S3 Ep147: اگر رمز عبور خود را در طول جلسه وارد کنید چه؟

پخش کننده صوتی زیر نیست؟ گوش بده مستقیما در Soundcloud

دوغ.  جنایات رمزنگاری تمساح‌ها، زنجیره BWAIN همچنان ادامه دارد و دلیلی برای یادگیری تایپ کردن است.

همه اینها و بیشتر در پادکست Naked Security.

[مودم موزیکال]

به پادکست خوش آمدید، همه.

من داگ آموت هستم. او پل داکلین است.

پل، روز بسیار مبارک برای شما، دوست من.

---

اردک.  و یک روز بسیار مبارک برای شما، داگ.

من می دانم که در پایان پادکست چه چیزی در راه است، و تمام چیزی که می گویم این است…

... در آنجا بمانید، زیرا هیجان انگیز است، اگر خفیف هشدار دهنده باشد!

---

دوغ.  اما ابتدا بیایید با تاریخچه فناوری شروع کنیم.

این هفته، در 07 آگوست 1944، IBM این را ارائه کرد ماشین حساب کنترل توالی خودکار به دانشگاه هاروارد

شاید بهتر است این دستگاه را با نام من علامت گذاری، که از نوع Frankenputer بود که کارت های پانچ را با اجزای الکترومکانیکی مخلوط می کرد و طول آن 51 فوت در ارتفاع 8 فوت یا تقریباً 15.5 متر در 2.5 متر بود.

و، پل، کامپیوتر خود تقریباً منسوخ شده بود، قبل از اینکه همه چیز را از بین ببرند.

---

اردک.  بله، در اواخر جنگ جهانی دوم انجام شد…

البته، طراحان کامپیوتر آمریکایی در آن زمان نمی دانستند که انگلیسی ها قبلاً با موفقیت کامپیوترهای الکترونیکی دیجیتالی با کارایی بالا را با استفاده از دریچه های ترمیونیک یا لوله های خلاء ساخته بودند.

و آنها پس از جنگ به محرمانه بودن سوگند یاد کردند (به دلایلی که ما دفعه قبل در مورد آن صحبت کردیم نفهمیدیم!)، بنابراین هنوز این احساس در ایالات متحده وجود داشت که کامپیوترهای شیری یا لوله ای ممکن است بیش از ارزششان دردسر ساز شوند.

زیرا دریچه های ترمیونیک بسیار داغ هستند. آنها بسیار بزرگ هستند. آنها به قدرت زیادی نیاز دارند.

آیا آنها به اندازه کافی قابل اعتماد خواهند بود، حتی اگر بارگذاری و بارگذاری آنها سریعتر از رله ها باشد (هزاران برابر سریعتر در سوئیچینگ)؟

بنابراین هنوز این احساس وجود داشت که شاید زمان و مکان برای رله های الکترومغناطیسی وجود داشته باشد.

مردی که کامپیوترهای کولوسوس را برای بلچلی پارک در بریتانیا طراحی کرد، سوگند خورد که سکوت کند، و پس از جنگ اجازه نداشت به کسی بگوید: «بله، شما *می توانید* یک کامپیوتر از دریچه ها بسازید. کار خواهد کرد و دلیلی که می دانم این است که این کار را انجام دادم.»

اجازه نداشت به کسی بگوید!

---

دوغ.  [می خندد] این جذاب است…

---

اردک.  بنابراین ما Mark I را دریافت کردیم، و حدس می‌زنم این آخرین رایانه دیجیتال اصلی بود که یک میل محرک داشت، داگ، که توسط یک موتور الکتریکی کار می‌کرد. [خنده]

این یک چیز زیبایی مطلق است، اینطور نیست؟

این هنر دکو است... اگر به ویکی‌پدیا بروید، عکس‌های واقعاً باکیفیتی از آن وجود دارد.

