S3 Ep106: Ansigtsgenkendelse uden samtykke

Genudgivet af Platon

Abonnenter: 0

VI SKABER DINE ANSIGTER TIL DIT EGET GOD! (ANSTÅENDE)

Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.

Med Doug Aamoth og Paul Ducklin. Intro og outro musik af Edith Mudge.

Du kan lytte til os på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og overalt, hvor gode podcasts findes. Eller bare drop URL til vores RSS-feed til din yndlings podcatcher.

LÆS TRANSCRIPTET

DOUG. Kryptologi, politi, der hacker tilbage, Apple-opdateringer og... korttælling!

Alt det, og mere, på Naked Security-podcasten.

[MUSIK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det i dag?

AND. Jeg har det meget godt, tak, Douglas.

Og jeg ser meget spændt frem til korttælle-bitten, ikke mindst fordi det ikke kun handler om at tælle, det handler også om at blande kort.

DOUG. Okay, meget godt, ser frem til det!

Og i vores Tech History-segment vil vi tale om noget, der ikke var tilfældigt – det var meget beregnet.

I denne uge, den 25. oktober 2001, blev Windows XP frigivet til detailhandlen.

Det blev bygget på Windows NT-operativsystemet, og XP erstattede både Windows 2000 og Windows Millennium Edition som henholdsvis "XP Professional Edition" og "XP Home Edition".

XP Home var den første forbrugerversion af Windows, der ikke var baseret på MS-DOS eller Windows 95-kernen.

Og på en personlig note elskede jeg det.

Jeg husker måske bare simplere tider... Jeg ved ikke, om det faktisk var så godt, som jeg husker det, men jeg kan huske, at det var bedre end det, vi havde før.

AND. Det er jeg enig i.

Jeg tror, der er nogle rosenfarvede briller, du måske har på der, Doug...

DOUG. Umm-hmmm.

AND. …men jeg må være enig i, at det var en forbedring.

DOUG. Lad os tale lidt om comeuppance, specifikt comeuppance for uønsket ansigtsgenkendelse i Frankrig:

Clearview AI billedskrabende ansigtsgenkendelsestjeneste ramte en bøde på 20 mio. EUR i Frankrig

AND. Ja!

Regelmæssige lyttere vil vide, at vi har talt om et firma kaldet Clearview AI mange gange, fordi jeg synes, det er rimeligt at sige, at denne virksomhed er kontroversiel.

Den franske tilsynsmyndighed udgiver meget hjælpsomt sine afgørelser eller har i det mindste offentliggjort sine Clearview-afgørelser på både fransk og engelsk.

Så grundlæggende beskriver de det sådan her:

Clearview AI indsamler fotografier fra mange websteder, herunder sociale medier. Den samler alle de billeder, der er direkte tilgængelige på disse netværk. Således har virksomheden samlet over 20 milliarder billeder på verdensplan.

Takket være denne samling markedsfører virksomheden adgang til sin billeddatabase i form af en søgemaskine, hvor en person kan findes ved hjælp af et fotografi. Virksomheden tilbyder denne service til retshåndhævende myndigheder.

Og den franske regulators indvending, som blev gentaget sidste år af i det mindste den britiske og den australske regulator, er: "Vi anser dette for ulovligt i vores land. Du kan ikke skrabe folks billeder til dette kommercielle formål uden deres samtykke. Og du overholder heller ikke GDPR-reglerne, reglerne for destruktion af data, hvilket gør det nemt for dem at kontakte dig og sige: 'Jeg vil fravælge'.

Så for det første skal det være opt-in, hvis du vil køre dette.

Og efter at have samlet tingene, bør du ikke hænge på det, selv efter at de vil sikre sig, at deres data er fjernet.

Og problemet i Frankrig, Doug, er, at regulatoren i december sidste år sagde: "Undskyld, du kan ikke gøre dette. Stop med at skrabe data, og slip af med det, du har på alle i Frankrig. Mange tak."

Tilsyneladende, ifølge regulatoren, syntes Clearview AI bare ikke at ville overholde.

DOUG. Åh åh!

