Geen audiospeler hieronder? Luisteren direct op Soundcloud.

DOUG.  Krokodillencryptocriminaliteit, de BWAIN-reeks gaat door, en een reden om te leren blind typen.

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth; hij is Paul Ducklin.

Paul, een heel gelukkige dag voor jou, mijn vriend.

EEND.  En een hele fijne dag voor jou, Doug.

Ik weet wat er gaat komen aan het einde van de podcast, en het enige wat ik zeg is...

…hou vol, want het is opwindend, zij het enigszins alarmerend!

DOUG.  Maar laten we eerst beginnen met de technische geschiedenis.

Deze week, op 07 augustus 1944, presenteerde IBM de Automatische reeksgestuurde rekenmachine naar de Harvard-universiteit.

U kent deze machine misschien beter als de Markeer ik, wat een soort Frankenputer was die ponskaarten mengde met elektromechanische componenten en 51 meter lang en 8 meter hoog was, of ongeveer 15.5 meter bij 2.5 meter.

En, Paul, de computer zelf was bijna verouderd voordat ze al het krimpfolie eraf hadden gehaald.

EEND.  Ja, het gebeurde tegen het einde van de Tweede Wereldoorlog...

...natuurlijk wisten Amerikaanse computerontwerpers in die tijd niet dat de Britten al met succes hoogwaardige digitale elektronische computers hadden gebouwd met behulp van thermische kleppen of vacuümbuizen.

En ze hadden na de oorlog tot geheimhouding gezworen (om redenen die we de vorige keer dat we erover spraken niet begrepen!), dus er was nog steeds het gevoel in de Verenigde Staten dat buizen- of buizencomputers meer problemen konden opleveren dan ze waard waren.

Omdat thermionische kleppen erg heet worden; ze zijn vrij groot; ze hebben grote hoeveelheden stroom nodig.

Zouden ze betrouwbaar genoeg zijn, ook al laden en laden ze sneller dan relais (duizenden keren sneller schakelen)?

Dus er was nog steeds het gevoel dat er misschien tijd en ruimte was voor elektromagnetische relais.

De man die de Colossus-computers voor Bletchley Park in het Verenigd Koninkrijk ontwierp, werd gezworen te zwijgen en hij mocht na de oorlog tegen niemand zeggen: 'Ja, je *kunt* een computer maken van kleppen. Het zal werken, en de reden dat ik dat weet, is dat ik het heb gedaan.

Hij mocht het aan niemand vertellen!

DOUG.  [LACHT] Dat is fascinerend...

EEND.  Dus we kregen de Mark I, en ik denk dat het de laatste reguliere digitale computer was met een aandrijfas, Doug, die werd aangedreven door een elektrische motor. [GELACH]

Het is iets van absolute schoonheid, nietwaar?

Het is Art Deco... als je naar Wikipedia gaat, zijn er een aantal echt hoogwaardige foto's van.

Zoals de ENIAC-computer (die uitkwam in, wat, 1946, en inderdaad kleppen gebruikte) ... beide computers bevonden zich een beetje in een evolutionaire impasse, in die zin dat ze in decimaal werkten, niet in binair.

DOUG.  Ik had ook moeten vermelden dat, hoewel het achterhaald was op het moment dat het op de grond kwam, het een belangrijk moment was in de computergeschiedenis, dus laten we het niet negeren.

EEND.  Inderdaad.

Het kon rekenen met 18 significante decimale cijfers van precisie.

Hedendaagse 64-bits IEEE drijvende-kommagetallen hebben slechts 53 binaire cijfers aan precisie, wat iets minder is dan 16 decimale cijfers.

DOUG.  Oké, laten we het hebben over onze nieuwe BWAIN.

Dit is weer een bug met een indrukwekkende naam, of BWAIN zoals we ze graag noemen.

Dit is nu drie weken op rij, dus we hebben een goede reeks!

Deze heet Downfall, en wordt veroorzaakt door functies voor geheugenoptimalisatie in Intel-processors.

Vertel me of dat bekend in de oren klinkt, dat een of andere optimalisatiefunctie in een processor cyberbeveiligingsproblemen veroorzaakt.

EEND.  Nou, als je een regelmatige luisteraar van Naked Security-podcasts bent, weet je dat we elkaar hebben aangeraakt Zenbloeding nog maar een paar weken geleden, nietwaar?

Dat was een soortgelijk soort bug in AMD Zen 2-processors.

Google, dat betrokken was bij zowel het Downfall- als het Zenbleed-onderzoek, heeft zojuist een artikel gepubliceerd waarin ze naast Zenbleed over Downfall praten.

Het is een soortgelijk soort bug, zodat optimalisatie binnen de CPU onbedoeld informatie kan lekken over de interne status die nooit zou moeten ontsnappen.

