S3 Ep106: Recunoașterea facială fără consimțământ – ar trebui interzisă?

Faceți clic și trageți pe undele sonore de mai jos pentru a trece la orice punct. Poti de asemenea asculta direct pe Soundcloud.

---

DOUG.  Criptologie, piratarea polițiștilor, actualizări Apple și... numărarea cardurilor!

Toate acestea și multe altele pe podcastul Naked Security.

[MODEM MUZICAL]

Bine ați venit la podcast, toată lumea.

Eu sunt Doug Aamoth; el este Paul Ducklin.

Paul, ce faci azi?

---

RAȚĂ.  Sunt foarte bine, mulțumesc, Douglas.

Și aștept cu nerăbdare punctul de numărare a cărților, nu în ultimul rând pentru că nu este vorba doar de numărare, ci și de amestecarea cărților.

---

DOUG.  Bine, foarte bine, aștept cu nerăbdare asta!

Și în segmentul nostru de Istoria tehnologiei, vom vorbi despre ceva care nu a fost întâmplător – a fost foarte calculat.

Săptămâna aceasta, pe 25 octombrie 2001, Windows XP a fost lansat pentru comerțul cu amănuntul.

A fost construit pe sistemul de operare Windows NT, iar XP a înlocuit atât Windows 2000, cât și Windows Millennium Edition ca „XP Professional Edition” și, respectiv, „XP Home Edition”.

XP Home a fost prima versiune de Windows pentru consumatori care nu se bazează pe MS-DOS sau pe kernelul Windows 95.

Și, pe o notă personală, mi-a plăcut.

Poate că îmi amintesc vremuri mai simple... Nu știu dacă a fost de fapt la fel de bine pe cât mi-o amintesc, dar îmi amintesc că a fost mai bine decât am avut înainte.

---

RAȚĂ.  Sunt de acord cu asta.

Cred că s-ar putea să porți niște ochelari de culoare trandafir acolo, Doug...

---

DOUG.  Umm-hmmm.

---

RAȚĂ.  …dar ar trebui să fiu de acord că a fost o îmbunătățire.

---

DOUG.  Să vorbim puțin despre comeuppance, în special, comeuppance pentru recunoaștere facială nedorită în Franța:

Serviciul de recunoaștere a feței Clearview AI a fost lovit cu o amendă de 20 de milioane de euro în Franța

---

RAȚĂ.  Intr-adevar!

Ascultătorii obișnuiți vor ști că avem vorbit despre o companie numită Clearview AI multe ori, pentru că cred că este corect să spun că această companie este controversată.

Autoritatea de reglementare franceză își publică foarte util deciziile sau și-a publicat cel puțin hotărârile Clearview, atât în ​​franceză, cât și în engleză.

Deci, practic, iată cum o descriu:

Clearview AI colectează fotografii de pe multe site-uri web, inclusiv de pe rețelele sociale. Colectează toate fotografiile care sunt direct accesibile pe acele rețele. Astfel, compania a strâns peste 20 de miliarde de imagini în întreaga lume.

Datorită acestei colecții, compania comercializează accesul la baza sa de imagini sub forma unui motor de căutare în care o persoană poate fi găsită folosind o fotografie. Compania oferă acest serviciu autorităților de aplicare a legii.

Iar obiecția autorității franceze de reglementare, care a fost reluată anul trecut de cel puțin Regatul Unit și autoritatea australiană de reglementare, este: „Considerăm acest lucru ilegal în țara noastră. Nu poți să răzuiești imaginile oamenilor în acest scop comercial fără acordul lor. Și, de asemenea, nu respectați regulile GDPR, regulile de distrugere a datelor, ceea ce le face mai ușor să vă contacteze și să vă spună „Vreau să renunț”.

Deci, în primul rând, ar trebui să vă înscrieți dacă doriți să rulați acest lucru.

Și după ce ați colectat lucrurile, nu ar trebui să vă agățați de ele chiar și după ce vor să se asigure că datele lor sunt eliminate.

Și problema în Franța, Doug, este că în decembrie anul trecut, autoritatea de reglementare a spus: „Îmi pare rău, nu poți face asta. Nu mai curățați datele și scăpați de ceea ce aveți asupra tuturor din Franța. Mulțumesc foarte mult."

