私たちはあなた自身の利益のためにあなたの顔を削っています! (伝えられるところでは)
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
ダグ・アーモスとポール・ダックリンと。 イントロとアウトロの音楽 エディスマッジ.
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
ダグ。 暗号学、警官のハッキング、Apple のアップデート、そして…カードカウンティング!
NakedSecurityポッドキャストのすべてとそれ以上。
【ミュージックモデム】
皆さん、ポッドキャストへようこそ。
私は Doug Aamoth です。 彼はポール・ダックリンです。
ポール、今日はどう?
アヒル。 私はとても元気です、ありがとう、ダグラス。
そして、私はカードカウンティングのビットを非常に楽しみにしています。これはカウンティングだけでなく、カード シャッフルにも関係するためです。
ダグ。 よし、いいぞ、楽しみだ!
また、技術史のセグメントでは、偶然ではなく非常に計算されたものについて話します。
今週、25 年 2001 月 XNUMX 日に、Windows XP が製品版としてリリースされました。
それは Windows NT オペレーティング システム上に構築され、XP は Windows 2000 と Windows Millennium Edition の両方をそれぞれ「XP Professional Edition」と「XP Home Edition」に置き換えました。
XP Home は、MS-DOS または Windows 95 カーネルに基づいていない最初のコンシューマ バージョンの Windows でした。
そして、個人的には、私はそれが大好きでした。
もっと単純な時代を思い出しただけかもしれません… 実際に覚えているほど良かったかどうかはわかりませんが、以前よりも良くなったことを覚えています.
アヒル。 私はそれに同意します。
ダグ、あなたがそこにかけているかもしれないバラ色のメガネがいくつかあると思います…
ダグ。 うーん、うーん。
アヒル。 …しかし、それが改善であったことに同意する必要があります。
ダグ。 カムアップ、具体的にはカムアップについて少しお話しましょう。 不要な顔認識 フランスでは:
アヒル。 確かに!
通常のリスナーは、私たちが持っていることを知っています 話された Clearview AIという会社 何度も、この会社は物議を醸していると言っても過言ではないと思うからです。
フランスの規制当局は、フランス語と英語の両方で、非常に有益な判決を公表しているか、少なくとも Clearview の判決を公表しています。
したがって、基本的には、次のように説明されています。
Clearview AI は、ソーシャル メディアを含む多くの Web サイトから写真を収集します。 これらのネットワークで直接アクセスできるすべての写真を収集します。 したがって、同社は世界中で 20 億を超える画像を収集しています。
このコレクションのおかげで、同社は、写真を使用して人を見つけることができる検索エンジンの形で、画像データベースへのアクセスを販売しています。 同社はこのサービスを法執行機関に提供しています。
そして、フランスの規制当局の異議は、少なくとも英国とオーストラリアの規制当局によって昨年繰り返されましたが、次のとおりです。 同意なしに、この商業目的で人々の画像をスクレイピングすることはできません. また、GDPR 規則やデータ破壊規則にも準拠していないため、彼らがあなたに連絡して『オプトアウトしたい』と言うのは簡単です。」
したがって、これを実行する場合は、まずオプトインする必要があります。
そして、データを収集した後、データが削除されたことを確認した後でも、それに固執するべきではありません.
そしてフランスの問題は、Doug さん、昨年 XNUMX 月に規制当局が「申し訳ありませんが、これはできません。 データをスクレイピングするのをやめて、フランスのすべての人について得たものを取り除きましょう。 どうもありがとうございました。"
どうやら、規制当局によると、Clearview AI は準拠を望まなかったようです。
ダグ。 ええとああ!
