- Η νέα κάλυψη μιας ευπάθειας υποδηλώνει ότι ένα δημοφιλές μουσικό βίντεο είναι ικανό να καταστρέψει έναν υπολογιστή με τη συντριβή του σκληρού δίσκου μέσα σε αυτόν.
- Το σφάλμα είναι στην πραγματικότητα από την εποχή των Windows XP και φαίνεται να επηρεάζει μόνο ορισμένους φορητούς υπολογιστές.
- Οι ειδικοί ασφαλείας, ωστόσο, προειδοποιούν ότι ο μηχανισμός που προκαλεί τις συντριβές είναι γνωστός και αποτελεί πραγματική απειλή.
Αν και μπορεί να ακούγεται σαν κάτι σαν κάπαρη του Τζέιμς Μποντ, οι ειδικοί σε θέματα ασφάλειας προειδοποιούν ότι όχι μόνο ορισμένοι ήχοι μπορούν να καταρρίψουν τους υπολογιστές, το φαινόμενο είναι πολύ πιο συνηθισμένο από ό,τι φαντάζεστε. Η ευπάθεια, η οποία καταγράφηκε ως CVE-2022-38392, υποδεικνύει στο μουσικό βίντεο του κλασικού Rhythm Nation της Janet Jackson το 1989 ότι καταρρίπτει ένα συγκεκριμένο μοντέλο σκληρών δίσκων. Ωστόσο, η MITER Corporation, η οποία βοηθά στον εντοπισμό και την κατηγοριοποίηση των τρωτών σημείων στο λογισμικό, μόλις πρόσφατα αποφάσισε να το καταγράψει ως πρόβλημα. Αν και το σφάλμα δεν είναι καινούργιο, ήρθε στο προσκήνιο αφού ο κύριος μηχανικός λογισμικού της Microsoft Raymond Chen έγραψε πρόσφατα σχετικά με αυτό το blog. «Ενώ τα νέα συστήματα κυκλοφορούν με SSD, το παλαιότερο υλικό και λογισμικό έχουν τον τρόπο να παραμείνουν στο παρελθόν», είπε ο Chris Goettl, Αντιπρόεδρος της Διαχείρισης Προϊόντων για προϊόντα ασφαλείας στην Ivanti, στο Lifewire μέσω email. «Η Microsoft θα ξόδευε μόνο χρόνο και προσπάθεια [register it as a vulnerability] και ενημερώστε τους πελάτες εάν υπήρχαν ακόμη σε κυκλοφορία πολλές συσκευές που θα μπορούσαν να επηρεαστούν και αρκετά περιστατικά ώστε να είναι ανησυχητικό.»
Ένα σπασμένο ρεκόρ
Η ανάρτηση ιστολογίου του Chen απέδωσε την ανακάλυψη του σφάλματος σε έναν ανώνυμο «μεγάλο κατασκευαστή υπολογιστών», ο οποίος διαπίστωσε ότι ορισμένοι από τους υπολογιστές τους κατέρρεαν όταν προσπαθούσαν να παίξουν το εν λόγω τραγούδι. «Μια ανακάλυψη κατά τη διάρκεια της έρευνας είναι ότι η αναπαραγωγή του μουσικού βίντεο χάλασε επίσης ορισμένους από τους φορητούς υπολογιστές των ανταγωνιστών τους», έγραψε ο Τσεν. «Και μετά ανακάλυψαν κάτι εξαιρετικά περίεργο: Η αναπαραγωγή του μουσικού βίντεο σε έναν φορητό υπολογιστή προκάλεσε συντριβή ενός φορητού υπολογιστή που καθόταν κοντά, παρόλο που ο άλλος φορητός υπολογιστής δεν έπαιζε το βίντεο!» Ο Chen λέει ότι η εταιρεία τελικά κατάλαβε ότι το τραγούδι είχε έναν συγκεκριμένο ήχο που αντηχούσε με τον σκληρό δίσκο στον επηρεασμένο φορητό υπολογιστή. Ο συντονισμός είναι το φυσικό φαινόμενο που προκαλεί τον ήχο που παράγεται από ένα αντικείμενο να δονείται με την ίδια συχνότητα με τη φυσική συχνότητα ενός άλλου αντικειμένου, με αποτέλεσμα επικίνδυνα αποτελέσματα. Ακριβώς για αυτόν τον λόγο, οι στρατιώτες