S3 Ep147: Bagaimana jika Anda mengetik kata sandi selama rapat?

Tidak ada pemutar audio di bawah? Mendengarkan langsung di Soundcloud.

ANJING.  Cryptocrime buaya, pukulan BWAIN berlanjut, dan alasan untuk belajar mengetik.

Semua itu, dan banyak lagi, di podcast Naked Security.

[MODEM MUSIK]

Selamat datang di podcast, semuanya.

Saya Doug Aamoth; dia adalah Paul Ducklin.

Paul, hari yang sangat bahagia untukmu, temanku.

---

BEBEK.  Dan hari yang sangat bahagia untukmu, Doug.

Saya tahu apa yang akan terjadi di akhir podcast, dan yang saya katakan hanyalah…

…bertahanlah, karena itu mengasyikkan, meski agak mengkhawatirkan!

---

ANJING.  Tapi pertama-tama, mari kita mulai dengan Sejarah Teknologi.

Minggu ini, pada 07 Agustus 1944, IBM mempresentasikan Kalkulator Terkontrol Urutan Otomatis ke Universitas Harvard.

Anda mungkin lebih tahu mesin ini sebagai Markus I, yang merupakan jenis Frankenputer yang mencampur kartu punch dengan komponen elektromekanis dan berukuran panjang 51 kaki kali tinggi 8 kaki, atau kira-kira 15.5 meter kali 2.5 meter.

Dan, Paul, komputer itu sendiri hampir usang sebelum mereka menyelesaikannya.

---

BEBEK.  Ya, itu dilakukan menjelang akhir Perang Dunia Kedua…

…tentu saja, perancang komputer Amerika pada waktu itu tidak mengetahui bahwa Inggris telah berhasil membangun komputer elektronik digital berkinerja tinggi dengan menggunakan katup termionik, atau tabung vakum.

Dan mereka disumpah untuk merahasiakan setelah perang (untuk alasan yang tidak kami mengerti terakhir kali kami membicarakannya!), jadi masih ada perasaan di Amerika bahwa komputer katup atau tabung bisa lebih merepotkan daripada nilainya.

Karena katup termionik bekerja sangat panas; mereka cukup besar; mereka membutuhkan daya dalam jumlah besar.

Apakah mereka cukup andal, meskipun memuat dan memuat lebih cepat daripada relai (ribuan kali lebih cepat dalam peralihan)?

Jadi masih ada perasaan bahwa mungkin ada waktu dan ruang untuk relai elektromagnetik.

Orang yang mendesain komputer Colossus untuk Bletchley Park di Inggris disumpah untuk diam, dan dia tidak diizinkan memberi tahu siapa pun setelah perang, “Ya, Anda * dapat * membuat komputer dari katup. Itu akan berhasil, dan alasan saya tahu itu adalah saya melakukannya.

Dia tidak diizinkan memberi tahu siapa pun!

---

ANJING.  [TERTAWA] Itu menarik…

---

BEBEK.  Jadi kami mendapatkan Mark I, dan saya kira itu adalah komputer digital utama terakhir yang memiliki driveshaft, Doug, yang dioperasikan oleh motor listrik. [TAWA]

Ini adalah keindahan mutlak, bukan?

Ini Art Deco… jika Anda membuka Wikipedia, ada beberapa foto berkualitas tinggi.

Seperti komputer ENIAC (yang keluar pada tahun 1946, dan memang menggunakan katup)… kedua komputer itu berada dalam sedikit kebuntuan evolusioner, karena mereka bekerja dalam desimal, bukan dalam biner.

---

ANJING.  Saya seharusnya juga menyebutkan bahwa, meskipun sudah usang saat diluncurkan, itu adalah momen penting dalam sejarah komputasi, jadi jangan diabaikan.

---

BEBEK.  Memang.

Itu bisa melakukan aritmatika dengan presisi 18 angka desimal yang signifikan.

Angka floating-point IEEE 64-bit kontemporer hanya memiliki presisi 53 digit biner, yang hanya di bawah 16 digit desimal.

---

ANJING.  Baiklah, mari kita bicara tentang BWAIN baru kita.

Ini adalah Bug lain Dengan Nama yang Mengesankan, atau BWAIN sebagaimana kami suka menyebutnya.