アヒル。 それで今、フランス人が戻ってきて、こう言いました。 あなたはこれが法律であることを理解していないようです。 同じことが当てはまりますが、20 万ユーロも支払わなければなりません。 来ていただきありがとうございます。"
ダグ。 この記事についていくつかのコメントが寄せられています。ご意見をお待ちしております。 匿名でコメントできます。
具体的には、「Clearview AI は本当に有益で社会的に受け入れられるサービスを法執行機関に提供しているのか? それとも、生体認証データを違法に収集し、同意なしに調査追跡目的で商品化することで、私たちのプライバシーをさりげなく踏みにじっていますか?」
よし、このカムアップのテーマに固執して、少し話しましょう DEADBOLTの復活 犯罪者
これは、法執行機関とハッキングが関係する興味深い話です。
アヒル。 これを行った警官には脱帽です。
通常のリスナーは、DEADBOLT を覚えているでしょう。これまでに数回出てきました。
DEADBOLT はランサムウェア ギャングであり、基本的に、ホーム ユーザーまたはスモール ビジネスのネットワーク接続ストレージ [NAS] サーバーを見つけます。
…そして、悪用する方法を知っている脆弱性に対してパッチが適用されていない場合、彼らは侵入し、NAS ボックスをスクランブルするだけです。
彼らは、そこにすべてのバックアップがあり、すべての大きなファイルがあり、すべての重要なものがある場所であると考えました。
「Windows 用のマルウェアと Mac 用のマルウェアを作成しなければならないことや、自分のバージョンを気にする必要はありません。 すぐに入って来て、あなたのファイルをスクランブルして、『600 ドル払って』と言います。」
それが現在のレートです: 気にしなければ、0.03 ビットコインです。
そのため、彼らは消費者志向のアプローチを採用しており、多くの人を攻撃しようとし、毎回ある程度手頃な金額を求めています.
そして、あなたが持っているすべてがそこにバックアップされているとしたら、あなたは感じるかもしれません。 600ドルは大金ですが、私はそれを買う余裕があります。 払います。」
簡単に言うと (これは、この特定のランサムウェアの巧妙な部分であると、しぶしぶ言いました)… 基本的には、Bitcoin ブロックチェーンを介してメッセージを送信することで、興味を持っていることを詐欺師に伝えます。 .
基本的に、指定された一意のビットコイン アドレスにお金を支払います。
彼らは支払いメッセージを受け取ると、解読キーであるコメントを含む $0 の支払いを送り返します。
それが、彼らがあなたと必要とする*唯一の*対話です。
電子メールを使用する必要はなく、ダーク Web サーバーを実行する必要もありません。
しかし、オランダの警察は、詐欺師がプロトコル関連の失敗を犯したと考えました!
あなたのトランザクションがビットコインのエコシステムに到達し、それを採掘する人を探しているとすぐに、スクリプトが復号化キーを送信します.
そして、ビットコインを二重に使うことはできませんが (そうしないとシステムが崩壊してしまいます)、同時に XNUMX つの取引を行うことができます。
そして、ビットコインの採掘者、そして最終的にはビットコインのブロックチェーンがどちらを受け入れると思いますか?
そして、それは警官がしたことです...
ダグ。 [笑] とても賢いです、気に入っています!
アヒル。 彼らは取引手数料ゼロの支払いに固執し、処理に数日かかる可能性がありました.
そして、彼らが詐欺師から復号化キーを取得するとすぐに (彼らは、155 人のユーザーを一緒にクラブしたと思います)... 復号化キーを取得するとすぐに、彼らは二重支払いトランザクションを実行しました。
「同じビットコインをもう一度使いたいのですが、今回は自分たちに返済します。 そして今、私たちは賢明な取引手数料を提供します。」
そのトランザクションは、最終的に実際に承認され、ブロックチェーンにロックされたトランザクションでした…
…そしてもうXNUMXつは無視されて捨てられました… [笑い]いつものように、笑うべきではありません!
ダグ。 [笑い]
アヒル。 したがって、基本的に、詐欺師は支払いが早すぎます。
そして、あなたが法執行機関であり、法的に正当な方法でそれを行っているのであれば、それは*裏切り*ではないと思います…それは基本的に*罠*です.
そして、詐欺師はそこに足を踏み入れました。
最初に述べたように、これが機能するのは XNUMX 回だけです。 プロトコルを変更しましょう。 最初にトランザクションがブロックチェーン上で確認されるのを待ちましょう。そして、後でそれを打ち負かすトランザクションを誰も持ち込めないことがわかったら、復号化キーを送信します。」
アヒル。 しかし、オランダ警察に助けを求めた 155 か国の被害者から 13 個の復号化キーを入手したことを知った詐欺師たちは、足を踏み入れることはありませんでした。
そう、 帽子 [「帽子をかぶる」という意味のフランス語のサイクリング スラング]、彼らが言うように!
ダグ。 それは素晴らしい… XNUMX つの連続したポジティブな話です。
そして、この次のストーリーでポジティブな雰囲気を維持しましょう.
