¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.

DOUG.  Criptocrimen de cocodrilo, la racha de BWAIN continúa y una razón para aprender a escribir al tacto.

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Paul, un muy feliz día para ti, mi amigo.

PATO.  Y un muy feliz día para ti, Doug.

Sé lo que viene al final del podcast, y todo lo que digo es...

… aguanta, porque es emocionante, ¡aunque un poco alarmante!

DOUG.  Pero primero, comencemos con Tech History.

Esta semana, el 07 de agosto de 1944, IBM presentó el Calculadora controlada por secuencia automática a la Universidad de Harvard.

Es mejor que conozca esta máquina como la Mark i, que era una especie de Frankenputer que mezclaba tarjetas perforadas con componentes electromecánicos y medía 51 pies de largo por 8 pies de alto, o aproximadamente 15.5 metros por 2.5 metros.

Y, Paul, la computadora en sí estaba casi obsoleta antes de que le quitaran todo el envoltorio.

PATO.  Sí, se hizo hacia el final de la Segunda Guerra Mundial...

…por supuesto, los diseñadores de computadoras estadounidenses en ese momento no sabían que los británicos ya habían construido con éxito computadoras electrónicas digitales de alto rendimiento utilizando válvulas termoiónicas o tubos de vacío.

Y juraron guardar el secreto después de la guerra (¡por razones que no entendimos la última vez que hablamos de eso!), por lo que todavía existía la sensación en los Estados Unidos de que las computadoras de válvula o tubo podrían ser más problemáticas de lo que valían.

Porque las válvulas termoiónicas se calientan mucho; son bastante grandes; requieren grandes cantidades de energía.

¿Serían lo suficientemente confiables, a pesar de que son mucho más rápidos que los relés (miles de veces más rápidos en la conmutación)?

Así que todavía existía la sensación de que tal vez había tiempo y espacio para los relés electromagnéticos.

El tipo que diseñó las computadoras Colossus para Bletchley Park en el Reino Unido juró guardar silencio y no se le permitió decirle a nadie después de la guerra: “Sí, *puedes* hacer una computadora con válvulas. Funcionará, y la razón por la que lo sé es porque lo hice”.

¡No se le permitió decírselo a nadie!

DOUG.  [RISAS] Eso es fascinante...

PATO.  Así que obtuvimos la Mark I, y creo que fue la última computadora digital convencional que tenía un eje de transmisión, Doug, operado por un motor eléctrico. [RISA]

Es una cosa de absoluta belleza, ¿no?

Es Art Deco... si vas a Wikipedia, hay algunas fotos de muy alta calidad.

Al igual que la computadora ENIAC (que salió en, qué, 1946, y sí usaba válvulas)... ambas computadoras estaban un poco en un callejón sin salida evolutivo, ya que trabajaban en decimal, no en binario.

DOUG.  También debería haber mencionado que, aunque quedó obsoleto en el momento en que llegó al suelo, fue un momento importante en la historia de la informática, así que no lo descartemos.

PATO.  Ciertamente.

Podía hacer aritmética con 18 dígitos decimales significativos de precisión.

Los números de punto flotante IEEE de 64 bits contemporáneos solo tienen 53 dígitos binarios de precisión, que es un poco menos de 16 dígitos decimales.

DOUG.  Muy bien, bueno, hablemos de nuestro nuevo BWAIN.

Este es otro error con un nombre impresionante, o BWAIN, como nos gusta llamarlo.

Ya son tres semanas seguidas, ¡así que tenemos una buena racha!

Este se llama Caíday es causado por las funciones de optimización de memoria en los procesadores Intel.

Dime si eso te suena familiar, que algún tipo de función de optimización en un procesador está causando problemas de ciberseguridad.

PATO.  Bueno, si eres un oyente habitual de podcasts de Naked Security, sabrás que tocamos Zenbleed hace apenas un par de semanas, ¿no?

Que era un tipo de error similar en los procesadores AMD Zen 2.

Google, que participó en la investigación de Downfall y Zenbleed, acaba de publicar un artículo en el que hablan de Downfall junto con Zenbleed.

Es un tipo de error similar, ya que la optimización dentro de la CPU puede filtrar inadvertidamente información sobre su estado interno que se supone que nunca debe escapar.

