S3 Ep106: Ansiktsgjenkjenning uten samtykke – bør det forbys?

Klikk og dra på lydbølgene nedenfor for å hoppe til et hvilket som helst punkt. Du kan også lytte direkte på Soundcloud.

---

DOUG.  Kryptologi, politi som hacker tilbake, Apple-oppdateringer og… korttelling!

Alt det, og mer, på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det i dag?

---

AND.  Jeg har det veldig bra, takk, Douglas.

Og jeg gleder meg veldig til korttellingsbiten, ikke minst fordi det ikke bare handler om telling, det handler også om kortstokking.

---

DOUG.  Greit, veldig bra, ser frem til det!

Og i Tech History-segmentet vårt skal vi snakke om noe som ikke var tilfeldig – det var veldig kalkulert.

Denne uken, 25. oktober 2001, ble Windows XP lansert til detaljhandel.

Den ble bygget på Windows NT-operativsystemet, og XP erstattet både Windows 2000 og Windows Millennium Edition som henholdsvis "XP Professional Edition" og "XP Home Edition".

XP Home var den første forbrukerversjonen av Windows som ikke var basert på MS-DOS eller Windows 95-kjernen.

Og, på en personlig note, jeg elsket det.

Jeg husker kanskje bare enklere tider... Jeg vet ikke om det faktisk var så bra som jeg husker det, men jeg husker det var bedre enn det vi hadde før.

---

AND.  Jeg er enig i det.

Jeg tror det er noen rosafargede briller du kan ha på deg der, Doug...

---

DOUG.  Umm-hmmm.

---

AND.  …men jeg må si meg enig i at det var en forbedring.

---

DOUG.  La oss snakke litt om comeuppance, spesielt, comeuppance for uønsket ansiktsgjenkjenning i Frankrike:

Clearview AI bildeskrapende ansiktsgjenkjenningstjeneste fikk 20 millioner euro i bot i Frankrike

---

AND.  Faktisk!

Vanlige lyttere vil vite at vi har snakket om et selskap kalt Clearview AI mange ganger, fordi jeg synes det er rimelig å si at dette selskapet er kontroversielt.

Den franske regulatoren publiserer veldig hjelpsomt sine avgjørelser, eller har i det minste publisert sine Clearview-avgjørelser, både på fransk og engelsk.

Så i bunn og grunn, her er hvordan de beskriver det:

Clearview AI samler bilder fra mange nettsteder, inkludert sosiale medier. Den samler alle bildene som er direkte tilgjengelige på disse nettverkene. Dermed har selskapet samlet over 20 milliarder bilder over hele verden.

Takket være denne samlingen markedsfører selskapet tilgang til bildedatabasen sin i form av en søkemotor der en person kan bli funnet ved hjelp av et fotografi. Selskapet tilbyr denne tjenesten til rettshåndhevende myndigheter.

Og den franske regulatorens innvending, som ble gjentatt i fjor av minst Storbritannia og den australske regulatoren også, er: «Vi anser dette som ulovlig i vårt land. Du kan ikke skrape folks bilder for dette kommersielle formålet uten deres samtykke. Og du overholder heller ikke GDPR-regler, regler for dataødeleggelse, noe som gjør det enkelt for dem å kontakte deg og si: «Jeg vil velge bort».

Så, for det første, bør det velges hvis du vil kjøre dette.

Og etter å ha samlet inn tingene, bør du ikke henge på det selv etter at de vil forsikre seg om at dataene deres er fjernet.

Og problemet i Frankrike, Doug, er at regulatoren i desember i fjor sa: «Beklager, du kan ikke gjøre dette. Slutt å skrape data, og bli kvitt det du har på alle i Frankrike. Tusen takk."

Tilsynelatende, ifølge regulatoren, virket det bare ikke som om Clearview AI ønsket å overholde.

---

DOUG.  UH oh!