AND. Så nu er franskmændene kommet tilbage og sagt: ”Du ser ikke ud til at ville høre efter. Du forstår tilsyneladende ikke, at dette er loven. Nu gælder det samme, men du skal også betale €20 mio. Tak fordi du kom."

DOUG. Vi har nogle kommentarer på vej til artiklen... vi vil meget gerne høre, hvad du synes; du kan kommentere anonymt.

Specifikt er de spørgsmål, vi stiller: "Lever Clearview AI virkelig en gavnlig og socialt acceptabel service til retshåndhævelse? Eller er det tilfældigt at træde på vores privatliv ved ulovligt at indsamle biometriske data og kommercialisere dem til efterforskningsformål uden samtykke?"

Okay, lad os holde os til dette tema om comeupance og tale om lidt af comeuppance for DEADBOLT kriminelle.

Dette er en interessant historie, der involverer retshåndhævelse og hacking tilbage!

Når betjente hacker tilbage: hollandsk politi flåder DEADBOLT-kriminelle (lovligt!)

AND. Hatten af for politiet for at gøre dette, selvom det, som vi vil forklare, var noget af en enkeltstående ting.

Faste lyttere vil huske DEADBOLT – det er dukket op et par gange før.

DEADBOLT er ransomware-banden, der grundlæggende finder din Network Attached Storage [NAS]-server, hvis du er hjemmebruger eller lille virksomhed...

…og hvis det ikke er rettet mod en sårbarhed, de ved, hvordan man udnytter, kommer de ind, og de forvrider bare din NAS-boks.

De regnede med, at det var der alle dine sikkerhedskopier er, det er der alle dine store filer er, det er der alle dine vigtige ting er.

"Lad os ikke bekymre os om at skulle skrive malware til Windows og malware til Mac, og bekymre os om hvilken version du har. Vi vil bare gå direkte ind, kryptere dine filer og så sige: 'Betal os $600'."

Det er den nuværende rate: 0.03 bitcoins, hvis du ikke har noget imod det.

Så de tager den forbrugerorienterede tilgang med at forsøge at ramme mange mennesker og beder om et noget overkommeligt beløb hver gang.

Og jeg gætter på, at hvis alt, hvad du har, er bakket op der, så vil du måske føle, "Ved du hvad? 600 $ er mange penge, men jeg har næsten råd til det. Jeg betaler."

For at forenkle sagen (og vi har modvilligt sagt, at dette er en smart del, hvis du vil, af denne særlige ransomware) ... dybest set, hvad du gør er, at du fortæller skurkene, at du er interesseret ved at sende dem en besked via Bitcoin blockchain .

Dybest set betaler du dem pengene til en specificeret, unik-til-dig Bitcoin-adresse.

Når de får betalingsbeskeden, sender de en betaling på $0 tilbage, der inkluderer en kommentar, der er dekrypteringsnøglen.

Så det er den *eneste* interaktion, de har brug for med dig.

De behøver ikke at bruge e-mail, og de behøver ikke at køre nogen mørke webservere.

De hollandske betjente regnede dog med, at skurkene havde begået en protokolrelateret bommert!

Så snart din transaktion ramte Bitcoin-økosystemet og leder efter nogen til at mine det, ville deres script sende dekrypteringsnøglen.

Og det viser sig, at selvom du ikke kan dobbeltbruge bitcoins (ellers ville systemet falde fra hinanden), så kan du indsætte to transaktioner på samme tid, en med et højt transaktionsgebyr og en med et meget lavt eller nul transaktionsgebyr.

Og gæt hvilken en bitcoin-minearbejderne og i sidste ende bitcoin blockchain vil acceptere?

Og det var det, politiet gjorde...

DOUG. [GRNER] Meget klog, jeg kan lide det!

AND. De ville holde sig til en betaling med et nul transaktionsgebyr, hvilket kan tage dage at blive behandlet.

Og så, så snart de fik dekrypteringsnøglen tilbage fra skurkene (de havde, tror jeg, 155 brugere, som de ligesom klubbede sammen)... så snart de fik dekrypteringsnøglen tilbage, foretog de en transaktion med dobbelt forbrug.

