음악을 통한 노트북 서비스 거부: CVE가 포함된 1980년대 R&B 노래!

당신은 아마도 오래된 농담을 들었을 것입니다. "공직에서 유머? 웃을 일이 아니야!”

그러나 이런 종류의 낙천적이고 포괄적인 판단은 그것을 반증하기 위해 단 하나의 반례만 있으면 된다는 것입니다.

단 한 순간이라도 거짓이라면 보편적으로 참일 수 없습니다.

그래서 공공서비스가 한번쯤은 밝았으면 좋지 않았을까...

… 경쾌하게, 사실, 캐치하는 Janet Jackson 댄스 넘버처럼 리듬 네이션, 1989년에 출시되었습니다(네, 정말 오래전 일이죠)?

[포함 된 콘텐츠]

당시는 어깨 패드, MTV, 고예산 댄스 비디오, 귀에 쏙쏙 들어오는 서정적 음악성, 심지어 YouTube의 현대적인 자동 전사 시스템도 때때로 다음과 같이 표현하는 시대였습니다.

  Bass, Bass, Bass, Bass ♪ (Upbeat R&B Music) ♪ 댄스 비트, 댄스 비트

음, Microsoft 슈퍼 블로거 Raymond Chen으로서 지난주 지적, 바로 이 노래가 2000년대 초반의 놀라운 시스템 충돌 취약점과 관련이 있는 것 같습니다.

당시의 주요 랩톱 제조업체인 Chen에 따르면(그는 어느 제품인지 밝히지 않음) 랩톱 스피커를 통해 특정 음악을 재생할 때 Windows가 충돌하는 경향이 있다고 불평했습니다.

충돌은 노래를 재생하는 랩톱에 국한되지 않고 "취약점 유발" 음악에 노출된 근처 랩톱과 다른 공급업체의 랩톱에서도 발생할 수 있습니다.

유해한 것으로 간주되는 공명

분명히, 궁극적인 결론은 리듬 네이션 우연히 적절한 속도로 반복되는 올바른 음조의 박자를 포함하게 되었는데, 이는 다음과 같은 현상을 일으켰습니다. 공명 오늘의 노트북 디스크 드라이브에서.

느슨하게 말해서, 이 공명으로 인해 하드 디스크 장치(당시에는 실제로 하드 디스크가 포함되어 있었고 강철 또는 유리로 만들어졌으며 5400rpm으로 회전)의 자연스러운 진동이 증폭되고 과장되어 충돌하여 Windows가 다운될 정도로 과장되었습니다. 그들과 함께 XP.

공명(Resonance)은 알다시피, 가수가 잔을 산산조각낼 만큼 충분히 오랫동안 올바른 음을 만들어냄으로써 와인 잔을 깨뜨릴 수 있는 현상에 주어진 이름입니다.

그들이 노래하는 음표의 주파수를 유리가 진동하기를 좋아하는 고유 주파수에 고정하면 그들의 노래는 유리가 감당할 수 없을 정도로 커질 때까지 계속해서 진동의 진폭을 높입니다.

또한 스윙에서 높이와 추진력을 빠르게 구축할 수 있습니다.

무작위로 발차기 또는 밀기의 시간을 정하면 때때로 그네와 조화롭게 행동하여 움직임을 향상시키지만, 다른 때에는 그네에 역행하여 대신 속도를 늦춰서 만족스럽지 못한 조깅을 하게 만듭니다.

그러나 에너지 입력의 시간을 정하여 스윙의 주파수와 항상 정확히 일치하면 시스템의 에너지 양이 지속적으로 증가하므로 스윙의 진폭이 증가하고 키가 빠르게 증가합니다.

숙련된 스윙니어(시트가 유연한 로프나 체인으로 피봇에 연결되지 않은 적절하게 설계되고 잘 장착된 "솔리드 암" 스윙에서 - 공원에서 이것을 시도하지 마십시오!)는 스윙을 보낼 수 있습니다. 몇 번의 펌프로 360도 호의 바로 위에…

… 그리고 스윙의 움직임에 대응하기 위해 의도적으로 펌프 순서가 맞지 않게 타이밍을 조정함으로써 스윙의 움직임을 완전히 다시 빨리 멈출 수 있습니다.

개념의 증거

이 하드디스크의 공명을 실패까지 불러일으킬 수 있는 다른 대중적인 노래들이 많이 있었을 거라고 추측하지만, 리듬 네이션 이 취약점이 적극적으로 악용될 수 있음을 보여주는 개념 증명이었습니다.

Chen은 랩톱 공급업체가 문제를 일으키는 경향이 있는 주파수 대역을 제거하기 위해 랩톱 자체 오디오 시스템에 주파수 필터를 추가하여 소리는 들리지 않게 변경되지만 음향적으로는 무해하다고 보고합니다.

항상 주파수를 필터링함으로써 Janet Jackson의 노래를 구체적으로 인식하려고 하는 대신 이 전자적 대응책은 한 곡에 특정한 패치가 아니라 일반적이고 사전 예방적인 사이버 보안 수정 사항이 되었습니다.

글쎄, 공공 서비스에서 유머 문제로 돌아가려면 ...

… CVE 버그 번호가 조정된 미국 MITRE의 누군가가 이 문제를 할당한 것으로 나타났습니다. 공식 버그 번호, 다음과 같이 :

CVE-2022-38392 :  서비스 거부(장치 오작동 및 시스템 충돌):

약 5400년에 랩톱 PC와 함께 제공된 특정 2005RPM OEM 하드 드라이브를 사용하면 물리적으로 근접한 공격자가 Rhythm Nation 뮤직 비디오의 오디오 신호를 사용한 공진 주파수 공격을 통해 서비스 거부(장치 오작동 및 시스템 충돌)를 일으킬 수 있습니다. .

솔리드 스테이트 드라이브(SSD, 종종 여전히 디스크, 회전 부품은 고사하고 원형 부품이 없음에도 불구하고) 일반적으로 5400rpm, 7200rpm 및 10,000rpm에서 실행되는 움직이는 부품이 있는 구식 하드 디스크를 구입할 수 있습니다.

구식 하드 드라이브는 일반적으로 SSD보다 훨씬 저렴한 가격에 훨씬 더 많은 용량을 제공하지만, 속도가 느리고 일반적으로 더 많은 전력이 필요하며 충격을 주지 않기 때문에 오늘날 비즈니스급 노트북에서는 거의 찾아볼 수 없습니다. 그들의 트랜지스터화된 사촌으로서의 증거.

무엇을해야 하는가?

SSD가 다른 주파수 범위나 진폭에 초점을 맞춘 음악에 취약한지는 말할 수 없습니다.

R&B가 2000년대 초 회전식 미디어 저장 장치의 아킬레스건이었던 반면, 아마도 더 크지만 덜 조정되고 둔하고 구식 "코딩 음악"은 궁극적으로 완전한 디지털 솔리드 스테이트 랩톱 저장 장치에 너무 많은 양이 될 수 있습니다. ?

우리는 다음과 같은 밴드의 팬을 기대하지 않습니다. Melvins, 수면, 모노로드 자신의 랩톱으로 불필요한 실험적 위험을 감수하는 것과 같은 것입니다.

하지만 악용으로 바뀔 수 있는 강력한 리프를 아는 사람이 있다면…

...CVE 번호에 적격일 수 있지만 이러한 종류의 취약점이 MITER ATT & CK 도구, 팁 및 절차 뼈대.

댓글로 제안 부탁드립니다!