Aparent, potrivit autorităților de reglementare, Clearview AI pur și simplu nu părea să vrea să se conformeze.

---

DOUG.  Uh-oh!

---

RAȚĂ.  Așa că acum francezii s-au întors și au spus: „Se pare că nu vrei să asculți. Se pare că nu înțelegi că asta este legea. Acum, se aplică același lucru, dar trebuie să plătiți și 20 de milioane de euro. Mulțumesc pentru vizită."

---

DOUG.  Avem câteva comentarii în curs de elaborare la articol... ne-ar plăcea să auzim ce părere aveți; poti comenta anonim.

Mai exact, întrebările pe care le punem sunt: ​​„Clearview AI oferă cu adevărat un serviciu benefic și acceptabil din punct de vedere social pentru forțele de ordine? Sau ne călcă în picioare confidențialitatea prin colectarea ilegală de date biometrice și comercializarea lor în scopuri de urmărire investigativă fără consimțământ?

În regulă, să rămânem la această temă a comeuppancei și să vorbim puțin despre apariție pentru DEADBOLT criminali.

Aceasta este o poveste interesantă, care implică aplicarea legii și hacking back!

Când polițiștii piratați înapoi: poliția olandeză lângă criminalii DEADBOLT (legal!)

---

RAȚĂ.  Jos pălăria pentru polițiști pentru că au făcut asta, chiar dacă, după cum vom explica, a fost un fel de lucru unic.

Ascultătorii obișnuiți își vor aminti DEADBOLT – acesta a apărut de câteva ori înainte.

DEADBOLT este banda de ransomware care, practic, găsește serverul tău Network Attached Storage [NAS] dacă ești un utilizator acasă sau o afacere mică...

… și dacă nu este corectat împotriva unei vulnerabilități pe care știu să o exploateze, vor intra și vă vor amesteca cutia NAS.

S-au gândit că acolo sunt toate copiile de rezervă, acolo sunt toate fișierele mari, acolo sunt toate lucrurile importante.

„Să nu ne facem griji că trebuie să scriem malware pentru Windows și malware pentru Mac și să ne îngrijorăm ce versiune aveți. Vom intra direct, îți vom amesteca fișierele și apoi vom spune „Plătește-ne 600 USD”.

Acesta este cursul curent: 0.03 bitcoini, dacă nu te superi.

Așa că adoptă acea abordare orientată spre consumator de a încerca să lovească o mulțime de oameni și de a cere o sumă oarecum accesibilă de fiecare dată.

Și cred că dacă tot ce ai este susținut acolo, atunci s-ar putea să simți: „Știi ce? 600 de dolari sunt mulți bani, dar aproape îmi permit. Voi plăti.”

Pentru a simplifica chestiunile (și am spus cu râvnă, aceasta este o parte inteligentă, dacă doriți, a acestui ransomware special)... practic, ceea ce faceți este să le spuneți escrocii că sunteți interesați trimițându-le un mesaj prin blockchain-ul Bitcoin .

Practic, le plătiți banii la o adresă Bitcoin specificată, unică pentru dvs.

Când primesc mesajul de plată, trimit înapoi o plată de 0 USD care include un comentariu care este cheia de decriptare.

Deci, aceasta este *singura* interacțiune de care au nevoie cu tine.

Nu trebuie să folosească e-mailul și nu trebuie să ruleze niciun server web întunecat.

Cu toate acestea, polițiștii olandezi s-au gândit că escrocii au făcut o gafă legată de protocol!

De îndată ce tranzacția ta a ajuns în ecosistemul Bitcoin, căutând pe cineva care să-l mine, scriptul lor ar trimite cheia de decriptare.

Și se dovedește că, deși nu poți cheltui dublu bitcoini (altfel sistemul s-ar prăbuși), poți face două tranzacții în același timp, una cu o taxă de tranzacție mare și una cu o taxă de tranzacție foarte mică sau zero.

Și ghiciți pe care îl vor accepta minerii de bitcoin și, în cele din urmă, blockchain-ul bitcoin?

Și asta au făcut polițiștii...

---

DOUG.  [RÂDE] Foarte inteligent, îmi place!

