S3 Ep147: Hva om du skriver inn passordet ditt under et møte?

Ingen lydspiller under? Lytte direkte på Soundcloud.

DOUG.  Crocodilian cryptocrime, BWAIN-streken fortsetter, og en grunn til å lære å touch-type.

Alt det, og mer, på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, en veldig glad dag til deg, min venn.

---

AND.  Og en veldig glad dag til deg, Doug.

Jeg vet hva som kommer på slutten av podcasten, og alt jeg sier er...

…heng der, for det er spennende, om enn litt alarmerende!

---

DOUG.  Men først, la oss starte med Tech History.

Denne uken, 07. august 1944, presenterte IBM Automatisk sekvensstyrt kalkulator til Harvard University.

Du kjenner kanskje denne maskinen bedre som Merk jeg, som var en slags Frankenputer som blandet hullkort med elektromekaniske komponenter og målte 51 fot lang og 8 fot høy, eller omtrent 15.5 meter ganger 2.5 meter.

Og, Paul, selve datamaskinen var nesten foreldet før de fikk all shrink-wrap av den.

---

AND.  Ja, det ble gjort mot slutten av andre verdenskrig...

...selvfølgelig visste ikke amerikanske datadesignere på den tiden at britene allerede hadde lykkes med å bygge høyytelses digitale elektroniske datamaskiner ved hjelp av termioniske ventiler eller vakuumrør.

Og de ble sverget til hemmelighold etter krigen (av grunner vi ikke forsto sist vi snakket om det!), så det var fortsatt en følelse i USA av at ventil- eller rørdatamaskiner kunne være mer trøbbel enn de var verdt.

Fordi termioniske ventiler er veldig varme; de er ganske store; de krever store mengder strøm.

Ville de være pålitelige nok, selv om de laster og laster raskere enn releer (tusenvis av ganger raskere ved å bytte)?

Så det var fortsatt den følelsen av at det kanskje var tid og rom for elektromagnetiske releer.

Fyren som designet Colossus-datamaskinene for Bletchley Park i Storbritannia ble sverget til taushet, og han fikk ikke lov til å si til noen etter krigen: «Ja, du *kan* lage en datamaskin av ventiler. Det vil fungere, og grunnen til at jeg vet det er at jeg gjorde det.»

Han fikk ikke lov til å fortelle det til noen!

---

DOUG.  [LAUGGER] Det er fascinerende...

---

AND.  Så vi fikk Mark I, og jeg antar at det var den siste mainstream digitale datamaskinen som hadde en drivaksel, Doug, drevet av en elektrisk motor. [LATTER]

Det er en ting av absolutt skjønnhet, er det ikke?

Det er Art Deco ... hvis du går til Wikipedia, er det noen bilder av virkelig høy kvalitet av det.

Som ENIAC-datamaskinen (som kom ut i, hva, 1946, og brukte ventiler)... begge disse datamaskinene var i en liten evolusjonær blindvei, ved at de fungerte i desimal, ikke i binær.

---

DOUG.  Jeg burde også ha nevnt at selv om den var foreldet i det øyeblikket den traff gulvet, var den et viktig øyeblikk i datahistorien, så la oss ikke se bort fra det.

---

AND.  Faktisk.

Det kunne gjøre aritmetikk med 18 signifikante desimalsifre med presisjon.

Moderne 64-biters IEEE-flyttall har bare 53 binære sifre med presisjon, som er i underkant av 16 desimalsiffer.

---

DOUG.  Ok, vel, la oss snakke om vår nye BWAIN.

Dette er en annen feil med et imponerende navn, eller BWAIN som vi liker å kalle dem.

Dette er tre uker på rad nå, så vi har en god serie i gang!

Denne heter Fall, og er forårsaket av minneoptimaliseringsfunksjoner i Intel-prosessorer.

Fortell meg hvis det høres kjent ut, at en slags optimaliseringsfunksjon i en prosessor forårsaker cybersikkerhetsproblemer.

---

AND.  Vel, hvis du er en vanlig podcastlytter av Naked Security, vet du at vi har vært inne på Zenbleed for bare et par uker siden, ikke sant?

Som var en lignende type feil i AMD Zen 2-prosessorer.

Google, som var involvert i både Downfall- og Zenbleed-forskningen, har nettopp publisert en artikkel der de snakker om Downfall sammen med Zenbleed.

Det er en lignende type feil, slik at optimalisering inne i CPU-en utilsiktet kan lekke informasjon om dens interne tilstand som aldri er ment å slippe unna.

