T3 Ep106: Reconocimiento facial sin consentimiento: ¿debería prohibirse?

Reeditado por Platón

seguidores: 0

¡ESTAMOS RASPANDO SUS CARAS POR SU PROPIO BIEN! (PRESUNTAMENTE)

Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.

Con Doug Aamoth y Paul Ducklin. Música de introducción y salida de Edith Mudge.

Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.

LEER LA TRANSCRIPCIÓN

DOUG. Criptología, piratería policial, actualizaciones de Apple y... ¡conteo de cartas!

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Pablo, ¿cómo estás hoy?

PATO. Estoy muy bien, gracias, Douglas.

Y estoy ansioso por la parte del conteo de cartas, sobre todo porque no se trata solo de contar, sino también de barajar las cartas.

DOUG. ¡Muy bien, muy bien, deseando que llegue!

Y en nuestro segmento de Historia de la tecnología, hablaremos de algo que no fue aleatorio: fue muy calculado.

Esta semana, el 25 de octubre de 2001, se lanzó Windows XP al por menor.

Fue construido sobre el sistema operativo Windows NT, y XP reemplazó tanto a Windows 2000 como a Windows Millennium Edition como “XP Professional Edition” y “XP Home Edition” respectivamente.

XP Home fue la primera versión para el consumidor de Windows que no se basó en MS-DOS ni en el kernel de Windows 95.

Y, en una nota personal, me encantó.

Puede que solo esté recordando tiempos más simples... No sé si en realidad era tan bueno como lo recuerdo, pero recuerdo que era mejor que lo que teníamos antes.

PATO. Estoy de acuerdo con eso.

Creo que hay algunas gafas teñidas de rosa que puedes estar usando allí, Doug...

DOUG. Umm-hmmm.

PATO. …pero tengo que estar de acuerdo en que fue una mejora.

DOUG. Hablemos un poco sobre el merecido, específicamente, el merecido para reconocimiento facial no deseado en Francia:

El servicio de reconocimiento facial Clearview AI image-scraping recibe una multa de 20 millones de euros en Francia

PATO. ¡Ciertamente!

Los oyentes habituales sabrán que tenemos hablado de una empresa llamada Clearview AI muchas veces, porque creo que es justo decir que esta empresa es controvertida.

El regulador francés publica muy útilmente sus resoluciones, o ha publicado al menos sus resoluciones Clearview, tanto en francés como en inglés.

Entonces, básicamente, así es como lo describen:

Clearview AI recopila fotografías de muchos sitios web, incluidas las redes sociales. Recopila todas las fotos a las que se puede acceder directamente en esas redes. Así, la compañía ha recopilado más de 20 mil millones de imágenes en todo el mundo.

Gracias a esta colección, la compañía comercializa el acceso a su base de datos de imágenes en forma de buscador en el que se puede encontrar a una persona a partir de una fotografía. La empresa ofrece este servicio a las autoridades encargadas de hacer cumplir la ley.

Y la objeción del regulador francés, de la que se hicieron eco el año pasado al menos el Reino Unido y también el regulador australiano, es: “Consideramos que esto es ilegal en nuestro país. No puedes raspar las imágenes de las personas para este propósito comercial sin su consentimiento. Y tampoco está cumpliendo con las reglas de GDPR, las reglas de destrucción de datos, lo que facilita que se comuniquen con usted y le digan: 'Quiero optar por no participar'".

Entonces, en primer lugar, debe optar si desea ejecutar esto.

Y después de haber recopilado las cosas, no debe aferrarse a ellas incluso después de que quieran asegurarse de que se eliminen sus datos.

Y el problema en Francia, Doug, es que en diciembre pasado el regulador dijo: “Lo siento, no puedes hacer esto. Deje de raspar datos y deshágase de lo que tiene sobre todos en Francia. Muchísimas gracias."

Aparentemente, según el regulador, Clearview AI simplemente no parecía querer cumplir.

DOUG. ¡UH oh!

