[ad_1]

تصویر یک و صفر نمایش داده شده روی صفحه کامپیوتر.

وارونه سازی بیتی رویدادی است که باعث می شود بیت های منفرد ذخیره شده در دستگاه الکترونیکی معکوس شوند و 0 به 1 تبدیل شوند یا برعکس. تشعشعات کیهانی و نوسانات قدرت یا دما شایعترین دلایل طبیعی است. مطالعات انجام شده در سال 2010 تخمین می زند که رایانه ای با 4 گیگابایت RAM خام 96 درصد احتمال دارد که ظرف مدت سه روز چرخش کمی داشته باشد.

یک محقق مستقل به تازگی نشان داده است که چگونه bitflips می تواند دوباره باعث گزش کاربران ویندوز شود وقتی رایانه های آنها به دامنه windows.com مایکروسافت رسیدند. دستگاه های ویندوزی این کار را به طور مرتب انجام می دهند تا از زمان دقیق نمایش داده شده در ساعت رایانه اطمینان حاصل کنند ، به سرویس های ابری مایکروسافت متصل شوند و از خرابی ها بازیابی کنند.

ریمی ، همانطور که محقق درخواست ارسال کرد ، 32 نام دامنه معتبر را که با windows.com فاصله داشتند ، نقشه برداری کرد. وی موارد زیر را برای کمک به خوانندگان در درک چگونگی تغییر این منابع در تغییر دامنه whndows.com ارائه داد:

01110111 01101001 01101110 01100100 01101111 01110111 01110011
w من n ه w s
01110111 01101000 01101110 01100100 01101111 01110111 01110011
w با n ه w s

از مقادیر معکوس 32 بیتی که نام دامنه معتبری بودند ، رمی دریافت که 14 مورد از آنها هنوز برای خرید در دسترس هستند. این تعجب آور بود ، زیرا معمولاً مایکروسافت و سایر شرکت ها برای محافظت از مشتریان در برابر حملات فیشینگ ، این نوع دامنه های یکبار مصرف را خریداری می کنند. او آنها را به قیمت 126 دلار خرید و رفت تا ببیند چه اتفاقی می افتد. دامنه ها عبارت بودند از:

  • windnws.com
  • windo7s.com
  • windkws.com
  • windmws.com
  • winlows.com
  • windgws.com
  • wildows.com
  • wintows.com
  • wijdows.com
  • wiodows.com
  • wifdows.com
  • whndows.com
  • wkndows.com
  • wmndows.com

هیچ تأیید ذاتی وجود ندارد

طی دو هفته ، سرور رمی 199،180 اتصال از 626 آدرس IP منحصر به فرد دریافت کرد که سعی در اتصال به ntp.windows.com داشتند. به طور پیش فرض ، دستگاه های ویندوز هفته ای یک بار به این دامنه متصل می شوند تا صحت زمان نمایش داده شده در ساعت دستگاه را تأیید کنند. آنچه محقق بعداً یافت تعجب آورتر بود.

“سرویس گیرنده Windows OS NTP احراز هویت ذاتی ندارد ، بنابراین هیچ مانعی وجود ندارد که شخص مخرب بتواند به همه این رایانه ها بگوید بعد از 3:14:07 صبح روز سه شنبه 19 ژانویه 2038 است و باعث هرج و مرج ناشناخته مانند حافظه می شود. که یک عدد صحیح 32 بیتی امضا شده را ذخیره می کند تا وقت را پر کند. “او در پستی خلاصه ای از یافته های خود نوشت. “همانطور که مشخص شد ، برای 30 ~ از رایانه هایی که این کار را می کنند ، تفاوت کمی برای این کاربران وجود دارد یا هیچ تفاوتی دارد ، زیرا ساعت آنها از قبل شکسته شده. “

این محقق ماشین هایی را که سعی در اتصال به زیر دامنه های دیگر windows.com ، از جمله sg2p.wswindows.com ، client.wns.windows.com ، skydrive.wns.windows.com ، windows.com/stopcode و windows.com / دارد ، کنترل می کند. fbclid

رمی گفت که همه ناهماهنگی های موجود در دامنه نتیجه بیت تلنگرها نیست. در بعضی موارد ، این اشتباهات به دلیل خطاهای تایپ توسط افراد پشت صفحه کلید بوده است و حداقل در یک مورد ، صفحه کلید روی دستگاه Android بود زیرا می خواست خرابی را روی صفحه آبی مرگ که در دستگاه ویندوز اتفاق افتاده تشخیص دهد.

برای گرفتن وسایل ترافیکی ارسال شده به دامنه های ناسازگار ، رمی یک سرور خصوصی مجازی استخدام کرد و سوابق جستجو برای دامنه های جایگزین را ایجاد کرد تا به آنها اشاره کند. ورودی های Wildcard اجازه می دهد ترافیکی که برای زیر دامنه های مختلف یک دامنه وجود دارد – مثلاً ntp.whndows.com ، abs.xyz.whndows.com یا client.wns.whndows.com – به همان آدرس IP تبدیل شوند.

“به دلیل ماهیت این تحقیق در باره برگشت ، این امر به من امکان می دهد هر جستجوی DNS را برای یک زیر دامنه windows.com که چندین بیت معکوس شده است ، ضبط کنم.”

رمی گفت که آماده انتقال 14 دامنه به یک “شخص مسئول قابل تأیید” است و در این بین آنها را به سادگی منتقل می کند ، به این معنی که آدرس ها را حفظ کرده و سوابق DNS را به گونه ای تنظیم می کند که غیرقابل دسترسی باشند.

“امیدوارم این امر تحقیقات بیشتری را ایجاد کند”

از مایکروسافت پرسیدم که آیا آنها از یافته ها و پیشنهاد انتقال دامنه ها آگاهی دارند؟ نمایندگان در تلاشند تا پاسخی دریافت کنند. با این حال ، خوانندگان باید به یاد داشته باشند که تهدیدهای شناسایی شده توسط این مطالعه محدود به ویندوز نیست.

به عنوان مثال ، در ارائه در اجلاس تحلیلگران امنیتی کسپرسکی 2019 ، محققان شرکت امنیتی Bishop Fox پس از ثبت صدها نسخه رد شده در skype.com ، symantec.com و سایر سایت های پر بازدید نتایج چشم نوازی دریافت کردند.

رمی گفت که یافته ها از این جهت مهم هستند که نشان می دهد عدم تطابق دامنه ناشی از بیت تلنگر در مقیاسی رخ می دهد که بالاتر از آن است که بسیاری از مردم تصور می کنند.

رمی مستقیماً گفت: “تحقیقات قبلی بر روی HTTP / HTTPS متمرکز شده بود ، اما تحقیقات من نشان می دهد که حتی با تعداد کمی دامنه دو دامنه ای ، شما همچنان می توانید ترافیک نامناسب را از سایر پروتکل های شبکه پیش فرض که به طور مداوم در حال اجرا هستند مانند NTP ، جذب کنید” پیام. “ما امیدواریم که این امر تحقیقات بیشتری را در این زمینه ایجاد کند ، زیرا مربوط به مدل تهدید سرویس پیش فرض سیستم عامل است.”

[ad_2]

منبع: tarjome-news.ir