I motsetning til Zenbleed, som kan lekke de øverste 128 bitene av 256-bit vektorregistre, kan Downfall lekke hele registeret ved en feiltakelse.

Det fungerer ikke helt på samme måte, men det er samme slags idé... hvis du husker det Zenbleed, som fungerte på grunn av en spesiell akselerert vektorinstruksjon kalt VZEROUPPER.

Zenbleed: Hvordan søken etter CPU-ytelse kan sette passordene dine i fare

Det er der en instruksjon går og skriver null-biter til alle vektorregistrene samtidig, alt på en gang, noe som åpenbart betyr at du ikke trenger å ha en løkke som går rundt registrene en etter en.

Så det øker ytelsen, men reduserer sikkerheten.

Fall er en lignende type problem som er relatert til en instruksjon som, i stedet for å slette data, går ut for å samle dem.

Og den instruksjonen heter SAMLE.

GATHER kan faktisk ta en liste over minneadresser og samle alt dette sammen og feste det i vektorregistrene slik at du kan gjøre behandling.

Og, omtrent som Zenbleed, er det en glideskive mellom koppen og leppen som kan tillate statlig informasjon om andres data, fra andre prosesser, å lekke ut og samles inn av noen som løper ved siden av deg på samme prosessor.

Det er klart at det ikke skal skje.

---

DOUG.  I motsetning til Zenbleed, hvor du bare kan slå av den funksjonen ...

---

AND.  ...begrensningen vil motvirke ytelsesforbedringene som GATHER-instruksjonen skulle gi, nemlig å samle inn data fra hele minnet uten å kreve at du gjør det i en eller annen form for egen indeksert loop.

Det er klart, hvis du legger merke til at avbøtningen har bremset arbeidsmengden din, må du på en måte suge den opp, for hvis du ikke gjør det, kan du være i fare for noen andre på samme datamaskin som deg.

---

DOUG.  Akkurat.

---

AND.  Noen ganger er livet sånn, Doug.

---

DOUG.  Det er!

Vi vil holde et øye med dette ... dette er, jeg tar det, for Black Hat-konferansen som vi vil få mer informasjon om, inkludert eventuelle rettelser som kommer ut.

La oss gå videre til: "Når det kommer til cybersikkerhet, vet vi at hver liten bit hjelper, ikke sant?"

Så hvis vi alle bare kunne ta opp berøringstasting, verden ville faktisk vært et tryggere sted, Paul.

Seriøs sikkerhet: Hvorfor å lære å trykke på kan beskytte deg mot lydsnoking

---

AND.  Dette kunne sannsynligvis ha vært en BWAIN hvis forfatterne ville (jeg kan ikke komme på et fengende navn fra toppen av hodet mitt)...

…men de ga det ikke en BWAIN; de skrev nettopp et papir om det og publiserte det uken før Black Hat.

Så jeg antar at den bare kom ut når den var klar.

Det er ikke et nytt forskningstema, men det var noen interessante innsikter i papiret, og det var det som fikk meg til å skrive det opp.

Og det går i grunnen rundt spørsmålet om når du tar opp et møte med mange mennesker i det, så er det åpenbart en cybersikkerhetsrisiko, ved at folk kan si ting de ikke vil ha tatt opp til senere, men som du får ta opp uansett.

Men hva med de som ikke sier noe som er kontroversielt eller som betyr noe om det skulle bli utgitt, men likevel tilfeldigvis sitter der på den bærbare datamaskinen og skriver?

Kan du finne ut hva de skriver på tastaturet?

Når de trykker på S-tasten, høres det annerledes ut enn når de trykker på M-tasten, og er det forskjellig fra P?

Hva om de bestemmer seg, midt i et møte (fordi datamaskinen deres er låst eller fordi skjermspareren deres startet) … hva om de plutselig bestemmer seg for å skrive inn passordet?

Kan du si det på den andre siden av en Zoom-samtale?

Denne forskningen ser ut til å antyde at du godt kan gjøre det.

---

DOUG.  Det var interessant at de brukte en 2021 MacBook Pro, 16-tommers versjonen, og de fant ut at i utgangspunktet, for det meste, høres alle MacBook-tastaturer like ut.

Hvis du og jeg har samme type MacBook, kommer tastaturet ditt til å høres akkurat ut som mitt.

---

AND.  Hvis de tar veldig nøye samplede "lydsignaturer" fra sin egen MacBook Pro, under ideelle omstendigheter, er disse lydsignaturdata sannsynligvis gode nok for de fleste, om ikke alle andre MacBook-er ... i det minste fra samme modellserie.

