Вы, наверное, слышали старый анекдот: «Юмор на государственной службе? Тут не до смеха!»
Но дело в мрачных, огульных суждениях такого рода в том, что для их опровержения достаточно одного контрпримера.
Что-то не может быть универсально истинным, если оно всегда ложно, даже на одно мгновение.
Итак, было бы неплохо, если бы государственная служба могла время от времени быть оптимистичной…
…на самом деле такой же оптимистичный, как запоминающийся танцевальный номер Джанет Джексон Ритм Нация, выпущенный в 1989 году (да, это действительно было так давно)?
Это была эра подплечников, MTV, высокобюджетных танцевальных видео и той лирической музыкальности, которая прямо в глаза и в уши, которую даже современная система автоматической транскрипции YouTube временами воспроизводит просто как:
Бас, бас, бас, бас ♪ (Оптимистичная музыка в стиле R&B) ♪ Танцевальный ритм, танцевальный ритм
Ну, как суперблогер Microsoft Рэймонд Чен указал на прошлой неделе, эта самая песня, по-видимому, была замешана в удивительной уязвимости к сбою системы в начале 2000-х.
По словам Чена, крупный производитель ноутбуков того времени (он не сказал, какой именно) жаловался, что Windows склонна к сбоям при воспроизведении определенной музыки через динамик ноутбука.
Сбои, по-видимому, не ограничивались ноутбуком, воспроизводящим песню, но также могли быть спровоцированы на соседних ноутбуках, которые подвергались воздействию «вызывающей уязвимость» музыки, и даже на ноутбуках других производителей.
Резонанс считается вредным
По-видимому, окончательный вывод состоял в том, что Ритм Нация просто случайно включила удары нужной высоты, повторяющиеся с нужной скоростью, что спровоцировало явление, известное как резонанс в дисководах ноутбуков дня.
Грубо говоря, этот резонанс привел к тому, что естественные вибрации в устройствах с жесткими дисками (которые действительно содержали жесткие диски, сделанные из стали или стекла и вращающиеся со скоростью 5400 об / мин) были усилены и преувеличены до такой степени, что они выходили из строя, выводя из строя Windows. XP вместе с ними.
Резонанс, как вы, возможно, знаете, — это название явления, при котором певцы могут разбить бокалы, произнося нужную ноту достаточно долго, чтобы бокал разлетелся на куски.
После того, как они зафиксировали частоту ноты, которую они поют, на естественной частоте, с которой вибрирует стекло, их пение постоянно увеличивает амплитуду вибрации до тех пор, пока она не станет слишком большой для стакана.
Это также то, что позволяет вам быстро набирать высоту и скорость на качелях.
Если вы рассчитываете свои удары ногой или толчки случайным образом, иногда они ускоряют ваше движение, действуя в гармонии с замахом, но в других случаях они работают против замаха и вместо этого замедляют вас, заставляя вас бегать трусцой неудовлетворительно.
Но если вы рассчитываете количество потребляемой энергии так, чтобы она всегда точно соответствовала частоте колебаний, вы постоянно увеличиваете количество энергии в системе, и, таким образом, ваши колебания увеличиваются в амплитуде, и вы быстро набираете высоту.
Опытный свингер (на правильно сконструированных, хорошо закрепленных качелях с «твердой ручкой», где сиденье не соединено с осью гибкими веревками или цепями — не пытайтесь делать это в парке!) прямо над вершиной в 360-градусной дуге с помощью всего нескольких насосов…
…и, преднамеренно синхронизируя насосы с нарушением последовательности, чтобы противодействовать движению качелей, могут так же быстро снова полностью остановить их.
Проверка концепции
Мы предполагаем, что, вероятно, было много других популярных песен, которые могли спровоцировать резонанс жесткого диска до отказа, но Ритм Нация была проверка концепции, которая показала, что эта уязвимость может быть активно использована.
Чен сообщает, что производитель ноутбука добавил частотный фильтр в собственную аудиосистему ноутбука, чтобы удалить частотные диапазоны, которые, как правило, создавали проблему, оставив звук без изменений на слух, но акустически безвредным.
Благодаря постоянной фильтрации частот вместо того, чтобы пытаться распознать конкретно песню Джанет Джексон, эта электронная контрмера стала общим и упреждающим средством кибербезопасности, а не просто патчем, специфичным для одной мелодии.
Что ж, возвращаясь к вопросу юмора на государственной службе…
… оказывается, кто-то из MITRE в США, где координируются номера ошибок CVE, назначил этой проблеме официальный номер ошибки, следующим образом:
CVE-2022-38392: Отказ в обслуживании (сбой устройства и сбой системы):
Определенный OEM-жесткий диск со скоростью вращения 5400 об/мин, который поставлялся с ноутбуками примерно в 2005 году, позволяет физически находящимся поблизости злоумышленникам вызвать отказ в обслуживании (сбой устройства и сбой системы) посредством атаки на резонансной частоте с помощью звукового сигнала из музыкального видео Rhythm Nation. .
Даже в мире, где твердотельные накопители (SSD, часто еще называемые диски, даже несмотря на то, что они не имеют круглых частей, не говоря уже о вращающихся), широко распространены, вы все еще можете купить жесткие диски старой школы с движущимися частями, обычно работающими со скоростью 5400, 7200 об/мин и даже 10,000 XNUMX об/мин.
Жесткие диски старой школы обычно предлагают гораздо большую емкость по гораздо более низкой цене, чем твердотельные накопители, но в наши дни их редко можно найти в ноутбуках бизнес-класса, потому что они медленнее, обычно требуют больше энергии и не так шокируют. доказательство, как их транзисторные кузены.
Что делать?
Мы не можем сказать, в свою очередь, уязвимы ли SSD для музыки, ориентированной на другие частотные диапазоны или амплитуды.
В то время как R&B мог быть ахиллесовой пятой вращающихся носителей в начале 2000-х годов, возможно, более громкая, но менее настроенная, грязная, старомодная «кодирующая музыка» в конечном итоге может оказаться слишком мощной для полностью цифровых твердотельных накопителей для ноутбуков. ?
Мы не ожидаем, что поклонники таких групп, как Melvins, Спящий режим, монолорд и тому подобное, чтобы пойти на ненужный экспериментальный риск со своими собственными ноутбуками.
Но если кто-нибудь знает какие-нибудь сверхмощные риффы, которые можно превратить в подвиги…
… они могут иметь право на получение номеров CVE, хотя мы понятия не имеем, где уязвимости такого рода могли бы вписаться в список MITRE ATT & CK Инструменты, советы и процедуры фреймворк.
Предложения в комментариях, пожалуйста!
- блокчейн
- чен
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- CVE-2022-38392
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Джанет Джексон
- Kaspersky
- вредоносных программ
- Mcafee
- Музыка
- Голая Безопасность
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- Раймонд Чен
- резонанс
- VPN
- уязвимость
- безопасности веб-сайтов
- зефирнет
![S3, серия 90: снова нулевой день Chrome, настоящая киберпреступность и обход 0FA [Подкаст + стенограмма] PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-1200-logo-podcast-300x157.png "S3 Ep90: Chrome снова 0-day, True Cybercrime и обход 2FA [Подкаст + стенограмма]"){kind=logo}