それは暗号学における女性についてです。
彼らは、第二次世界大戦の暗号解読者を祝っている米国郵政公社から表彰されました。
これについてすべて教えてください – これは とても面白い話、ポール:
アヒル。 はい、これは Naked Security で書くべき素晴らしいことの XNUMX つでした。 暗号学の女性 – 米国郵政公社は第二次世界大戦の暗号解読者を称える.
これは、第二次世界大戦中の英国の暗号化の取り組みであり、主に有名なエニグマ マシンなどのナチスの暗号を解読しようと試みました。
しかし、ご想像のとおり、米国は太平洋戦域から大きな問題に直面し、日本の暗号、特に PURPLE として知られる XNUMX つの暗号に対処しようとしました。
ナチスのエニグマとは異なり、これは購入できる商用デバイスではありませんでした。
それは実際には軍隊から出てきた国産の機械で、考えてみれば「ベーステン」スイッチのような電話交換リレーに基づいていました。
だから、それと同じように ブレッチレイパーク 英国では秘密裏に 10,000 人以上を雇用していました… 私はこれに気づきませんでしたが、戦時中に日本の暗号を扱おうとするために、暗号学、暗号クラッキングに採用された女性が 10,000 人をはるかに超えていたことが判明しました。
すべてのアカウントで、彼らは非常に成功しました。
1940 年代初頭に Genevieve Grotjan と呼ばれる米国の暗号学者の XNUMX 人によって行われた暗号のブレークスルーがあり、明らかにこれが日本の秘密の読み取りに目覚ましい成功をもたらしました。
そして、米国郵政公社の切手シリーズから引用します。
彼らは日本の艦隊の通信を解読し、ドイツのUボートが重要な貨物船を沈めるのを防ぎ、日本の航路と外交メッセージを明らかにする暗号化システムを破るために働きました.
それが本当に非常に、非常に、有用な知性をあなたに与えることを想像することができます... あなたはそれが戦争を短縮するのに役立ったと仮定しなければなりません.
幸いなことに、日本人は(明らかにナチスによって)彼らの暗号は解読可能であるか、すでに解読されていると警告されていましたが、彼らはそれを信じることを拒否し、戦争中ずっと PURPLE を使い続けました.
そして、当時の女性の暗号学者たちは、太陽が輝いている間、間違いなくひそかに干し草を作っていました.
残念なことに、ブレッチリー・パークで戦時中のすべての英雄 (再び、ほとんどが女性) と共に英国で起こったのと同じように…
…戦後、彼らは秘密厳守を誓った。
したがって、1945 年に平和が勃発したとき、彼らが本質的に値する英雄の歓迎と呼ばれるものは言うまでもなく、彼らがまったく認識されるまでには何十年もかかりました.
ダグ。 うわー、それはクールな話です。
残念なことに、承認を得るまでに長い時間がかかりましたが、最終的に承認されたことは素晴らしいことです。
そして、これを聞いている人は誰でも、サイトにアクセスしてそれを読むことをお勧めします.
それは呼ばれています: 暗号学の女性 – USPS は第二次世界大戦の暗号解読者を称える.
とても良い作品です!
アヒル。 ところで、ダグ、購入できる切手シリーズ (切手が XNUMX 枚に収まる記念シリーズ) についてですが、USPS は実際に切手の周りに小さな暗号パズルを置いています。記事。
EnigmaやPURPLEほど難しくないので、ペンと紙でかなり簡単にできますが、ちょっとした記念の楽しみです.
では、よろしかったらお越しください。
数年前に書いた記事へのリンクも貼っておきます (2000 年の暗号技術が教えてくれること) には、USPS 暗号パズルを解くのに役立つヒントがあります。
あなたの記念と一緒に行くのは楽しいです!
ダグ。 では、ランダム性と暗号化について少しだけ触れて、以前に疑問に思ったことがあるかもしれない質問をしましょう。
認定条件 ランダム カジノで見かける自動カード シャッフラーはありますか?
アヒル。 はい、それについて書いた暗号の第一人者ブルース・シュナイアーのおかげで、私が取り上げた別の興味深い話 自身のブログで、そして彼は彼の記事にタイトルを付けました 自動カードシャッフルのランダム性について.
私たちが話している論文は 2013 年にさかのぼり、行われた研究は 2000 年代初頭にさかのぼると思います。
しかし、この話に魅了され、それを共有したいと思ったのは、暗号の分野であるかどうかにかかわらず、現在プログラミングに携わっている人々にとって信じられないほど教えることができる瞬間があるということです.