---

AND.  Så nå har franskmennene kommet tilbake og sagt: «Du ser ikke ut til å ville høre. Du ser ikke ut til å forstå at dette er loven. Nå gjelder det samme, men du må også betale €20 millioner. Takk for at du kom."

---

DOUG.  Vi har noen kommentarer på vei til artikkelen ... vi vil gjerne høre hva du synes; du kan kommentere anonymt.

Spesielt er spørsmålene vi stiller: «Gir Clearview AI virkelig en fordelaktig og sosialt akseptabel tjeneste til rettshåndhevelse? Eller er det tilfeldig å tråkke på personvernet vårt ved å samle inn biometriske data ulovlig og kommersialisere det for etterforskningsformål uten samtykke?»

Greit, la oss holde oss til dette temaet med oppstart, og snakke om litt comeuppance for DEADBOLT kriminelle.

Dette er en interessant historie, som involverer rettshåndhevelse og hacking tilbake!

Når politiet hacker tilbake: nederlandsk politi fleece DEADBOLT-kriminelle (lovlig!)

---

AND.  Hatten av for politiet for å gjøre dette, selv om det, som vi skal forklare, var en engangsting.

Vanlige lyttere vil huske DEADBOLT – den har dukket opp et par ganger før.

DEADBOLT er løsepengevaregjengen som i utgangspunktet finner Network Attached Storage [NAS]-serveren din hvis du er hjemmebruker eller en liten bedrift...

…og hvis det ikke er lappet mot en sårbarhet de vet hvordan de skal utnytte, kommer de inn, og de forvrider NAS-boksen din.

De regnet med at det var der alle sikkerhetskopiene dine er, det er der alle de store filene dine er, det er der alle viktige ting er.

«La oss ikke bekymre oss for å måtte skrive skadelig programvare for Windows og skadelig programvare for Mac, og bekymre oss for hvilken versjon du har. Vi går rett inn, forvrider filene dine, og sier deretter «Betal oss 600 dollar».

Det er gjeldende kurs: 0.03 bitcoins, hvis du ikke har noe imot det.

Så de tar den forbrukerorienterte tilnærmingen med å prøve å treffe mange mennesker og ber om et rimelig beløp hver gang.

Og jeg antar at hvis alt du har er sikkerhetskopiert på der, så kan du føle: «Vet du hva? $600 er mye penger, men jeg har omtrent råd til det. Jeg betaler."

For å forenkle saker (og vi har motvillig sagt, dette er en smart del, hvis du vil, av denne spesielle løsepengevaren) ... i utgangspunktet, det du gjør er å fortelle skurkene at du er interessert ved å sende dem en melding via Bitcoin-blokkjeden .

I utgangspunktet betaler du dem pengene til en spesifisert, unik Bitcoin-adresse.

Når de får betalingsmeldingen, sender de tilbake en betaling på $0 ​​som inkluderer en kommentar som er dekrypteringsnøkkelen.

Så det er den *eneste* interaksjonen de trenger med deg.

De trenger ikke å bruke e-post, og de trenger ikke å kjøre noen mørke webservere.

Men de nederlandske politiet regnet med at skurkene hadde gjort en protokollrelatert tabbe!

Så snart transaksjonen din traff Bitcoin-økosystemet, på jakt etter noen til å utvinne den, ville skriptet deres sende dekrypteringsnøkkelen.

Og det viser seg at selv om du ikke kan dobbeltbruke bitcoins (ellers ville systemet falle fra hverandre), kan du sette inn to transaksjoner samtidig, en med et høyt transaksjonsgebyr og en med et veldig lavt eller null transaksjonsgebyr.

Og gjett hvilken bitcoin-gruvearbeiderne og til slutt bitcoin blockchain vil godta?

Og det var det politiet gjorde...

---

DOUG.  [LETER] Veldig smart, jeg liker det!

---

AND.  De ville holde inn en betaling med null transaksjonsgebyr, som kan ta dager å bli behandlet.

