ESTAMOS RASPARANDO SEUS ROSTO PARA O SEU PRÓPRIO BEM! (ALEGADAMENTE)
Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.
Com Doug Aamoth e Paul Ducklin. Música de introdução e final de Edith Mudge.
Você pode nos ouvir em Soundcloud, Podcasts da Apple, Google Podcasts, Spotify, Costureiro e em qualquer lugar que bons podcasts sejam encontrados. Ou simplesmente solte o URL do nosso feed RSS em seu podcatcher favorito.
LEIA A TRANSCRIÇÃO
DOUG. Criptologia, policiais hackeando, atualizações da Apple e… contagem de cartas!
Tudo isso e muito mais no podcast Naked Security.
[MODEM MUSICAL]
Bem-vindos ao podcast, pessoal.
Eu sou Doug Aamoth; ele é Paul Ducklin.
Paulo, como você está hoje?
PATO. Estou muito bem, obrigado, Douglas.
E estou muito ansioso pela parte da contagem de cartas, até porque não se trata apenas de contar, mas também de embaralhar as cartas.
DOUG. Tudo bem, muito bom, ansioso por isso!
E no nosso segmento de História da Tecnologia, falaremos sobre algo que não foi aleatório – foi muito calculado.
Esta semana, em 25 de outubro de 2001, o Windows XP foi lançado no varejo.
Ele foi construído sobre o sistema operacional Windows NT, e o XP substituiu o Windows 2000 e o Windows Millennium Edition como “XP Professional Edition” e “XP Home Edition”, respectivamente.
O XP Home foi a primeira versão de consumidor do Windows a não ser baseada no MS-DOS ou no kernel do Windows 95.
E, em uma nota pessoal, eu adorei.
Posso estar apenas me lembrando de tempos mais simples... não sei se foi realmente tão bom quanto me lembro, mas me lembro de ser melhor do que tínhamos antes.
PATO. Eu concordo com isso.
Acho que tem uns óculos cor de rosa que você pode estar usando aí, Doug...
DOUG. Um-hummm.
PATO. …mas eu teria que concordar que foi uma melhoria.
DOUG. Vamos falar um pouco sobre punição, especificamente, punição para reconhecimento facial indesejado na França:
PATO. De fato!
Os ouvintes regulares saberão que temos falado sobre uma empresa chamada Clearview AI muitas vezes, porque acho justo dizer que essa empresa é polêmica.
O regulador francês publica muito útil suas decisões, ou publicou pelo menos suas decisões Clearview, tanto em francês quanto em inglês.
Então, basicamente, aqui está como eles descrevem:
Clearview AI coleta fotografias de muitos sites, incluindo mídias sociais. Ele coleta todas as fotos que estão diretamente acessíveis nessas redes. Assim, a empresa coletou mais de 20 bilhões de imagens em todo o mundo.
Graças a esta coleção, a empresa comercializa o acesso à sua base de dados de imagens sob a forma de um motor de busca no qual uma pessoa pode ser encontrada através de uma fotografia. A empresa oferece este serviço às autoridades policiais.
E a objeção do regulador francês, que foi ecoada no ano passado pelo menos também pelo regulador do Reino Unido e australiano, é: “Consideramos isso ilegal em nosso país. Você não pode raspar as imagens das pessoas para esse fim comercial sem o consentimento delas. E você também não está cumprindo as regras do GDPR, regras de destruição de dados, tornando mais fácil para eles entrarem em contato com você e dizer: 'Quero optar por não participar'. ”
Então, em primeiro lugar, deve ser opt-in se você quiser executar isso.
E, tendo coletado o material, você não deve segurá-lo mesmo depois que eles quiserem garantir que seus dados sejam removidos.
E o problema na França, Doug, é que em dezembro passado o regulador disse: “Desculpe, você não pode fazer isso. Pare de raspar dados e livre-se do que você tem sobre todo mundo na França. Muito obrigado."