In tegenstelling tot Zenbleed, dat de bovenste 128 bits van 256-bits vectorregisters kan lekken, kan Downfall per ongeluk het hele register lekken.

Het werkt niet helemaal op dezelfde manier, maar het is hetzelfde soort idee... als je het je herinnert Zenbloeding, dat werkte vanwege een speciale versnelde vectorinstructie genaamd VZEROUPPER.

Zenbleed: hoe de zoektocht naar CPU-prestaties uw wachtwoorden in gevaar kan brengen

Dat is waar één instructie naartoe gaat en nulbits tegelijkertijd naar alle vectorregisters schrijft, allemaal in één keer, wat uiteraard betekent dat je geen lus hoeft te hebben die de registers één voor één rondgaat.

Het verhoogt dus de prestaties, maar vermindert de beveiliging.

Ondergang is een soortgelijk probleem dat betrekking heeft op een instructie die, in plaats van gegevens te wissen, deze gaat verzamelen.

En die instructie heet VERZAMELEN.

GATHER kan eigenlijk een lijst met geheugenadressen nemen en al deze dingen bij elkaar verzamelen en in de vectorregisters plakken, zodat je kunt verwerken.

En, net als bij Zenbleed, is er een slip tussen de beker en de lip waardoor staatsinformatie over de gegevens van andere mensen, van andere processen, kan uitlekken en kan worden verzameld door iemand die naast je draait op dezelfde processor.

Dat mag duidelijk niet gebeuren.

DOUG.  In tegenstelling tot Zenbleed, waar je die functie gewoon kon uitschakelen...

EEND.  ... de beperking zal de prestatieverbeteringen tegengaan die de GATHER-instructie zou moeten brengen, namelijk het verzamelen van gegevens uit het hele geheugen zonder dat u dit in een soort geïndexeerde lus van uzelf hoeft te doen.

Het is duidelijk dat als u merkt dat de beperking uw werklast heeft vertraagd, u het een beetje moet opzuigen, want als u dat niet doet, loopt u mogelijk risico door iemand anders op dezelfde computer als u.

DOUG.  Precies.

EEND.  Soms is het leven zo, Doug.

DOUG.  Het is!

We zullen dit in de gaten houden... dit is, neem ik aan, voor de Black Hat-conferentie waarover we meer informatie zullen krijgen, inclusief eventuele fixes die uitkomen.

Laten we verder gaan met: "Als het om cyberbeveiliging gaat, weten we dat alle kleine beetjes helpen, toch?"

Dus als we allemaal gewoon konden beginnen blind typen, zou de wereld eigenlijk een veiliger plek zijn, Paul.

Serieuze beveiliging: waarom leren typen op aanraking u zou kunnen beschermen tegen audio-snooping

EEND.  Dit had waarschijnlijk een BWAIN kunnen zijn als de auteurs hadden gewild (ik kan zo snel geen pakkende naam bedenken)...

…maar ze gaven het geen BWAIN; ze schreven er gewoon een paper over en publiceerden het de week voor Black Hat.

Dus ik denk dat het net uitkwam toen het klaar was.

Het is geen nieuw onderzoeksonderwerp, maar er stonden een aantal interessante inzichten in de paper, wat me ertoe aanzette om het op te schrijven.

En het gaat eigenlijk om de vraag wanneer je een vergadering opneemt met veel mensen erin, dan is er natuurlijk een cyberbeveiligingsrisico, in die zin dat mensen dingen zeggen die ze niet willen opnemen voor later, maar die je mag opnemen Hoe dan ook.

Maar hoe zit het met de mensen die niets zeggen dat controversieel is of dat er toe doet als het zou worden vrijgegeven, maar toch gewoon op hun laptop zitten te typen?

Kun jij erachter komen wat ze op hun toetsenbord typen?

Als ze op de S-toets drukken, klinkt het dan anders dan wanneer ze op de M-toets drukken, en is dat anders dan P?

Wat als ze midden in een vergadering besluiten (omdat hun computer is vergrendeld of omdat hun screensaver is geactiveerd)... wat als ze plotseling besluiten hun wachtwoord in te typen?

Kun je het bijvoorbeeld aan de andere kant van een Zoom-gesprek zien?

Dit onderzoek lijkt te suggereren dat je dat misschien wel kunt.

DOUG.  Het was interessant dat ze een MacBook Pro uit 2021 gebruikten, de 16-inch versie, en ze ontdekten dat in principe alle MacBook-toetsenborden hetzelfde klinken.

Als jij en ik hetzelfde type MacBook hebben, klinkt je toetsenbord net als het mijne.

EEND.  Als ze echt zorgvuldig gesamplede "geluidssignaturen" van hun eigen MacBook Pro nemen, onder ideale omstandigheden, zijn die geluidssignatuurgegevens waarschijnlijk goed genoeg voor de meeste, zo niet alle andere MacBooks ... in ieder geval van dezelfde modellenreeks.

