Je hebt waarschijnlijk de oude grap gehoord: “Humor in de openbare dienst? Het is niet om te lachen!”
Maar het probleem met dit soort sombere, algemene oordelen is dat er maar één tegenvoorbeeld nodig is om ze te weerleggen.
Iets kan niet universeel waar zijn als het ooit onwaar is, zelfs niet voor een enkel moment.
Dus, zou het niet mooi zijn als de openbare dienst af en toe vrolijk zou kunnen zijn…
... zo vrolijk zelfs als het aanstekelijke dansnummer van Janet Jackson Ritme natie, uitgebracht in 1989 (ja, het was echt zo lang geleden)?
Dit was het tijdperk van schoudervullingen, MTV, dansvideo's met een groot budget en het soort in-je-oren-en-in-je-gezicht lyrische muzikaliteit die zelfs het hedendaagse automatische transcriptiesysteem van YouTube soms eenvoudig als volgt weergeeft:
Bas, bas, bas, bas ♪ (Upbeat R&B Music) ♪ Dance beat, dance beat
Nou, zoals Microsoft superblogger Raymond Chen wees vorige week op, was ditzelfde nummer blijkbaar betrokken bij een verbazingwekkende kwetsbaarheid voor systeemcrashes in de vroege jaren 2000.
Volgens Chen klaagde een grote laptopfabrikant uit die tijd (hij zei niet welke) dat Windows de neiging had te crashen wanneer bepaalde muziek werd afgespeeld via de laptopluidspreker.
De crashes waren blijkbaar niet beperkt tot de laptop die het nummer afspeelde, maar konden ook worden uitgelokt op laptops in de buurt die werden blootgesteld aan de "kwetsbaarheid-triggerende" muziek, en zelfs op laptops van andere leveranciers.
Resonantie als schadelijk beschouwd
Blijkbaar was de uiteindelijke conclusie dat: Ritme natie bevatte toevallig beats van de juiste toonhoogte, herhaald in het juiste tempo, dat een fenomeen veroorzaakte dat bekend staat als resonantie in de laptop schijven van de dag.
Losjes gesproken zorgde deze resonantie ervoor dat de natuurlijke trillingen in de harde schijf-apparaten (die toen echt harde schijven bevatten, gemaakt van staal of glas en ronddraaiend met 5400 tpm) werden versterkt en overdreven tot het punt dat ze zouden crashen, waardoor Windows ten val kwam. XP samen met hen.
Resonantie is, zoals u wellicht weet, de naam die wordt gegeven aan het fenomeen waarbij zangers wijnglazen kunnen verbrijzelen door de juiste toon lang genoeg te produceren om het glas aan stukken te trillen.
Zodra ze de frequentie van de noot die ze zingen hebben vastgelegd op de natuurlijke frequentie waarop het glas graag trilt, verhoogt hun gezang voortdurend de amplitude van de trilling totdat het te veel is voor het glas om te nemen.
Het is ook wat je snel hoogte en momentum op een schommel laat opbouwen.
Als je je trappen of stoten willekeurig timet, stimuleren ze soms je beweging door in harmonie met de swing te handelen, maar op andere momenten werken ze tegen de swing in en vertragen je in plaats daarvan, waardoor je onbevredigend rondloopt.
Maar als u uw energie-invoer zo timet dat deze altijd exact overeenkomt met de frequentie van de zwaai, verhoogt u consequent de hoeveelheid energie in het systeem, en dus neemt uw zwaai in amplitude toe en wint u snel aan hoogte.
Een ervaren swingineer (op een goed ontworpen, goed gemonteerde "solid-arm"-schommel, waarbij de stoel niet met flexibele touwen of kettingen is verbonden met het draaipunt - probeer dit niet in het park!) kan een schommel sturen helemaal over de top in een boog van 360 graden met slechts een paar pompen ...
...en door opzettelijk hun pompen uit de juiste volgorde te timen om de beweging van de schommel tegen te gaan, kunnen ze deze net zo snel weer volledig tot stilstand brengen.