PATO. Así que ahora los franceses han vuelto y han dicho: “Parece que no quieres escuchar. No pareces entender que esta es la ley. Ahora, se aplica lo mismo, pero también hay que pagar 20 millones de euros. Gracias por venir."

DOUG. Tenemos algunos comentarios sobre el artículo... nos encantaría saber lo que piensas; Puedes comentar de forma anónima.

Específicamente, las preguntas que planteamos son: “¿Clearview AI realmente brinda un servicio beneficioso y socialmente aceptable para las fuerzas del orden? ¿O está pisoteando casualmente nuestra privacidad al recopilar datos biométricos de manera ilegal y comercializarlos con fines de seguimiento de investigación sin consentimiento?

Muy bien, sigamos con este tema del merecido y hablemos un poco de merecido por el DEADBOLT criminales

¡Esta es una historia interesante, que involucra a la aplicación de la ley y la piratería!

Cuando los policías contraatacan: la policía holandesa despluman a los delincuentes DEADBOLT (¡legalmente!)

PATO. Felicitaciones a la policía por hacer esto, aunque, como explicaremos, fue una especie de cosa única.

Los oyentes habituales recordarán DEADBOLT: ha aparecido un par de veces antes.

DEADBOLT es la banda de ransomware que básicamente encuentra su servidor de almacenamiento conectado a la red [NAS] si es un usuario doméstico o una pequeña empresa...

…y si no está reparado contra una vulnerabilidad que saben cómo explotar, entrarán y simplemente codificarán su caja NAS.

Pensaron que ahí es donde están todas sus copias de seguridad, ahí es donde están todos sus archivos grandes, ahí es donde están todas sus cosas importantes.

“No nos preocupemos por tener que escribir malware para Windows y malware para Mac, ni preocuparnos por la versión que tienes. Entraremos directamente, codificaremos sus archivos y luego diremos: 'Páguenos $600'".

Esa es la tasa actual: 0.03 bitcoins, si no le importa.

Así que están adoptando ese enfoque orientado al consumidor de tratar de llegar a mucha gente y pedir una cantidad un tanto asequible cada vez.

Y supongo que si todo lo que tienes está respaldado allí, entonces podrías sentir, “¿Sabes qué? $ 600 es mucho dinero, pero puedo pagarlo. Yo pagaré.

Para simplificar las cosas (y hemos dicho a regañadientes, esta es una parte inteligente, por así decirlo, de este ransomware en particular)... básicamente, lo que haces es decirles a los delincuentes que estás interesado enviándoles un mensaje a través de la cadena de bloques de Bitcoin. .

Básicamente, les paga el dinero a una dirección de Bitcoin específica y exclusiva para usted.

Cuando reciben el mensaje de pago, devuelven un pago de $0 que incluye un comentario que es la clave de descifrado.

Así que esa es la *única* interacción que necesitan contigo.

No necesitan usar el correo electrónico y no tienen que ejecutar ningún servidor web oscuro.

Sin embargo, los policías holandeses pensaron que los ladrones habían cometido un error relacionado con el protocolo.

Tan pronto como su transacción llegue al ecosistema de Bitcoin, buscando a alguien que la extraiga, su script enviará la clave de descifrado.

Y resulta que, aunque no puede gastar dos veces en bitcoins (de lo contrario, el sistema se vendría abajo), puede realizar dos transacciones al mismo tiempo, una con una tarifa de transacción alta y otra con una tarifa de transacción muy baja o nula.

¿Y adivina cuál aceptarán los mineros de bitcoin y, en última instancia, la cadena de bloques de bitcoin?

Y eso es lo que hizo la policía...

DOUG. [RISAS] ¡Muy ingenioso, me gusta!

PATO. Mantendrían un pago con una tarifa de transacción cero, lo que podría demorar días en procesarse.

Y luego, tan pronto como recuperaron la clave de descifrado de los ladrones (tenían, creo, 155 usuarios a los que juntaron)... tan pronto como recuperaron la clave de descifrado, hicieron una transacción de doble gasto.

“Quiero volver a gastar el mismo Bitcoin, pero esta vez nos lo devolveremos a nosotros mismos. Y ahora ofreceremos una tarifa de transacción razonable”.