---

RAȚĂ.  Aceștia ar păstra o plată cu o taxă de tranzacție zero, care ar putea dura câteva zile pentru a fi procesată.

Și apoi, de îndată ce au primit cheia de decriptare înapoi de la escroci (cred că aveau 155 de utilizatori pe care i-au cam bătut împreună)... de îndată ce au primit cheia de decriptare înapoi, au făcut o tranzacție cu cheltuieli duble.

„Vreau să cheltuiesc din nou același Bitcoin, dar de data aceasta ne vom plăti înapoi. Și acum vom oferi o taxă de tranzacție sensibilă.”

Deci, acea tranzacție a fost cea care în cele din urmă a fost confirmată și blocată în blockchain...

…iar celălalt pur și simplu a fost ignorat și aruncat… [râde] ca întotdeauna, nu ar trebui să râdă!

---

DOUG.  [râde]

---

RAȚĂ.  Deci, practic, escrocii au plătit prea devreme.

Și bănuiesc că nu este *trădare* dacă ești forțat de aplicare a legii și o faci într-un mod justificat legal... practic este o *capcană*.

Și escrocii au intrat în ea.

După cum am menționat la început, acest lucru poate funcționa o singură dată pentru că, desigur, escrocii și-au gândit: „O, dragă, nu ar trebui să o facem așa. Să schimbăm protocolul. Să așteptăm mai întâi ca tranzacția să fie confirmată în blockchain, iar apoi, odată ce știm că nimeni nu poate veni cu o tranzacție care o va învinge mai târziu, abia atunci vom trimite cheia de decriptare.”

---

RAȚĂ.  Însă escrocii s-au înțeles cu 155 de chei de decriptare de la victime din 13 țări diferite, care au cerut ajutor poliției olandeze.

Asa de, părții introductive [Argoul francez de ciclism pentru o „codare a pălăriei”], după cum se spune!

---

DOUG.  Este grozav... sunt două povești pozitive la rând.

Și să menținem vibrațiile pozitive cu această poveste următoare.

Este vorba despre femeile din criptologie.

Ei au fost onorați de Serviciul Poștal din SUA, care sărbătorește declanșatorii de coduri al celui de-al doilea război mondial.

Spune-ne totul despre asta – acesta este un poveste foarte interesantă, Paul:

Femeile în criptologie – USPS celebrează infracțiunile de coduri din al doilea război mondial

---

RAȚĂ.  Da, a fost unul dintre acele lucruri frumoase despre care să scriu pe Naked Security: Femeile în criptologie – Serviciul poștal al Statelor Unite sărbătorește spărgătorii de coduri al celui de-al doilea război mondial.

Acum, am acoperit spargerea codului Bletchley Park, care reprezintă eforturile criptografice ale Regatului Unit în timpul celui de-al Doilea Război Mondial, în principal pentru a încerca să spargă cifrurile naziste, cum ar fi binecunoscuta mașină Enigma.

Cu toate acestea, după cum vă puteți imagina, SUA s-au confruntat cu o problemă uriașă din teatrul de război din Pacific, încercând să se ocupe de cifrurile japoneze și, în special, de un cifr cunoscut sub numele de PURPLE.

Spre deosebire de Enigma naziștilor, acesta nu era un dispozitiv comercial care putea fi cumpărat.

De fapt, a fost o mașină de casă care a apărut din armată, bazată pe relee de comutare telefonică, care, dacă te gândești bine, sunt un fel de comutatoare de „bază zece”.

Deci, în același mod în care Parcul Bletchley în Marea Britanie a angajat în secret peste 10,000 de oameni... Nu mi-am dat seama de asta, dar s-a dovedit că erau peste 10,000 de femei recrutate în criptologie, în cracking criptografic, în SUA pentru a încerca să se ocupe de cifrurile japoneze în timpul războiului.

Din toate punctele de vedere, au avut un succes deosebit.

A existat o descoperire criptografică făcută la începutul anilor 1940 de unul dintre criptologii americani numit Genevieve Grotjan și, se pare, acest lucru a dus la succese spectaculoase în citirea secretelor japoneze.

Și voi cita doar din Serviciul Poștal din SUA, din seria lor de timbre:

Ei au descifrat comunicațiile flotei japoneze, au ajutat să împiedice submarinele germane să scufunde nave de marfă vitale și au lucrat pentru a sparge sistemele de criptare care dezvăluiau rutele maritime și mesajele diplomatice japoneze.