Og så, så snart de fikk tilbake dekrypteringsnøkkelen fra skurkene (de hadde, tror jeg, 155 brukere som de liksom klubbet sammen)... så snart de fikk tilbake dekrypteringsnøkkelen, gjorde de en dobbeltbrukstransaksjon.

"Jeg vil bruke den samme Bitcoin igjen, men denne gangen skal vi betale tilbake til oss selv. Og nå vil vi tilby et fornuftig transaksjonsgebyr.»

Så den transaksjonen var den som til slutt faktisk ble bekreftet og låst inn i blokkjeden ...

…og den andre ble bare ignorert og kastet… [ler] som alltid, burde ikke le!

---

DOUG.  [LETER]

---

AND.  Så i utgangspunktet betalte skurkene ut for tidlig.

Og jeg antar at det ikke er *forræderi* hvis du er rettshåndhevelse, og du gjør det på en juridisk berettiget måte... det er i bunn og grunn en *felle*.

Og skurkene gikk inn i den.

Som jeg nevnte i begynnelsen, kan dette bare fungere én gang fordi, selvfølgelig, skurkene regnet med: «Å, kjære, vi burde ikke gjøre det på den måten. La oss endre protokollen. La oss vente til transaksjonen blir bekreftet på blokkjeden først, og så når vi vet at ingen kan komme sammen med en transaksjon som vil trumfe den senere, først da vil vi sende ut dekrypteringsnøkkelen."

---

AND.  Men skurkene fikk flatfot til 155 dekrypteringsnøkler fra ofre i 13 forskjellige land som ba det nederlandske politiet om hjelp.

Så, hatt [Fransk sykkelslang for en "hat doff"], som de sier!

---

DOUG.  Det er flott ... det er to positive historier på rad.

Og la oss holde de positive vibbene i gang med denne neste historien.

Den handler om kvinner i kryptologi.

De har blitt hedret av US Postal Service, som feirer kodebrytere fra andre verdenskrig.

Fortell oss alt om dette - dette er en veldig interessant historie, Paul:

Kvinner i kryptologi – USPS feirer WW2-kodebrytere

---

AND.  Ja, det var en av de fine tingene å skrive om på Naked Security: Kvinner i kryptologi - United States Postal Service feirer kodebrytere fra andre verdenskrig.

Nå har vi dekket Bletchley Park-kodebrudd, som er Storbritannias kryptografiske innsats under andre verdenskrig, hovedsakelig for å prøve å knekke nazistiske chiffer som den velkjente Enigma-maskinen.

Imidlertid, som du kan forestille deg, sto USA overfor et stort problem fra krigsteateret i Stillehavet, og prøvde å håndtere japanske chiffer, og spesielt en chiffer kjent som PURPLE.

I motsetning til nazistenes Enigma, var ikke dette en kommersiell enhet som kunne kjøpes.

Det var faktisk en hjemmelaget maskin som kom ut av militæret, basert på telefonkoblingsreléer, som, hvis du tenker på det, er på en måte som "base ti" brytere.

Altså på samme måte som Bletchley Park i Storbritannia sysselsatte mer enn 10,000 10,000 personer i hemmelighet... Jeg skjønte ikke dette, men det viste seg at det var godt over XNUMX XNUMX kvinner rekruttert til kryptologi, til kryptografisk cracking, i USA for å prøve å håndtere japanske chiffer under krigen.

Etter alt å dømme var de ekstremt vellykkede.

Det var et kryptografisk gjennombrudd på begynnelsen av 1940-tallet av en av de amerikanske kryptologene kalt Genevieve Grotjan, og tilsynelatende førte dette til spektakulære suksesser med å lese japanske hemmeligheter.

Og jeg skal bare sitere fra US Postal Service, fra deres frimerkeserie:

De dechiffrerte japansk flåtekommunikasjon, bidro til å forhindre tyske U-båter i å senke livsviktige lasteskip, og arbeidet for å bryte krypteringssystemene som avslørte japanske fraktruter og diplomatiske meldinger.