مانند کامپیوتر ENIAC (که در سال 1946 وارد بازار شد و از دریچه‌ها استفاده می‌کرد)... هر دوی آن‌ها در یک بن‌بست تکاملی قرار داشتند، زیرا به صورت اعشاری کار می‌کردند، نه باینری.

---

دوغ.  باید به این نکته نیز اشاره می‌کردم که اگرچه از لحظه‌ای که به زمین می‌خورد منسوخ شده بود، اما لحظه مهمی در تاریخ محاسبات بود، پس بیایید آن را تخفیف ندهیم.

---

اردک.  در واقع.

می توانست با دقت 18 رقم اعشاری قابل توجه حساب را انجام دهد.

اعداد ممیز شناور 64 بیتی معاصر IEEE فقط 53 رقم باینری دقت دارند که کمی کمتر از 16 رقم اعشاری است.

---

دوغ.  خوب، خوب، بیایید در مورد BWAIN جدید خود صحبت کنیم.

این یک اشکال دیگر با نام تأثیرگذار یا BWAIN است که ما دوست داریم آنها را بنامیم.

اکنون این سه هفته متوالی است، بنابراین ما یک سری خوب در پیش داریم!

به این یکی میگن سقوطو به دلیل ویژگی های بهینه سازی حافظه در پردازنده های اینتل ایجاد می شود.

اگر آشنا به نظر می رسد، به من بگویید که نوعی ویژگی بهینه سازی در یک پردازنده باعث ایجاد مشکلات امنیت سایبری می شود.

---

اردک.  خوب، اگر شنونده معمولی پادکست Naked Security هستید، می‌دانید که ما به آن اشاره کردیم زنبلید همین چند هفته پیش، نه؟

که یک اشکال مشابه در پردازنده های AMD Zen 2 بود.

گوگل که در تحقیقات Downfall و Zenbleed شرکت داشت، به تازگی مقاله ای منتشر کرده است که در آن در کنار Zenbleed درباره Downfall صحبت می کنند.

این یک نوع اشکال مشابه است، به طوری که بهینه سازی در داخل CPU می تواند به طور ناخواسته اطلاعاتی را در مورد وضعیت داخلی آن که هرگز قرار نیست فرار کند، درز کند.

برخلاف Zenbleed که می‌تواند 128 بیت بالای رجیسترهای برداری 256 بیتی را نشت کند، Downfall می‌تواند به اشتباه کل ثبات را نشت کند.

کاملاً یکسان کار نمی کند، اما همان ایده است... اگر به خاطر داشته باشید زنبلید، که به دلیل یک دستورالعمل برداری شتاب دهنده ویژه به نام VZEROUPPER کار می کرد.

Zenbleed: چگونه تلاش برای عملکرد CPU می تواند رمزهای عبور شما را در معرض خطر قرار دهد

اینجاست که یک دستورالعمل می رود و صفر بیت ها را به طور همزمان به همه ثبات های برداری می نویسد، همه در یک حرکت، که بدیهی است که به این معنی است که شما مجبور نیستید حلقه ای داشته باشید که یک به یک به دور ثبات ها بچرخد.

بنابراین عملکرد را افزایش می دهد، اما امنیت را کاهش می دهد.

Downfall نوعی مشکل مشابه است که به دستورالعملی مربوط می شود که به جای پاک کردن داده ها، برای جمع آوری آن ها خارج می شود.

و به آن دستور GATHER می گویند.

GATHER در واقع می تواند لیستی از آدرس های حافظه را بگیرد و همه این موارد را با هم جمع کند و در ثبات های برداری بچسباند تا بتوانید پردازش را انجام دهید.

و دقیقاً مانند Zenbleed، یک لغزش در فنجان و لبه وجود دارد که می‌تواند به اطلاعات وضعیت مربوط به داده‌های افراد دیگر، از فرآیندهای دیگر، به بیرون درز کند و توسط شخصی که در کنار شما در همان پردازنده کار می‌کند جمع‌آوری شود.

واضح است که قرار نیست این اتفاق بیفتد.