Îți poți imagina că asta îți oferă într-adevăr o inteligență foarte, foarte, utilizabilă... despre care trebuie să presupui că a ajutat la scurtarea războiului.

Din fericire, chiar dacă japonezii au fost avertizați (aparent de către naziști) că cifrul lor este fie spart, fie că a fost deja rupt, ei au refuzat să creadă și au continuat să folosească PURPLE pe tot parcursul războiului.

Și femeile criptologi ale vremii au făcut cu siguranță fân în secret în timp ce soarele strălucea.

Din păcate, așa cum sa întâmplat în Marea Britanie cu toți eroii din timpul războiului (din nou, majoritatea femei) de la Bletchley Park...

… după război, au jurat păstrarea secretului.

Așa că au trecut multe decenii până când au primit vreo recunoaștere, să nu mai vorbim de ceea ce ați putea numi primirea eroului pe care o meritau în esență când a izbucnit pacea în 1945.

---

DOUG.  Wow, e o poveste grozavă.

Și regretabil că a durat atât de mult pentru a obține recunoașterea, dar minunat că au primit-o în sfârșit.

Și îndemn pe oricine ascultă asta să se îndrepte pe site pentru a citi asta.

Se numeste: Femeile în criptologie – USPS sărbătorește spărgătorii de coduri al celui de-al doilea război mondial.

Foarte buna piesa!

---

RAȚĂ.  Apropo, Doug, pe seria de timbre pe care o poți cumpăra (seria comemorativă, unde primești ștampilele pe o foaie întreagă)... în jurul ștampilelor, USPS a pus de fapt un mic puzzle criptografic, pe care l-am repetat în articolul.

Nu este la fel de dificil ca Enigma sau PURPLE, așa că o poți face destul de ușor cu pix și hârtie, dar este un pic de distracție comemorativă.

Așa că vino și încearcă, dacă vrei.

De asemenea, am pus un link către un articol pe care l-am scris acum câțiva ani (Ce ne pot învăța 2000 de ani de criptografie) în care veți găsi indicii care vă vor ajuta să rezolvați puzzle-ul criptografic USPS.

Un pic de distracție pentru a merge cu comemorarea ta!

---

DOUG.  În regulă, așa că hai să rămânem puțin la aleatoriu și la criptografie și să punem o întrebare pe care poate s-au întrebat unii înainte.

Cum aleator sunt acele shuffler-uri automate de carduri pe care le-ai putea vedea la un cazinou?

Securitate serioasă: cât de aleatoriu (sau nu) poți amesteca cărțile?

---

RAȚĂ.  Da, o altă poveste fascinantă pe care am preluat-o datorită guruului criptografiei Bruce Schneier, care a scris despre ea pe propriul blog, și și-a intitulat articolul Despre caracterul aleatoriu al amestecarilor automate de carduri.

Lucrarea despre care vorbim datează, cred, din 2013, iar munca care a fost făcută, cred, datează de la începutul anilor 2000.

Dar ceea ce m-a fascinat la poveste și m-a făcut să vreau să o împărtășesc, este că are momente incredibile de predare pentru oamenii care sunt implicați în prezent în programare, fie că sunt sau nu în domeniul criptografiei.

Și, chiar mai important, în testare și asigurare a calității.

Pentru că, spre deosebire de japonezi, care au refuzat să creadă că cifrul lor PURPLE s-ar putea să nu funcționeze corect, aceasta este o poveste despre o companie care a făcut mașini automate de amestecat carduri, dar și-a dat seama: „Sunt cu adevărat suficient de buni?”

Sau ar putea cineva să-și dea seama cum funcționează și să obțină un avantaj din faptul că nu sunt suficient de aleatorii?

Și așa au făcut tot posibilul să angajeze un trio de matematicieni din California, dintre care unul este și un magician desăvârșit...

… și ei au spus: „Am construit această mașină. Credem că este destul de aleatoriu, cu o singură amestecare a cărților.”

Proprii lor ingineri făcuseră tot posibilul să conceapă teste care credeau că vor arăta dacă mașina era suficient de aleatorie pentru a amesteca cardurile, dar doreau o a doua opinie, așa că au ieșit și au primit una.