Aparentemente, de acordo com o regulador, a Clearview AI simplesmente não parecia querer cumprir.
DOUG. Ah!
PATO. Então agora os franceses voltaram e disseram: “Você não parece querer ouvir. Você não parece entender que esta é a lei. Agora, a mesma coisa se aplica, mas você também tem que pagar € 20 milhões. Obrigado por ter vindo.”
DOUG. Temos alguns comentários no artigo... adoraríamos saber o que você pensa; você pode comentar anonimamente.
Especificamente, as perguntas que colocamos são: “A Clearview AI está realmente fornecendo um serviço benéfico e socialmente aceitável para a aplicação da lei? Ou está casualmente atropelando nossa privacidade ao coletar dados biométricos ilegalmente e comercializá-los para fins de rastreamento investigativo sem consentimento?”
Muito bem, vamos nos ater a este tema da punição e falar um pouco sobre castigo para o DEADBOLT criminosos.
Esta é uma história interessante, envolvendo aplicação da lei e hacking de volta!
Quando os policiais atacam de volta: a polícia holandesa esfola criminosos DEADBOLT (legalmente!)
PATO. Tiramos o chapéu para os policiais por fazerem isso, embora, como explicaremos, tenha sido uma coisa única.
Ouvintes regulares vão se lembrar de DEADBOLT – já apareceu algumas vezes antes.
DEADBOLT é a gangue de ransomware que basicamente encontra seu servidor Network Attached Storage [NAS] se você for um usuário doméstico ou uma pequena empresa…
…e se não for corrigido contra uma vulnerabilidade que eles sabem como explorar, eles entrarão e simplesmente embaralharão sua caixa NAS.
Eles acharam que é onde estão todos os seus backups, é onde estão todos os seus arquivos grandes, é onde estão todas as suas coisas importantes.
“Não vamos nos preocupar em ter que escrever malware para Windows e malware para Mac, e nos preocupar com a versão que você tem. Vamos direto, embaralhar seus arquivos e dizer: 'Pague-nos US$ 600'”.
Essa é a taxa atual: 0.03 bitcoins, se você não se importa.
Então eles estão adotando essa abordagem orientada para o consumidor de tentar atingir muitas pessoas e pedir uma quantia um pouco acessível a cada vez.
E eu acho que se tudo que você tem está guardado lá, então você pode sentir: “Quer saber? $ 600 é muito dinheiro, mas eu posso pagar por isso. Eu vou pagar.”
Para simplificar as coisas (e dissemos de má vontade, esta é uma parte inteligente, se você quiser, deste ransomware em particular) … basicamente, o que você faz é dizer aos bandidos que está interessado enviando uma mensagem através do blockchain Bitcoin .
Basicamente, você paga o dinheiro para um endereço Bitcoin específico e exclusivo para você.
Quando eles recebem a mensagem de pagamento, eles enviam de volta um pagamento de $0 que inclui um comentário que é a chave de descriptografia.
Então essa é a *única* interação que eles precisam com você.
Eles não precisam usar e-mail e não precisam executar nenhum servidor da dark web.
No entanto, os policiais holandeses perceberam que os bandidos cometeram um erro relacionado ao protocolo!
Assim que sua transação atingisse o ecossistema Bitcoin, procurando alguém para minerá-la, seu script enviaria a chave de descriptografia.
E acontece que, embora você não possa gastar bitcoins em dobro (caso contrário, o sistema desmoronaria), você pode fazer duas transações ao mesmo tempo, uma com uma taxa de transação alta e outra com uma taxa de transação muito baixa ou zero.
E adivinhe qual deles os mineradores de bitcoin e, finalmente, o blockchain do bitcoin aceitarão?
E foi isso que os policiais fizeram...
DOUG. [Risos] Muito inteligente, eu gosto!
PATO. Eles manteriam um pagamento com taxa de transação zero, o que poderia levar dias para ser processado.
