S3 Ep106: Αναγνώριση προσώπου χωρίς συγκατάθεση – πρέπει να απαγορευτεί;

Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

---

ΖΥΜΗ.  Κρυπτολογία, μπάτσοι χακάρουν πίσω, ενημερώσεις της Apple και… καταμέτρηση καρτών!

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.

Παύλο, πώς τα πας σήμερα;

---

ΠΑΠΙΑ.  Είμαι πολύ καλά, ευχαριστώ, Ντάγκλας.

Και ανυπομονώ πολύ με ενθουσιασμό για το κομμάτι της μέτρησης φύλλων, κυρίως επειδή δεν είναι μόνο το μέτρημα, αλλά και το ανακάτεμα των φύλλων.

---

ΖΥΜΗ.  Εντάξει, πολύ καλό, ανυπομονώ!

Και στο τμήμα Ιστορίας τεχνολογίας, θα μιλήσουμε για κάτι που δεν ήταν τυχαίο – ήταν πολύ υπολογισμένο.

Αυτή την εβδομάδα, στις 25 Οκτωβρίου 2001, τα Windows XP κυκλοφόρησαν στη λιανική.

Κατασκευάστηκε πάνω στο λειτουργικό σύστημα Windows NT και τα XP αντικατέστησαν τα Windows 2000 και τα Windows Millennium Edition ως "XP Professional Edition" και "XP Home Edition" αντίστοιχα.

Το XP Home ήταν η πρώτη έκδοση των Windows για καταναλωτές που δεν βασιζόταν στο MS-DOS ή στον πυρήνα των Windows 95.

Και, για μια προσωπική σημείωση, μου άρεσε.

Μπορεί να θυμάμαι απλούστερες εποχές… Δεν ξέρω αν ήταν πραγματικά τόσο καλό όσο το θυμάμαι, αλλά θυμάμαι ότι ήταν καλύτερο από αυτό που είχαμε πριν.

---

ΠΑΠΙΑ.  Συμφωνω με αυτο.

Νομίζω ότι υπάρχουν κάποια ροζ γυαλιά που μπορεί να φοράς εκεί, Νταγκ…

---

ΖΥΜΗ.  Μμ-μμμ.

---

ΠΑΠΙΑ.  …αλλά θα έπρεπε να συμφωνήσω ότι ήταν μια βελτίωση.

---

ΖΥΜΗ.  Ας μιλήσουμε λίγο για το comeuppance, συγκεκριμένα για το comeuppance for ανεπιθύμητη αναγνώριση προσώπου στη Γαλλία:

Η υπηρεσία αναγνώρισης προσώπου Clearview AI τεχνητής νοημοσύνης χτύπησε πρόστιμο 20 εκατομμυρίων ευρώ στη Γαλλία

---

ΠΑΠΙΑ.  Πράγματι!

Οι τακτικοί ακροατές θα ξέρουν ότι έχουμε μίλησε για μια εταιρεία που ονομάζεται Clearview AI πολλές φορές, γιατί νομίζω ότι είναι δίκαιο να πούμε ότι αυτή η εταιρεία είναι αμφιλεγόμενη.

Η γαλλική ρυθμιστική αρχή δημοσιεύει πολύ εξυπηρετικά τις αποφάσεις της ή έχει δημοσιεύσει τουλάχιστον τις αποφάσεις της στο Clearview, τόσο στα γαλλικά όσο και στα αγγλικά.

Οπότε, βασικά, εδώ είναι πώς το περιγράφουν:

Το Clearview AI συλλέγει φωτογραφίες από πολλούς ιστότοπους, συμπεριλαμβανομένων των μέσων κοινωνικής δικτύωσης. Συλλέγει όλες τις φωτογραφίες που είναι άμεσα προσβάσιμες σε αυτά τα δίκτυα. Έτσι, η εταιρεία έχει συγκεντρώσει πάνω από 20 δισεκατομμύρια εικόνες σε όλο τον κόσμο.

Χάρη σε αυτή τη συλλογή, η εταιρεία εμπορεύεται την πρόσβαση στη βάση δεδομένων εικόνων της με τη μορφή μηχανής αναζήτησης στην οποία μπορεί να βρεθεί ένα άτομο χρησιμοποιώντας μια φωτογραφία. Η εταιρεία προσφέρει αυτήν την υπηρεσία στις αρχές επιβολής του νόμου.