Și acești matematicieni s-au uitat la modul în care funcționează mașina și au fost capabili să vină, să crezi sau nu, cu ceea ce se numește o formulă închisă.

Ei l-au analizat complet: cum se va comporta chestia și, prin urmare, ce concluzii statistice ar putea face despre cum vor ieși cărțile.

Ei au descoperit că, deși cărțile amestecate aveau să treacă o baterie semnificativă de teste de aleatorie bune, încă mai existau suficient de multe secvențe neîntrerupte în cărți după ce au fost amestecate, care le-au permis să prezică următoarea carte de două ori, precum și șansa.

Și au putut să arate raționamentul prin care au fost capabili să vină cu algoritmul lor mental pentru a ghici următoarea carte de două ori mai bine decât ar trebui...

…deci nu numai că au făcut-o în mod fiabil și repetat, ci au avut de fapt matematica pentru a arăta formulat de ce a fost așa.

Iar povestea este poate cea mai faimoasă pentru răspunsul pământesc, dar cu totul adecvat din partea președintelui companiei care i-a angajat.

Se presupune că ar fi spus:

Nu suntem mulțumiți de concluziile tale, dar le credem și pentru asta te-am angajat.

Cu alte cuvinte, el spune: „Nu am plătit ca să fiu fericit. Am plătit pentru a afla faptele și pentru a acționa după ele.”

Dacă mai mulți oameni ar fi făcut asta atunci când a fost vorba de a concepe teste pentru software-ul lor!

Pentru că este ușor să creezi un set de teste pe care produsul tău le va trece și unde, dacă nu reușește, știi că ceva a mers prost cu siguranță.

Dar este surprinzător de dificil să vii cu un set de teste pe care *merită să treci produsul tău*.

Și asta a făcut această companie, angajând matematicieni care să analizeze cum a funcționat mașina de amestecat carduri.

Destul de multe lecții de viață acolo, Doug!

---

DOUG.  Este o poveste amuzantă și foarte interesantă.

Acum, în fiecare săptămână, vorbim în general despre un fel de actualizare Apple, dar nu săptămâna aceasta.

Nu Nu!

Săptămâna aceasta avem primit pentru tine… un Apple *megaupdate*:

Megaactualizare Apple: Ventura, nucleul iOS și iPad zero-day – acționează acum!

---

RAȚĂ.  Din păcate, dacă aveți un iPhone sau un iPad, actualizarea acoperă o zi zero în prezent exploatată în mod activ, care, ca întotdeauna, miroase a jailbreak/preluare completă a programelor spion.

Și, ca întotdeauna, și poate de înțeles, Apple este foarte înțelegător în ceea ce privește exact ce este ziua zero, pentru ce este folosit și, la fel de interesant, cine îl folosește.

Deci, dacă ai un iPhone sau un iPad, acesta este *cu siguranță* unul pentru tine.

Și în mod confuz, Doug...

Ar fi bine să explic asta, pentru că de fapt nu a fost evident la început... și datorită ajutorului cititorului, mulțumesc lui Stefaan din Belgia, care mi-a trimis capturi de ecran și mi-a explicat exact ce sa întâmplat cu el când și-a actualizat iPad-ul!

Actualizarea pentru iPhone și iPad a spus: „Hei, aveți iOS 16.1 și iPadOS 16”. (Deoarece versiunea 16 a sistemului de operare iPad a fost întârziată.)

Și asta spune buletinul de securitate.

Când instalați actualizarea, ecranul de bază Despre spune doar „iPadOS 16”.

Dar dacă măriți ecranul versiunii principale, atunci ambele versiuni apar de fapt ca „iOS/iPadOS 16.1”.

Deci, acesta este *actualizarea* la versiunea 16, plus această remediere vitală de zero-day.

Aceasta este partea grea și confuză... restul este doar că există o mulțime de remedieri și pentru alte platforme.

Cu excepția asta, pentru că a apărut Ventura – macOS 13, cu 112 patch-uri numerotate CVE, deși pentru majoritatea oamenilor, nu vor fi avut beta, așa că acesta va fi *upgrade* și *actualizare* în același timp...