さらに重要なのは、テストと品質保証です。
PURPLE 暗号が正しく機能していない可能性があると信じることを拒否した日本人とは異なり、これは、自動カード シャッフル マシンを製造した会社が、「それで十分なのか?」と考えた話だからです。
それとも、誰かが実際にそれらがどのように機能するかを理解し、十分にランダムではないという事実から利点を得ることはできますか?
そこで、彼らはわざわざカリフォルニアから XNUMX 人の数学者を雇いましたが、そのうちの XNUMX 人は熟練した魔術師でもありました…
…そして彼らはこう言いました。 カードを XNUMX 回シャッフルするだけで十分にランダムだと考えています。」
彼ら自身のエンジニアは、マシンがカード シャッフルの目的で十分にランダムであるかどうかを示すと思われるテストを考案するのに苦労しましたが、セカンド オピニオンが必要だったので、実際に外に出て XNUMX つを得ました。
そして、これらの数学者は機械がどのように機能するかを調べ、信じられないかもしれませんが、閉じた公式として知られているものを思いつくことができました.
彼らはそれを完全に分析しました。物事がどのように動作するか、したがって、カードがどのように出てくるかについてどのような統計的推論を行うことができるかです.
彼らは、シャッフルされたカードが一連の優れたランダム性テストに合格することを発見しましたが、シャッフルされた後もカードには十分な数の連続したシーケンスがあり、次のカードを XNUMX 回予測することと、チャンスを予測することができました。
そして、彼らは、次のカードを XNUMX 回推測するためのメンタル アルゴリズムを考え出すことができた理由を示すことができました…
…つまり、彼らはそれを確実かつ再現可能に実行しただけでなく、なぜそうなったのかを定式的に示す数学を実際に持っていたのです。
そして、この話はおそらく、彼らを雇った会社の社長からの素朴だが完全に適切な反応で最も有名です.
彼は次のように言ったとされています。
私たちはあなたの結論に満足していませんが、私たちはそれを信じており、それが私たちがあなたを雇った理由です.
言い換えれば、彼はこう言っているのです。 私は事実を見つけ出し、それに基づいて行動するためにお金を払いました。」
ソフトウェアのテストを考案する際に、より多くの人がそうしてくれれば!
製品が合格する一連のテストを作成するのは簡単なので、失敗した場合はどこで問題が発生したかがわかります。
しかし、*製品が合格する価値がある*一連のテストを考え出すのは驚くほど困難です。
そして、この会社は、数学者を雇ってカード シャッフル マシンがどのように機能するかを調べたのです。
そこにはたくさんの人生の教訓があります、ダグ!
ダグ。 面白い話でとても面白いです。
さて、私たちは通常、ある種の Apple のアップデートについて話していますが、今週は話していません。
いやいや!
今週は あなたのために… Apple *megaupdate*:
Apple メガアップデート: Ventura アウト、iOS および iPad カーネルのゼロデイ – 今すぐ行動しましょう!
アヒル。 残念なことに、iPhone または iPad をお持ちの場合、この更新プログラムは、現在活発に悪用されているゼロデイを対象としています。
いつものように、おそらく当然のことながら、Apple はゼロデイとは何か、何に使用されているのか、そして興味深いことに、誰がゼロデイを使用しているのかについて、非常に慎重です。
したがって、iPhone または iPad をお持ちの場合、これは *間違いなく* XNUMX つです。
そして紛らわしいことに、ダグ…
これについては、最初ははっきりとは分からなかったので、説明したほうがいいでしょう…読者の助けのおかげで、ベルギーの Stefaan に感謝します。彼は私にスクリーンショットを送ってくれて、彼が iPad を更新したときに彼に何が起こったのかを正確に説明してくれました!
iPhone と iPad のアップデートには、「iOS 16.1 と iPadOS 16 が搭載されています」とありました。 (iPad OS バージョン 16 が遅れたため。)
そして、それがセキュリティ速報に書かれていることです。
アップデートをインストールすると、基本的なバージョン情報画面に「iPadOS 16」とだけ表示されます。
しかし、メインのバージョン画面を拡大すると、どちらのバージョンも実際には「iOS/iPadOS 16.1」と出てきます。
以上が、バージョン 16 への*アップグレード*と、この重要なゼロデイ修正です。
それは難しくて紛らわしい部分です...残りは、他のプラットフォームにも多くの修正があるということです.