E então, assim que eles recuperaram a chave de descriptografia dos bandidos (eles tinham, eu acho, 155 usuários que eles juntaram)... assim que eles conseguiram a chave de descriptografia, eles fizeram uma transação de gasto duplo.
“Quero gastar o mesmo Bitcoin novamente, mas desta vez vamos pagar a nós mesmos. E agora vamos oferecer uma taxa de transação sensata.”
Então, essa transação foi a que finalmente foi confirmada e bloqueada no blockchain…
…e o outro foi ignorado e jogado fora… [RISOS] como sempre, não deveria rir!
DOUG. [RISOS]
PATO. Então, basicamente, os bandidos pagaram cedo demais.
E eu acho que não é *traição* se você é policial, e você está fazendo isso de uma forma legalmente garantida… é basicamente uma *armadilha*.
E os bandidos entraram nele.
Como mencionei no início, isso só pode funcionar uma vez porque, é claro, os bandidos pensaram: “Oh, querida, não devemos fazer dessa maneira. Vamos mudar o protocolo. Vamos esperar que a transação seja confirmada no blockchain primeiro e, quando soubermos que ninguém pode vir com uma transação que a superará mais tarde, só então enviaremos a chave de descriptografia.”
PATO. Mas os bandidos ficaram surpresos com 155 chaves de descriptografia de vítimas em 13 países diferentes que pediram ajuda à polícia holandesa.
então, chapeau [Gíria de ciclismo francesa para um “hat doff”], como se costuma dizer!
DOUG. Isso é ótimo... são duas histórias positivas seguidas.
E vamos manter as vibrações positivas rolando com esta próxima história.
É sobre mulheres na criptologia.
Eles foram homenageados pelo Serviço Postal dos EUA, que está comemorando os decifradores de código da Segunda Guerra Mundial.
Conte-nos tudo sobre isso - este é um história muito interessante, Paulo:
Mulheres na Criptologia – USPS celebra os decifradores da Segunda Guerra Mundial
PATO. Sim, foi uma daquelas coisas legais sobre as quais escrever no Naked Security: Mulheres na criptologia – Serviço Postal dos Estados Unidos celebra os decifradores da Segunda Guerra Mundial.
Agora, cobrimos a quebra de código de Bletchley Park, que são os esforços criptográficos do Reino Unido durante a Segunda Guerra Mundial, principalmente para tentar decifrar cifras nazistas, como a conhecida máquina Enigma.
No entanto, como você pode imaginar, os EUA enfrentaram um enorme problema do teatro de guerra do Pacífico, tentando lidar com as cifras japonesas e, em particular, uma cifra conhecida como PURPLE.
Ao contrário do Enigma nazista, este não era um dispositivo comercial que pudesse ser comprado.
Na verdade, era uma máquina caseira que saiu das forças armadas, baseada em relés de comutação telefônica, que, se você pensar bem, são como comutadores de “base dez”.
Então, da mesma forma que Bletchley Park no Reino Unido empregava secretamente mais de 10,000 pessoas... Eu não sabia disso, mas descobri que havia bem mais de 10,000 mulheres recrutadas em criptologia, em cracking criptográfico, nos EUA para tentar lidar com cifras japonesas durante a guerra.
Por todas as contas, eles foram extremamente bem sucedidos.
Houve uma descoberta criptográfica feita no início da década de 1940 por uma das criptologistas americanas chamada Genevieve Grotjan, e aparentemente isso levou a sucessos espetaculares na leitura de segredos japoneses.
E vou citar apenas o US Postal Service, de sua série de selos:
Eles decifraram as comunicações da frota japonesa, ajudaram a impedir que os submarinos alemães afundassem navios de carga vitais e trabalharam para quebrar os sistemas de criptografia que revelavam as rotas de navegação e mensagens diplomáticas japonesas.
Você pode imaginar que isso lhe dá uma inteligência muito, muito útil, de fato... que você deve supor que ajudou a encurtar a guerra.