Deoarece a apărut macOS 13, asta lasă macOS 10 Catalina trei versiuni în urmă.

Și într-adevăr pare că Apple acceptă abia acum anterioare și anterioare.

Deci *există* actualizări pentru Big Sur și Monterey, adică macOS 11 și macOS 12, dar Catalina lipsește în mod notoriu, Doug.

Și la fel de enervant ca întotdeauna, ceea ce nu vă putem spune...

Înseamnă că pur și simplu a fost imun la toate aceste remedieri?

Asta înseamnă că de fapt are nevoie de cel puțin unele dintre remedieri, dar pur și simplu nu au apărut încă?

Sau asta înseamnă că a căzut de la marginea lumii și nu vei mai primi niciodată o actualizare, indiferent dacă are nevoie sau nu?

Nu știm.

---

DOUG.  Mă simt deznădăjduit și nici măcar nu am făcut nimic din greutățile din acea poveste, așa că mulțumesc pentru asta... asta e mult.

---

RAȚĂ.  Și nici măcar nu ai iPhone.

---

DOUG.  Exact!

Am un iPad...

---

RAȚĂ.  Oh, tu?

---

DOUG.  …deci trebuie să mă duc să mă asigur că o pun la zi.

Și asta ne conduce la întrebarea cititorului zilei, despre povestea Apple.

Un comentator anonim întreabă:

Actualizarea 15.7 pentru iPad va rezolva acest lucru sau trebuie să actualizez la 16? Aștept până când erorile neplăcute minore din 16 sunt rezolvate înainte de actualizare.

---

RAȚĂ.  Acesta este al doilea nivel de confuzie, dacă doriți, cauzat de asta.

Acum, înțelegerea mea este că, când a apărut iPadOS 15.7, a fost exact în același timp cu iOS 15.7.

Și a fost, ce, cu puțin peste o lună în urmă, cred?

Deci, aceasta este o actualizare de securitate de altădată.

Și ceea ce nu știm acum este...

Există încă un iOS/iPadOS 15.7.1 în aripi care nu a ieșit încă, reparând găurile de securitate care există în versiunea anterioară a sistemelor de operare pentru acele platforme?

Sau calea dvs. de actualizare pentru actualizările de securitate pentru iOS și iPadOS urmează acum calea versiunii 16?

Pur și simplu nu știu și nu știu cum spui.

Deci arată ca și cum (și îmi pare rău dacă par confuz, Doug, pentru că sunt!)...

…se pare că calea *actualizării* și a *actualizării* pentru utilizatorii iOS și iPadOS 15.7 ar trebui să treacă la versiunea 16.

Și în acest moment, asta înseamnă 16.1.

Asta ar fi recomandarea mea, pentru că atunci măcar știi că ai cea mai recentă și mai bună versiune, cu cele mai recente și mai mari remedieri de securitate.

Deci acesta este răspunsul lung.

Răspunsul scurt este, Doug, „Nu știu”.

---

DOUG.  Limpede ca noroiul.

---

RAȚĂ.  Da.

Ei bine, poate nu chiar atât de clar... [Râsete]

Dacă lăsați noroiul suficient de mult, în cele din urmă bucățile se așează în partea de jos și există apă limpede în partea de sus.

Deci, poate că asta trebuie să faceți: așteptați și vedeți, sau doar mușcați glonțul și mergeți pentru 16.1.

Ei fac totul ușor, nu-i așa? [râde]

---

DOUG.  Bine, vom fi cu ochii pe asta, pentru că asta s-ar putea schimba puțin între acum și data viitoare.

Vă mulțumesc foarte mult pentru că ați trimis acest comentariu, comentator anonim.

Dacă aveți o poveste, un comentariu sau o întrebare interesantă pe care doriți să o trimiteți, ne-ar plăcea să o citim pe podcast.

Puteți trimite un e-mail la tips@sophos.com, puteți comenta oricare dintre articolele noastre și ne puteți contacta pe socialul @NakedSecurity.

Acesta este emisiunea noastră de astăzi, mulțumesc foarte mult pentru ascultare.

Pentru Paul Ducklin, sunt Doug Aamoth și vă reamintesc până data viitoare să...

---

AMBII.  Rămâi în siguranță!