---

دوغ.  برخلاف Zenbleed که می‌توانید آن ویژگی را خاموش کنید…

---

اردک.  ... کاهش، بهبود عملکردی را که دستور GATHER قرار بود ایجاد کند، یعنی جمع‌آوری داده‌ها از سراسر حافظه بدون نیاز به انجام آن در نوعی حلقه نمایه‌سازی شده توسط خودتان، مقابله می‌کند.

بدیهی است، اگر متوجه شدید که کاهش حجم کار شما را کاهش داده است، باید به نوعی آن را بمکید، زیرا اگر این کار را نکنید، ممکن است در معرض خطر شخص دیگری در همان رایانه خود قرار بگیرید.

---

دوغ.  دقیقا.

---

اردک.  گاهی اوقات زندگی همینطور است، داگ.

---

دوغ.  این است!

ما این موضوع را زیر نظر خواهیم داشت... به نظر من، این برای کنفرانس کلاه سیاه است که اطلاعات بیشتری درباره آن، از جمله هر گونه اصلاحاتی که در راه است، دریافت خواهیم کرد.

بیایید به این موضوع ادامه دهیم: "وقتی صحبت از امنیت سایبری می شود، می دانیم که هر ذره ای کمک می کند، درست است؟"

بنابراین اگر همه ما می توانستیم فقط آن را تحمل کنیم تایپ لمسی، جهان در واقع جای امن تری خواهد بود، پل.

امنیت جدی: چرا یادگیری تایپ لمسی می‌تواند از شما در برابر جاسوسی صوتی محافظت کند

---

اردک.  اگر نویسندگان می خواستند این احتمالاً می توانست یک BWAIN باشد (من نمی توانم نام جذابی را در ذهنم بیاورم)…

... اما آنها به آن BWAIN ندادند. آنها فقط یک مقاله در مورد آن نوشتند و یک هفته قبل از کلاه سیاه منتشر کردند.

بنابراین حدس می‌زنم وقتی آماده شد بیرون آمد.

این موضوع تحقیق جدیدی نیست، اما بینش‌های جالبی در مقاله وجود داشت که باعث شد من آن را بنویسم.

و اساساً به این سؤال می‌پردازد که وقتی جلسه‌ای را با افراد زیادی در آن ضبط می‌کنید، بدیهی است که خطر امنیت سایبری وجود دارد، به این ترتیب که افراد ممکن است چیزهایی بگویند که نمی‌خواهند برای بعداً ضبط شود، اما شما می‌توانید آن را ضبط کنید. به هر حال.

اما در مورد افرادی که چیزی نمی گویند که بحث برانگیز است یا در صورت انتشار آن مهم است، اما با این وجود اتفاقاً روی لپ تاپ خود می نشینند و دور تایپ می کنند، چه می گویند؟

آیا می توانید بفهمید که آنها روی صفحه کلید خود چه می نویسند؟

وقتی کلید S را فشار می دهند صدای آن با زمانی که کلید M را فشار می دهند متفاوت است و آیا این با P فرق دارد؟

اگر تصمیم بگیرند، در میانه جلسه (به دلیل قفل بودن رایانه یا به دلیل فعال شدن محافظ صفحه نمایش)... اگر ناگهان تصمیم بگیرند رمز عبور خود را وارد کنند، چه؟

آیا می توانید آن را، مثلاً، در طرف دیگر تماس زوم تشخیص دهید؟

به نظر می رسد این تحقیق نشان می دهد که شما ممکن است بتوانید این کار را انجام دهید.

---

دوغ.  جالب بود که آنها از مک بوک پرو 2021، نسخه 16 اینچی استفاده کردند، و متوجه شدند که اساسا، در اکثر موارد، صدای صفحه کلیدهای مک بوک یکسان است.

اگر من و شما یک نوع مک بوک داشته باشیم، صفحه کلید شما دقیقاً مانند صفحه کلید من خواهد بود.