Así que esa transacción fue la que finalmente se confirmó y bloqueó en la cadena de bloques...

…y el otro simplemente fue ignorado y tirado… [RISAS] como siempre, ¡no debería reírse!

DOUG. [RISAS]

PATO. Entonces, básicamente, los ladrones pagaron demasiado pronto.

Y supongo que no es *traición* si eres un agente de la ley, y lo estás haciendo de una manera legalmente garantizada... es básicamente una *trampa*.

Y los ladrones entraron en él.

Como mencioné al principio, esto solo puede funcionar una vez porque, por supuesto, los ladrones pensaron: “Oh, querido, no deberíamos hacerlo de esa manera. Cambiemos el protocolo. Esperemos a que la transacción se confirme en la cadena de bloques primero, y luego, una vez que sepamos que nadie puede venir con una transacción que la supere más tarde, solo entonces enviaremos la clave de descifrado".

PATO. Pero los ladrones se quedaron con los pies planos con la melodía de 155 claves de descifrado de víctimas en 13 países diferentes que pidieron ayuda a la policía holandesa.

¿Entonces chapeau [La jerga ciclista francesa para “quitarse el sombrero”], ¡como dicen!

DOUG. Eso es genial… son dos historias positivas seguidas.

Y mantengamos las vibraciones positivas con esta próxima historia.

Se trata de mujeres en criptología.

Han sido honrados por el Servicio Postal de EE. UU., que celebra a los descifradores de códigos de la Segunda Guerra Mundial.

Cuéntenos todo acerca de esto: este es un historia muy interesante, Pablo:

Mujeres en criptología: USPS celebra a los descifradores de códigos de la Segunda Guerra Mundial

PATO. Sí, fue una de esas cosas agradables sobre las que escribir en Naked Security: Mujeres en criptología: el Servicio Postal de los Estados Unidos celebra a los descifradores de códigos de la Segunda Guerra Mundial.

Ahora, hemos cubierto el descifrado de códigos de Bletchley Park, que son los esfuerzos criptográficos del Reino Unido durante la Segunda Guerra Mundial, principalmente para intentar descifrar los cifrados nazis, como la conocida máquina Enigma.

Sin embargo, como puede imaginar, EE. UU. se enfrentó a un gran problema en el teatro de guerra del Pacífico, tratando de lidiar con los cifrados japoneses y, en particular, con un cifrado conocido como PURPLE.

A diferencia del Enigma de los nazis, este no era un dispositivo comercial que pudiera comprarse.

En realidad, era una máquina de cosecha propia que salió del ejército, basada en relés de conmutación telefónica, que, si lo piensas bien, son como interruptores de "base diez".

Entonces, de la misma manera que Bletchley Park en el Reino Unido empleó en secreto a más de 10,000 personas... No me di cuenta de esto, pero resultó que había más de 10,000 mujeres reclutadas en criptología, en cracking criptográfico, en los EE. UU. para tratar de lidiar con los cifrados japoneses durante la guerra.

Por todas las cuentas, fueron extremadamente exitosos.

Hubo un gran avance criptográfico realizado a principios de la década de 1940 por una de las criptólogas estadounidenses llamada Genevieve Grotjan, y aparentemente esto condujo a éxitos espectaculares en la lectura de secretos japoneses.

Y solo citaré del Servicio Postal de EE. UU., de su serie de sellos:

Descifraron las comunicaciones de la flota japonesa, ayudaron a evitar que los submarinos alemanes hundieran barcos de carga vitales y trabajaron para descifrar los sistemas de encriptación que revelaban las rutas de navegación japonesas y los mensajes diplomáticos.

Puedes imaginar que eso te da una inteligencia muy, muy útil de hecho... que tienes que asumir que ayudó a acortar la guerra.

Afortunadamente, a pesar de que los japoneses habían sido advertidos (aparentemente por los nazis) de que su cifrado era descifrable o ya había sido descifrado, se negaron a creerlo y continuaron usando PURPLE durante toda la guerra.

