Logo GBNhost.com — скидка на VPS сервера 50 процентов! Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

Сверхбыстрый хостинг от 69 р./мес., VPS от 299 р./мес.

Бесплатно: администрирование + ISPmanager + DDoS защита + SSL + 7 дней тестовый период

Скидка 50% на первый месяц VPS и хостинга по промокоду CITFORUM

Бесплатная регистрация

хостинг сайтов ГиперХост — хостинг сайтов который Вы искали.

Виртуальный хостинг, Аренда VPS серверов, рация доменных имен, SSL сертификаты

Реализация DDIO в чипах Intel допускает сетевую атаку по определению нажатий клавиш в сеансе SSH

Группа исследователей из Амстердамского свободного университета и Швейцарской высшей технической школы Цюриха разработала технику сетевой атаки NetCAT (Network Cache ATtack), позволяющую, применяя методы анализа данных по сторонним каналам, удалённо определять клавиши, нажимаемые пользователем в процессе работы в сеансе SSH. Проблема проявляется только на серверах, в которых применяются технологии RDMA (Remote direct memory access) и DDIO (Data-Direct I/O).

Компания Intel считает, что атаку сложно реализовать на практике, так как она требует доступа атакующего к локальной сети, стерильных условий и организации связи хостов с использованием технологий RDMA и DDIO, которые обычно применяются в изолированных сетях, например, в которых работают вычислительные кластеры. Проблеме присвоен незначительный уровень опасности (CVSS 2.6, CVE-2019-11184) и дана рекомендация не включать DDIO и RDMA в локальных сетях, в которых не обеспечен периметр безопасности и допускается подключение не заслуживающих доверие клиентов. DDIO применяется в серверных процессорах Intel, начиная с 2012 года (Intel Xeon E5, E7 и SP). Системы на базе процессоров AMD и других производителей не подвержены проблеме, так как не поддерживают сохранение передаваемых по сети данных в кэше CPU.

Применяемый для атаки метод напоминает уязвимость "Throwhammer", позволяющую изменять содержимое отдельных битов в ОЗУ через манипуляцию с сетевыми пакетами в системах с RDMA. Новая проблема является следствием работы по минимизации задержек при применении механизма DDIO, обеспечивающего прямое взаимодействие сетевой карты и других периферийных устройств с кэшем процессора (в процессе обработки пакетов сетевой карты, данные сохраняются в кэш и извлекаются из кэша, без обращения к памяти).

Благодаря DDIO в кэш процессора попадают в том числе и данные, сгенерированные в процессе вредоносной сетевой активности. Атака NetCAT отталкивается от того, что сетевые карты активно кэшируют данные, а скорость обработки пакетов в современных локальных сетях достаточна для того, чтобы влиять на заполнение кэша и определять наличие или отсутствие данных в кэше через анализ задержек при передаче данных.

При использовании интерактивных сеансов, например через SSH, сетевой пакет отправляется непосредственно после нажатия клавиши, т.е. задержки между пакетами коррелируют с задержками между нажатиями клавиш. Используя методы статистического анализа и учитывая, что задержки между нажатиями обычно зависят от положения клавиши на клавиатуре, можно с определённой вероятностью воссоздавать вводимую информацию. Например, большинство людей обычно набирают "s" после "a" значительно быстрее, чем "g" после "s".

Оседающая в процессорном кэше информация в том числе позволяет судить о точном времени пакетов, отправленных сетевой картой при обработке таких соединений как SSH. Генерируя определённый поток трафика атакующий может определить момент появления новых данных в кэше, связанных с определённой активностью в системе. Для анализа содержимого кэша используется метод Prime+Probe, подразумевающий заполнение кэша эталонным набором значений и измерение времени доступа к ним при повторном заполнении для определения изменений.

Не исключается применение предложенной техники для определения не только нажатий клавиш, но и других типов конфиденциальных данных, оседающих в кэше CPU. Потенциально атака может быть проведена и при отключении RDMA, но без RDMA её эффективность снижается, а выполнение существенно усложняется. Также возможно использование DDIO для организации скрытого канала связи, применяемого для передачи данных после компрометации сервера в обход систем для обеспечения безопасности.

OpenNET

Комментарии

аноним, Чт 12 сен 2019 13:33:56:
Всего три слайда, но как они были добыты...
3dnews . ru/650677

Ваш комментарий

Имя:

Текст комментария (HTML-теги не допускаются):

Ваш идеальный сервер от 4$/мес. Все включено:

- Администрирование и решение проблем 24/7
- Перенос проектов без рисков и простоев.
- Круглосуточный мониторинг доступности сайтов.
- Защита от DDoS атак.

Новости мира IT:

Архив новостей

Последние комментарии:

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 985 1945361
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...