---

اردک.  اگر آنها واقعاً با دقت از مک‌بوک پرو خود نمونه‌برداری کرده باشند، در شرایط ایده‌آل، این داده‌های امضای صدا احتمالاً برای اکثر مک‌بوک‌های دیگر، اگر نه برای تمام مک‌بوک‌های دیگر، به اندازه کافی خوب است... حداقل از همان محدوده مدل.

می توانید ببینید که چرا آنها بیشتر شبیه به هم هستند تا متفاوت.

---

دوغ.  خوشبختانه برای شما، کارهایی وجود دارد که می توانید برای جلوگیری از چنین تخلفاتی انجام دهید.

به گفته محققان، شما می توانید تایپ کردن را یاد بگیرید.

---

اردک.  فکر می‌کنم آن‌ها این را به‌عنوان یک یادداشت کمی طنز آمیز در نظر گرفتند، اما توجه داشتند که تحقیقات قبلی، نه تحقیقات خودشان، کشف کرده‌اند که تایپ‌کننده‌های لمسی در مورد شیوه تایپ کردنشان بسیار منظم‌تر عمل می‌کنند.

و این بدان معناست که افتراق تک تک ضربه‌های کلید بسیار سخت‌تر است.

من تصور می‌کنم این به این دلیل است که وقتی شخصی در حال تایپ لمسی است، معمولاً انرژی بسیار کمتری مصرف می‌کند، بنابراین احتمالاً ساکت‌تر است و احتمالاً همه کلیدها را به روشی بسیار مشابه فشار می‌دهد.

بنابراین، ظاهراً تایپ لمسی، اگر دوست دارید، شما را به یک هدف متحرک تبدیل می‌کند، و همچنین به شما کمک می‌کند تا بسیار سریع‌تر تایپ کنید، داگ.

به نظر می رسد این یک مهارت امنیت سایبری و همچنین یک مزیت عملکردی است!

---

دوغ.  عالی.

و آنها اشاره کردند که کلید Shift باعث ایجاد مشکل می شود.

---

اردک.  بله، حدس می‌زنم این به این دلیل است که وقتی Shift را انجام می‌دهید (مگر اینکه از Caps Lock استفاده می‌کنید و دنباله‌ای طولانی از حروف بزرگ دارید)، اساساً می‌گویید: «Shift را فشار دهید، کلید را فشار دهید. کلید رها کردن، Shift را رها کنید.»

و به نظر می‌رسد که همپوشانی دو ضربه کلید در واقع داده‌ها را به‌گونه‌ای به هم می‌زند که تشخیص ضربات کلید را بسیار سخت‌تر می‌کند.

فکر من در این مورد این است که داگ، شاید آن قوانین پیچیدگی رمز عبور واقعا آزاردهنده و مزاحم هدفی داشته باشند، البته نه آن چیزی که ابتدا فکر می کردیم. [خنده]

---

دوغ.  خوب، پس چند کار دیگر وجود دارد که می توانید انجام دهید.

می توانید از 2FA استفاده کنید. (ما در مورد آن زیاد صحبت می کنیم: "هرجا که می توانید از 2FA استفاده کنید.")

در طول جلسه رمز عبور یا سایر اطلاعات محرمانه را وارد نکنید.

و تا جایی که می توانید میکروفون خود را بی صدا کنید.

---

اردک.  بدیهی است که برای یک فیشر رمز عبور صدا، دانستن کد 2FA شما این بار به آنها کمکی نخواهد کرد.

البته نکته دیگر در مورد بی صدا کردن میکروفون…

... به یاد داشته باشید که اگر در یک اتاق جلسه با افراد دیگر هستید، این کمکی نمی کند، زیرا یکی از آنها می تواند به طور مخفیانه کاری را که انجام می دهید، فقط با قرار دادن تلفنش روی میز به سمت بالا ضبط کند.

برخلاف دوربین، نیازی نیست که مستقیماً به سمت شما باشد.