Du kan forestille deg at det gir deg veldig, veldig, brukbar intelligens... som du må anta har bidratt til å forkorte krigen.

Heldigvis, selv om japanerne hadde blitt advart (tilsynelatende av nazistene) om at chifferet deres enten var knusbart eller allerede var ødelagt, nektet de å tro det, og de fortsatte å bruke LILLA gjennom hele krigen.

Og datidens kvinnelige kryptologer laget definitivt høy i hemmelighet mens solen skinte.

Dessverre, akkurat som det skjedde i Storbritannia med alle krigsheltene (igjen, de fleste kvinner) på Bletchley Park ...

…etter krigen ble de sverget til hemmelighold.

Så det var mange tiår før de fikk noen anerkjennelse i det hele tatt, enn si det du kan kalle heltens velkomst som de egentlig fortjente da freden brøt ut i 1945.

---

DOUG.  Wow, det er en kul historie.

Og uheldig at det tok så lang tid å få anerkjennelsen, men flott at de endelig fikk den.

Og jeg oppfordrer alle som hører på dette til å gå til siden for å lese det.

Det heter: Kvinner i kryptologi – USPS feirer kodebrytere fra andre verdenskrig.

Veldig bra stykke!

---

AND.  Forresten, Doug, på frimerkeserien du kan kjøpe (minneserien, hvor du får frimerkene på et fullstendig ark)... rundt frimerkene har USPS faktisk lagt et lite kryptografisk puslespill, som vi har gjentatt i artikkelen.

Det er ikke så vanskelig som Enigma eller LILLA, så du kan faktisk gjøre det ganske enkelt med penn og papir, men det er en god bit av minnemoro.

Så kom innom og prøv hvis du vil.

Vi har også lagt inn en lenke til en artikkel som vi skrev for et par år siden (Hva 2000 år med kryptografi kan lære oss) der du finner hint som vil hjelpe deg med å løse USPS kryptografiske puslespill.

Litt moro å gå med markeringen din!

---

DOUG.  Greit, så la oss holde oss til tilfeldighet og kryptografi litt, og stille et spørsmål som kanskje noen har lurt på før.

Hvordan tilfeldig er de automatiske kortstokkerne du kanskje ser på et kasino?

Seriøs sikkerhet: Hvor tilfeldig (eller ikke) kan du blande kort?

---

AND.  Ja, nok en fascinerende historie som jeg plukket opp takket være kryptografi-guruen Bruce Schneier, som skrev om den på sin egen blogg, og han ga tittelen sin artikkel Om tilfeldigheten til automatiske kortstokkere.

Papiret vi snakker om går tilbake, tror jeg, til 2013, og arbeidet som ble gjort, tror jeg, går tilbake til tidlig på 2000-tallet.

Men det som fascinerte meg med historien, og fikk meg til å ville dele den, er at den har utrolige lærerike øyeblikk for folk som for tiden er involvert i programmering, enten det er innen kryptografi eller ikke.

Og, enda viktigere, i testing og kvalitetssikring.

For i motsetning til japanerne, som nektet å tro at deres LILLA-chiffer kanskje ikke fungerer som det skal, er dette en historie om et selskap som laget automatiske kortstokkingsmaskiner, men regnet med: "Er de virkelig gode nok?"

Eller kan noen faktisk finne ut hvordan de fungerer, og få en fordel av at de ikke er tilfeldige nok?

Og så de gjorde alt de kunne for å ansette en trio av matematikere fra California, hvorav en også er en dyktig magiker...

…og de sa: «Vi bygde denne maskinen. Vi tror det er tilfeldig nok, med én stokking av kortene.»

Deres egne ingeniører hadde gjort alt de kunne for å lage tester som de trodde skulle vise om maskinen var tilfeldig nok for kortstokkingsformål, men de ville ha en second opinion, og derfor gikk de faktisk ut og fikk en.