Ini adalah tiga minggu berturut-turut sekarang, jadi kami memiliki pukulan yang bagus!

Yang ini disebut Kejatuhan, dan disebabkan oleh fitur pengoptimalan memori pada prosesor Intel.

Beri tahu saya jika kedengarannya tidak asing, bahwa semacam fitur pengoptimalan dalam prosesor menyebabkan masalah keamanan siber.

---

BEBEK.  Nah, jika Anda adalah pendengar podcast Naked Security biasa, Anda akan tahu bahwa kami telah menyentuhnya Zenbleed hanya beberapa minggu yang lalu, bukan?

Yang merupakan bug serupa di prosesor AMD Zen 2.

Google, yang terlibat dalam penelitian Downfall dan Zenbleed, baru saja menerbitkan sebuah artikel di mana mereka berbicara tentang Downfall bersama Zenbleed.

Ini adalah jenis bug yang serupa sehingga pengoptimalan di dalam CPU dapat secara tidak sengaja membocorkan informasi tentang keadaan internalnya yang seharusnya tidak pernah hilang.

Tidak seperti Zenbleed, yang dapat membocorkan 128 bit teratas dari register vektor 256-bit, Downfall dapat membocorkan seluruh register secara tidak sengaja.

Itu tidak bekerja dengan cara yang persis sama, tetapi itu adalah ide yang sama… jika Anda ingat Zenbleed, itu berhasil karena instruksi vektor akselerasi khusus yang disebut VZEROUPPER.

Zenbleed: Bagaimana pencarian kinerja CPU dapat membahayakan kata sandi Anda

Di situlah satu instruksi pergi dan menulis nol-bit ke semua register vektor secara bersamaan, semuanya sekaligus, yang jelas berarti Anda tidak harus memiliki loop yang mengelilingi register satu per satu.

Jadi itu meningkatkan kinerja, tetapi mengurangi keamanan.

Kejatuhan adalah jenis masalah serupa yang berkaitan dengan instruksi yang, alih-alih menghapus data, keluar untuk mengumpulkannya.

Dan instruksi itu disebut GATHER.

GATHER sebenarnya dapat mengambil daftar alamat memori dan mengumpulkan semua hal ini bersama-sama dan memasukkannya ke register vektor sehingga Anda dapat melakukan pemrosesan.

Dan, seperti Zenbleed, ada selip di antara cangkir dan bibir yang memungkinkan informasi status tentang data orang lain, dari proses lain, bocor dan dikumpulkan oleh seseorang yang berjalan di samping Anda pada prosesor yang sama.

Jelas, itu tidak seharusnya terjadi.

---

ANJING.  Tidak seperti Zenbleed, di mana Anda bisa mematikan fitur itu…

---

BEBEK.  ... mitigasi akan mengimbangi peningkatan kinerja yang seharusnya dibawa oleh instruksi GATHER, yaitu mengumpulkan data dari seluruh memori tanpa mengharuskan Anda melakukannya dalam semacam loop terindeks Anda sendiri.

Jelas, jika Anda melihat bahwa mitigasi telah memperlambat beban kerja Anda, Anda harus menyedotnya, karena jika tidak, Anda bisa berisiko dari orang lain di komputer yang sama dengan Anda.

---

ANJING.  Tepat.

---

BEBEK.  Terkadang hidup memang seperti itu, Doug.

---

ANJING.  Ini!

Kami akan mengawasi ini… ini, menurut saya, untuk konferensi Black Hat yang akan kami dapatkan info lebih lanjut, termasuk perbaikan apa pun yang keluar.

Mari kita lanjutkan ke, “Dalam hal keamanan siber, kita tahu bahwa setiap hal kecil bisa membantu, bukan?”

Jadi jika kita semua bisa mengambil saja mengetik sentuh, dunia sebenarnya akan menjadi tempat yang lebih aman, Paul.

Keamanan Serius: Mengapa belajar mengetik dapat melindungi Anda dari pengintaian audio

---

BEBEK.  Ini mungkin bisa menjadi BWAIN jika penulis menginginkannya (saya tidak bisa memikirkan nama yang menarik dari atas kepala saya)…

…tetapi mereka tidak memberikannya BWAIN; mereka baru saja menulis makalah tentang itu dan menerbitkannya seminggu sebelum Black Hat.