Du kan se hvorfor de pleier å være mye mer like enn forskjellige.

---

DOUG.  Heldigvis for deg er det noen ting du kan gjøre for å unngå slike mishandlinger.

I følge forskerne kan du lære å trykke på type.

---

AND.  Jeg tror de ment det som et litt humoristisk notat, men de la merke til at tidligere forskning, ikke deres egen, har oppdaget at berøringstyper har en tendens til å være mye mer regelmessige når det gjelder måten de skriver på.

Og det betyr at individuelle tastetrykk er mye vanskeligere å skille mellom.

Jeg kan tenke meg at det er fordi når noen trykker, bruker de generelt mye mindre energi, så de er sannsynligvis mer stillegående, og de trykker sannsynligvis på alle tastene på en veldig lik måte.

Så, tilsynelatende gjør berøringstasting deg mye mer til et bevegelig mål, hvis du vil, i tillegg til å hjelpe deg å skrive mye raskere, Doug.

Det ser ut til at det er en cybersikkerhetsferdighet så vel som en ytelsesfordel!

---

DOUG.  Flott.

Og de la merke til at Shift-tasten forårsaker problemer.

---

AND.  Ja, jeg antar at det er fordi når du gjør Shift (med mindre du bruker Caps Lock og du har en lang sekvens med store bokstaver), går du i bunn og grunn: "Trykk Shift, trykk tasten; slipp tasten, slipp Shift."

Og det ser ut til at den overlappingen av to tastetrykk faktisk roter til dataene på en måte som gjør det mye vanskeligere å skille tastetrykk fra hverandre.

Min tankegang om det er, Doug, at kanskje de virkelig irriterende, irriterende reglene for passordkompleksitet tross alt har en hensikt, om enn ikke den vi først trodde. [LATTER]

---

DOUG.  OK, da er det noen andre ting du kan gjøre.

Du kan bruke 2FA. (Vi snakker mye om det: "Bruk 2FA hvor du kan.")

Ikke skriv inn passord eller annen konfidensiell informasjon under et møte.

Og demp mikrofonen så mye du kan.

---

AND.  Åpenbart, for en lyd-sniffende passord-phisher, vil det å kjenne 2FA-koden din denne gangen ikke hjelpe dem neste gang.

Selvfølgelig, den andre tingen med å dempe mikrofonen din...

…husk at det ikke hjelper hvis du er i et møterom med andre mennesker, fordi en av dem kan i det skjulte ta opp det du gjør bare ved å ha telefonen stående oppover på skrivebordet.

I motsetning til et kamera, trenger det ikke å peke direkte mot deg.

Men hvis du er på noe som en Zoom eller en Teams-samtale der det bare er deg på din side, er det sunn fornuft å dempe mikrofonen når du ikke trenger å snakke.

Det er høflig mot alle andre, og det hindrer deg også i å lekke ting som du ellers kunne ha trodd var helt irrelevant eller uviktig.

---

DOUG.  OK, sist men ikke minst...

...du kjenner henne kanskje som razzlekhan eller Krokodille fra Wall Street, eller ikke i det hele tatt.

Men hun og mannen hennes har blitt fanget i rettferdighetens kjever, Paul.

"Crocodile of Wall Street" og mannen hennes erkjenner seg skyldig i gigantiske kryptokriminalitet

---

AND.  Ja, vi har skrevet om dette paret før et par ganger på Naked Security, og snakket om dem på podcasten.

Razzlekhan, også kjent som krokodillen på Wall Street, er i virkeligheten Heather Morgan.

Hun er gift med en kar som heter Ilya Lichtenstein.

De bor, eller de bodde, i New York City, og de ble implisert eller koblet til det beryktede Bitfinex kryptovaluta-ranet i 2016, hvor rundt 120,000 XNUMX Bitcoins ble stjålet.

Og på den tiden sa alle: "Wow, 72 millioner dollar gikk akkurat sånn!".

Utrolig nok, etter noen år med svært smarte og detaljerte etterforskningsarbeid fra amerikansk rettshåndhevelse, ble de sporet opp og arrestert.

Men da de ble arrestert, hadde verdien av Bitcoins økt så mye at ranet deres var verdt nær 4 milliarder dollar (4000 millioner dollar), opp fra 72 millioner dollar.

Det ser ut til at en av tingene de ikke hadde satset på, er hvor vanskelig det kan være å ta ut disse dårlige gevinstene.