Y las mujeres criptólogas de la época definitivamente hacían heno en secreto mientras brillaba el sol.

Desafortunadamente, tal como sucedió en el Reino Unido con todos los héroes de la guerra (nuevamente, la mayoría de ellos mujeres) en Bletchley Park...

…después de la guerra, juraron guardar el secreto.

Así que pasaron muchas décadas hasta que obtuvieron algún reconocimiento, y mucho menos lo que podría llamarse la bienvenida del héroe que esencialmente merecían cuando estalló la paz en 1945.

DOUG. Wow, esa es una historia genial.

Y desafortunado que tomó tanto tiempo obtener el reconocimiento, pero genial que finalmente lo consiguieron.

E insto a cualquiera que esté escuchando esto a que se dirija al sitio para leerlo.

Se llama: Mujeres en criptología: USPS celebra a los descifradores de códigos de la Segunda Guerra Mundial.

¡Muy buena pieza!

PATO. Por cierto, Doug, en la serie de sellos que puedes comprar (la serie conmemorativa, en la que obtienes los sellos en una hoja completa)... alrededor de los sellos, el USPS ha puesto un pequeño rompecabezas criptográfico, que hemos repetido en el artículo.

No es tan difícil como Enigma o PURPLE, por lo que puedes hacerlo bastante fácilmente con lápiz y papel, pero es un poco de diversión conmemorativa.

Así que ven y pruébalo si quieres.

También hemos puesto un enlace a un artículo que escribimos hace un par de años (Lo que 2000 años de criptografía pueden enseñarnos) en el que encontrarás pistas que te ayudarán a resolver el rompecabezas criptográfico de USPS.

¡Un poco de diversión para acompañar su conmemoración!

DOUG. Muy bien, sigamos un poco con la aleatoriedad y la criptografía, y hagamos una pregunta que tal vez algunos se hayan hecho antes.

Cómo azar ¿Son esos barajadores automáticos de cartas que puedes ver en un casino?

Seguridad seria: ¿Qué tan aleatoriamente (o no) puedes barajar las cartas?

PATO. Sí, otra historia fascinante que recogí gracias al gurú de la criptografía Bruce Schneier, quien escribió sobre ella. en su propio blog, y tituló su artículo Sobre la aleatoriedad de los barajadores automáticos de cartas.

El documento del que estamos hablando se remonta, creo, a 2013, y el trabajo que se hizo, creo, se remonta a principios de la década de 2000.

Pero lo que me fascinó de la historia y me hizo querer compartirla es que tiene increíbles momentos de aprendizaje para las personas que actualmente están involucradas en la programación, ya sea en el campo de la criptografía o no.

Y, lo que es más importante, en las pruebas y el control de calidad.

Porque, a diferencia de los japoneses, que se negaron a creer que su cifrado PURPLE podría no estar funcionando correctamente, esta es la historia de una empresa que fabricaba máquinas automáticas para barajar cartas, pero pensó: "¿Son realmente lo suficientemente buenas?"

¿O podría alguien realmente descubrir cómo funcionan y obtener una ventaja del hecho de que no son lo suficientemente aleatorios?

Y entonces se esforzaron por contratar a un trío de matemáticos de California, uno de los cuales también es un consumado mago...

…y dijeron: “Construimos esta máquina. Creemos que es lo suficientemente aleatorio, con una baraja de cartas”.

Sus propios ingenieros se habían tomado la molestia de idear pruebas que, en su opinión, mostrarían si la máquina era lo suficientemente aleatoria para barajar las cartas, pero querían una segunda opinión, así que salieron y la obtuvieron.

Y estos matemáticos observaron cómo funcionaba la máquina y pudieron llegar, créanlo o no, a lo que se conoce como una fórmula cerrada.

Lo analizaron por completo: cómo se comportaría la cosa, y por tanto qué inferencias estadísticas podrían hacer sobre cómo saldrían las cartas.