"Jeg vil bruge den samme Bitcoin igen, men denne gang vil vi betale det tilbage til os selv. Og nu vil vi tilbyde et fornuftigt transaktionsgebyr.”

Så den transaktion var den, der i sidste ende blev bekræftet og låst ind i blockchain...

…og den anden blev bare ignoreret og smidt væk… [GRNER] som altid, skulle ikke grine!

DOUG. [griner]

AND. Så dybest set betalte skurkerne for tidligt.

Og jeg gætter på, at det ikke er *forræderi*, hvis du er retshåndhæver, og du gør det på en juridisk berettiget måde... det er dybest set en *fælde*.

Og slynglerne gik ind i den.

Som jeg nævnte i begyndelsen, kan dette kun fungere én gang, fordi skurkene selvfølgelig tænkte: "Åh, skat, vi skulle ikke gøre det på den måde. Lad os ændre protokollen. Lad os vente på, at transaktionen bliver bekræftet på blockchain først, og så når vi ved, at ingen kan komme sammen med en transaktion, der vil overtrumfe den senere, først da sender vi dekrypteringsnøglen ud."

AND. Men skurkene fik fladfodet til tonerne af 155 dekrypteringsnøgler fra ofre i 13 forskellige lande, som bad det hollandske politi om hjælp.

Så, chapeau [Fransk cykelslang for en "hat doff"], som man siger!

DOUG. Det er fantastisk... det er to positive historier i træk.

Og lad os holde de positive vibes kørende med denne næste historie.

Det handler om kvinder i kryptologi.

De er blevet hædret af US Postal Service, som fejrer 2. Verdenskrigs kodebrydere.

Fortæl os alt om dette - dette er en meget interessant historie, Paul:

Kvinder i kryptologi - USPS fejrer WW2-kodebrydere

AND. Ja, det var en af de fine ting at skrive om på Naked Security: Kvinder i kryptologi - United States Postal Service fejrer kodebrydere fra Anden Verdenskrig.

Nu har vi dækket Bletchley Park-kodebrud, som er Storbritanniens kryptografiske indsats under Anden Verdenskrig, hovedsageligt for at forsøge at knække nazistiske cifre såsom den velkendte Enigma-maskine.

Men som du kan forestille dig, stod USA over for et enormt problem fra Stillehavets krigsteater, idet de forsøgte at håndtere japanske cifre, og især en cipher kendt som PURPLE.

I modsætning til nazistens Enigma var dette ikke en kommerciel enhed, der kunne købes.

Det var faktisk en hjemmelavet maskine, der kom ud af militæret, baseret på telefonkoblingsrelæer, som, hvis du tænker over det, er lidt som "base ti"-kontakter.

Altså på samme måde Bletchley Park i Storbritannien beskæftigede i hemmelighed mere end 10,000 mennesker... Jeg var ikke klar over dette, men det viste sig, at der var langt over 10,000 kvinder rekrutteret til kryptologi, til kryptografisk cracking, i USA for at forsøge at håndtere japanske cifre under krigen.

Efter alt at dømme var de yderst succesfulde.

Der skete et kryptografisk gennembrud i begyndelsen af 1940'erne af en af de amerikanske kryptologer kaldet Genevieve Grotjan, og det førte tilsyneladende til spektakulære succeser med at læse japanske hemmeligheder.

Og jeg vil lige citere fra US Postal Service fra deres frimærkeserie:

De dechiffrerede japansk flådekommunikation, hjalp med at forhindre tyske U-både i at sænke vitale fragtskibe og arbejdede på at bryde krypteringssystemerne, der afslørede japanske skibsruter og diplomatiske meddelelser.

Du kan forestille dig, at det giver dig meget, meget, brugbar intelligens... som du må antage har hjulpet til at forkorte krigen.

Heldigvis, selvom japanerne var blevet advaret (tilsyneladende af nazisterne) om, at deres ciffer enten kunne brydes eller allerede var blevet brudt, nægtede de at tro på det, og de fortsatte med at bruge LILLA under hele krigen.