それ以外は、Ventura が登場したため – macOS 13 には 112 の CVE 番号のパッチが付いていますが、ほとんどの人はベータ版を持っていないので、*アップグレード* と *アップデート* が同時に行われます…
macOS 13 が登場したため、macOS 10 Catalina は XNUMX バージョン遅れています。
実際、Apple は以前と以前のバージョンをサポートしているように見えます。
つまり、ビッグサーとモントレー、つまり macOS 11 と macOS 12 の更新がありますが、Catalina がないことで有名です、ダグ。
そしていつものように厄介なことに、私たちがあなたに言えないことは…
それは単にこれらすべての修正の影響を受けなかったということですか?
それは、実際には少なくともいくつかの修正が必要であるということですが、まだ出ていないということですか?
それとも、世界の端から落ちて、必要かどうかに関係なく、二度と更新されないことを意味しますか?
私たちは知らない。
ダグ。 私はうんざりしていて、その話で重いものを持ち上げることさえしなかったので、それをありがとう… それはたくさんあります.
アヒル。 そして、あなたはiPhoneすら持っていません。
ダグ。 まさに!
iPadを持っている…
アヒル。 あ、そうですか。
ダグ。 …だから私は行って、それを最新のものにする必要があります。
そして、それは今日の読者の質問、Apple の話につながります。
匿名のコメンターは次のように尋ねます。
iPad の 15.7 アップデートでこれは解決されますか? それとも 16 にアップデートする必要がありますか? 16 のマイナーな迷惑バグが解決されるまで待ってから更新します。
アヒル。 あなたが望むなら、これはこれによって引き起こされる第XNUMXレベルの混乱です.
さて、私の理解では、iPadOS 15.7 が登場したとき、それは iOS 15.7 とまったく同じ時期でした。
そして、それは、なんと、ちょうどXNUMXか月前だったと思いますか?
つまり、これは昔のセキュリティ アップデートです。
そして、私たちが今知らないことは…
iOS/iPadOS 15.7.1 はまだリリースされていませんが、これらのプラットフォーム用のオペレーティング システムの以前のバージョンに存在していたセキュリティ ホールを修正していますか?
それとも、iOS および iPadOS のセキュリティ アップデートのアップデート パスは、バージョン 16 ルートをたどることになりましたか?
私にはわかりません、そしてあなたがどのように言うかわかりません。
みたいな感じです (混乱しているように聞こえたらごめんなさい、ダグ、私はそうなので!)…
…iOS および iPadOS 15.7 のユーザー向けの *アップデート* および *アップグレード* パスは、バージョン フレーバー 16 に移行するようです。
そして現時点では、それは 16.1 を意味します。
少なくとも、最新かつ最高のセキュリティ修正が適用された最新かつ最高のビルドを持っていることがわかるからです。
それが長い答えです。
手短に言えば、ダグ、「わからない」です。
ダグ。 泥のように澄んでいる。
アヒル。 はい。
まあ、おそらくそれほど明確ではありません... [笑い]
泥を十分に長く放置すると、最終的にビットが底に沈み、上に澄んだ水ができます.
ですから、それがあなたがしなければならないことかもしれません: 様子を見るか、ただ我慢して 16.1 に行くかです。
彼らはそれを簡単にしますよね? [笑う]
ダグ。 わかりました、私たちはそれを監視します。なぜなら、それは今と次回の間に少し変わる可能性があるからです.
匿名のコメンターさん、コメントをお送りいただきありがとうございます。
投稿したい興味深いストーリー、コメント、質問がある場合は、ポッドキャストで読んでください。
tips@sophos.com に電子メールを送信するか、ソフォスの記事にコメントするか、ソーシャル @NakedSecurity で連絡してください。
それが今日の私たちのショーです、聞いてくれてありがとう。
ポール・ダックリンの場合、私はダグ・アーモスです。次回まで…
どちらも。 安全を確保してください!
![S3 Ep111: 卑劣な「ヌードフィルター解除」のビジネスリスク [音声 + テキスト] PlatoBlockchain Data Intelligence。垂直検索。あい。](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "シーズン 3 Ep111: 卑劣な「ヌード アンフィルター」のビジネス リスク [オーディオ + テキスト]")