Descubrieron que aunque las cartas barajadas pasarían una serie significativa de buenas pruebas de aleatoriedad, todavía había suficientes secuencias ininterrumpidas en las cartas después de haberlas barajado que les permitieron predecir la siguiente carta dos veces mejor que la probabilidad.

Y pudieron mostrar el razonamiento por el cual pudieron llegar a su algoritmo mental para adivinar la siguiente carta el doble de bien de lo que deberían...

… así que no solo lo hicieron de manera confiable y repetible, sino que en realidad tenían las matemáticas para mostrar mediante fórmulas por qué ese era el caso.

Y la historia es quizás más famosa por la respuesta terrenal pero completamente apropiada del presidente de la compañía que los contrató.

Se supone que dijo:

No estamos satisfechos con sus conclusiones, pero las creemos, y para eso lo contratamos.

En otras palabras, está diciendo: “No pagué para que me hicieran feliz. Pagué para averiguar los hechos y actuar en consecuencia”.

¡Ojalá más personas hicieran eso a la hora de diseñar pruebas para su software!

Porque es fácil crear un conjunto de pruebas que su producto pasará y donde si falla, usted sabe que definitivamente algo salió mal.

Pero es sorprendentemente difícil encontrar un conjunto de pruebas que *vale la pena que su producto pase*.

Y eso es lo que hizo esta compañía, al contratar a los matemáticos para investigar cómo funcionaba la máquina barajadora de cartas.

¡Muchas lecciones de vida ahí, Doug!

DOUG. Es una historia divertida y muy interesante.

Ahora, todas las semanas generalmente hablamos sobre algún tipo de actualización de Apple, pero no esta semana.

¡No no!

Esta semana hemos tengo para ti… una *megaactualización* de Apple:

Megaactualización de Apple: salida de Ventura, kernel de iOS y iPad de día cero: ¡actúe ahora!

PATO. Desafortunadamente, si tiene un iPhone o un iPad, la actualización cubre un día cero que actualmente se está explotando activamente, lo que, como siempre, huele a jailbreak/adquisición completa de spyware.

Y como siempre, y tal vez comprensiblemente, Apple es muy cauteloso acerca de qué es exactamente el día cero, para qué se usa y, lo que es más interesante, quién lo usa.

Entonces, si tienes un iPhone o un iPad, este es *definitivamente* uno para ti.

Y confusamente, Doug...

Será mejor que explique esto, porque en realidad no era obvio al principio... y gracias a la ayuda de algunos lectores, gracias a Stefaan de Bélgica, quien me ha estado enviando capturas de pantalla y explicando exactamente lo que le sucedió cuando actualizó su iPad.

La actualización para iPhones y iPads decía: "Oye, tienes iOS 16.1 y iPadOS 16". (Porque iPad OS versión 16 se retrasó).

Y eso es lo que dice el boletín de seguridad.

Cuando instala la actualización, la pantalla básica Acerca de solo dice "iPadOS 16".

Pero si hace zoom en la pantalla de la versión principal, ambas versiones aparecerán como "iOS/iPadOS 16.1".

Así que esa es la *actualización* a la versión 16, además de esta solución vital de día cero.

Esa es la parte difícil y confusa... el resto es solo que también hay muchas correcciones para otras plataformas.

Excepto que, debido a que salió Ventura: macOS 13, con 112 parches numerados de CVE, aunque para la mayoría de las personas, no habrán tenido la versión beta, por lo que será *actualización* y *actualización* al mismo tiempo...

Debido a que salió macOS 13, eso deja atrás a macOS 10 Catalina tres versiones.

Y, de hecho, parece que Apple solo ahora admite versiones anteriores y anteriores.

Entonces *hay* actualizaciones para Big Sur y Monterey, eso es macOS 11 y macOS 12, pero Catalina está notoriamente ausente, Doug.

Y tan molesto como siempre, lo que no podemos decirte…

¿Eso significa que simplemente era inmune a todas estas correcciones?

¿Eso significa que en realidad necesita al menos algunas de las correcciones, pero aún no han aparecido?

¿O eso significa que se ha caído del borde del mundo y que nunca volverá a recibir una actualización, ya sea que la necesite o no?

No sabemos.

DOUG. Me siento sin aliento, y ni siquiera hice nada del trabajo pesado en esa historia, así que gracias por eso... eso es mucho.

PATO. Y ni siquiera tienes un iPhone.

DOUG. ¡Exactamente!

tengo un ipad...

PATO. ¿Oh, lo hiciste?

DOUG. …así que tengo que ir y asegurarme de actualizarlo.

Y eso nos lleva a la pregunta de nuestro lector del día, sobre la historia de Apple.

El comentarista anónimo pregunta:

¿La actualización 15.7 para iPads resolverá esto o tengo que actualizar a 16? Estoy esperando hasta que se resuelvan los errores menores molestos en 16 antes de actualizar.

PATO. Ese es el segundo nivel de confusión, por así decirlo, causado por esto.

Ahora, según tengo entendido, cuando salió iPadOS 15.7, fue exactamente al mismo tiempo que iOS 15.7.

Y fue, ¿cuánto, hace poco más de un mes, creo?

Esa es una actualización de seguridad antigua.

Y lo que ahora no sabemos es…

¿Hay un iOS/iPadOS 15.7.1 todavía en las alas que aún no ha salido, solucionando los agujeros de seguridad que existen en la versión anterior de los sistemas operativos para esas plataformas?

¿O su ruta de actualización para las actualizaciones de seguridad para iOS y iPadOS ahora sigue la ruta de la versión 16?

Simplemente no lo sé, y no sé cómo lo dices.

Parece como si (y lo siento si sueno confundido, Doug, ¡porque lo estoy!)...

…parece que la *actualización* y la ruta de *actualización* para los usuarios de iOS y iPadOS 15.7 es cambiar a la versión 16.

Y en este momento, eso significa 16.1.

Esa sería mi recomendación, porque al menos sabrás que tienes la última y mejor compilación, con las últimas y mejores correcciones de seguridad.

Así que esa es la respuesta larga.

La respuesta corta es, Doug, "No lo sé".

DOUG. Claro como el barro.

PATO. Sí.

Bueno, tal vez no tan claro… [RISAS]

Si deja el barro el tiempo suficiente, eventualmente los pedazos se asentarán en el fondo y habrá agua clara en la parte superior.

Así que tal vez eso es lo que tienes que hacer: esperar y ver, o simplemente muerde la bala y ve por 16.1.

Lo hacen fácil, ¿no? [RISAS]

DOUG. Está bien, estaremos atentos a eso, porque eso podría cambiar un poco entre ahora y la próxima vez.

Muchas gracias por enviar ese comentario, comentarista anónimo.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos y puede contactarnos en las redes sociales @NakedSecurity.

Ese es nuestro programa de hoy, muchas gracias por escuchar.

Para Paul Ducklin, soy Doug Aamoth, les recuerdo hasta la próxima para...

AMBAS COSAS. ¡Mantente seguro!

Sello de tiempo: 27 de Octubre de 202227 de Octubre de 2022

Sello de tiempo: Nov 29, 2022

Reeditado por Platón

UBER HA SIDO HACKEADO, alardea de hacker: cómo evitar que te suceda

Los policías usan servicios DDoS falsos para apuntar a los aspirantes a ciberdelincuentes

El servicio de reconocimiento facial Clearview AI image-scraping recibe una multa de 20 millones de euros en Francia

Firefox 115 está fuera, dice adiós a los usuarios mayores de Windows y Mac

Violación del código fuente de LastPass: ¿seguimos recomendando administradores de contraseñas?

Hacker del mercado de drogas de Silk Road se declara culpable y se enfrenta a 20 años en prisión

T3 Ep111: El riesgo comercial de un sórdido "desfiltrador de desnudos" [Audio + Texto]

Misteriosos parches de actualización de iPhone contra el ataque de bloqueo de correo de iOS 16

La empresa de venta de entradas en línea "See" ha sido manipulada durante dos años y medio por atacantes

Sobre Nosotros

Búsqueda vertical y Ai

Productos

Manténganse Conectados

Mi Cuenta