Και η αντίρρηση της γαλλικής ρυθμιστικής αρχής, την οποία απηχήθηκε πέρυσι τουλάχιστον το Ηνωμένο Βασίλειο και η ρυθμιστική αρχή της Αυστραλίας, είναι: «Το θεωρούμε παράνομο στη χώρα μας. Δεν μπορείτε να κάνετε απόξεση εικόνων ανθρώπων για αυτόν τον εμπορικό σκοπό χωρίς τη συγκατάθεσή τους. Επίσης, δεν συμμορφώνεστε με τους κανόνες του GDPR, τους κανόνες καταστροφής δεδομένων, γεγονός που τους διευκολύνει να επικοινωνήσουν μαζί σας και να πουν «Θέλω να εξαιρεθώ».

Επομένως, πρώτα, θα πρέπει να ενεργοποιηθεί εάν θέλετε να το εκτελέσετε.

Και αφού συλλέξετε τα πράγματα, δεν θα πρέπει να το κολλάτε ακόμα και αφού θέλουν να βεβαιωθούν ότι έχουν αφαιρεθεί τα δεδομένα τους.

Και το ζήτημα στη Γαλλία, Νταγκ, είναι ότι τον περασμένο Δεκέμβριο η ρυθμιστική αρχή είπε: «Συγγνώμη, δεν μπορείτε να το κάνετε αυτό. Σταματήστε την απόξεση δεδομένων και απαλλαγείτε από αυτά που έχετε για όλους στη Γαλλία. Ευχαριστώ πολύ."

Προφανώς, σύμφωνα με τη ρυθμιστική αρχή, το Clearview AI απλά δεν φαινόταν να θέλει να συμμορφωθεί.

---

ΖΥΜΗ.  Ωχ!

---

ΠΑΠΙΑ.  Τώρα λοιπόν οι Γάλλοι επέστρεψαν και είπαν: «Δεν φαίνεται να θέλεις να ακούσεις. Δεν φαίνεται να καταλαβαίνεις ότι αυτός είναι ο νόμος. Τώρα, ισχύει το ίδιο, αλλά πρέπει να πληρώσεις και 20 εκατ. ευρώ. Ευχαριστώ που ήρθες."

---

ΖΥΜΗ.  Έχουμε μερικά σχόλια σχετικά με το άρθρο… θα θέλαμε να ακούσουμε τη γνώμη σας. μπορείτε να σχολιάσετε ανώνυμα.

Συγκεκριμένα, τα ερωτήματα που θέτουμε είναι: «Παρέχει όντως το Clearview AI μια ευεργετική και κοινωνικά αποδεκτή υπηρεσία στις αρχές επιβολής του νόμου; Ή μήπως καταπατά επιπόλαια το απόρρητό μας συλλέγοντας βιομετρικά δεδομένα παράνομα και εμπορευματοποιώντας τα για ερευνητικούς σκοπούς παρακολούθησης χωρίς συγκατάθεση;»

Εντάξει, ας επιμείνουμε σε αυτό το θέμα του comeuppance και ας μιλήσουμε για λίγο προσέλκυση για το DEADBOLT εγκληματίες.

Αυτή είναι μια ενδιαφέρουσα ιστορία, που περιλαμβάνει την επιβολή του νόμου και το hack back!

Όταν οι μπάτσοι χακάρουν πίσω: Η ολλανδική αστυνομία εξαφανίζει εγκληματίες DEADBOLT (νόμιμα!)

---

ΠΑΠΙΑ.  Καπέλο στους αστυνομικούς που το έκαναν αυτό, παρόλο που, όπως θα εξηγήσουμε, ήταν κάτι μεμονωμένο.

Οι τακτικοί ακροατές θα θυμούνται το DEADBOLT – έχει εμφανιστεί μερικές φορές στο παρελθόν.

Το DEADBOLT είναι η συμμορία ransomware που ουσιαστικά βρίσκει τον διακομιστή σας με σύνδεση στο δίκτυο [NAS] αν είστε οικιακός χρήστης ή μικρή επιχείρηση…

…και αν δεν διορθωθεί σε μια ευπάθεια που ξέρουν πώς να εκμεταλλευτούν, θα μπουν και απλώς θα ανακατέψουν το κουτί NAS σας.

Κατάλαβαν ότι εκεί βρίσκονται όλα τα αντίγραφα ασφαλείας σας, εκεί βρίσκονται όλα τα μεγάλα αρχεία σας, εκεί βρίσκονται όλα τα σημαντικά σας πράγματα.

«Ας μην ανησυχούμε μήπως χρειαστεί να γράψουμε κακόβουλο λογισμικό για Windows και κακόβουλο λογισμικό για Mac και να ανησυχούμε για την έκδοση που έχετε. Απλώς θα μπούμε κατευθείαν, θα ανακατέψουμε τα αρχεία σας και, στη συνέχεια, θα πούμε, "Πληρώσε μας 600 $".