Bewijs van concept
We vermoeden dat er waarschijnlijk veel andere populaire nummers waren die deze resonantie op de harde schijf tot het punt van mislukking hadden kunnen veroorzaken, maar Ritme natie was de proof-of-concept die aantoonde dat deze kwetsbaarheid actief kon worden misbruikt.
Chen meldt dat de laptopverkoper een frequentiefilter aan het eigen audiosysteem van de laptop heeft toegevoegd om de frequentiebanden te verwijderen die het probleem veroorzaakten, waardoor het geluid hoorbaar ongewijzigd maar akoestisch onschadelijk bleef.
Door de frequenties de hele tijd te filteren, in plaats van te proberen het nummer van Janet Jackson specifiek te herkennen, werd deze elektronische tegenmaatregel een generieke en proactieve cyberbeveiligingsoplossing, niet alleen een patch specifiek voor één deuntje.
Nou, om terug te komen op de kwestie van humor in de openbare dienst...
… het blijkt dat iemand bij MITRE in de VS, waar CVE-bugnummers worden gecoördineerd, dit probleem een officieel bugnummer, als volgt:
CVE-2022-38392: Denial of service (apparaatstoring en systeemcrash):
Een bepaalde OEM-harde schijf van 5400 RPM, zoals geleverd bij laptop-pc's in ongeveer 2005, stelt fysiek nabije aanvallers in staat een denial-of-service (apparaatstoring en systeemcrash) te veroorzaken via een resonantiefrequentie-aanval met het audiosignaal van de Rhythm Nation-muziekvideo .
Zelfs in een wereld waar solid-state drives (SSD's, vaak nog steeds aangeduid als schijven, ook al hebben ze geen ronde delen, laat staan draaiende) wijdverbreid zijn, je kunt nog steeds ouderwetse harde schijven kopen met bewegende delen, die meestal draaien op 5400 tpm, 7200 tpm en zelfs 10,000 tpm.
Old-school harde schijven bieden over het algemeen een veel hogere capaciteit voor een veel lagere prijs dan SSD's, maar ze worden tegenwoordig zelden aangetroffen in laptops van zakelijke klasse, omdat ze langzamer zijn, over het algemeen meer stroom nodig hebben en niet zo schokkend zijn. bewijs als hun getransistoriseerde neven.
Wat te doen?
Of SSD's op hun beurt kwetsbaar zijn voor muziek die zich richt op andere frequentiebereiken of amplitudes, kunnen we niet zeggen.
Terwijl R&B in het begin van de jaren 2000 misschien de achilleshiel was van roterende media-opslagapparaten, zou misschien luidere maar lager afgestemde, sludgy, ouderwetse "coderingsmuziek" uiteindelijk te veel kunnen blijken te zijn voor volledig digitale solid-state laptopopslag ?
We verwachten geen fans van bands als Melvins, Slaap, Monoheer en dergelijke onnodige experimentele risico's nemen met hun eigen laptops.
Maar als iemand zware riffs kent die in exploits kunnen worden omgezet...
…ze komen mogelijk in aanmerking voor CVE-nummers, hoewel we geen idee hebben waar dit soort kwetsbaarheden in de MITRE ATT & CK Hulpmiddelen, tips en procedures kader.
Suggesties in de comments, alsjeblieft!
- blockchain
- chen
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- CVE-2022-38392
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Janet Jackson
- Kaspersky
- malware
- Mcafee
- Muziek
- Naakte beveiliging
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- Raymond Chen
- resonantie
- VPN
- kwetsbaarheid
- website veiligheid
- zephyrnet
![S3 Ep90: Chrome 0-day again, True Cybercrime en een 2FA-bypass [Podcast + Transcript] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-1200-logo-podcast-300x157.png "S3 Ep90: Chrome 0-day again, True Cybercrime en een 2FA-bypass [Podcast + Transcript]"){kind=logo}