اما اگر در تماسی مانند زوم یا تماس تیمی هستید که فقط شما در کنار شما هستید، منطقی است که هر زمان که نیازی به صحبت کردن ندارید، میکروفون خود را بی‌صدا کنید.

با دیگران مودبانه است، و همچنین از افشای مطالبی که در غیر این صورت ممکن است کاملاً نامربوط یا بی‌اهمیت فکر می‌کردید، جلوگیری می‌کند.

---

دوغ.  خوب، آخرین اما نه کم اهمیت…

…شاید او را به عنوان بشناسید رازلخان یا تمساح وال استریت، یا اصلا

اما او و شوهرش به دام افتاده اند آرواره های عدالت، پل.

«کروکودیل وال استریت» و همسرش به جنایات رمزنگاری بزرگ اعتراف کردند

---

اردک.  بله، ما قبلاً چند بار در Naked Security درباره این زوج نوشته‌ایم و در پادکست درباره آنها صحبت کرده‌ایم.

رازلخان، با نام مستعار کروکودیل وال استریت، در زندگی واقعی هدر مورگان است.

او با پسری به نام ایلیا لیختنشتاین ازدواج کرده است.

آن‌ها در شهر نیویورک زندگی می‌کردند یا در شهر نیویورک زندگی می‌کردند و به سرقت بدنام رمزارز Bitfinex در سال 2016 که در آن حدود 120,000 بیت‌کوین به سرقت رفت، دست داشتند یا مرتبط بودند.

و در آن زمان، همه می گویند: "وای، 72 میلیون دلار همینطور تمام شد!"

به طرز شگفت انگیزی، پس از چند سال تحقیقات بسیار هوشمندانه و دقیق توسط مجریان قانون ایالات متحده، آنها ردیابی و دستگیر شدند.

اما در زمان دستگیری آنها، ارزش بیت کوین ها به قدری بالا رفته بود که ارزش سرقت آنها از 4 میلیون دلار به 4000 میلیارد دلار (72 میلیون دلار) رسید.

به نظر می‌رسد یکی از چیزهایی که آنها روی آن سرمایه‌گذاری نکرده‌اند این است که نقد کردن آن سودهای غیرقانونی چقدر دشوار است.

از نظر فنی، ارزش آنها 72 میلیون دلار پول سرقت شده بود.

اما هیچ بازنشستگی به فلوریدا یا یک جزیره مدیترانه ای در دامان تجمل تا پایان عمرشان وجود نداشت.

آنها نتوانستند پول را بیرون بیاورند.

و تلاش‌های آنها برای انجام این کار، شواهد کافی برای دستگیری آنها ایجاد کرد، و آنها اکنون تصمیم گرفته‌اند که به گناه خود اعتراف کنند.

آنها هنوز محکوم نشده اند، اما به نظر می رسد که او تا 10 سال و او تا 20 سال.

من معتقدم که او احتمالاً حکم بالاتری دریافت خواهد کرد زیرا او مستقیماً در هک اصلی صرافی ارز دیجیتال Bitfinex دخالت دارد - به عبارت دیگر، در وهله اول به دست آوردن پول.

و سپس او و همسرش دست به کار شدند تا پولشویی را انجام دهند.

در یکی از قسمت‌های جذاب داستان (خب، من فکر می‌کردم جذاب بود!)، یکی از راه‌هایی که او سعی کرد مقداری از پول را بشویید این بود که آن را با طلا معامله کرد.

و برگی از دزدان دریایی (آرررر!) صدها سال پیش بیرون آورد و آن را دفن کرد.

---

دوغ.  این سوال پیش می آید که اگر در سال 10 2016 بیت کوین از من دزدیده شود چه اتفاقی می افتد؟

آنها اکنون ظاهر شده اند، بنابراین آیا من 10 بیت کوین را پس می گیرم یا ارزش 10 بیت کوین را در سال 2016 دریافت می کنم؟

یا وقتی بیت کوین ها توقیف می شوند، آیا به طور خودکار به پول نقد تبدیل می شوند و بدون توجه به هر اتفاقی به من بازگردانده می شوند؟

---

اردک.  من جواب آن را نمی دانم، داگ.