Αυτός είναι ο τρέχων ρυθμός: 0.03 bitcoin, αν δεν σας πειράζει.

Έτσι, ακολουθούν αυτήν την προσέγγιση που προσανατολίζεται στον καταναλωτή, προσπαθώντας να χτυπήσουν πολλούς ανθρώπους και να ζητούν ένα κάπως προσιτό ποσό κάθε φορά.

Και υποθέτω ότι αν όλα όσα έχετε υποστηρίζονται εκεί, τότε μπορεί να νιώσετε: «Ξέρεις τι; Τα 600 $ είναι πολλά χρήματα, αλλά μπορώ να τα αντέξω οικονομικά. Θα πληρώσω."

Για να απλοποιήσουμε τα πράγματα (και είπαμε διστακτικά, αυτό είναι ένα έξυπνο μέρος, αν θέλετε, αυτού του συγκεκριμένου ransomware)… βασικά, αυτό που κάνετε είναι να πείτε στους απατεώνες που σας ενδιαφέρουν στέλνοντάς τους ένα μήνυμα μέσω της αλυσίδας μπλοκ Bitcoin .

Βασικά, τους πληρώνετε τα χρήματα σε μια καθορισμένη, μοναδική για εσάς διεύθυνση Bitcoin.

Όταν λαμβάνουν το μήνυμα πληρωμής, στέλνουν πίσω μια πληρωμή 0 $ που περιλαμβάνει ένα σχόλιο που είναι το κλειδί αποκρυπτογράφησης.

Αυτή είναι λοιπόν η *μόνη* αλληλεπίδραση που χρειάζονται μαζί σας.

Δεν χρειάζεται να χρησιμοποιούν email και δεν χρειάζεται να τρέχουν σκοτεινούς διακομιστές ιστού.

Ωστόσο, οι Ολλανδοί αστυνομικοί κατάλαβαν ότι οι απατεώνες είχαν κάνει μια γκάφα που σχετίζεται με το πρωτόκολλο!

Μόλις η συναλλαγή σας φτάσει στο οικοσύστημα Bitcoin, αναζητώντας κάποιον να την εξορύξει, το σενάριό του θα στείλει το κλειδί αποκρυπτογράφησης.

Και αποδεικνύεται ότι παρόλο που δεν μπορείτε να δαπανήσετε διπλά bitcoins (διαφορετικά το σύστημα θα καταρρεύσει), μπορείτε να πραγματοποιήσετε δύο συναλλαγές ταυτόχρονα, μία με υψηλή χρέωση συναλλαγής και μία με πολύ χαμηλή ή μηδενική χρέωση συναλλαγής.

Και μαντέψτε ποιο θα δεχτούν οι εξορύκτες bitcoin και τελικά το blockchain bitcoin;

Και αυτό έκαναν οι αστυνομικοί…

---

ΖΥΜΗ.  [ΓΕΛΙΑ] Πολύ έξυπνο, μου αρέσει!

---

ΠΑΠΙΑ.  Θα επιμείνουν σε μια πληρωμή με μηδενική χρέωση συναλλαγής, η οποία μπορεί να χρειαστούν ημέρες για να διεκπεραιωθεί.

Και μετά, μόλις πήραν το κλειδί αποκρυπτογράφησης πίσω από τους απατεώνες (είχαν, νομίζω, 155 χρήστες που κατά κάποιο τρόπο έφτιαξαν μαζί)… μόλις πήραν πίσω το κλειδί αποκρυπτογράφησης, έκαναν μια συναλλαγή διπλής δαπάνης.

«Θέλω να ξοδέψω ξανά το ίδιο Bitcoin, αλλά αυτή τη φορά θα το πληρώσουμε στον εαυτό μας. Και τώρα θα προσφέρουμε μια λογική χρέωση συναλλαγής.»

Έτσι, αυτή η συναλλαγή ήταν αυτή που τελικά επιβεβαιώθηκε και κλειδώθηκε στο blockchain…

…και ο άλλος απλώς αγνοήθηκε και πετάχτηκε… [ΓΕΛΙΑ] όπως πάντα, δεν πρέπει να γελάμε!

---

ΖΥΜΗ.  [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  Οπότε, βασικά, οι απατεώνες πλήρωσαν πολύ νωρίς.

Και υποθέτω ότι δεν είναι *προδοσία* εάν είστε επιβολή του νόμου και το κάνετε με νομικά κατοχυρωμένο τρόπο… είναι βασικά μια *παγίδα*.

Και οι απατεώνες μπήκαν σε αυτό.