Je kunt zien waarom ze de neiging hebben om veel meer op elkaar te lijken dan verschillend.

DOUG.  Gelukkig voor jou zijn er enkele dingen die je kunt doen om dergelijke misdrijven te voorkomen.

Blind typen kun je volgens de onderzoekers leren.

EEND.  Ik denk dat ze dat bedoelden als een ietwat humoristische opmerking, maar ze merkten wel op dat eerder onderzoek, niet dat van henzelf, heeft ontdekt dat blindtypers veel regelmatiger zijn in de manier waarop ze typen.

En dat betekent dat individuele toetsaanslagen veel moeilijker te onderscheiden zijn.

Ik kan me voorstellen dat dat komt omdat wanneer iemand blind typen, ze over het algemeen veel minder energie verbruiken, dus ze zullen waarschijnlijk stiller zijn, en ze drukken waarschijnlijk alle toetsen op een vergelijkbare manier in.

Dus blind typen maakt je blijkbaar veel meer een bewegend doelwit, als je wilt, en helpt je ook om veel sneller te typen, Doug.

Het lijkt erop dat het zowel een cyberbeveiligingsvaardigheid als een prestatievoordeel is!

DOUG.  Grote.

En ze merkten op dat de Shift-toets problemen veroorzaakt.

EEND.  Ja, ik denk dat dat komt omdat wanneer je Shift gebruikt (tenzij je Caps Lock gebruikt en je een lange reeks hoofdletters hebt), je eigenlijk zegt: “Druk op Shift, druk op toets; laat toets los, laat Shift los.”

En het lijkt erop dat die overlapping van twee toetsaanslagen de gegevens in feite zodanig verprutst dat het veel moeilijker wordt om toetsaanslagen uit elkaar te houden.

Mijn mening daarover is, Doug, dat die echt irritante, vervelende regels voor wachtwoordcomplexiteit misschien toch een doel hebben, zij het niet degene die we eerst dachten. [GELACH]

DOUG.  Oké, dan zijn er nog wat andere dingen die je kunt doen.

Je kunt 2FA gebruiken. (We praten daar veel over: "Gebruik 2FA waar je maar kunt.")

Typ tijdens een vergadering geen wachtwoorden of andere vertrouwelijke informatie in.

En demp je microfoon zoveel als je kunt.

EEND.  Het is duidelijk dat voor een wachtwoord-phisher die naar geluid snuift, het kennen van uw 2FA-code deze keer hen de volgende keer niet zal helpen.

Natuurlijk, het andere over het dempen van je microfoon...

…onthoud dat dit niet helpt als u met andere mensen in een vergaderruimte zit, omdat een van hen stiekem kan opnemen wat u aan het doen bent door hun telefoon rechtop op het bureau te leggen.

In tegenstelling tot een camera hoeft deze niet rechtstreeks op u gericht te zijn.

Maar als u bijvoorbeeld een Zoom- of Teams-gesprek voert waarbij u alleen aan uw zijde staat, is het verstandig om uw microfoon te dempen wanneer u niet hoeft te spreken.

Het is beleefd tegen alle anderen, en het voorkomt ook dat je dingen lekt die je anders volkomen irrelevant of onbelangrijk zou hebben gevonden.

DOUG.  Oké, last but not least…

…je kent haar misschien als razzlekan of de Krokodil van Wall Street, of helemaal niet.

Maar zij en haar man zijn verstrikt geraakt in de kaken van gerechtigheid, Paulus.

"Crocodile of Wall Street" en haar man pleiten schuldig aan gigantische cryptocriminaliteit

EEND.  Ja, we hebben al een paar keer over dit stel geschreven op Naked Security en erover gesproken op de podcast.

Razzlekhan, ook bekend als de krokodil van Wall Street, is in het echte leven Heather Morgan.

Ze is getrouwd met een kerel genaamd Ilya Lichtenstein.

Ze wonen, of ze woonden, in New York City, en ze waren betrokken bij of verbonden met de beruchte Bitfinex-cryptovalutaroof van 2016, waar ongeveer 120,000 Bitcoins werden gestolen.

En op dat moment zei iedereen: "Wauw, $ 72 miljoen is zomaar verdwenen!".

Verbazingwekkend genoeg werden ze na een paar jaar van zeer slim en gedetailleerd onderzoekswerk door de Amerikaanse wetshandhavers opgespoord en gearresteerd.

Maar tegen de tijd van hun arrestatie was de waarde van Bitcoins zo sterk gestegen dat hun overval bijna $ 4 miljard ($ 4000 miljoen) waard was, een stijging van $ 72 miljoen.

Het lijkt erop dat een van de dingen waarop ze niet hadden gerekend, is hoe moeilijk het kan zijn om die onrechtmatig verkregen winsten te verzilveren.