Jadi saya kira itu baru keluar ketika sudah siap.

Ini bukan topik penelitian baru, tetapi ada beberapa wawasan menarik di makalah itu, yang membuat saya berpikir untuk menulisnya.

Dan itu pada dasarnya seputar pertanyaan ketika Anda merekam rapat dengan banyak orang di dalamnya, maka jelas ada risiko keamanan dunia maya, di mana orang mungkin mengatakan hal-hal yang tidak ingin mereka rekam nanti, tetapi Anda dapat merekamnya Bagaimanapun.

Tetapi bagaimana dengan orang-orang yang tidak mengatakan apa pun yang kontroversial atau yang penting jika itu akan dirilis, tetapi kebetulan duduk di sana sambil mengetik di laptop?

Bisakah Anda mengetahui apa yang mereka ketik di keyboard mereka?

Saat mereka menekan tombol S, apakah terdengar berbeda dengan saat mereka menekan tombol M, dan apakah berbeda dengan P?

Bagaimana jika mereka memutuskan, di tengah rapat (karena komputer mereka terkunci atau karena screen saver mereka aktif)… bagaimana jika mereka tiba-tiba memutuskan untuk memasukkan kata sandi?

Bisakah Anda melakukannya, katakanlah, di sisi lain panggilan Zoom?

Penelitian ini tampaknya menunjukkan bahwa Anda mungkin dapat melakukan itu.

---

ANJING.  Sangat menarik bahwa mereka menggunakan MacBook Pro 2021, versi 16 inci, dan mereka menemukan bahwa pada dasarnya, sebagian besar, semua keyboard MacBook terdengar sama.

Jika Anda dan saya memiliki tipe MacBook yang sama, keyboard Anda akan terdengar seperti milik saya.

---

BEBEK.  Jika mereka mengambil sampel "tanda suara" dengan sangat hati-hati dari MacBook Pro mereka sendiri, dalam kondisi ideal, data tanda suara tersebut mungkin cukup baik untuk sebagian besar, jika tidak semua MacBook lainnya… setidaknya dari rentang model yang sama.

Anda dapat melihat mengapa mereka cenderung lebih mirip daripada berbeda.

---

ANJING.  Beruntung bagi Anda, ada beberapa hal yang dapat Anda lakukan untuk menghindari penyimpangan tersebut.

Menurut para peneliti, Anda bisa belajar mengetik.

---

BEBEK.  Saya pikir mereka bermaksud itu sebagai catatan yang sedikit lucu, tetapi mereka mencatat bahwa penelitian sebelumnya, bukan penelitian mereka sendiri, telah menemukan bahwa tipe sentuh cenderung lebih teratur tentang cara mereka mengetik.

Dan itu berarti penekanan tombol individu jauh lebih sulit untuk dibedakan.

Saya membayangkan itu karena ketika seseorang mengetik dengan sentuhan, mereka umumnya menggunakan lebih sedikit energi, jadi mereka cenderung lebih senyap, dan mereka mungkin menekan semua tombol dengan cara yang sangat mirip.

Jadi, tampaknya mengetik dengan sentuhan membuat Anda lebih menjadi target yang bergerak, jika Anda mau, serta membantu Anda mengetik lebih cepat, Doug.

Tampaknya itu adalah keterampilan keamanan siber dan juga manfaat kinerja!

---

ANJING.  Besar.

Dan mereka mencatat bahwa tombol Shift menyebabkan masalah.

---

BEBEK.  Ya, saya rasa itu karena saat Anda melakukan Shift (kecuali jika Anda menggunakan Caps Lock dan Anda memiliki urutan huruf kapital yang panjang), pada dasarnya Anda berkata, “Tekan Shift, tekan tombol; lepaskan kunci, lepaskan Shift.”

Dan tampaknya tumpang tindih dua penekanan tombol benar-benar mengacaukan data dengan cara yang membuatnya lebih sulit untuk membedakan penekanan tombol.

Pemikiran saya tentang itu adalah, Doug, bahwa mungkin aturan kompleksitas kata sandi yang sangat mengganggu dan mengganggu itu memiliki beberapa tujuan, meskipun bukan yang pertama kali kami pikirkan. [TAWA]

---

ANJING.  OK, maka ada beberapa hal lain yang dapat Anda lakukan.

