Du har sikkert hørt den gamle joke: “Humor i det offentlige? Det er ikke til grin!"
Men sagen med nedslåede, generelle domme af denne art er, at der kun skal et enkelt modeksempel til for at modbevise dem.
Noget kan ikke universelt være sandt, hvis det nogensinde er falsk, selv for et enkelt øjeblik.
Så ville det ikke være rart, hvis public service kunne være upbeat en gang imellem...
… faktisk lige så optimistisk som det iørefaldende Janet Jackson-dansenummer Rhythm Nation, udgivet i 1989 (ja, det var virkelig så længe siden)?
Dette var æraen med skulderpuder, MTV, dansevideoer med store budgetter og den slags lyrisk musikalitet i dine ører og i dit ansigt, som selv YouTubes nutidige auto-transskriptionssystem til tider ganske enkelt gengiver som:
Bas, bas, bas, bas ♪ (Upbeat R&B Music) ♪ Dance beat, dance beat
Nå, som Microsofts superblogger Raymond Chen påpegede i sidste uge, var netop denne sang tilsyneladende impliceret i en forbløffende systemnedbrudssårbarhed i begyndelsen af 2000'erne.
Ifølge Chen klagede en af datidens største bærbare computerproducenter (han sagde ikke hvilken) over, at Windows var tilbøjelig til at gå ned, når bestemt musik blev spillet gennem den bærbare computers højttaler.
Nedbruddene var tilsyneladende ikke begrænset til den bærbare computer, der spillede sangen, men kunne også fremprovokeres på bærbare computere i nærheden, der blev udsat for den "sårbarhedsudløsende" musik, og endda på bærbare computere fra andre leverandører.
Resonans anses for skadelig
Tilsyneladende var den ultimative konklusion det Rhythm Nation tilfældigvis inkluderede beats af den rigtige tonehøjde, gentaget med den rigtige hastighed, der fremkaldte et fænomen kendt som resonans i datidens bærbare diskdrev.
Løst sagt forårsagede denne resonans, at de naturlige vibrationer i harddiskenhederne (som faktisk indeholdt harddiske dengang, lavet af stål eller glas og drejede med 5400 rpm) blev forstærket og overdrevet til det punkt, at de ville gå ned, hvilket bragte Windows ned. XP sammen med dem.
Resonans, som du måske ved, er navnet på det fænomen, hvorved sangere kan knuse vinglas ved at producere den rigtige tone længe nok til at vibrere glasset i stykker.
Når de har låst nodens frekvens, synger de til den naturlige frekvens, hvormed glasset kan lide at vibrere, deres sang forstærker konstant vibrationens amplitude, indtil det er for meget for glasset at tage.
Det er også det, der lader dig hurtigt opbygge højde og momentum på en gynge.
Hvis du tider dine spark eller stød tilfældigt, booster de nogle gange din bevægelse ved at agere i harmoni med svinget, men andre gange modvirker de svinget og bremser dig i stedet for, så du jogger utilfredsstillende rundt.
Men hvis du tider dit energiinput, så det altid svarer nøjagtigt til svingningsfrekvensen, øger du konsekvent mængden af energi i systemet, og dermed stiger dine udsving i amplitude, og du stiger hurtigt i højden.
En dygtig swingineer (på en korrekt designet, velmonteret "solid-arm" gynge, hvor sædet ikke er forbundet med drejetappen med fleksible reb eller kæder - prøv ikke dette i parken!) kan sende en gynge lige over toppen i en 360-graders bue med kun et par pumper...
…og ved bevidst at time deres pumper ude af rækkefølge for at modvirke gyngens bevægelse, kan de lige så hurtigt stoppe det fuldstændigt igen.
Bevis for koncept
Vi gætter på, at der sandsynligvis var mange andre populære sange, der kunne have fremkaldt denne harddisk-resonans til det punkt, hvor de fejlede, men Rhythm Nation var proof-of-concept, der viste, at denne sårbarhed aktivt kunne udnyttes.