A diferencia de Zenbleed, que puede filtrar los 128 bits principales de los registros vectoriales de 256 bits, Downfall puede filtrar todo el registro por error.

No funciona de la misma manera, pero es el mismo tipo de idea... si recuerdas Zenbleed, que funcionó gracias a una instrucción de vector acelerado especial llamada VZEROUPPER.

Zenbleed: cómo la búsqueda del rendimiento de la CPU podría poner en riesgo sus contraseñas

Ahí es donde va una instrucción y escribe cero bits en todos los registros vectoriales simultáneamente, todo de una vez, lo que obviamente significa que no tiene que tener un ciclo que recorra los registros uno por uno.

Por lo tanto, aumenta el rendimiento, pero reduce la seguridad.

Downfall es un tipo de problema similar que se relaciona con una instrucción que, en lugar de borrar datos, sale a recopilarlos.

Y esa instrucción se llama GATHER.

GATHER en realidad puede tomar una lista de direcciones de memoria y recopilar todas estas cosas juntas y pegarlas en los registros vectoriales para que pueda realizar el procesamiento.

Y, al igual que Zenbleed, hay un desliz entre la copa y el borde que puede permitir que la información de estado sobre los datos de otras personas, de otros procesos, se filtre y sea recopilada por alguien que corre junto a usted en el mismo procesador.

Claramente, eso no se supone que suceda.

DOUG.  A diferencia de Zenbleed, donde simplemente podía desactivar esa función...

PATO.  …la mitigación anulará las mejoras de rendimiento que se suponía que traería la instrucción GATHER, es decir, recopilar datos de toda la memoria sin que sea necesario que lo haga en algún tipo de bucle indexado propio.

Obviamente, si nota que la mitigación ha ralentizado su carga de trabajo, tiene que absorberla, porque si no lo hace, podría estar en riesgo por parte de otra persona en la misma computadora que usted.

DOUG.  Exactamente.

PATO.  A veces la vida es así, Doug.

DOUG.  ¡Está!

Estaremos atentos a esto... esto es, supongo, para la conferencia Black Hat sobre la que obtendremos más información, incluidas las correcciones que surjan.

Pasemos a, "Cuando se trata de seguridad cibernética, sabemos que todo ayuda, ¿verdad?"

Entonces, si todos pudiéramos tomar Escritura táctil, el mundo sería en realidad un lugar más seguro, Paul.

Seguridad seria: por qué aprender a escribir al tacto podría protegerlo del espionaje de audio

PATO.  Esto probablemente podría haber sido un BWAIN si los autores quisieran (no puedo pensar en un nombre pegadizo en la parte superior de mi cabeza)...

…pero no le dieron un BWAIN; simplemente escribieron un artículo al respecto y lo publicaron la semana anterior a Black Hat.

Así que supongo que salió cuando estaba listo.

No es un tema nuevo de investigación, pero hubo algunas ideas interesantes en el documento, que es lo que me animó a escribir.

Y básicamente gira en torno a la cuestión de cuando está grabando una reunión con muchas personas, entonces obviamente existe un riesgo de seguridad cibernética, en el que las personas pueden decir cosas que no quieren que se graben para más adelante, pero que puede grabar. de todos modos.

Pero, ¿qué pasa con las personas que no dicen nada que sea controvertido o que importe si se publicara, pero que, sin embargo, simplemente se sientan en su computadora portátil a escribir?

¿Puedes averiguar lo que están escribiendo en su teclado?

Cuando presionan la tecla S, ¿suena diferente a cuando presionan la tecla M, y es diferente de P?

¿Qué pasa si deciden, en medio de una reunión (porque su computadora está bloqueada o porque su protector de pantalla se activó)... qué pasa si de repente deciden escribir su contraseña?

¿Podría distinguirlo, digamos, al otro lado de una llamada de Zoom?

Esta investigación parece sugerir que es posible que pueda hacerlo.

DOUG.  Fue interesante que usaron una MacBook Pro 2021, la versión de 16 pulgadas, y descubrieron que básicamente, en su mayor parte, todos los teclados de MacBook suenan igual.

Si tú y yo tenemos el mismo tipo de MacBook, tu teclado sonará igual que el mío.