Teknisk sett var de verdt 72 millioner dollar i stjålne penger...

…men det var ingen å trekke seg tilbake til Florida eller en middelhavsøy i fanget av luksus for resten av livet.

De fikk ikke ut pengene.

Og deres forsøk på å gjøre det skapte et tilstrekkelig spor av bevis for at de ble tatt, og de har nå bestemt seg for å erkjenne straffskyld.

De er ikke dømt ennå, men det ser ut til at hun står overfor opptil 10 år, og han står overfor opptil 20 år.

Jeg tror han sannsynligvis vil få en høyere straff fordi han er mye mer direkte involvert i den opprinnelige hackingen inn i Bitfinex kryptovalutabørs – med andre ord, å få tak i pengene i utgangspunktet.

Og så gikk han og kona ut av deres måte å gjøre hvitvaskingen.

I en fascinerende del av historien (vel, jeg syntes den var fascinerende!), var en av måtene hun prøvde å hvitvaske noen av pengene på at hun byttet dem ut mot gull.

Og hun tok et blad av pirater (Arrrrr!) fra hundrevis av år siden, og begravde det.

---

DOUG.  Det reiser spørsmålet, hva skjer hvis jeg fikk stjålet 10 Bitcoins fra meg i 2016?

De har nå dukket opp, så får jeg 10 Bitcoins tilbake eller får jeg verdien av 10 Bitcoins i 2016?

Eller når bitcoins blir beslaglagt, blir de automatisk konvertert til kontanter og gitt tilbake til meg uansett hva?

---

AND.  Jeg vet ikke svaret på det, Doug.

Jeg tror for øyeblikket at de bare sitter i et sikkert skap et sted...

…antagelig gullet som de gravde opp [LATER], og eventuelle penger som de beslagla og annen eiendom, og Bitcoins som de fikk tilbake.

Fordi de var i stand til å få tilbake omtrent 80 % av dem (eller noe) ved å knekke passordet på en kryptovaluta-lommebok som Ilya Lichtenstein hadde i sin besittelse.

Ting som han ikke hadde klart å vaske enda.

Det som ville vært spennende, Doug, er hvis "kjenn kunden din"-dataene viste at det faktisk var din Bitcoin som ble utbetalt for gull og begravet ...

…får du gullet tilbake?

---

DOUG.  Gull har også gått opp.

---

AND.  Ja, men det har ikke gått opp på langt nær så mye!

---

DOUG.  Ja…

---

AND.  Så jeg lurer på om noen mennesker vil få gull tilbake, og føle seg ganske bra, fordi jeg tror de vil ha gjort en 2x eller 3x forbedring i forhold til det de tapte på den tiden...

...men skulle ønske de fikk Bitcoins, fordi de er mer som 50 ganger verdien.

Så veldig mye et spørsmål om "se denne plassen", er det ikke?

---

DOUG.  [LETER] Det er med stor glede jeg sier: "Vi vil holde et øye med dette."

Og nå er det på tide å høre fra en av våre lesere.

Fest deg for denne!

På denne artikkelen. Hei Helpdesk Guy skriver:

---

«Razzlekhan» var svaret på et spørsmål under en cybersikkerhetstime jeg tok.

Fordi jeg visste at jeg vant et hackergavekort på $100.

Ingen visste hvem hun var.

Så, etter spørsmålet, spilte instruktøren rapsangen hennes og hele klassen ble forferdet, haha.

---

Noe som fikk meg til å søke opp noen av raplåtene hennes på YouTube.

Og "forferdet" er det perfekte ordet.

Veldig dårlig!

---

AND.  Du vet hvordan det er noen ting i sosialhistorien som er så ille at de er gode...

…som Politiakademi-filmene?

Så jeg har alltid antatt at det var et element av det i alt, inkludert musikk.

At det var mulig å være så dårlig at man kom inn i den andre enden av spekteret.

Men disse rapvideoene beviser at det er usant.

Det er ting som er så ille...

[DEADPAN] …at de er dårlige.

---

DOUG.  [LETER] Og dette er det!

Greit, takk for at du sendte det inn, Hei Helpdesk Guy.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.

Du kan sende en e-post til tips@sophos.com, du kan kommentere en av artiklene våre, eller du kan kontakte oss på sosiale medier: @nakedsecurity.

Det er showet vårt for i dag; tusen takk for at du lyttet.

For Paul Ducklin, jeg er Doug Aamoth, og minner deg på til neste gang om å...

---

BÅDE.  Hold deg trygg!

[MUSIKK MODEM]