDIO, 2012'den beri Intel sunucu işlemcilerinde kullanılmaktadır (Intel Xeon E5, E7 ve SP). AMD ve diğer üreticilerin işlemcilerini temel alan sistemler, ağ üzerinden aktarılan verilerin CPU önbelleğinde saklanmasını desteklemedikleri için sorundan etkilenmezler.
Saldırıda kullanılan yöntem bir güvenlik açığına benziyor"RDMA'lı sistemlerde ağ paketlerinin manipülasyonu yoluyla RAM'deki bireysel bitlerin içeriğini değiştirmenize olanak sağlar. Yeni sorun, ağ kartının ve diğer çevresel aygıtların işlemci önbelleğiyle doğrudan etkileşimini sağlayan DDIO mekanizmasını kullanırken gecikmeleri en aza indirmeye yönelik çalışmanın bir sonucudur (ağ kartı paketlerinin işlenmesi sürecinde veriler önbellekte saklanır ve belleğe erişmeden önbellekten alınır).
DDIO sayesinde işlemci önbelleği, kötü amaçlı ağ etkinliği sırasında oluşturulan verileri de içerir. NetCAT saldırısı, ağ kartlarının verileri aktif olarak önbelleğe aldığı ve modern yerel ağlardaki paket işleme hızının, önbelleğin doldurulmasını etkilemek ve veri sırasındaki gecikmeleri analiz ederek önbellekte veri varlığını veya yokluğunu belirlemek için yeterli olduğu gerçeğine dayanmaktadır. Aktar.
SSH gibi etkileşimli oturumlar kullanıldığında, ağ paketi tuşa basıldıktan hemen sonra gönderilir; paketler arasındaki gecikmeler tuş vuruşları arasındaki gecikmelerle ilişkilidir. İstatistiksel analiz yöntemleri kullanılarak ve tuş vuruşları arasındaki gecikmelerin genellikle tuşun klavyedeki konumuna bağlı olduğu dikkate alındığında, girilen bilgilerin belirli bir olasılıkla yeniden oluşturulması mümkündür. Örneğin, çoğu kişi "a"dan sonra "s"yi "s"den sonra "g"ye göre çok daha hızlı yazma eğilimindedir.
İşlemci önbelleğinde depolanan bilgiler aynı zamanda SSH gibi bağlantıları işlerken ağ kartı tarafından gönderilen paketlerin tam zamanının değerlendirilmesine de olanak tanır. Saldırgan, belirli bir trafik akışı oluşturarak sistemdeki belirli bir etkinlikle ilişkili önbellekte yeni verilerin göründüğü anı belirleyebilir. Önbellek içeriğini analiz etmek için yöntem kullanılır Bu, önbelleğin bir referans değer kümesiyle doldurulmasını ve değişiklikleri belirlemek için yeniden doldurulduğunda bunlara erişim süresinin ölçülmesini içerir.
Önerilen tekniğin yalnızca tuş vuruşlarını değil aynı zamanda CPU önbelleğinde depolanan diğer gizli veri türlerini belirlemek için de kullanılabilmesi mümkündür. Saldırı potansiyel olarak RDMA devre dışı bırakılsa bile gerçekleştirilebilir, ancak RDMA olmadan etkinliği azalır ve yürütülmesi önemli ölçüde zorlaşır. Ayrıca, bir sunucunun güvenliği ihlal edildikten sonra güvenlik sistemlerini atlayarak verileri aktarmak için kullanılan gizli bir iletişim kanalını düzenlemek için DDIO'yu kullanmak da mümkündür.
Kaynak: opennet.ru