PATO.  Si toman “firmas de sonido” muestreadas con mucho cuidado de su propio MacBook Pro, en circunstancias ideales, esos datos de firma de sonido probablemente sean lo suficientemente buenos para la mayoría, si no para todos los demás MacBooks… al menos de la misma gama de modelos.

Puede ver por qué tienden a ser mucho más similares que diferentes.

DOUG.  Por suerte para ti, hay algunas cosas que puedes hacer para evitar tales fechorías.

Según los investigadores, puedes aprender a escribir con el tacto.

PATO.  Creo que pretendieron que fuera una nota un poco humorística, pero notaron que investigaciones anteriores, no las suyas propias, han descubierto que las personas que escriben al tacto tienden a ser mucho más regulares en la forma en que escriben.

Y eso significa que las pulsaciones de teclas individuales son mucho más difíciles de diferenciar.

Me imagino que es porque cuando alguien está escribiendo al tacto, generalmente usa mucha menos energía, por lo que es probable que sea más silencioso y probablemente esté presionando todas las teclas de una manera muy similar.

Entonces, al parecer, la escritura táctil te convierte en un objetivo en movimiento, si quieres, además de ayudarte a escribir mucho más rápido, Doug.

¡Parece que es una habilidad de ciberseguridad, así como un beneficio de rendimiento!

DOUG.  Excelente.

Y notaron que la tecla Shift causa problemas.

PATO.  Sí, supongo que es porque cuando estás haciendo Shift (a menos que estés usando Bloq Mayús y tengas una larga secuencia de letras mayúsculas), básicamente dices: “Presiona Shift, presiona la tecla; suelte la tecla, suelte Shift”.

Y parece que esa superposición de dos pulsaciones de teclas en realidad desordena los datos de una manera que hace que sea mucho más difícil diferenciar las pulsaciones de teclas.

Mi opinión sobre eso es, Doug, que tal vez esas reglas de complejidad de contraseña realmente molestas y molestas tienen algún propósito después de todo, aunque no el que pensamos al principio. [RISA]

DOUG.  Bien, entonces hay otras cosas que puedes hacer.

Puedes usar 2FA. (Hablamos mucho de eso: “Use 2FA siempre que pueda”).

No escriba contraseñas u otra información confidencial durante una reunión.

Y silencia tu micrófono tanto como puedas.

PATO.  Obviamente, para un phisher de contraseñas rastreador de sonido, conocer su código 2FA esta vez no lo ayudará la próxima vez.

Por supuesto, la otra cosa sobre silenciar el micrófono...

…recuerde que eso no ayuda si está en una sala de reuniones con otras personas, porque una de ellas podría estar grabando a escondidas lo que está haciendo con solo tener su teléfono sobre el escritorio.

A diferencia de una cámara, no es necesario que apunte directamente hacia usted.

Pero si está en algo como Zoom o una llamada de Teams donde solo está usted de su lado, es de sentido común silenciar su micrófono siempre que no necesite hablar.

Es cortés con todos los demás, y también evita que filtre cosas que de otro modo podría haber considerado completamente irrelevantes o sin importancia.

DOUG.  Bien, por último pero no menos importante...

…puede que la conozcas como Razzlekhan o de Cocodrilo de Wall Street, o no en absoluto.

Pero ella y su marido han caído en la trampa fauces de la justicia, Pablo.

“Cocodrilo de Wall Street” y su esposo se declaran culpables de criptodelitos de tamaño gigante

PATO.  Sí, hemos escrito sobre esta pareja un par de veces en Naked Security y hablamos sobre ellos en el podcast.

Razzlekhan, también conocido como el Cocodrilo de Wall Street, en la vida real es Heather Morgan.

Está casada con un tipo llamado Ilya Lichtenstein.

Viven, o vivían, en la ciudad de Nueva York, y estuvieron implicados o conectados con el infame atraco de criptomonedas Bitfinex de 2016, donde se robaron alrededor de 120,000 Bitcoins.

Y en ese momento, todos dicen: "¡Vaya, $ 72 millones se fueron así!".

Sorprendentemente, después de algunos años de trabajos de investigación muy inteligentes y detallados por parte de las fuerzas del orden de EE. UU., fueron rastreados y arrestados.