Felizmente, embora os japoneses tivessem sido avisados (aparentemente pelos nazistas) de que sua cifra era quebrável ou já havia sido quebrada, eles se recusaram a acreditar e continuaram usando o ROXO durante toda a guerra.
E as mulheres criptologistas da época definitivamente faziam feno secretamente enquanto o sol brilhava.
Infelizmente, assim como aconteceu no Reino Unido com todos os heróis da guerra (novamente, a maioria deles mulheres) em Bletchley Park…
…depois da guerra, eles juraram segredo.
Então, passaram-se muitas décadas até que eles obtivessem qualquer reconhecimento, sem falar no que você poderia chamar de boas-vindas do herói que eles essencialmente mereciam quando a paz eclodiu em 1945.
DOUG. Uau, essa é uma história legal.
E lamentável que tenha demorado tanto para obter o reconhecimento, mas ótimo que eles finalmente conseguiram.
E peço a todos que estão ouvindo isso para ir ao site para ler isso.
É chamado: Mulheres na criptologia – USPS celebra os decifradores da Segunda Guerra Mundial.
Peça muito boa!
PATO. A propósito, Doug, na série de selos que você pode comprar (a série comemorativa, onde você recebe os selos em uma folha inteira)… em torno dos selos, o USPS realmente colocou um pequeno quebra-cabeça criptográfico, que repetimos o artigo.
Não é tão difícil quanto Enigma ou PURPLE, então você pode fazer isso facilmente com caneta e papel, mas é uma boa diversão comemorativa.
Então venha e experimente se quiser.
Também colocamos um link para um artigo que escrevemos há alguns anos (O que 2000 anos de criptografia podem nos ensinar) no qual você encontrará dicas que o ajudarão a resolver o quebra-cabeça criptográfico USPS.
Bom bocado de diversão para ir com sua comemoração!
DOUG. Tudo bem, então vamos ficar um pouco com aleatoriedade e criptografia, e fazer uma pergunta que talvez alguns já tenham se perguntado antes.
Como funciona o dobrador de carta de canal acaso são aqueles embaralhadores automáticos de cartas que você pode ver em um cassino?
Segurança séria: Quão aleatoriamente (ou não) você pode embaralhar as cartas?
PATO. Sim, outra história fascinante que aprendi graças ao guru da criptografia Bruce Schneier, que escreveu sobre isso em seu próprio blog, e intitulou seu artigo Sobre a aleatoriedade dos embaralhadores automáticos de cartas.
O jornal sobre o qual estamos falando remonta, acho, a 2013, e o trabalho que foi feito, acho, remonta ao início dos anos 2000.
Mas o que me fascinou na história, e me fez querer compartilhá-la, é que ela tem momentos incríveis de aprendizado para pessoas que estão atualmente envolvidas com programação, seja ou não na área de criptografia.
E, ainda mais importante, em testes e garantia de qualidade.
Porque, ao contrário dos japoneses, que se recusavam a acreditar que sua cifra PURPLE pudesse não estar funcionando corretamente, esta é uma história sobre uma empresa que fabricava máquinas automáticas de embaralhamento de cartões, mas pensou: “Elas são realmente boas o suficiente?”
Ou alguém poderia realmente descobrir como eles funcionam e obter uma vantagem do fato de que eles não são aleatórios o suficiente?
E então eles se esforçaram para contratar um trio de matemáticos da Califórnia, um dos quais também é um mágico talentoso…
…e eles disseram: “Nós construímos esta máquina. Achamos que é aleatório o suficiente, com um embaralhamento das cartas.”
Seus próprios engenheiros se esforçaram para elaborar testes que eles achavam que mostrariam se a máquina era aleatória o suficiente para fins de embaralhamento de cartas, mas eles queriam uma segunda opinião, então eles realmente saíram e conseguiram uma.
E esses matemáticos observaram como a máquina funcionava e foram capazes de chegar, acredite ou não, com o que é conhecido como fórmula fechada.