Og disse matematikerne så på hvordan maskinen fungerte, og var i stand til å komme opp, tro det eller ei, med det som er kjent som en lukket formel.

De analyserte det fullstendig: hvordan tingen ville oppføre seg, og derfor hvilke statistiske slutninger de kunne gjøre om hvordan kortene ville komme ut.

De oppdaget at selv om de stokkede kortene ville bestå et betydelig batteri av gode tilfeldighetstester, var det fortsatt tilstrekkelig mange uavbruttede sekvenser i kortene etter at de var stokket til at de kunne forutsi neste kort dobbelt så vel som tilfeldigheter.

Og de var i stand til å vise resonnementet som de var i stand til å komme opp med sin mentale algoritme for å gjette neste kort dobbelt så godt som de burde ...

…så ikke bare gjorde de det pålitelig og gjentatte ganger, de hadde faktisk matematikken til å vise formelt hvorfor det var tilfelle.

Og historien er kanskje mest kjent for det jordnære, men helt passende svaret fra presidenten for selskapet som ansatte dem.

Han skal ha sagt:

Vi er ikke fornøyd med konklusjonene dine, men vi tror på dem, og det er det vi ansatte deg for.

Med andre ord, han sier: «Jeg betalte ikke for å bli lykkelig. Jeg betalte for å finne ut fakta og handle ut fra dem.»

Hvis bare flere gjorde det når det kom til å lage tester for programvaren deres!

Fordi det er enkelt å lage et sett med tester som produktet ditt vil bestå, og hvis det mislykkes, vet du at noe definitivt har gått galt.

Men det er overraskende vanskelig å komme opp med et sett med tester som det er *verdt produktet ditt passerer*.

Og det var det dette selskapet gjorde, ved å ansette matematikere for å se på hvordan kortstokkingsmaskinen fungerte.

Ganske mange livsleksjoner der inne, Doug!

---

DOUG.  Det er en morsom historie og veldig interessant.

Nå snakker vi vanligvis om en slags Apple-oppdatering hver uke, men ikke denne uken.

Nei nei!

Denne uken har vi har til deg… en Apple *megaoppdatering*:

Apple megaoppdatering: Ventura ut, iOS- og iPad-kjernen zero-day – handle nå!

---

AND.  Dessverre, hvis du har en iPhone eller en iPad, dekker oppdateringen en null-dag som for øyeblikket utnyttes aktivt, som som alltid lukter jailbreak/komplett overtakelse av spyware.

Og som alltid, og kanskje forståelig nok, er Apple veldig opptatt av nøyaktig hva nulldagen er, hva den brukes til, og, like interessant, hvem som bruker den.

Så hvis du har en iPhone eller en iPad, er dette *definitivt* en for deg.

Og forvirrende nok, Doug...

Jeg bør forklare dette, for det var faktisk ikke åpenbart med det første... og takket være litt leserhjelp, takk Stefaan fra Belgia, som har sendt meg skjermbilder og forklart nøyaktig hva som skjedde med ham da han oppdaterte iPaden sin!

Oppdateringen for iPhones og iPads sa: "Hei, du har iOS 16.1 og iPadOS 16". (Fordi iPad OS versjon 16 ble forsinket.)

Og det er hva sikkerhetsbulletinen sier.

Når du installerer oppdateringen, sier den grunnleggende Om-skjermen bare "iPadOS 16".

Men hvis du zoomer inn på hovedversjonsskjermen, kommer begge versjonene faktisk ut som "iOS/iPadOS 16.1".

Så det er *oppgraderingen* til versjon 16, pluss denne viktige null-dagers løsningen.

Det er den vanskelige og forvirrende delen ... resten er bare at det er mange rettelser for andre plattformer også.

Bortsett fra det, fordi Ventura kom ut – macOS 13, med 112 CVE-nummererte patcher, men for de fleste vil de ikke ha hatt betaen, så dette vil være *oppgradering* og *oppdatering* på samme tid...