Όπως ανέφερα στην αρχή, αυτό μπορεί να λειτουργήσει μόνο μία φορά γιατί, φυσικά, οι απατεώνες κατάλαβαν: «Ω, αγαπητέ, δεν πρέπει να το κάνουμε έτσι. Ας αλλάξουμε το πρωτόκολλο. Ας περιμένουμε πρώτα να επιβεβαιωθεί η συναλλαγή στο blockchain και, στη συνέχεια, μόλις μάθουμε ότι κανείς δεν μπορεί να έρθει μαζί με μια συναλλαγή που θα την υπερκεράσει αργότερα, μόνο τότε θα στείλουμε το κλειδί αποκρυπτογράφησης."

---

ΠΑΠΙΑ.  Αλλά οι απατεώνες όντως πήραν πλατυποδία με 155 κλειδιά αποκρυπτογράφησης από θύματα σε 13 διαφορετικές χώρες που κάλεσαν την ολλανδική αστυνομία για βοήθεια.

Έτσι επικεφαλίδα [Γαλλική ποδηλατική αργκό για «καπέλο»], που λένε!

---

ΖΥΜΗ.  Αυτό είναι υπέροχο… είναι δύο θετικές ιστορίες στη σειρά.

Και ας διατηρήσουμε τα θετικά vibes με αυτή την επόμενη ιστορία.

Αφορά τις γυναίκες στην κρυπτολογία.

Έχουν τιμηθεί από την Ταχυδρομική Υπηρεσία των ΗΠΑ, η οποία γιορτάζει τους παραβάτες του κωδικού του Β' Παγκοσμίου Πολέμου.

Πείτε μας όλα για αυτό – αυτό είναι ένα πολύ ενδιαφέρουσα ιστορία, Παύλος:

Women in Cryptology – Η USPS γιορτάζει τους κωδικούς του 2ου Παγκοσμίου Πολέμου

---

ΠΑΠΙΑ.  Ναι, ήταν ένα από εκείνα τα ωραία πράγματα για να γράψω στο Naked Security: Γυναίκες στην κρυπτολογία – Η Ταχυδρομική Υπηρεσία των Ηνωμένων Πολιτειών γιορτάζει τους παραβάτες του Β’ Παγκοσμίου Πολέμου.

Τώρα, καλύψαμε το σπάσιμο κώδικα του Bletchley Park, που είναι οι κρυπτογραφικές προσπάθειες του Ηνωμένου Βασιλείου κατά τη διάρκεια του Β' Παγκοσμίου Πολέμου, κυρίως για να προσπαθήσει να σπάσει κρυπτογράφηση των Ναζί, όπως η γνωστή μηχανή Enigma.

Ωστόσο, όπως μπορείτε να φανταστείτε, οι ΗΠΑ αντιμετώπισαν ένα τεράστιο πρόβλημα από το θέατρο πολέμου του Ειρηνικού, προσπαθώντας να αντιμετωπίσουν τους ιαπωνικούς κρυπτογράφησης, και συγκεκριμένα, έναν κρυπτογράφηση γνωστό ως PURPLE.

Σε αντίθεση με το Enigma των Ναζί, αυτή δεν ήταν μια εμπορική συσκευή που μπορούσε να αγοραστεί.

Ήταν στην πραγματικότητα ένα μηχάνημα εγχώριας παραγωγής που βγήκε από τον στρατό, βασισμένο σε ρελέ τηλεφωνικής μεταγωγής, που, αν το καλοσκεφτείς, είναι κάπως σαν διακόπτες «βάσης δέκα».

Έτσι, με τον ίδιο τρόπο που Πάρκο Bletchley στο Ηνωμένο Βασίλειο απασχολούσαν κρυφά περισσότερα από 10,000 άτομα… Δεν το είχα συνειδητοποιήσει, αλλά αποδείχτηκε ότι υπήρχαν πάνω από 10,000 γυναίκες που στρατολογήθηκαν στην κρυπτολογία, στην κρυπτογραφική διάρρηξη, στις ΗΠΑ για να προσπαθήσουν να αντιμετωπίσουν τους ιαπωνικούς κρυπτογράφους κατά τη διάρκεια του πολέμου.

Κατά γενική ομολογία, ήταν εξαιρετικά επιτυχημένοι.

Υπήρξε μια κρυπτογραφική ανακάλυψη που έγινε στις αρχές της δεκαετίας του 1940 από έναν από τους Αμερικανούς κρυπτολόγους, ονόματι Genevieve Grotjan, και προφανώς αυτό οδήγησε σε θεαματικές επιτυχίες στην ανάγνωση ιαπωνικών μυστικών.