Eles analisaram completamente: como a coisa se comportaria e, portanto, quais inferências estatísticas eles poderiam fazer sobre como as cartas sairiam.
Eles descobriram que, embora as cartas embaralhadas passassem por uma bateria significativa de bons testes de aleatoriedade, ainda havia sequências ininterruptas suficientes nas cartas depois de embaralhadas que lhes permitiam prever a próxima carta duas vezes mais do que o acaso.
E eles foram capazes de mostrar o raciocínio pelo qual eles foram capazes de criar seu algoritmo mental para adivinhar a próxima carta duas vezes tão bem quanto deveriam…
…então eles não apenas fizeram isso de forma confiável e repetitiva, eles realmente tinham a matemática para mostrar por fórmulas por que esse era o caso.
E a história talvez seja mais famosa pela resposta mundana, mas inteiramente apropriada, do presidente da empresa que os contratou.
Ele deve ter dito:
Não estamos satisfeitos com suas conclusões, mas acreditamos nelas, e foi para isso que o contratamos.
Em outras palavras, ele está dizendo: “Eu não paguei para ser feliz. Paguei para descobrir os fatos e agir de acordo com eles.”
Se ao menos mais pessoas fizessem isso quando se tratava de desenvolver testes para seus softwares!
Como é fácil criar um conjunto de testes que seu produto passará e onde, se falhar, você sabe que algo definitivamente deu errado.
Mas é surpreendentemente difícil chegar a um conjunto de testes em que *vale a pena o seu produto passar*.
E foi isso que essa empresa fez, contratando matemáticos para investigar como a máquina de baralhar cartas funcionava.
Muitas lições de vida aí, Doug!
DOUG. É uma história divertida e muito interessante.
Agora, toda semana geralmente falamos sobre algum tipo de atualização da Apple, mas não esta semana.
Não não!
Esta semana temos tenho para você… uma *megaatualização* da Apple:
Megaatualização da Apple: Ventura fora, kernel do iOS e iPad zero-day – aja agora!
PATO. Infelizmente, se você tiver um iPhone ou um iPad, a atualização cobre um dia zero que está sendo explorado ativamente, o que, como sempre, cheira a jailbreak/controle de spyware completo.
E, como sempre, e talvez compreensivelmente, a Apple é muito cautelosa sobre exatamente o que é o dia zero, para que está sendo usado e, igualmente interessante, quem o está usando.
Então, se você tem um iPhone ou um iPad, este é *definitivamente* um para você.
E confusamente, Doug…
É melhor eu explicar isso, porque na verdade não era óbvio no começo… e graças a alguma ajuda do leitor, obrigado Stefaan da Bélgica, que tem me enviado screenshots e explicando exatamente o que aconteceu com ele quando ele atualizou seu iPad!
A atualização para iPhones e iPads dizia: “Ei, você tem o iOS 16.1 e o iPadOS 16”. (Porque a versão 16 do iPad OS foi adiada.)
E é isso que diz o boletim de segurança.
Quando você instala a atualização, a tela básica Sobre apenas diz “iPadOS 16”.
Mas se você ampliar a tela da versão principal, ambas as versões sairão como “iOS/iPadOS 16.1”.
Então essa é a *atualização* para a versão 16, mais essa correção vital de dia zero.
Essa é a parte difícil e confusa… o resto é que existem muitas correções para outras plataformas também.
Exceto que, porque Ventura saiu – macOS 13, com 112 patches numerados CVE, embora para a maioria das pessoas, eles não tenham o beta, então isso será *upgrade* e *update* ao mesmo tempo…
Como o macOS 13 foi lançado, isso deixa o macOS 10 Catalina três versões para trás.
E, de fato, parece que a Apple só agora suporta o anterior e o anterior.
Portanto, *existem* atualizações para Big Sur e Monterey, são macOS 11 e macOS 12, mas Catalina está notoriamente ausente, Doug.