Anda dapat menggunakan 2FA. (Kami sering membicarakannya: "Gunakan 2FA di mana pun Anda bisa.")

Jangan mengetikkan kata sandi atau informasi rahasia lainnya selama rapat.

Dan matikan mikrofon Anda sebanyak yang Anda bisa.

---

BEBEK.  Jelas, untuk phisher kata sandi pengendus suara, mengetahui kode 2FA Anda kali ini tidak akan membantu mereka lain kali.

Tentu saja, hal lain tentang mematikan mikrofon Anda…

… ingat itu tidak membantu jika Anda berada di ruang rapat dengan orang lain, karena salah satu dari mereka dapat diam-diam merekam apa yang Anda lakukan hanya dengan meletakkan ponsel mereka di atas meja.

Tidak seperti kamera, tidak perlu mengarah langsung ke Anda.

Namun jika Anda menggunakan sesuatu seperti Zoom atau panggilan Teams di mana hanya Anda yang berada di pihak Anda, masuk akal untuk membisukan mikrofon kapan pun Anda tidak perlu berbicara.

Ini sopan untuk semua orang, dan juga menghentikan Anda membocorkan hal-hal yang mungkin Anda anggap tidak relevan atau tidak penting.

---

ANJING.  Oke, terakhir tapi tidak kalah pentingnya…

... Anda mungkin mengenalnya sebagai razzlekhan atau itu Buaya Wall Street, atau tidak sama sekali.

Tapi dia dan suaminya telah terjerat dalam rahang keadilan, Paulus.

“Crocodile of Wall Street” dan suaminya mengaku bersalah atas kejahatan kripto berukuran raksasa

---

BEBEK.  Ya, kami telah menulis tentang pasangan ini sebelumnya beberapa kali di Naked Security, dan membicarakannya di podcast.

Razzlekhan, alias Buaya Wall Street, dalam kehidupan nyata adalah Heather Morgan.

Dia menikah dengan seorang pria bernama Ilya Lichtenstein.

Mereka tinggal, atau tinggal, di New York City, dan mereka terlibat atau terhubung dengan pencurian mata uang kripto Bitfinex yang terkenal pada tahun 2016, di mana sekitar 120,000 Bitcoin dicuri.

Dan pada saat itu, semua orang berkata, “Wow, $72 juta hilang begitu saja!”.

Hebatnya, setelah beberapa tahun pekerjaan investigasi yang sangat cerdik dan terperinci oleh penegak hukum AS, mereka dilacak dan ditangkap.

Tetapi pada saat penangkapan mereka, nilai Bitcoin telah meningkat pesat sehingga nilai pencurian mereka mendekati $4 miliar ($4000 juta), naik dari $72 juta.

Tampaknya salah satu hal yang tidak mereka pertaruhkan adalah betapa sulitnya untuk mencairkan keuntungan yang didapat secara tidak sah itu.

Secara teknis, mereka bernilai $72 juta dalam bentuk uang curian…

… tapi tidak ada pensiun ke Florida atau pulau Mediterania di pangkuan kemewahan selama sisa hidup mereka.

Mereka tidak bisa mendapatkan uang keluar.

Dan upaya mereka untuk melakukannya menciptakan jejak bukti yang cukup bahwa mereka tertangkap, dan sekarang mereka memutuskan untuk mengaku bersalah.

Mereka belum dijatuhi hukuman, tetapi tampaknya dia menghadapi hukuman 10 tahun, dan dia menghadapi hukuman 20 tahun.

Saya percaya dia kemungkinan akan mendapatkan hukuman yang lebih tinggi karena dia jauh lebih terlibat langsung dalam peretasan awal ke dalam pertukaran cryptocurrency Bitfinex – dengan kata lain, mendapatkan uangnya sejak awal.

Dan kemudian dia dan istrinya pergi keluar dari jalan mereka untuk melakukan pencucian uang.

Di salah satu bagian cerita yang menarik (yah, saya pikir itu menarik!), Salah satu cara dia mencoba untuk mencuci sebagian uang adalah dengan menukarnya dengan emas.