Fordi macOS 13 kom ut, etterlater det macOS 10 Catalina tre versjoner.

Og det ser faktisk ut som om Apple først nå støtter tidligere og tidligere.

Så det *finnes* oppdateringer for Big Sur og Monterey, det er macOS 11 og macOS 12, men Catalina er notorisk fraværende, Doug.

Og like irriterende som alltid, det vi ikke kan fortelle deg...

Betyr det at den rett og slett var immun mot alle disse rettelsene?

Betyr det at den faktisk trenger i det minste noen av rettelsene, men de har bare ikke kommet ut ennå?

Eller betyr det at den har falt utenfor kanten av verden og at du aldri vil få en oppdatering igjen, enten den trenger en eller ikke?

Vi vet ikke.

---

DOUG.  Jeg føler meg forvirret, og jeg gjorde ikke engang noen av de tunge løftene i den historien, så takk for det... det er mye.

---

AND.  Og du har ikke engang en iPhone.

---

DOUG.  Nøyaktig!

Jeg har en iPad...

---

AND.  Å, gjør du det?

---

DOUG.  …så jeg må gå og sørge for at jeg får den oppdatert.

Og det leder oss inn på dagens leserspørsmål, om Apple-historien.

Anonym kommentator spør:

Vil 15.7-oppdateringen for iPad løse dette, eller må jeg oppdatere til 16? Jeg venter til de mindre plagsomme feilene i 16 er løst før jeg oppdaterer.

---

AND.  Det er det andre nivået av forvirring, hvis du vil, forårsaket av dette.

Nå forstår jeg at da iPadOS 15.7 kom ut, var det nøyaktig samme tid som iOS 15.7.

Og det var, hva, for litt over en måned siden, tror jeg?

Så det er en gammeldags sikkerhetsoppdatering.

Og det vi nå ikke vet er...

Er det en iOS/iPadOS 15.7.1 fortsatt i kulissene som ikke har kommet ut ennå, som fikser sikkerhetshull som finnes i den forrige versjonen av operativsystemene for disse plattformene?

Eller skal oppdateringsbanen din for sikkerhetsoppdateringer for iOS og iPadOS nå gå nedover versjon 16-ruten?

Jeg vet bare ikke, og jeg vet ikke hvordan du forteller det.

Så det ser ut som om (og jeg beklager hvis jeg høres forvirret ut, Doug, for det er jeg!)...

…det ser ut som om *oppdateringen* og *oppgraderingsbanen for brukere av iOS og iPadOS 15.7 skal skifte til versjon 16.

Og på dette nåværende tidspunkt betyr det 16.1.

Det vil være min anbefaling, for da vet du i det minste at du har den nyeste og beste konstruksjonen, med de nyeste og beste sikkerhetsfiksene.

Så det er det lange svaret.

Det korte svaret er, Doug, "Vet ikke."

---

DOUG.  Klar som gjørme.

---

AND.  Ja.

Vel, kanskje ikke så klart … [LATER]

Hvis du lar gjørme ligge lenge nok, legger bitene seg til slutt til bunnen og det er klart vann på toppen.

Så kanskje det er det du må gjøre: vente og se, eller bare bite i det og gå for 16.1.

De gjør det enkelt, ikke sant? [LETER]

---

DOUG.  Greit, vi skal holde øye med det, for det kan endre seg litt mellom nå og neste gang.

Tusen takk for at du sendte inn den kommentaren, anonym kommentator.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.

Du kan sende en e-post til tips@sophos.com, du kan kommentere hvilken som helst av artiklene våre, og du kan kontakte oss på sosiale @NakedSecurity.

Det er showet vårt for i dag, tusen takk for at du lyttet.

For Paul Ducklin, jeg er Doug Aamoth, og minner deg på til neste gang om å...

---

BÅDE.  Hold deg trygg!