Og tidens kvindelige kryptologer lavede bestemt hø i hemmelighed, mens solen skinnede.

Desværre, ligesom det skete i Storbritannien med alle krigstidens helte (igen, de fleste af dem kvinder) i Bletchley Park ...

…efter krigen blev de svoret til hemmeligholdelse.

Så der gik mange årtier, før de overhovedet fik nogen anerkendelse, endsige hvad man kan kalde heltens velkomst, som de i det væsentlige fortjente, da freden brød ud i 1945.

DOUG. Wow, det er en fed historie.

Og ærgerligt, at det tog så lang tid at få anerkendelsen, men dejligt, at de endelig fik den.

Og jeg opfordrer alle, der lytter til dette, til at gå over til webstedet for at læse det.

Det hedder: Kvinder i kryptologi - USPS fejrer kodebrydere fra Anden Verdenskrig.

Meget godt stykke!

AND. Forresten, Doug, på frimærkeserien, som du kan købe (erindringsserien, hvor du får frimærkerne på et helt ark)... omkring frimærkerne har USPS faktisk lagt et lille kryptografisk puslespil, som vi har gentaget i artiklen.

Det er ikke så svært som Enigma eller LILLA, så du kan faktisk gøre det ret nemt med pen og papir, men det er en god portion mindesjov.

Så kom forbi og prøv, hvis du har lyst.

Vi har også lagt et link til en artikel, som vi skrev for et par år siden (Hvad 2000 års kryptografi kan lære os), hvor du vil finde tip, der hjælper dig med at løse USPS kryptografiske puslespil.

Godt sjovt at tage med til din mindehøjtidelighed!

DOUG. Okay, så lad os holde os lidt til tilfældigheder og kryptografi og stille et spørgsmål, som nogle måske har undret sig over før.

Hvordan tilfældig er de automatiske kortblandere, du måske ser på et kasino?

Seriøs sikkerhed: Hvor tilfældigt (eller ej) kan du blande kort?

AND. Ja, endnu en fascinerende historie, som jeg opfangede takket være kryptografi-guruen Bruce Schneier, som skrev om den på sin egen blog, og han gav titlen sin artikel Om tilfældigheden af automatiske kortblandere.

Det papir, vi taler om, går tilbage, tror jeg, til 2013, og det arbejde, der blev udført, tror jeg, går tilbage til begyndelsen af 2000'erne.

Men det, der fascinerede mig ved historien og gav mig lyst til at dele den, er, at den har utrolige læreværdige øjeblikke for folk, der i øjeblikket er involveret i programmering, uanset om det er inden for kryptografi eller ej.

Og, endnu vigtigere, i test og kvalitetssikring.

For i modsætning til japanerne, der nægtede at tro på, at deres LILLA-chiffer muligvis ikke fungerer korrekt, er dette en historie om et firma, der lavede automatiske kortblandemaskiner, men tænkte: "Er de virkelig gode nok?"

Eller kunne nogen rent faktisk finde ud af, hvordan de fungerer, og få en fordel af, at de ikke er tilfældige nok?

Og så de gik ud af deres måde at ansætte en trio af matematikere fra Californien, hvoraf den ene også er en dygtig tryllekunstner...

… og de sagde: "Vi byggede denne maskine. Vi synes, det er tilfældigt nok med én blanding af kortene.”

Deres egne ingeniører var gået ud af deres måde at udtænke tests, som de troede ville vise, om maskinen var tilfældig nok til kortblandingsformål, men de ville have en second opinion, og så gik de faktisk ud og fik en.

Og disse matematikere så på, hvordan maskinen fungerede, og var i stand til at komme op, tro det eller ej, med det, der er kendt som en lukket formel.

De analyserede det fuldstændigt: hvordan tingen ville opføre sig, og derfor hvilke statistiske konklusioner de kunne gøre om, hvordan kortene ville komme ud.

De opdagede, at selvom de blandede kort ville bestå et betydeligt batteri af gode tilfældighedstests, var der stadig tilstrækkelig mange ubrudte sekvenser i kortene, efter at de var blevet blandet, til at de kunne forudsige det næste kort dobbelt så godt som tilfældigheder.