Chen rapporterer, at leverandøren af den bærbare computer tilføjede et frekvensfilter til den bærbare computers eget lydsystem for at fjerne de frekvensbånd, der havde en tendens til at producere problemet, og dermed efterlade lyden hørbart uændret, men akustisk harmløs.
Ved at filtrere frekvenserne hele tiden, i stedet for at forsøge at genkende Janet Jacksons sang specifikt, blev denne elektroniske modforanstaltning en generisk og proaktiv cybersikkerhedsfix, ikke bare en patch, der er specifik for én melodi.
Nå, for at vende tilbage til spørgsmålet om humor i public service...
… det viser sig, at en person hos MITER i USA, hvor CVE-fejlnumre er koordineret, har tildelt dette problem en officielt fejlnummer, som følger:
CVE-2022-38392: Denial of service (enhedsfejl og systemnedbrud):
En bestemt OEM-harddisk på 5400 RPM, som blev leveret med bærbare pc'er i cirka 2005, gør det muligt for fysisk nærliggende angribere at forårsage et lammelsesangreb (enhedsfejl og systemnedbrud) via et resonansfrekvensangreb med lydsignalet fra Rhythm Nation-musikvideoen .
Selv i en verden, hvor solid-state-drev (SSD'er, ofte stadig omtalt som diske, selvom de ikke har cirkulære dele, endsige roterende) er udbredt, kan du stadig købe old-school harddiske med bevægelige dele, der typisk kører med 5400rpm, 7200rpm og endda 10,000rpm.
Old-school harddiske tilbyder generelt meget højere kapacitet til en meget lavere pris end SSD'er, men de findes sjældent i business-class bærbare computere i disse dage, fordi de er langsommere, generelt kræver mere strøm og er ikke så stødende. bevis som deres transistoriserede fætre.
Hvad skal jeg gøre?
Om SSD'er til gengæld er sårbare over for musik, der fokuserer på andre frekvensområder eller amplituder, kan vi ikke sige.
Mens R&B kunne have været akilleshælen for roterende medielagringsenheder i begyndelsen af 2000'erne, kan måske højere, men lavere afstemt, slam, gammeldags "kodningsmusik" i sidste ende vise sig at være for meget for fuldt digital solid-state bærbar lagring ?
Vi forventer ikke fans af bands som f.eks Melvins, Sleep, Monolord og lignende til at tage unødvendige eksperimentelle risici med deres egne bærbare computere.
Men hvis nogen kender til nogle kraftige riffs, der kan forvandles til bedrifter...
…de kan være berettiget til CVE-numre, selvom vi ikke har nogen idé om, hvor sårbarheder af denne art ville passe ind i GERING ATT&CK Værktøjer, tips og procedurer rammer.
Forslag i kommentarerne, tak!
- blockchain
- chen
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- CVE-2022-38392
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Janet Jackson
- Kaspersky
- malware
- Mcafee
- Musik
- Naked Security
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Raymond Chen
- resonans
- VPN
- sårbarhed
- website sikkerhed
- zephyrnet
![S3 Ep128: Så du vil være cyberkriminel? [Lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/04/s3-ep128-so-you-want-to-be-a-cybercriminal-audio-text-300x157.png "S3 Ep128: Så du vil være cyberkriminel? [Lyd + tekst]")
![S3 Ep121: Kan du blive hacket og derefter retsforfulgt for det? [Lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png "S3 Ep121: Kan du blive hacket og derefter retsforfulgt for det? [Lyd + tekst]")
![S3 Ep102.5: "ProxyNotShell" Exchange-fejl – en ekspert taler [Audio + Text] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pnc-1200-360x188.png "S3 Ep102.5: \"ProxyNotShell\" Exchange-fejl – en ekspert taler [Lyd + tekst]")