Και θα αναφέρω απλώς απόσπασμα από την Ταχυδρομική Υπηρεσία των ΗΠΑ, από τη σειρά γραμματοσήμων τους:

Αποκρυπτογράφησαν τις επικοινωνίες του ιαπωνικού στόλου, βοήθησαν να αποτραπεί η βύθιση των γερμανικών U-boats ζωτικής σημασίας φορτηγών πλοίων και εργάστηκαν για να σπάσουν τα συστήματα κρυπτογράφησης που αποκάλυπταν ιαπωνικές ναυτιλιακές διαδρομές και διπλωματικά μηνύματα.

Μπορείτε να φανταστείτε ότι αυτό σας δίνει πραγματικά πολύ, πολύ, χρήσιμη ευφυΐα… που πρέπει να υποθέσετε ότι βοήθησε στη συντόμευση του πολέμου.

Ευτυχώς, παρόλο που οι Ιάπωνες είχαν προειδοποιηθεί (προφανώς από τους Ναζί) ότι ο κρυπτογράφος τους είτε ήταν σπασμένος είτε είχε ήδη σπάσει, αρνήθηκαν να το πιστέψουν και συνέχισαν να χρησιμοποιούν το PURPLE σε όλο τον πόλεμο.

Και οι κρυπτογράφοι της εποχής σίγουρα έφτιαχναν σανό κρυφά όσο ο ήλιος έλαμπε.

Δυστυχώς, όπως ακριβώς συνέβη στο Ηνωμένο Βασίλειο με όλους τους ήρωες του πολέμου (και πάλι, οι περισσότεροι από αυτούς γυναίκες) στο Bletchley Park…

…μετά τον πόλεμο, ορκίστηκαν μυστικότητα.

Έτσι, πέρασαν πολλές δεκαετίες μέχρι να λάβουν καμία απολύτως αναγνώριση, πόσο μάλλον αυτό που θα μπορούσατε να ονομάσετε το καλωσόρισμα του ήρωα που ουσιαστικά τους άξιζε όταν ξέσπασε η ειρήνη το 1945.

---

ΖΥΜΗ.  Ουάου, αυτή είναι μια ωραία ιστορία.

Και λυπηρό που χρειάστηκε τόσο πολύς χρόνος για να λάβουν την αναγνώριση, αλλά υπέροχο που τελικά την πήραν.

Και προτρέπω όποιον το ακούει να πάει στον ιστότοπο για να το διαβάσει.

Λέγεται: Γυναίκες στην κρυπτολογία - Η USPS γιορτάζει τους κωδικούς του Β' Παγκοσμίου Πολέμου.

Πολύ καλό κομμάτι!

---

ΠΑΠΙΑ.  Παρεμπιπτόντως, Doug, στη σειρά γραμματοσήμων που μπορείτε να αγοράσετε (η αναμνηστική σειρά, όπου παίρνετε τα γραμματόσημα σε ένα πλήρες φύλλο)… γύρω από τα γραμματόσημα, το USPS έχει βάλει στην πραγματικότητα ένα μικρό κρυπτογραφικό παζλ, το οποίο έχουμε επαναλάβει στο το άρθρο.

Δεν είναι τόσο δύσκολο όσο το Enigma ή το PURPLE, επομένως μπορείτε να το κάνετε αρκετά εύκολα με στυλό και χαρτί, αλλά είναι μια καλή αναμνηστική διασκέδαση.

Ελάτε λοιπόν και δοκιμάστε αν θέλετε.

Έχουμε επίσης βάλει έναν σύνδεσμο σε ένα άρθρο που γράψαμε πριν από μερικά χρόνια (Τι μπορούν να μας διδάξουν 2000 χρόνια κρυπτογραφίας) στο οποίο θα βρείτε συμβουλές που θα σας βοηθήσουν να λύσετε το κρυπτογραφικό παζλ USPS.

Ωραία πλάκα με την αναμνηστική σας εκδήλωση!

---

ΖΥΜΗ.  Εντάξει, ας μείνουμε λίγο με την τυχαιότητα και την κρυπτογραφία και ας κάνουμε μια ερώτηση που ίσως κάποιοι έχουν αναρωτηθεί στο παρελθόν.

Πως τυχαίος είναι αυτά τα αυτόματα ανακάτεμα καρτών που μπορεί να δείτε σε ένα καζίνο;

Σοβαρή ασφάλεια: Πόσο τυχαία (ή όχι) μπορείτε να ανακατεύετε κάρτες;

---

ΠΑΠΙΑ.  Ναι, μια άλλη συναρπαστική ιστορία που κατάλαβα χάρη στον γκουρού της κρυπτογραφίας Bruce Schneier, ο οποίος έγραψε γι' αυτήν στο δικό του blog, και τιτλοφορούσε το άρθρο του Σχετικά με την τυχαιότητα των αυτόματων ανακάτεμα καρτών.