Og de var i stand til at vise ræsonnementet, hvormed de var i stand til at komme op med deres mentale algoritme til at gætte det næste kort dobbelt så godt, som de burde...

…så ikke kun gjorde de det pålideligt og gentageligt, de havde faktisk matematikken til at vise formelt, hvorfor det var tilfældet.

Og historien er måske mest berømt for det jordnære, men helt passende svar fra præsidenten for det firma, der ansatte dem.

Han skulle have sagt:

Vi er ikke tilfredse med dine konklusioner, men vi tror på dem, og det er det, vi hyrede dig til.

Med andre ord siger han: "Jeg betalte ikke for at blive glad. Jeg betalte for at finde ud af fakta og handle ud fra dem."

Hvis bare flere mennesker gjorde det, når det kom til at udtænke test til deres software!

Fordi det er nemt at lave et sæt tests, som dit produkt vil bestå, og hvis det fejler, ved du, at noget helt sikkert er gået galt.

Men det er overraskende svært at komme med et sæt tests, som det er *værd, at dit produkt skal bestå*.

Og det er, hvad denne virksomhed gjorde, ved at hyre matematikere til at undersøge, hvordan kortblandemaskinen fungerede.

Rigtig mange livslektioner derinde, Doug!

DOUG. Det er en sjov historie og meget interessant.

Nu, hver uge taler vi generelt om en form for Apple-opdatering, men ikke denne uge.

Nej nej!

I denne uge har vi har til dig… en Apple *megaupdate*:

Apple megaupdate: Ventura ud, iOS og iPad kernel zero-day – handle nu!

AND. Desværre, hvis du har en iPhone eller en iPad, dækker opdateringen over en nul-dag, der i øjeblikket udnyttes aktivt, hvilket som altid lugter af jailbreak/komplet spyware-overtagelse.

Og som altid, og måske forståeligt nok, er Apple meget optaget af præcis, hvad nuldagen er, hvad den bliver brugt til, og lige så interessant, hvem der bruger den.

Så hvis du har en iPhone eller en iPad, er dette *helt sikkert* en for dig.

Og forvirrende nok, Doug...

Jeg må hellere forklare dette, for det var faktisk ikke indlysende i starten... og takket være lidt læserhjælp, tak Stefaan fra Belgien, som har sendt mig skærmbilleder og forklaret præcis, hvad der skete med ham, da han opdaterede sin iPad!

Opdateringen til iPhones og iPads sagde: "Hey, du har iOS 16.1 og iPadOS 16". (Fordi iPad OS version 16 blev forsinket.)

Og det siger sikkerhedsbulletinen.

Når du installerer opdateringen, siger den grundlæggende Om-skærm bare "iPadOS 16".

Men hvis du zoomer ind på hovedversionsskærmen, så kommer begge versioner faktisk ud som "iOS/iPadOS 16.1".

Så det er *opgraderingen* til version 16 plus denne vitale nul-dages rettelse.

Det er den svære og forvirrende del... resten er bare, at der også er masser af rettelser til andre platforme.

Bortset fra det, fordi Ventura kom ud – macOS 13, med 112 CVE-nummererede patches, selvom de for de fleste mennesker ikke vil have haft betaen, så dette vil være *opgradering* og *opdatering* på samme tid...

Fordi macOS 13 kom ud, efterlader det macOS 10 Catalina tre versioner.

Og det ser faktisk ud som om, at Apple først nu understøtter tidligere og tidligere.

Så der *er* opdateringer til Big Sur og Monterey, det er macOS 11 og macOS 12, men Catalina er notorisk fraværende, Doug.

Og lige så irriterende som altid, hvad vi ikke kan fortælle dig...

Betyder det, at den simpelthen var immun over for alle disse rettelser?

Betyder det, at den faktisk har brug for i det mindste nogle af rettelserne, men de er bare ikke kommet ud endnu?

Eller betyder det, at den er faldet ud over verden, og du aldrig får en opdatering igen, uanset om den har brug for en eller ej?