E, irritantemente como sempre, o que não podemos dizer…
Isso significa que ele simplesmente era imune a todas essas correções?
Isso significa que ele realmente precisa de pelo menos algumas das correções, mas elas ainda não foram lançadas?
Ou isso significa que ele caiu no limite do mundo e você nunca mais receberá uma atualização, precisando de uma ou não?
Nós não sabemos.
DOUG. Eu me sinto sem fôlego, e eu nem fiz nenhum trabalho pesado nessa história, então obrigado por isso... isso é muito.
PATO. E você nem tem um iPhone.
DOUG. Exatamente!
Eu tenho um iPad…
PATO. Ó, você faz?
DOUG. …então eu tenho que ir e me certificar de que estou atualizado.
E isso nos leva à nossa pergunta do dia do leitor, sobre a história da Apple.
O comentarista anônimo pergunta:
A atualização 15.7 para iPads resolverá isso ou tenho que atualizar para 16? Estou esperando até que os pequenos bugs incômodos em 16 sejam resolvidos antes de atualizar.
PATO. Esse é o segundo nível de confusão, se preferir, causado por isso.
Agora, meu entendimento é que, quando o iPadOS 15.7 foi lançado, foi exatamente ao mesmo tempo que o iOS 15.7.
E foi, o que, há pouco mais de um mês, eu acho?
Então essa é uma atualização de segurança antiga.
E o que não sabemos agora é...
Existe um iOS/iPadOS 15.7.1 ainda nos bastidores que ainda não saiu, corrigindo falhas de segurança que existem na versão anterior dos sistemas operacionais para essas plataformas?
Ou seu caminho de atualização para atualizações de segurança para iOS e iPadOS agora segue a rota da versão 16?
Eu simplesmente não sei, e eu não sei como você diz.
Então parece que (e me desculpe se pareço confuso, Doug, porque estou!)…
parece que o caminho *update* e *upgrade* para usuários de iOS e iPadOS 15.7 é mudar para a versão 16.
E neste momento atual, isso significa 16.1.
Essa seria minha recomendação, porque pelo menos você sabe que tem a melhor e mais recente compilação, com as melhores e mais recentes correções de segurança.
Então essa é a resposta longa.
A resposta curta é, Doug, “Não sei”.
DOUG. Claro como lama.
PATO. Sim.
Bem, talvez não tão claro... [RISOS]
Se você deixar a lama por tempo suficiente, eventualmente os pedaços se depositarão no fundo e haverá água limpa no topo.
Então talvez seja isso que você tem que fazer: esperar e ver, ou apenas morder a bala e ir para 16.1.
Eles facilitam, não é? [RISOS]
DOUG. Tudo bem, vamos ficar de olho nisso, porque isso pode mudar um pouco entre agora e a próxima.
Muito obrigado por enviar esse comentário, comentarista anônimo.
Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos lê-la no podcast.
Você pode enviar um e-mail para tips@sophos.com, comentar em qualquer um de nossos artigos e entrar em contato conosco nas redes sociais @NakedSecurity.
Esse é o nosso show de hoje, muito obrigado por ouvir.
Para Paul Ducklin, sou Doug Aamoth, lembrando você até a próxima…
AMBAS. Fique seguro!
- blockchain
- Clearview
- IA de visualização clara
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- criptografia
- cíber segurança
- cibercriminosos
- Cíber segurança
- Perda de Dados
- Deadbolt
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Conformidade com o GDPR
- Kaspersky
- Lei e ordem
- malwares
- Mcafee
- Segurança nua
- Podcast de segurança nua
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- Podcast
- política de privacidade
- aleatoriedade
- ransomware
- VPN
- a segurança do website
- zefirnet
![S3 Ep111: O risco comercial de um desprezível “desfiltro de nudez” [Áudio + Texto] PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: O risco comercial de um “sem filtro de nudez” desprezível [Áudio + Texto]")