σπάνε το βήμα τους όταν βαδίζουν σε μια γέφυρα. Στην περίπτωση των υπολογιστών που κολλούσαν, ο κατασκευαστής ανακάλυψε ότι τα ηχητικά κύματα που προέρχονται από τα ηχεία του υπολογιστή κατά την αναπαραγωγή του τραγουδιού της Janet Jackson, δονούνταν στην ίδια συχνότητα με τον σκληρό δίσκο μέσα σε αυτόν, προκαλώντας τη συντριβή του. Για να ξεπεραστεί το πρόβλημα, ο κατασκευαστής επινόησε έναν τρόπο να ανιχνεύει και να αφαιρεί τις προσβλητικές συχνότητες από οποιονδήποτε ήχο που παίζεται στον υπολογιστή, έγραψε ο Chen. Είναι ενδιαφέρον ότι ο Chen υπαινίχθηκε ότι το σφάλμα χρονολογείται από την εποχή των Windows XP. Αν και μπορεί να φαίνεται σαν μια περασμένη εποχή για τους περισσότερους από εμάς, από φακό ασφαλείας, δεν φαίνεται πολύ μακρινό, γι’ αυτό αυτό το σφάλμα θα μπορούσε πιθανότατα να είναι ακόμα πολύ εκμεταλλεύσιμο. «Αυτό είναι στο εξωτερικό άκρο της εποχής αυτού που είναι ακόμα εκμεταλλεύσιμο στην αγορά, αλλά σίγουρα όχι το παλαιότερο που έχουμε δει», δήλωσε ο Goettl. Επισημαίνει τον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών που διατηρεί η Υπηρεσία Κυβερνοασφάλειας και Υποδομής (CISA) που παρακολουθεί σφάλματα που η υπηρεσία πιστεύει ότι μπορεί να εξακολουθούν να χρησιμοποιούνται από χάκερ για να παραβιάσουν υπολογιστές. Εκτός από τα πιο πρόσφατα σφάλματα, ο κατάλογος παραθέτει επίσης τρωτά σημεία που χρονολογούνται από το 2002 και επηρεάζουν υπολογιστές με Windows 2000.
«Η CISA δεν θα είχε αφιερώσει χρόνο για να αναφέρει μια τόσο παλιά ευπάθεια, εκτός αν εξακολουθούσε να στοχοποιείται από παράγοντες απειλών», είπε ο Γκέτλ.
Χτυπώντας μια χορδή
Ο Roger Grimes, ευαγγελιστής άμυνας στην εταιρεία κυβερνοασφάλειας KnowBe4, αναγνώρισε ότι ενώ το εν λόγω σφάλμα είναι περίεργο, δεν είναι το πρώτο, ούτε το μοναδικό στο είδος του. Ο Δρ Johannes Ullrich, Κοσμήτορας Έρευνας για το Τεχνολογικό Ινστιτούτο SANS, συμφωνεί. Γράφοντας στο εβδομαδιαίο ενημερωτικό δελτίο SANS, εξήγησε ότι ο αντίκτυπος των σκληρών δίσκων που υφίστανται ποινές απόδοσης σε δυνατά περιβάλλοντα που προκαλούν υψηλούς κραδασμούς είναι καλά τεκμηριωμένος. Στην ανάρτησή του, ο Τσεν συνδέθηκε με ένα βίντεο από το 2009 που δείχνει έναν μηχανικό κέντρου δεδομένων να ουρλιάζει στους σκληρούς δίσκους, προκαλώντας δυσλειτουργία τους. Ο Grimes πρόσθεσε ότι οι χάκερ έχουν επίσης χρησιμοποιήσει το φαινόμενο των κραδασμών που οδηγούν σε συντριβές για να καταρρίψουν τους υπολογιστές σκόπιμα. «Οι περισσότεροι καταναλωτές δεν θα χρειάζεται να ανησυχούν για αυτήν την ευπάθεια, και αν το κάνουν, ποιες είναι οι πιθανότητες να παίξει κάποιος [the Janet Jackson song] κοντά στις συσκευές», ρώτησε ρητορικά ο Goettl. «Πιθανώς αρκετά λεπτό, αλλά αν σκεφτεί κανείς ότι το τραγούδι ήταν δημοφιλές ταυτόχρονα με το υλικό, ίσως δεν είναι τόσο μικρή ευκαιρία τελικά».