Το χαρτί για το οποίο μιλάμε πηγαίνει πίσω, νομίζω, στο 2013 και η δουλειά που έγινε, νομίζω, πηγαίνει πίσω στις αρχές της δεκαετίας του 2000.

Αλλά αυτό που με γοήτευσε στην ιστορία, και με έκανε να θέλω να τη μοιραστώ, είναι ότι έχει απίστευτες διδακτικές στιγμές για ανθρώπους που ασχολούνται αυτήν τη στιγμή με τον προγραμματισμό, είτε στον τομέα της κρυπτογραφίας είτε όχι.

Και, ακόμα πιο σημαντικό, σε δοκιμές και διασφάλιση ποιότητας.

Επειδή, σε αντίθεση με τους Ιάπωνες, που αρνήθηκαν να πιστέψουν ότι ο PURPLE κρυπτογράφος τους μπορεί να μην λειτουργεί σωστά, αυτή είναι μια ιστορία για μια εταιρεία που κατασκεύαζε αυτόματες μηχανές ανακατέματος καρτών αλλά σκέφτηκε: «Είναι πραγματικά αρκετά καλοί;»

Ή θα μπορούσε κάποιος πραγματικά να καταλάβει πώς λειτουργούν και να επωφεληθεί από το γεγονός ότι δεν είναι αρκετά τυχαίοι;

Και έτσι έκαναν τα πάντα για να προσλάβουν μια τριάδα μαθηματικών από την Καλιφόρνια, ένας από τους οποίους είναι επίσης καταξιωμένος μάγος…

…και είπαν, «Φτιάξαμε αυτό το μηχάνημα. Πιστεύουμε ότι είναι αρκετά τυχαίο, με ένα ανακάτεμα των φύλλων.”

Οι δικοί τους μηχανικοί είχαν καταβάλει κάθε προσπάθεια για να επινοήσουν δοκιμές που πίστευαν ότι θα έδειχναν εάν το μηχάνημα ήταν αρκετά τυχαίο για λόγους ανακατέματος καρτών, αλλά ήθελαν μια δεύτερη γνώμη, και έτσι στην πραγματικότητα βγήκαν και πήραν μια.

Και αυτοί οι μαθηματικοί εξέτασαν πώς λειτουργούσε το μηχάνημα και μπόρεσαν να βρουν, είτε το πιστεύετε είτε όχι, αυτό που είναι γνωστό ως κλειστός τύπος.

Το ανέλυσαν πλήρως: πώς θα συμπεριφερόταν το πράγμα και επομένως τι στατιστικά συμπεράσματα θα μπορούσαν να βγάλουν για το πώς θα έβγαιναν τα χαρτιά.

Ανακάλυψαν ότι παρόλο που τα ανακατεμένα φύλλα θα περνούσαν μια σημαντική σειρά από καλά τεστ τυχαιότητας, υπήρχαν ακόμα αρκετές αδιάλειπτες ακολουθίες στα φύλλα μετά την ανακατωσή τους που τους επέτρεπε να προβλέψουν το επόμενο φύλλο διπλάσια από την πιθανότητα.

Και μπόρεσαν να δείξουν το σκεπτικό με το οποίο μπόρεσαν να βρουν τον νοητικό αλγόριθμό τους για να μαντέψουν το επόμενο φύλλο δύο φορές τόσο καλά όσο θα έπρεπε…

…έτσι όχι μόνο το έκαναν αξιόπιστα και επαναλαμβανόμενα, αλλά είχαν και τα μαθηματικά για να δείξουν τυπικά γιατί συνέβαινε αυτό.

Και η ιστορία είναι ίσως πιο διάσημη για την γήινη αλλά απόλυτα κατάλληλη απάντηση από τον πρόεδρο της εταιρείας που τους προσέλαβε.

Υποτίθεται ότι είπε:

Δεν είμαστε ικανοποιημένοι με τα συμπεράσματά σας, αλλά τα πιστεύουμε, και γι' αυτό σας προσλάβαμε.

Με άλλα λόγια, λέει, «Δεν πλήρωσα για να είμαι ευτυχισμένος. Πλήρωσα για να μάθω τα γεγονότα και να ενεργήσω βάσει αυτών».

Μακάρι να το έκαναν περισσότεροι άνθρωποι όταν επρόκειτο να επινοήσουν δοκιμές για το λογισμικό τους!

Επειδή είναι εύκολο να δημιουργήσετε ένα σύνολο δοκιμών που θα περάσει το προϊόν σας και όπου, αν αποτύχει, ξέρετε ότι κάτι έχει σίγουρα πάει στραβά.