Dan mengambil daun dari bajak laut (Arrrrr!) dari ratusan tahun yang lalu, dia menguburnya.

---

ANJING.  Itu menimbulkan pertanyaan, apa yang terjadi jika 10 Bitcoin saya dicuri dari saya pada tahun 2016?

Mereka sekarang telah muncul, jadi apakah saya mendapatkan kembali 10 Bitcoin atau apakah saya mendapatkan nilai 10 Bitcoin di tahun 2016?

Atau ketika bitcoin disita, apakah secara otomatis dikonversi menjadi uang tunai dan dikembalikan kepada saya bagaimanapun caranya?

---

BEBEK.  Aku tidak tahu jawabannya, Doug.

Saya pikir, saat ini, mereka hanya duduk di lemari yang aman di suatu tempat…

… mungkin emas yang mereka gali [TERTAWA], dan uang apa pun yang mereka sita dan properti lainnya, dan Bitcoin yang mereka pulihkan.

Karena mereka bisa mendapatkan kembali sekitar 80% dari mereka (atau sesuatu) dengan memecahkan kata sandi pada dompet cryptocurrency yang dimiliki Ilya Lichtenstein.

Hal-hal yang belum bisa dia cuci.

Apa yang menarik, Doug, adalah jika data "kenali pelanggan Anda" menunjukkan bahwa sebenarnya Bitcoin Anda yang diuangkan untuk emas dan dikubur…

… Apakah Anda mendapatkan emasnya kembali?

---

ANJING.  Emas juga naik.

---

BEBEK.  Ya, tapi itu belum naik sebanyak itu!

---

ANJING.  Iya…

---

BEBEK.  Jadi saya bertanya-tanya apakah beberapa orang akan mendapatkan emas kembali, dan merasa cukup baik, karena menurut saya mereka akan membuat peningkatan 2x atau 3x dari apa yang hilang pada saat itu…

…namun berharap mereka mendapatkan Bitcoin, karena nilainya lebih dari 50x lipat.

Sangat banyak pertanyaan tentang "menonton ruang ini", bukan?

---

ANJING.  [TERTAWA] Dengan senang hati saya berkata, "Kami akan mengawasi ini."

Dan sekarang saatnya untuk mendengar dari salah satu pembaca kami.

Ikat untuk yang satu ini!

Pada artikel ini. Hai Helpdesk Guy menulis:

---

“Razzlekhan” adalah jawaban atas pertanyaan selama kelas keamanan siber yang saya ikuti.

Karena saya tahu bahwa saya memenangkan kartu hadiah hacker $100.

Tidak ada yang tahu siapa dia.

Nah, setelah pertanyaan itu, instruktur memainkan lagu rapnya dan seisi kelas ngeri, haha.

---

Yang mendorong saya untuk mencari beberapa lagu rapnya di YouTube.

Dan "ngeri" adalah kata yang tepat.

Sangat buruk!

---

BEBEK.  Anda tahu bagaimana ada beberapa hal dalam sejarah sosial yang begitu buruk sehingga menjadi baik…

…seperti film-film Akademi Kepolisian?

Jadi saya selalu berasumsi bahwa ada unsur itu dalam segala hal, termasuk musik.

Bahwa mungkin menjadi sangat buruk sehingga Anda masuk di ujung lain spektrum.

Tapi video rap ini membuktikan bahwa itu salah.

Ada hal-hal yang sangat buruk…

[DEADPAN] …bahwa mereka jahat.

---

ANJING.  [TERTAWA] Dan ini dia!

Baiklah, terima kasih sudah mengirimkannya, Hey Helpdesk Guy.

Jika Anda memiliki cerita, komentar, atau pertanyaan menarik yang ingin Anda sampaikan, kami ingin membacanya di podcast.

Anda dapat mengirim email ke tips@sophos.com, Anda dapat mengomentari salah satu artikel kami, atau Anda dapat menghubungi kami di sosial: @nakedsecurity.

Itulah acara kami hari ini; terima kasih banyak untuk mendengarkan.

Untuk Paul Ducklin, saya Doug Aamoth, mengingatkan Anda sampai waktu berikutnya untuk…

---

KEDUA.  Tetap aman!

[MODEM MUSIK]