Vi ved det ikke.

DOUG. Jeg føler mig forpustet, og jeg gjorde ikke engang noget af det tunge løft i den historie, så tak for det... det er meget.

AND. Og du har ikke engang en iPhone.

DOUG. Nøjagtig!

Jeg har fået en iPad...

AND. Åh, gør du?

DOUG. …så jeg er nødt til at gå og sørge for at få det opdateret.

Og det leder os ind i dagens læserspørgsmål om Apple-historien.

Anonym kommentator spørger:

Vil 15.7-opdateringen til iPads løse dette, eller skal jeg opdatere til 16? Jeg venter, indtil de mindre generende fejl i 16 er løst, før jeg opdaterer.

AND. Det er det andet niveau af forvirring, hvis du vil, forårsaget af dette.

Nu er min forståelse, da iPadOS 15.7 kom ud, var det nøjagtig samme tidspunkt som iOS 15.7.

Og det var, hvad, for lidt over en måned siden, tror jeg?

Så det er en gammeldags sikkerhedsopdatering.

Og hvad vi nu ikke ved er...

Er der stadig en iOS/iPadOS 15.7.1 i kulissen, som ikke er udkommet endnu, som løser sikkerhedshuller, der eksisterer i den tidligere version af operativsystemer til disse platforme?

Eller skal din opdateringssti til sikkerhedsopdateringer til iOS og iPadOS nu gå ned ad version 16-ruten?

Jeg ved det bare ikke, og jeg ved ikke, hvordan du fortæller det.

Så det ser ud som om (og jeg er ked af, hvis jeg lyder forvirret, Doug, for det er jeg!)...

…det ser ud som om *opdateringen* og *opgraderingsstien for brugere af iOS og iPadOS 15.7 skal skifte til version 16.

Og på nuværende tidspunkt betyder det 16.1.

Det ville være min anbefaling, for så ved du i det mindste, at du har den nyeste og bedste build, med de nyeste og bedste sikkerhedsrettelser.

Så det er det lange svar.

Det korte svar er, Doug, "Ved det ikke."

DOUG. Klart som mudder.

AND. Ja.

Nå, måske ikke så klart … [LATER]

Hvis du efterlader mudder længe nok, falder stykkerne til sidst til bunds, og der er klart vand på toppen.

Så måske er det det, du skal gøre: vente og se, eller bare bide i det og gå efter 16.1.

De gør det nemt, gør de ikke? [griner]

DOUG. Okay, det vil vi holde øje med, for det kan ændre sig lidt fra nu til næste gang.

Mange tak for at sende den kommentar ind, Anonym kommentator.

Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse den på podcasten.

Du kan sende en e-mail til tips@sophos.com, du kan kommentere på en af vores artikler, og du kan slå os op på social @NakedSecurity.

Det er vores show for i dag, mange tak fordi du lyttede.

For Paul Ducklin er jeg Doug Aamoth, og minder dig om, indtil næste gang...

BEGGE. Hold dig sikker!

Tidsstempel: Oktober 27, 2022Oktober 27, 2022

Tidsstempel: November 29, 2022

Genudgivet af Platon

UBER HAR BLEET HACKET, kan prale af hacker - hvordan man stopper det med at ske for dig

Politiet bruger falske DDoS-tjenester til at tage sigte på wannabe-cyberkriminelle

Clearview AI billedskrabende ansigtsgenkendelsestjeneste ramte en bøde på 20 mio. EUR i Frankrig

Firefox 115 er ude, siger farvel til ældre Windows- og Mac-brugere

LastPass kildekodebrud – anbefaler vi stadig adgangskodeadministratorer?

Silk Road narkotikamarked hacker erkender sig skyldig, står over for 20 år inde

S3 Ep111: Forretningsrisikoen ved et snusket "nøgenhedsfilter" [Lyd + tekst]

Mystery iPhone-opdateringsrettelser mod iOS 16 mail-nedbrudsangreb

Online-billetselskabet "See" er blevet dømt i 2.5 år af angribere

Om os

Vertikal søgning & Ai

perron

Stay Connected

Konto