Αλλά είναι εκπληκτικά δύσκολο να καταλήξετε σε ένα σύνολο δοκιμών ότι *αξίζει να περάσει το προϊόν σας*.

Και αυτό έκανε αυτή η εταιρεία, προσλαμβάνοντας μαθηματικούς για να εξετάσουν πώς λειτουργούσε η μηχανή ανακατέματος καρτών.

Πολλά μαθήματα ζωής εκεί, Νταγκ!

---

ΖΥΜΗ.  Είναι μια διασκεδαστική ιστορία και πολύ ενδιαφέρουσα.

Τώρα, κάθε εβδομάδα μιλάμε γενικά για κάποιο είδος ενημέρωσης της Apple, αλλά όχι αυτήν την εβδομάδα.

Οχι όχι!

Αυτή την εβδομάδα έχουμε έχω για σένα… μια Apple *megaupdate*:

Apple megaupdate: Ventura out, iOS και iPad kernel zero-day – ενεργήστε τώρα!

---

ΠΑΠΙΑ.  Δυστυχώς, εάν διαθέτετε iPhone ή iPad, η ενημέρωση καλύπτει μια ημέρα μηδενικής εκμετάλλευσης, η οποία, όπως πάντα, μυρίζει jailbreak/πλήρη κατάληψη λογισμικού υποκλοπής spyware.

Και όπως πάντα, και ίσως είναι κατανοητό, η Apple είναι πολύ περίεργη σχετικά με το τι ακριβώς είναι η ημέρα μηδέν, σε τι χρησιμοποιείται και, εξίσου ενδιαφέρον, ποιος τη χρησιμοποιεί.

Επομένως, εάν έχετε ένα iPhone ή ένα iPad, αυτό είναι *σίγουρα* για εσάς.

Και προκαλώντας σύγχυση, ο Νταγκ…

Καλύτερα να το εξηγήσω αυτό, γιατί στην πραγματικότητα δεν ήταν προφανές στην αρχή… και χάρη σε κάποια βοήθεια του αναγνώστη, ευχαριστώ τον Stefaan από το Βέλγιο, ο οποίος μου έστελνε στιγμιότυπα οθόνης και μου εξηγούσε τι ακριβώς του συνέβη όταν ενημέρωσε το iPad του!

Η ενημέρωση για iPhone και iPad είπε: "Γεια, έχετε iOS 16.1 και iPadOS 16". (Επειδή η έκδοση 16 του iPad OS καθυστέρησε.)

Και αυτό λέει το δελτίο ασφαλείας.

Όταν εγκαθιστάτε την ενημέρωση, η βασική οθόνη Πληροφορίες λέει απλώς "iPadOS 16".

Αλλά αν κάνετε μεγέθυνση στην οθόνη της κύριας έκδοσης, τότε και οι δύο εκδόσεις εμφανίζονται στην πραγματικότητα ως "iOS/iPadOS 16.1".

Αυτή είναι λοιπόν η *αναβάθμιση* στην έκδοση 16, συν αυτή τη ζωτικής σημασίας επιδιόρθωση μηδενικής ημέρας.

Αυτό είναι το δύσκολο και μπερδεμένο μέρος… το υπόλοιπο είναι απλώς ότι υπάρχουν πολλές διορθώσεις και για άλλες πλατφόρμες.

Εκτός από αυτό, επειδή η Ventura βγήκε – macOS 13, με 112 ενημερώσεις κώδικα CVE, αν και για τους περισσότερους ανθρώπους, δεν θα έχουν την έκδοση beta, επομένως αυτό θα είναι *αναβάθμιση* και *ενημέρωση* ταυτόχρονα…

Επειδή το macOS 13 βγήκε, αυτό αφήνει το macOS 10 Catalina τρεις εκδόσεις πίσω.

Και πράγματι φαίνεται ότι η Apple μόλις τώρα υποστηρίζει το προηγούμενο και το προηγούμενο.

Υπάρχουν λοιπόν *υπάρχουν* ενημερώσεις για το Big Sur και το Monterey, αυτό είναι το macOS 11 και το macOS 12, αλλά η Catalina είναι εμφανώς απούσα, Doug.

Και όπως πάντα ενοχλητικό, αυτό που δεν μπορούμε να σας πούμε…

Αυτό σημαίνει ότι απλώς είχε ανοσία σε όλες αυτές τις διορθώσεις;

Αυτό σημαίνει ότι πραγματικά χρειάζεται τουλάχιστον μερικές από τις διορθώσεις, αλλά απλώς δεν έχουν βγει ακόμα;

Ή μήπως αυτό σημαίνει ότι έχει πέσει από την άκρη του κόσμου και δεν θα λάβετε ποτέ ξανά ενημέρωση, είτε χρειάζεται είτε όχι;

Δεν ξέρουμε.