Technisch gezien waren ze $ 72 miljoen aan gestolen geld waard...

... maar er was geen reden om zich voor de rest van hun leven in luxe terug te trekken in Florida of een mediterraan eiland.

Ze kregen het geld er niet uit.

En hun pogingen om dat te doen creëerden voldoende bewijs dat ze gepakt waren, en ze hebben nu besloten schuld te bekennen.

Ze zijn nog niet veroordeeld, maar het lijkt erop dat zij tot 10 jaar kan krijgen en hij tot 20 jaar.

Ik denk dat hij waarschijnlijk een hogere straf krijgt, omdat hij veel directer betrokken is bij het oorspronkelijke hacken van de Bitfinex-cryptocurrency-uitwisseling – met andere woorden, het in handen krijgen van het geld in de eerste plaats.

En toen deden hij en zijn vrouw hun uiterste best om het geld wit te wassen.

In een fascinerend deel van het verhaal (nou ja, ik vond het fascinerend!), Een van de manieren waarop ze probeerde een deel van het geld wit te wassen, was dat ze het inruilde voor goud.

En ze nam een ​​blad van piraten (Arrrrr!) van honderden jaren geleden en begroef het.

DOUG.  Dat roept de vraag op: wat gebeurt er als ik in 10 2016 Bitcoins van mij heb gestolen?

Ze zijn nu opgedoken, dus krijg ik 10 Bitcoins terug of krijg ik de waarde van 10 Bitcoins in 2016?

Of wanneer de bitcoins in beslag worden genomen, worden ze dan automatisch omgezet in contanten en hoe dan ook aan mij teruggegeven?

EEND.  Daar weet ik het antwoord niet op, Doug.

Ik denk dat ze op dit moment gewoon ergens in een veilige kast zitten...

… vermoedelijk het goud dat ze hebben opgegraven [GELACH], en al het geld dat ze in beslag hebben genomen en andere eigendommen, en de Bitcoins die ze hebben teruggevonden.

Omdat ze ongeveer 80% van hen (of zoiets) konden terugkrijgen door het wachtwoord te kraken op een cryptocurrency-portemonnee die Ilya Lichtenstein in zijn bezit had.

Spullen die hij nog niet had kunnen wassen.

Wat intrigerend zou zijn, Doug, is als de "ken uw klant"-gegevens zouden aantonen dat het eigenlijk uw Bitcoin was die werd uitbetaald voor goud en begraven...

… krijg je het goud terug?

DOUG.  Goud is ook gestegen.

EEND.  Ja, maar het is nog lang niet zo veel gestegen!

DOUG.  Ja…

EEND.  Dus ik vraag me af of sommige mensen goud terugkrijgen en zich best goed voelen, want ik denk dat ze een 2x of 3x verbetering hebben aangebracht ten opzichte van wat ze destijds verloren hebben...

… maar toch zouden ze willen dat ze de Bitcoins kregen, want ze zijn meer dan 50x de waarde.

Dus heel erg een kwestie van "let op deze ruimte", nietwaar?

DOUG.  [LACHT] Het is met veel plezier dat ik zeg: "We zullen dit in de gaten houden."

En nu is het tijd om te horen van een van onze lezers.

Zet je schrap voor deze!

Op dit artikel. Hey Helpdesk Guy schrijft:

"Razzlekhan" was het antwoord op een vraag tijdens een cursus cyberbeveiliging die ik volgde.

Omdat ik wist dat ik een hacker-cadeaubon van $ 100 had gewonnen.

Niemand wist wie ze was.

Dus na de vraag speelde de instructeur haar rapnummer en de hele klas was geschokt, haha.

Dat bracht me ertoe om een ​​aantal van haar rapnummers op YouTube op te zoeken.

En "geschokt" is het perfecte woord.

Heel slecht!

EEND.  Je weet hoe sommige dingen in de sociale geschiedenis zo slecht zijn dat ze goed zijn...

…zoals de films van de Politieacademie?

Dus ik ging er altijd van uit dat daar iets in zat, ook in muziek.

Dat het mogelijk was om zo slecht te zijn dat je aan de andere kant van het spectrum terechtkwam.

Maar deze rapvideo's bewijzen dat dat niet waar is.

Er zijn dingen die zo erg zijn...

[DEADPAN] ...dat ze slecht zijn.

DOUG.  [LACHEND] En dit is het!

Oké, bedankt voor het insturen, Hey Helpdesk Guy.

Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

Je kunt een e-mail sturen naar tips@sophos.com, reageren op een van onze artikelen of je kunt ons bereiken op social: @nakedsecurity.

Dat was onze show voor vandaag; heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan tot de volgende keer om...

BEIDE.  Blijf veilig!

[MUZIEK MODEM]