Pero en el momento de su arresto, el valor de Bitcoins había subido tanto que su atraco valía cerca de $ 4 mil millones ($ 4000 millones), frente a $ 72 millones.

Parece que una de las cosas en las que no habían apostado es lo difícil que puede ser cobrar esas ganancias mal habidas.

Técnicamente, valían $72 millones en dinero robado...

…pero no se retiraron a Florida oa una isla del Mediterráneo en el regazo del lujo por el resto de sus vidas.

No pudieron sacar el dinero.

Y sus esfuerzos para hacerlo crearon un rastro suficiente de evidencia de que fueron atrapados, y ahora decidieron declararse culpables.

Todavía no han sido sentenciados, pero parece que ella enfrenta hasta 10 años y él enfrenta hasta 20 años.

Creo que es probable que reciba una sentencia más alta porque está mucho más directamente implicado en la piratería original en el intercambio de criptomonedas Bitfinex; en otras palabras, en primer lugar, obtener el dinero.

Y luego él y su esposa se esforzaron por lavar dinero.

En una parte fascinante de la historia (¡bueno, pensé que era fascinante!), una de las formas en que trató de lavar parte del dinero fue cambiándolo por oro.

Y sacando una hoja de piratas (¡Arrrrr!) de hace cientos de años, la enterró.

DOUG.  Eso plantea la pregunta, ¿qué sucede si me robaron 10 Bitcoins en 2016?

Ahora han aparecido, entonces, ¿recupero 10 Bitcoins o obtengo el valor de 10 Bitcoins en 2016?

O cuando se incautan los bitcoins, ¿se convierten automáticamente en efectivo y me los devuelven sin importar qué?

PATO.  No sé la respuesta a eso, Doug.

Creo que, en este momento, solo están sentados en un armario seguro en algún lugar...

… presumiblemente el oro que desenterraron [RISA], y cualquier dinero que incautaron y otras propiedades, y los Bitcoins que recuperaron.

Porque pudieron recuperar alrededor del 80% de ellos (o algo así) al descifrar la contraseña en una billetera de criptomonedas que Ilya Lichtenstein tenía en su poder.

Cosas que aún no había podido lavar.

Lo que sería intrigante, Doug, es si los datos de "conozca a su cliente" mostraran que en realidad fue su Bitcoin el que fue cobrado por oro y enterrado...

... ¿recuperas el oro?

DOUG.  El oro también ha subido.

PATO.  ¡Sí, pero no ha subido tanto!

DOUG.  Si…

PATO.  Así que me pregunto si algunas personas recuperarán el oro y se sentirán bastante bien, porque creo que habrán mejorado 2x o 3x lo que perdieron en ese momento...

… pero desearía tener los Bitcoins, porque son más como 50 veces el valor.

Así que en gran medida una cuestión de "observar este espacio", ¿no?

DOUG.  [RISAS] Es con gran placer que digo: "Estaremos atentos a esto".

Y ahora es el momento de escuchar a uno de nuestros lectores.

¡Prepárate para este!

En este artículo. Hey Helpdesk Guy escribe:

“Razzlekhan” fue la respuesta a una pregunta durante una clase de ciberseguridad que tomé.

Porque sabía que había ganado una tarjeta de regalo de $100 para hackers.

Nadie sabía quién era ella.

Entonces, después de la pregunta, la instructora puso su canción de rap y toda la clase se horrorizó, jaja.

Lo que me llevó a buscar algunas de sus canciones de rap en YouTube.

Y “horrorizado” es la palabra perfecta.

¡Muy mal!

PATO.  Ya sabes que hay algunas cosas en la historia social que son tan malas que son buenas...

…como las películas de la academia de policía?

Así que siempre supuse que había un elemento de eso en todo, incluida la música.

Que era posible ser tan malo que llegaste al otro extremo del espectro.

Pero estos videos de rap prueban que eso es falso.

Hay cosas que son tan malas...

[INTERRUPTO] …que son malos.

DOUG.  [RISA] ¡Y esto es todo!

Muy bien, gracias por enviar eso. Hola, el tipo del servicio de asistencia técnica.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @nakedsecurity.

Ese es nuestro programa de hoy; muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, les recuerdo hasta la próxima para...

AMBAS COSAS.  ¡Mantente seguro!

[MÓDEM MUSICAL]