من فکر می کنم، در حال حاضر، آنها فقط در یک کمد امن در جایی نشسته اند…

...احتمالا طلایی که آنها حفر کردند [خنده]، و هر پولی که توقیف کردند و اموال دیگر، و بیت کوین هایی که بازیابی کردند.

زیرا آنها توانستند با شکستن رمز عبور یک کیف پول رمزنگاری که ایلیا لیختنشتاین در اختیار داشت، حدود 80 درصد آنها (یا چیزی دیگر) را پس بگیرند.

چیزهایی که هنوز نتوانسته بود آنها را بشویید.

چیزی که جالب خواهد بود، داگ، این است که اگر داده‌های «مشتری خود را بشناسید» نشان می‌دهد که در واقع بیت‌کوین شما بوده که برای طلا پول نقد شده و دفن شده است…

... طلا را پس می گیرید؟

---

دوغ.  طلا هم بالا رفته

---

اردک.  بله، اما به این اندازه بالا نرفت!

---

دوغ.  آره…

---

اردک.  بنابراین نمی‌دانم که آیا برخی از افراد طلا را پس می‌گیرند و احساس خوبی دارند، زیرا فکر می‌کنم آنها نسبت به چیزی که در آن زمان از دست داده‌اند، 2 برابر یا 3 برابر بهبود یافته‌اند…

... اما با این حال آرزو می کنم که آنها بیت کوین ها را دریافت کنند، زیرا ارزش آنها 50 برابر است.

بنابراین بسیار یک سوال "مواظب این فضا" است، اینطور نیست؟

---

دوغ.  [می‌خندد] با خوشحالی می‌گویم: «ما این موضوع را زیر نظر خواهیم داشت.»

و اکنون وقت آن است که از یکی از خوانندگان خود بشنویم.

بند در این یکی!

در این مقاله Hey Helpdesk Guy می نویسد:

---

"رازلخان" پاسخ به سوالی بود که در کلاس امنیت سایبری شرکت کردم.

چون می دانستم که برنده گیفت کارت هکر ۱۰۰ دلاری شده ام.

هیچ کس نمی دانست او کیست.

بنابراین، بعد از سؤال، مربی آهنگ رپ او را پخش کرد و کل کلاس وحشت کردند، هاها.

---

که مرا بر آن داشت تا برخی از آهنگ های رپ او را در یوتیوب جستجو کنم.

و "هولناک" کلمه کامل است.

واقعا بد!

---

اردک.  شما می دانید که چگونه برخی چیزها در تاریخ اجتماعی وجود دارد که آنقدر بد هستند که خوب هستند…

... مانند فیلم های آکادمی پلیس؟

بنابراین من همیشه فرض می کردم که عنصری از آن در هر چیزی، از جمله موسیقی وجود دارد.

این که ممکن بود آنقدر بد باشی که از آن سوی طیف وارد شدی.

اما این ویدیوهای رپ ثابت می کند که این دروغ است.

چیزهایی هست که خیلی بد هستند…

[DEADPAN] ... که آنها بد هستند.

---

دوغ.  [خنده] و این است!

بسیار خوب، بابت ارسال آن متشکرم، هی کمکدسک.

اگر داستان، نظر یا سوال جالبی دارید که می‌خواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.

می‌توانید به tips@sophos.com ایمیل بزنید، می‌توانید در مورد هر یک از مقاله‌های ما نظر دهید، یا می‌توانید در شبکه‌های اجتماعی به ما مراجعه کنید: @nakedsecurity.

این نمایش امروز ماست. خیلی ممنون که گوش دادید

برای پل داکلین، من داگ آموت هستم، تا دفعه بعد به شما یادآوری می کنم که…

---

هر دو.  ایمن بمان

[مودم موزیکال]