A Intel apresentou em 2011 a DDIO, de Data-Direct I/O, uma solução que permitia a placas de rede e outros periféricos ligarem-se diretamente à cache de último nível dos processadores de servidores. Ao evitar a memória do sistema, a DDIO permitia conseguir maior largura de banda, reduzir a latência e o consumo. No entanto, há investigadores que alertam que este caminho representa uma vulnerabilidade que pode ser explorada por hackers para monitorizar keystrokes e roubar dados. Os ataques mais críticos podem acontecer em centros de dados e ambientes cloud que tenham acesso remoto direto à memória e DDIO, noticia o Ars Technica.
Os investigadores criaram um ataque denominado NetCAT, de Network Cache Attack, com o qual mostram que é possível explorar esta vulnerabilidade e que levou a Intel a emitir uma recomendação para que a DDIO ou RDMA seja desligada em redes que apresentem menor grau de confiança.
As equipas da Vrije Universiteit Amsterdam e da ETH Zurich escrevem que «ainda que o NetCAT seja poderoso com um mínimo de pressupostos, acreditamos que estamos apenas a raspar a superfície de possibilidades de ataques a redes e esperamos mais ataques semelhantes num futuro próximo».
Os ataques foram criados com a técnica conhecida por PRIME+PROBE, que consiste em analisar a cache, estabelecer uma base conhecida e depois monitorizar as alterações nos pacotes de memória dessas mesmas localizações, “traduzindo-as” em keystrokes.
Numa variante, os investigadores mostraram que é possível usar a DDIO como canal para aceder e roubar dados sensíveis num servidor, através de um túnel.
Veja o NetCAT em ação no vídeo abaixo.
