Vrije Universiteit Amsterdam va ETH Zurich tadqiqotchilari guruhi tarmoq hujumi texnikasini ishlab chiqdilar. (Network Cache ATtack), bu uchinchi tomon kanallari orqali ma'lumotlarni tahlil qilish usullaridan foydalanib, SSH seansida ishlayotganda foydalanuvchi tomonidan bosilgan tugmachalarni masofadan aniqlash imkonini beradi. Muammo faqat texnologiyalardan foydalanadigan serverlarda paydo bo'ladi (Masofadan to'g'ridan-to'g'ri xotiraga kirish) va (Ma'lumotlar-to'g'ridan-to'g'ri kiritish-chiqarish).
Intel , hujumni amalda amalga oshirish qiyin, chunki u tajovuzkorning mahalliy tarmoqqa kirishini, steril sharoitlarni va odatda izolyatsiya qilingan tarmoqlarda qo'llaniladigan RDMA va DDIO texnologiyalaridan foydalangan holda xost aloqasini tashkil qilishni talab qiladi, masalan, qaysi hisoblashda. klasterlar faoliyat yuritadi. Muammo kichik deb baholangan (CVSS 2.6, ) va xavfsizlik perimetri ta'minlanmagan va ishonchsiz mijozlarning ulanishiga ruxsat berilgan mahalliy tarmoqlarda DDIO va RDMA-ni yoqmaslik tavsiya etiladi. DDIO 2012 yildan beri Intel server protsessorlarida qo'llanilmoqda (Intel Xeon E5, E7 va SP). AMD va boshqa ishlab chiqaruvchilarning protsessorlariga asoslangan tizimlar muammoga ta'sir qilmaydi, chunki ular protsessor keshida tarmoq orqali uzatilgan ma'lumotlarni saqlashni qo'llab-quvvatlamaydi.
Hujum uchun ishlatiladigan usul zaiflikka o'xshaydi "", bu sizga RDMA bilan tizimlarda tarmoq paketlarini manipulyatsiya qilish orqali RAMdagi alohida bitlarning tarkibini o'zgartirishga imkon beradi. Yangi muammo tarmoq kartasi va boshqa periferik qurilmalarning protsessor keshi bilan to'g'ridan-to'g'ri o'zaro ta'sirini ta'minlaydigan DDIO mexanizmidan foydalanishda kechikishlarni minimallashtirish bo'yicha ishlarning natijasidir (tarmoq kartasi paketlarini qayta ishlash jarayonida ma'lumotlar keshda saqlanadi va ma'lumotlar). xotiraga kirmasdan keshdan olinadi).
DDIO tufayli protsessor keshi zararli tarmoq faoliyati davomida yaratilgan ma'lumotlarni ham o'z ichiga oladi. NetCAT hujumi tarmoq kartalari ma'lumotlarni faol ravishda keshlashiga asoslanadi va zamonaviy mahalliy tarmoqlarda paketlarni qayta ishlash tezligi keshni to'ldirishga ta'sir qilish va ma'lumotlar vaqtida kechikishlarni tahlil qilish orqali keshda ma'lumotlar mavjudligi yoki yo'qligini aniqlash uchun etarli. transfer.
Interaktiv seanslardan foydalanilganda, masalan, SSH orqali, tarmoq paketi tugmachani bosgandan so'ng darhol yuboriladi, ya'ni. paketlar orasidagi kechikishlar tugmachalarni bosish orasidagi kechikishlar bilan bog'liq. Statistik tahlil usullaridan foydalangan holda va tugmachalarni bosish orasidagi kechikishlar odatda klaviaturadagi tugmachaning holatiga bog'liqligini hisobga olgan holda, kiritilgan ma'lumotlarni ma'lum bir ehtimollik bilan qayta yaratish mumkin. Misol uchun, ko'pchilik "a" dan keyin "s" ni "s" dan keyin "g" dan ko'ra tezroq yozadi.
Protsessor keshida saqlangan ma'lumotlar, shuningdek, SSH kabi ulanishlarni qayta ishlashda tarmoq kartasi tomonidan yuborilgan paketlarning aniq vaqtini aniqlash imkonini beradi. Muayyan trafik oqimini yaratish orqali tajovuzkor tizimdagi ma'lum bir faoliyat bilan bog'liq keshda yangi ma'lumotlar paydo bo'lgan vaqtni aniqlashi mumkin. Kesh tarkibini tahlil qilish uchun usul qo'llaniladi , bu keshni mos yozuvlar to'plami bilan to'ldirishni va o'zgarishlarni aniqlash uchun qayta to'ldirilganda ularga kirish vaqtini o'lchashni o'z ichiga oladi.
Taklif etilayotgan texnikadan nafaqat tugmachalarni bosish, balki protsessor keshida saqlangan boshqa turdagi maxfiy ma'lumotlarni ham aniqlash uchun foydalanish mumkin. Hujum RDMA o'chirilgan bo'lsa ham amalga oshirilishi mumkin, ammo RDMAsiz uning samaradorligi pasayadi va amalga oshirish sezilarli darajada qiyinlashadi. Bundan tashqari, DDIO dan xavfsizlik tizimlarini chetlab o'tib, server buzilganidan keyin ma'lumotlarni uzatish uchun foydalaniladigan maxfiy aloqa kanalini tashkil qilish uchun foydalanish mumkin.
Manba: opennet.ru