---

ΖΥΜΗ.  Αισθάνομαι κουρασμένος, και δεν έκανα καν καμία από τις βαριές άρσεις σε αυτήν την ιστορία, οπότε σας ευχαριστώ για αυτό… είναι πολλά.

---

ΠΑΠΙΑ.  Και δεν έχεις καν iPhone.

---

ΖΥΜΗ.  Ακριβώς!

Έχω ένα iPad…

---

ΠΑΠΙΑ.  Α, εσύ;

---

ΖΥΜΗ.  … έτσι πρέπει να πάω και να βεβαιωθώ ότι το ενημερώνω.

Και αυτό μας οδηγεί στην ερώτηση του αναγνώστη της ημέρας, σχετικά με την ιστορία της Apple.

Ο Ανώνυμος Σχολιαστής ρωτά:

Θα το επιλύσει η ενημέρωση 15.7 για iPad ή πρέπει να κάνω ενημέρωση σε 16; Περιμένω μέχρι να επιλυθούν τα μικρά ενοχλητικά σφάλματα στο 16 πριν από την ενημέρωση.

---

ΠΑΠΙΑ.  Αυτό είναι το δεύτερο επίπεδο σύγχυσης, αν θέλετε, που προκαλείται από αυτό.

Τώρα, καταλαβαίνω ότι όταν κυκλοφόρησε το iPadOS 15.7, ήταν ακριβώς την ίδια στιγμή με το iOS 15.7.

Και ήταν, τι, λίγο πριν από ένα μήνα, νομίζω;

Αυτή είναι λοιπόν μια παλιά ενημέρωση ασφαλείας.

Και αυτό που δεν γνωρίζουμε τώρα είναι…

Υπάρχει ακόμα στα φτερά ένα iOS/iPadOS 15.7.1 που δεν έχει βγει ακόμα, διορθώνοντας κενά ασφαλείας που υπάρχουν στην προηγούμενη έκδοση λειτουργικών συστημάτων για αυτές τις πλατφόρμες;

Ή μήπως η διαδρομή ενημέρωσης για ενημερώσεις ασφαλείας για iOS και iPadOS θα ακολουθήσει τώρα τη διαδρομή της έκδοσης 16;

Απλώς δεν ξέρω, και δεν ξέρω πώς το λες.

Φαίνεται λοιπόν σαν (και λυπάμαι αν ακούγομαι μπερδεμένος, Νταγκ, γιατί είμαι!)…

…φαίνεται ότι η διαδρομή *ενημέρωση* και *αναβάθμιση* για τους χρήστες του iOS και του iPadOS 15.7 είναι να μεταβούν στην έκδοση 16.

Και αυτή τη στιγμή, αυτό σημαίνει 16.1.

Αυτή θα ήταν η σύστασή μου, γιατί τουλάχιστον τότε ξέρετε ότι έχετε την πιο πρόσφατη και καλύτερη κατασκευή, με τις πιο πρόσφατες και καλύτερες επιδιορθώσεις ασφαλείας.

Αυτή είναι λοιπόν η μακροσκελής απάντηση.

Η σύντομη απάντηση είναι, Doug, «Δεν ξέρω».

---

ΖΥΜΗ.  Καθαρό σαν λάσπη.

---

ΠΑΠΙΑ.  Ναί.

Λοιπόν, ίσως όχι και τόσο ξεκάθαρο… [ΓΕΛΙΑ]

Εάν αφήσετε λάσπη για αρκετό καιρό, τελικά τα κομμάτια πέφτουν στο κάτω μέρος και υπάρχει καθαρό νερό στην κορυφή.

Οπότε ίσως αυτό πρέπει να κάνετε: περιμένετε και δείτε ή απλά δαγκώστε τη σφαίρα και πηγαίνετε για 16.1.

Το κάνουν εύκολο, έτσι δεν είναι; [ΓΕΛΙΑ]

---

ΖΥΜΗ.  Εντάξει, θα το προσέξουμε αυτό, γιατί αυτό θα μπορούσε να αλλάξει λίγο από τώρα και την επόμενη φορά.

Ευχαριστώ πολύ για την αποστολή αυτού του σχολίου, Ανώνυμος Σχολιαστής.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας και να μας ενημερώσετε στο social @NakedSecurity.

Αυτή είναι η εκπομπή μας για σήμερα, ευχαριστώ πολύ που με ακούσατε.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω μέχρι την επόμενη φορά να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς!