STIAMO RACCOGLIANDO I VOSTRI VOLTI PER IL TUO BENE! (PRESUMIBILMENTE)
Fare clic e trascinare sulle onde sonore sottostanti per passare a qualsiasi punto. Puoi anche ascolta direttamente su Soundcloud.
Con Doug Aamoth e Paul Ducklin. Musica introduttiva e finale di Edith Mudge.
Puoi ascoltarci su Soundcloud, Podcast Apple, Google Podcast, Spotify, Stitcher e ovunque si trovino buoni podcast. O semplicemente rilascia il URL del nostro feed RSS nel tuo podcatcher preferito.
LEGGI LA TRASCRIZIONE
DOUG. Crittologia, hackeraggio della polizia, aggiornamenti Apple e... conteggio delle carte!
Tutto questo e molto altro sul podcast Naked Security.
[MODE MUSICALE]
Benvenuti nel podcast, a tutti.
Sono Doug Aamoth; lui è Paul Ducklin.
Paolo, come stai oggi?
ANATRA. Sto molto bene, grazie Douglas.
E non vedo l'ora che arrivi il momento del conteggio delle carte, non ultimo perché non si tratta solo di contare, ma anche di mescolare le carte.
DOUG. Va bene, molto bene, non vedo l'ora!
E nel nostro segmento Tech History, parleremo di qualcosa che non era casuale: era molto calcolato.
Questa settimana, il 25 ottobre 2001, Windows XP è stato rilasciato al dettaglio.
È stato costruito sul sistema operativo Windows NT e XP ha sostituito Windows 2000 e Windows Millennium Edition rispettivamente come "XP Professional Edition" e "XP Home Edition".
XP Home è stata la prima versione consumer di Windows a non essere basata su MS-DOS o sul kernel di Windows 95.
E, a livello personale, l'ho adorato.
Forse sto solo ricordando tempi più semplici... non so se fosse davvero così bello come lo ricordo, ma ricordo che era migliore di quello che avevamo prima.
ANATRA. Sono d'accordo.
Penso che ci siano degli occhiali rosa che potresti indossare lì, Doug...
DOUG. Umm-hmmm.
ANATRA. ...ma dovrei essere d'accordo sul fatto che è stato un miglioramento.
DOUG. Parliamo un po' della punizione, in particolare della punizione riconoscimento facciale indesiderato in Francia:
ANATRA. Infatti!
Gli ascoltatori abituali sapranno che abbiamo parlato una società chiamata Clearview AI molte volte, perché penso sia giusto dire che questa azienda è controversa.
Il regolatore francese pubblica molto utile le sue sentenze, o ha pubblicato almeno le sue sentenze Clearview, sia in francese che in inglese.
Quindi, in pratica, ecco come lo descrivono:
Clearview AI raccoglie fotografie da molti siti Web, inclusi i social media. Raccoglie tutte le foto che sono direttamente accessibili su quelle reti. Pertanto, l'azienda ha raccolto oltre 20 miliardi di immagini in tutto il mondo.
Grazie a questa raccolta, l'azienda commercializza l'accesso al proprio database di immagini sotto forma di un motore di ricerca in cui è possibile trovare una persona tramite una fotografia. L'azienda offre questo servizio alle forze dell'ordine.
E l'obiezione dell'autorità di regolamentazione francese, che è stata ripresa lo scorso anno almeno dal Regno Unito e anche dall'autorità di regolamentazione australiana, è: “Lo consideriamo illegale nel nostro paese. Non puoi raschiare le immagini delle persone per questo scopo commerciale senza il loro consenso. Inoltre, non rispetti le regole del GDPR, le regole sulla distruzione dei dati, il che consente loro di contattarti facilmente e dire: "Voglio rinunciare".
Quindi, in primo luogo, dovrebbe essere acconsentito se si desidera eseguirlo.
E dopo aver raccolto il materiale, non dovresti rimanere attaccato anche dopo che vogliono assicurarsi che i loro dati vengano rimossi.
E il problema in Francia, Doug, è che lo scorso dicembre il regolatore ha detto: “Scusa, non puoi farlo. Smetti di raschiare i dati e sbarazzati di quello che hai su tutti in Francia. Grazie mille."
Apparentemente, secondo il regolatore, Clearview AI non sembrava voler conformarsi.
DOUG. Uh Oh!
ANATRA. Così ora i francesi sono tornati e hanno detto: “Sembra che tu non voglia ascoltare. Sembra che tu non capisca che questa è la legge. Ora vale la stessa cosa, ma devi anche pagare 20 milioni di euro. Grazie per essere venuto."
DOUG. Abbiamo alcuni commenti in preparazione sull'articolo... ci piacerebbe sapere cosa ne pensi; puoi commentare in forma anonima.
Nello specifico, le domande che ci poniamo sono: “Clearview AI fornisce davvero un servizio vantaggioso e socialmente accettabile alle forze dell'ordine? O sta calpestando casualmente la nostra privacy raccogliendo dati biometrici illegalmente e commercializzandoli a fini di tracciamento investigativo senza consenso?
Va bene, atteniamoci al tema della punizione e parliamone un po' punizione per il CATENACCIO criminali.
Questa è una storia interessante, che coinvolge le forze dell'ordine e l'hacking back!
Quando i poliziotti tornano indietro: la polizia olandese elimina i criminali DEADBOLT (legalmente!)
ANATRA. Tanto di cappello alla polizia per averlo fatto, anche se, come spiegheremo, è stata una cosa una tantum.
Gli ascoltatori abituali ricorderanno DEADBOLT – è già uscito un paio di volte.
DEADBOLT è la banda di ransomware che fondamentalmente trova il tuo server NAS (Network Attached Storage) se sei un utente domestico o una piccola impresa...
... e se non viene riparato contro una vulnerabilità che sanno come sfruttare, entreranno e si limiteranno a confondere la tua scatola NAS.
Hanno pensato che è lì che sono tutti i tuoi backup, è lì che sono tutti i tuoi file di grandi dimensioni, è lì che sono tutte le tue cose importanti.
“Non dobbiamo preoccuparci di dover scrivere malware per Windows e malware per Mac e preoccuparci della versione che hai. Entriamo subito, confondiamo i tuoi file e poi diciamo: "Pagaci $ 600".
Questa è la tariffa corrente: 0.03 bitcoin, se non ti dispiace.
Quindi stanno adottando quell'approccio orientato al consumatore di cercare di colpire molte persone e chiedere ogni volta un importo alquanto abbordabile.
E immagino che se tutto ciò che hai è supportato lì, allora potresti pensare: "Sai una cosa? $ 600 sono un sacco di soldi, ma posso quasi permettermeli. Pagherò io".
Per semplificare le cose (e abbiamo detto a malincuore, questa è una parte intelligente, se vuoi, di questo particolare ransomware)... in pratica, quello che fai è dire ai criminali che sei interessato inviando loro un messaggio tramite la blockchain di Bitcoin .
Fondamentalmente, paghi loro i soldi a un indirizzo Bitcoin specifico e univoco per te.
Quando ricevono il messaggio di pagamento, inviano un pagamento di $ 0 che include un commento che è la chiave di decrittazione.
Quindi questa è l'*unica* interazione di cui hanno bisogno con te.
Non hanno bisogno di utilizzare la posta elettronica e non devono eseguire alcun server Web oscuro.
Tuttavia, i poliziotti olandesi hanno pensato che i truffatori avessero commesso un errore relativo al protocollo!
Non appena la tua transazione ha colpito l'ecosistema Bitcoin, alla ricerca di qualcuno che lo estrae, il loro script invierebbe la chiave di decrittazione.
E si scopre che anche se non puoi spendere due volte bitcoin (altrimenti il sistema andrebbe in pezzi), puoi effettuare due transazioni contemporaneamente, una con una commissione di transazione elevata e una con una commissione di transazione molto bassa o zero.
E indovina quale accetteranno i minatori di bitcoin e alla fine la blockchain di bitcoin?
Ed è quello che hanno fatto i poliziotti...
DOUG. [RIDE] Molto intelligente, mi piace!
ANATRA. Avrebbero effettuato un pagamento con una commissione di transazione zero, che potrebbe richiedere giorni per essere elaborata.
E poi, non appena hanno riavuto la chiave di decrittazione dai truffatori (avevano, credo, 155 utenti che hanno come bastonato insieme)... non appena hanno riavuto la chiave di decrittazione, hanno fatto una transazione a doppia spesa.
“Voglio spendere di nuovo lo stesso Bitcoin, ma questa volta lo ripagheremo a noi stessi. E ora offriremo una ragionevole commissione di transazione".
Quindi quella transazione è stata quella che alla fine è stata effettivamente confermata e bloccata nella blockchain...
…e l'altro è stato semplicemente ignorato e buttato via… [RIDE] come sempre, non dovrebbe ridere!
DOUG. [RIDE]
ANATRA. Quindi, in pratica, i truffatori hanno pagato troppo presto.
E immagino che non sia *tradimento* se sei delle forze dell'ordine, e lo stai facendo in un modo legalmente garantito... è fondamentalmente una *trappola*.
E i ladri ci sono entrati.
Come ho detto all'inizio, questo può funzionare solo una volta perché, ovviamente, i truffatori hanno pensato: "Oh, caro, non dovremmo farlo in quel modo. Cambiamo il protocollo. Aspettiamo prima che la transazione venga confermata sulla blockchain, e poi una volta che sappiamo che nessuno può venire con una transazione che la supererà in seguito, solo allora invieremo la chiave di decrittazione.
ANATRA. Ma i criminali sono stati impreparati al suono di 155 chiavi di decrittazione di vittime in 13 diversi paesi che hanno chiesto aiuto alla polizia olandese.
Così, cappello [Slang ciclistico francese per un "cappello da togliere"], come si suol dire!
DOUG. È fantastico... sono due storie positive di seguito.
E manteniamo le vibrazioni positive con questa prossima storia.
Riguarda le donne nella crittografia.
Sono stati premiati dal servizio postale degli Stati Uniti, che celebra i decifratori di codici della seconda guerra mondiale.
Raccontaci tutto di questo: questo è un storia molto interessante, Paolo:
Women in Cryptology - USPS celebra i decifratori di codici della seconda guerra mondiale
ANATRA. Sì, è stata una di quelle belle cose di cui scrivere su Naked Security: Donne nella crittografia – Il servizio postale degli Stati Uniti celebra i decifratori di codici della seconda guerra mondiale.
Ora, abbiamo coperto la violazione del codice di Bletchley Park, che è l'impegno crittografico del Regno Unito durante la seconda guerra mondiale, principalmente per cercare di decifrare i codici nazisti come la famosa macchina Enigma.
Tuttavia, come puoi immaginare, gli Stati Uniti hanno affrontato un enorme problema dal teatro di guerra del Pacifico, cercando di affrontare i codici giapponesi e, in particolare, un codice noto come PURPLE.
A differenza dell'Enigma nazista, questo non era un dispositivo commerciale che potesse essere acquistato.
In realtà era una macchina nostrana uscita dall'esercito, basata su relè di commutazione del telefono, che, se ci pensi, sono una specie di interruttori "base dieci".
Quindi, allo stesso modo Bletchley Park nel Regno Unito impiegavano segretamente più di 10,000 persone... Non me ne rendevo conto, ma si scoprì che c'erano ben oltre 10,000 donne reclutate nella crittografia, nel cracking crittografico, negli Stati Uniti per cercare di trattare con i cifrari giapponesi durante la guerra.
A detta di tutti, hanno avuto un enorme successo.
C'è stata una svolta crittografica fatta nei primi anni '1940 da uno dei crittografi statunitensi di nome Genevieve Grotjan, e apparentemente questo ha portato a successi spettacolari nella lettura dei segreti giapponesi.
E citerò solo dal servizio postale degli Stati Uniti, dalla loro serie di francobolli:
Hanno decifrato le comunicazioni della flotta giapponese, hanno contribuito a impedire agli U-Boot tedeschi di affondare navi mercantili vitali e hanno lavorato per violare i sistemi di crittografia che rivelavano rotte di spedizione giapponesi e messaggi diplomatici.
Puoi immaginare che questo ti dia davvero un'intelligenza molto, molto utilizzabile ... che devi presumere abbia contribuito ad abbreviare la guerra.
Fortunatamente, anche se i giapponesi erano stati avvertiti (apparentemente dai nazisti) che il loro codice era infrangibile o era già stato rotto, si rifiutarono di crederci e continuarono a usare VIOLA per tutta la guerra.
E le crittologhe dell'epoca facevano sicuramente il fieno di nascosto mentre il sole splendeva.
Sfortunatamente, proprio come è successo nel Regno Unito con tutti gli eroi del tempo di guerra (di nuovo, la maggior parte di loro donne) a Bletchley Park...
...dopo la guerra, hanno giurato di mantenere il segreto.
Quindi passarono molti decenni prima che ottennero alcun riconoscimento, per non parlare di quello che potresti chiamare il benvenuto dell'eroe che essenzialmente meritavano quando scoppiò la pace nel 1945.
DOUG. Wow, è una bella storia.
E sfortunato che ci sia voluto così tanto tempo per ottenere il riconoscimento, ma fantastico che finalmente l'abbiano ottenuto.
E invito chiunque lo stia ascoltando a visitare il sito per leggerlo.
È chiamato: Donne nella crittografia: l'USPS celebra i decifratori di codici della seconda guerra mondiale.
Pezzo molto buono!
ANATRA. A proposito, Doug, sulla serie di francobolli che puoi acquistare (la serie commemorativa, dove trovi i francobolli su un foglio intero)... attorno ai francobolli, l'USPS ha effettivamente messo un piccolo puzzle crittografico, che abbiamo ripetuto in l'articolo.
Non è così difficile come Enigma o PURPLE, quindi puoi farlo abbastanza facilmente con carta e penna, ma è un bel po' di divertimento commemorativo.
Quindi vieni e prova se vuoi.
Abbiamo anche messo un link a un articolo che abbiamo scritto un paio di anni fa (Cosa possono insegnarci 2000 anni di crittografia) in cui troverai suggerimenti che ti aiuteranno a risolvere il puzzle crittografico USPS.
Buon divertimento con la tua commemorazione!
DOUG. Va bene, quindi restiamo un po' con la casualità e la crittografia, e facciamo una domanda che forse qualcuno si è già posto.
Come casuale sono quei mescolatori di carte automatici che potresti vedere in un casinò?
Sicurezza seria: quanto casualmente (o meno) puoi mischiare le carte?
ANATRA. Sì, un'altra storia affascinante che ho raccolto grazie al guru della crittografia Bruce Schneier, che ne ha scritto sul proprio blog, e ha intitolato il suo articolo Sulla casualità dei mescolatori automatici di carte.
Il giornale di cui stiamo parlando risale, credo, al 2013, e il lavoro che è stato fatto, credo, risalga ai primi anni 2000.
Ma ciò che mi ha affascinato della storia, e mi ha fatto venire voglia di condividerla, è che ha momenti di insegnamento incredibili per le persone che sono attualmente coinvolte nella programmazione, nel campo della crittografia o meno.
E, cosa ancora più importante, nei test e nell'assicurazione della qualità.
Perché, a differenza dei giapponesi, che si rifiutavano di credere che il loro codice VIOLA potesse non funzionare correttamente, questa è la storia di un'azienda che produceva macchine automatiche per mescolare le carte ma pensava: "Sono davvero abbastanza brave?"
O qualcuno potrebbe davvero capire come funzionano e trarre vantaggio dal fatto che non sono abbastanza casuali?
E così hanno fatto di tutto per assumere un trio di matematici dalla California, uno dei quali è anche un abile mago...
…e dissero: “Abbiamo costruito questa macchina. Pensiamo che sia abbastanza casuale, con un miscuglio di carte".
I loro stessi ingegneri avevano fatto di tutto per escogitare test che pensavano avrebbero mostrato se la macchina fosse abbastanza casuale per scopi di mescolamento delle carte, ma volevano una seconda opinione, e così in realtà sono andati a prenderne uno.
E questi matematici hanno osservato come funzionava la macchina e sono stati in grado di inventare, che ci crediate o no, quella che è nota come una formula chiusa.
Lo hanno analizzato completamente: come si sarebbe comportata la cosa, e quindi quali inferenze statistiche avrebbero potuto fare su come sarebbero uscite le carte.
Hanno scoperto che sebbene le carte mescolate avrebbero superato una serie significativa di buoni test di casualità, c'erano ancora un numero sufficiente di sequenze ininterrotte nelle carte dopo che erano state mescolate che consentivano loro di prevedere la carta successiva due volte più del caso.
E sono stati in grado di mostrare il ragionamento con cui sono stati in grado di inventare il loro algoritmo mentale per indovinare la carta successiva due volte meglio di quanto avrebbero dovuto...
...quindi non solo lo facevano in modo affidabile e ripetibile, ma avevano anche la matematica per mostrare in modo formale perché era così.
E la storia è forse più famosa per la risposta terrena ma del tutto appropriata da parte del presidente dell'azienda che li ha assunti.
Avrebbe dovuto dire:
Non siamo contenti delle tue conclusioni, ma ci crediamo, ed è per questo che ti abbiamo assunto.
In altre parole, sta dicendo: “Non ho pagato per essere reso felice. Ho pagato per scoprire i fatti e per agire di conseguenza”.
Se solo più persone lo facessero quando si trattava di ideare test per il loro software!
Perché è facile creare una serie di test che il tuo prodotto supererà e dove se fallisce, sai che qualcosa è decisamente andato storto.
Ma è sorprendentemente difficile elaborare una serie di test che *vale la pena superare* il tuo prodotto.
Ed è quello che ha fatto questa azienda, assumendo dei matematici per esaminare come funzionava il mescolatore di carte.
Ci sono un sacco di lezioni di vita lì dentro, Doug!
DOUG. È una storia divertente e molto interessante.
Ora, ogni settimana generalmente parliamo di una sorta di aggiornamento Apple, ma non questa settimana.
No, no!
Questa settimana abbiamo preso per te… un *megaupdate* di Apple:
Megaupdate Apple: Ventura out, kernel zero-day iOS e iPad: agisci ora!
ANATRA. Sfortunatamente, se hai un iPhone o un iPad, l'aggiornamento copre un giorno zero attualmente attivamente sfruttato, che, come sempre, odora di jailbreak/acquisizione completa di spyware.
E come sempre, e forse comprensibilmente, Apple è molto cauta su cosa sia esattamente lo zero-day, per cosa viene utilizzato e, altrettanto interessante, chi lo sta usando.
Quindi, se hai un iPhone o un iPad, questo è *sicuramente* uno per te.
E confusamente, Doug...
È meglio che lo spieghi, perché in realtà non era ovvio all'inizio... e grazie all'aiuto del lettore, grazie Stefaan dal Belgio, che mi ha inviato screenshot e spiegato esattamente cosa gli è successo quando ha aggiornato il suo iPad!
L'aggiornamento per iPhone e iPad diceva: "Ehi, hai iOS 16.1 e iPadOS 16". (Perché la versione 16 del sistema operativo iPad è stata ritardata.)
Ed è quello che dice il bollettino di sicurezza.
Quando installi l'aggiornamento, la schermata Informazioni di base dice semplicemente "iPadOS 16".
Ma se ingrandisci la schermata della versione principale, entrambe le versioni escono effettivamente come "iOS/iPadOS 16.1".
Quindi questo è l'*aggiornamento* alla versione 16, oltre a questa fondamentale correzione zero-day.
Questa è la parte difficile e confusa... il resto è solo che ci sono molte soluzioni anche per altre piattaforme.
A parte questo, perché è uscito Ventura: macOS 13, con 112 patch numerate CVE, anche se per la maggior parte delle persone non avrebbero avuto la versione beta, quindi questo sarà *aggiornamento* e *aggiornamento* allo stesso tempo...
Poiché macOS 13 è uscito, ciò lascia macOS 10 Catalina indietro di tre versioni.
E sembra davvero che Apple supporti solo ora precedenti e pre-precedenti.
Quindi ci sono *sono* aggiornamenti per Big Sur e Monterey, cioè macOS 11 e macOS 12, ma Catalina è notoriamente assente, Doug.
E fastidiosamente come sempre, quello che non possiamo dirti...
Significa che era semplicemente immune a tutte queste correzioni?
Ciò significa che in realtà ha bisogno di almeno alcune delle correzioni, ma non sono ancora uscite?
O significa che è caduto fuori dal confine del mondo e non riceverai mai più un aggiornamento, che ne abbia bisogno o meno?
Non lo sappiamo
DOUG. Mi sento senza fiato e non ho nemmeno fatto nessuno dei lavori pesanti in quella storia, quindi grazie per questo... è molto.
ANATRA. E non hai nemmeno un iPhone.
DOUG. Di preciso!
Ho un iPad...
ANATRA. E tu?
DOUG. …quindi devo andare e assicurarmi di aggiornarlo.
E questo ci porta nella nostra domanda del giorno del lettore, sulla storia di Apple.
Il commentatore anonimo chiede:
L'aggiornamento 15.7 per iPad risolverà questo problema o devo aggiornare a 16? Sto aspettando che i bug di disturbo minori in 16 vengano risolti prima dell'aggiornamento.
ANATRA. Questo è il secondo livello di confusione, se vuoi, causato da questo.
Ora, la mia comprensione è che quando è uscito iPadOS 15.7, era esattamente lo stesso periodo di iOS 15.7.
Ed è stato, cosa, poco più di un mese fa, credo?
Quindi questo è un vecchio aggiornamento di sicurezza.
E quello che ora non sappiamo è...
C'è ancora un iOS/iPadOS 15.7.1 dietro le quinte che non è ancora uscito, che risolve i buchi di sicurezza che esistono nella versione precedente dei sistemi operativi per quelle piattaforme?
Oppure il tuo percorso di aggiornamento per gli aggiornamenti di sicurezza per iOS e iPadOS ora deve seguire il percorso della versione 16?
Non lo so, e non so come lo dici.
Quindi sembra che (e mi scuso se sembro confuso, Doug, perché lo sono!)...
...sembra che il percorso di *aggiornamento* e *aggiornamento* per gli utenti di iOS e iPadOS 15.7 debba passare alla versione 16.
E in questo momento, ciò significa 16.1.
Questa sarebbe la mia raccomandazione, perché almeno sai di avere la build più recente e migliore, con le ultime e migliori correzioni di sicurezza.
Quindi questa è la risposta lunga.
La risposta breve è, Doug, "Non lo so".
DOUG. Limpido come il fango.
ANATRA. Sì.
Beh, forse non è così chiaro... [RISATE]
Se lasci il fango abbastanza a lungo, alla fine i pezzi si depositano sul fondo e c'è acqua limpida sulla parte superiore.
Quindi forse è quello che devi fare: aspettare e vedere, o semplicemente mordi i proiettili e vai per 16.1.
Lo rendono facile, vero? [RIDE]
DOUG. Va bene, lo terremo d'occhio, perché potrebbe cambiare un po' da qui alla prossima volta.
Grazie mille per aver inviato quel commento, Commentatore anonimo.
Se hai una storia, un commento o una domanda interessante che vorresti inviare, ci piacerebbe leggerla sul podcast.
Puoi inviare un'e-mail a tips@sophos.com, puoi commentare uno qualsiasi dei nostri articoli e puoi contattarci sul social @NakedSecurity.
Questo è il nostro spettacolo di oggi, grazie mille per l'ascolto.
Per Paul Ducklin, sono Doug Aamoth, e ti ricordo fino alla prossima volta di...
TUTTI E DUE. Stai al sicuro!
- blockchain
- Vista chiara
- chiara visione AI
- geniale
- portafogli di criptovaluta
- cryptoexchange
- crittografia
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Perdita di dati
- catenaccio
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Conformità del DPPP
- Kaspersky
- Legge e ordine
- il malware
- Mcafee
- Sicurezza nuda
- Podcast di sicurezza nudo
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Podcast
- Privacy
- casualità
- ransomware
- VPN
- sicurezza del sito Web
- zefiro
![S3 Ep111: Il rischio aziendale di uno squallido "filtro per nudità" [Audio + Testo] PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: Il rischio aziendale di uno squallido \"nudity unfilter\" [Audio + Testo]")
