МЫ СКРЕБИМ ВАШИ ЛИЦА ДЛЯ ВАШЕГО БЛАГА! (ЯКОБЫ)
Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.
С Дугом Аамотом и Полом Даклином. Интро и аутро музыка Эдит Мадж.
Вы можете слушать нас на Soundcloud, Подкасты Apple, Подкасты Google, Spotify, Брошюровщик и везде, где есть хорошие подкасты. Или просто скинь URL нашего RSS-канала в свой любимый подкэтчер.
ПРОЧИТАЙТЕ СТЕНОКРИФИК
ДУГ. Криптология, взлом копов, обновления Apple и… подсчет карт!
Все это и многое другое в подкасте Naked Security.
[МУЗЫКАЛЬНЫЙ МОДЕМ]
Добро пожаловать в подкаст, все.
Я Дуг Аамот; он Пол Даклин.
Павел, как дела сегодня?
УТКА. Я в порядке, спасибо, Дуглас.
И я с нетерпением жду подсчета карт, не в последнюю очередь потому, что это касается не только подсчета, но и перетасовки карт.
ДУГ. Хорошо, очень хорошо, с нетерпением жду этого!
А в нашем сегменте «История технологий» мы поговорим о том, что не было случайным — это было очень просчитано.
На этой неделе, 25 октября 2001 г., Windows XP поступила в продажу.
Она была построена на базе операционной системы Windows NT, а XP заменила Windows 2000 и Windows Millennium Edition как «XP Professional Edition» и «XP Home Edition» соответственно.
XP Home была первой потребительской версией Windows, не основанной на MS-DOS или ядре Windows 95.
И лично мне понравилось.
Может быть, я просто вспоминаю более простые времена… Я не знаю, было ли это на самом деле так же хорошо, как я помню, но я помню, что это было лучше, чем то, что было раньше.
УТКА. Я согласен с этим.
Я думаю, Дуг, возможно, на тебе надеты какие-то розовые очки…
ДУГ. Ммм-хммм.
УТКА. …но я должен согласиться, что это было улучшение.
ДУГ. Поговорим немного о возмездии, в частности, о возмездии за нежелательное распознавание лица во Франции:
УТКА. В самом деле!
Постоянные слушатели узнают, что у нас есть говорил о компания под названием Clearview AI многократно, потому что я считаю справедливым сказать, что эта компания противоречива.
Французский регулирующий орган очень любезно публикует свои постановления или, по крайней мере, опубликовал постановления Clearview как на французском, так и на английском языках.
Итак, в основном, вот как они это описывают:
Clearview AI собирает фотографии со многих веб-сайтов, включая социальные сети. Он собирает все фотографии, которые напрямую доступны в этих сетях. Таким образом, компания собрала более 20 миллиардов изображений по всему миру.
Благодаря этой коллекции компания продает доступ к своей базе данных изображений в виде поисковой системы, в которой человека можно найти по фотографии. Компания предлагает данную услугу правоохранительным органам.
И возражение французского регулирующего органа, которое в прошлом году поддержали, по крайней мере, британский и австралийский регулирующие органы, звучит так: «Мы считаем это незаконным в нашей стране. Вы не можете копировать изображения людей для этой коммерческой цели без их согласия. И вы также не соблюдаете правила GDPR, правила уничтожения данных, что позволяет им легко связаться с вами и сказать: «Я хочу отказаться»».
Итак, во-первых, это должно быть включено, если вы хотите запустить это.
И, собрав материал, вы не должны держаться за него даже после того, как они захотят убедиться, что их данные удалены.
И проблема во Франции, Даг, в том, что в декабре прошлого года регулирующий орган сказал: «Извините, вы не можете этого сделать. Перестаньте копать данные и избавьтесь от того, что у вас есть на всех во Франции. Большое спасибо."
Судя по всему, по мнению регулятора, Clearview AI просто не хотел подчиняться требованиям.
ДУГ. Ой-ой!
УТКА. Так что теперь французы вернулись и сказали: «Кажется, вы не хотите слушать. Вы похоже не понимаете, что это закон. Теперь то же самое, но вы также должны заплатить 20 миллионов евро. Спасибо, что пришли».
ДУГ. У нас есть несколько комментариев к статье… мы хотели бы услышать, что вы думаете; вы можете комментировать анонимно.
В частности, мы поставили следующие вопросы: «Действительно ли Clearview AI оказывает полезную и социально приемлемую услугу правоохранительным органам? Или он небрежно попирает нашу частную жизнь, незаконно собирая биометрические данные и коммерциализируя их для следственных целей без согласия?»
Ладно, давайте придерживаться темы возмездия и немного поговорим о возмездие за DEADBOLT преступники.
Это интересная история, связанная с правоохранительными органами и взломом!
УТКА. Снимаю шляпу перед копами за это, хотя, как мы объясним, это был своего рода разовый случай.
Постоянные слушатели помнят DEADBOLT — он уже упоминался пару раз.
DEADBOLT — это банда вымогателей, которые в основном находят ваш сервер сетевого хранилища [NAS], если вы домашний пользователь или малый бизнес…
… и если он не исправлен против уязвимости, которую они знают, как использовать, они придут и просто взломают ваш NAS-сервер.
Они решили, что именно здесь находятся все ваши резервные копии, все ваши большие файлы и все самое важное.
«Давайте не будем беспокоиться о необходимости писать вредоносное ПО для Windows и вредоносное ПО для Mac и беспокоиться о том, какая версия у вас есть. Мы просто пойдем прямо, зашифруем ваши файлы, а затем скажем: «Заплатите нам 600 долларов».
Это текущий текущий курс: 0.03 биткойна, если вы не возражаете.
Таким образом, они используют этот подход, ориентированный на потребителя, пытаясь поразить множество людей и каждый раз запрашивая несколько доступную сумму.
И я предполагаю, что если все, что у вас есть, сохранено там, вы можете подумать: «Знаете что? 600 долларов - большие деньги, но я могу себе это позволить. Я заплачу».
Чтобы упростить ситуацию (и мы неохотно сказали, что это умная часть, если хотите, этой конкретной программы-вымогателя)… в основном, что вы делаете, так это сообщаете мошенникам, что вы заинтересованы, отправляя им сообщение через блокчейн Биткойн. .
По сути, вы платите им деньги на указанный уникальный для вас биткойн-адрес.
Когда они получают платежное сообщение, они возвращают платеж в размере 0 долларов США, который включает комментарий, который является ключом дешифрования.
Так что это *единственное* взаимодействие, которое им нужно с вами.
Им не нужно использовать электронную почту, и им не нужно запускать какие-либо темные веб-серверы.
Однако голландские копы посчитали, что жулики допустили протокольную ошибку!
Как только ваша транзакция попадет в экосистему Биткойн в поисках кого-то, кто сможет ее добывать, их скрипт отправит ключ дешифрования.
И получается, что, хотя вы не можете дважды потратить биткойны (иначе система развалится), вы можете провести две транзакции одновременно, одну с высокой комиссией за транзакцию и одну с очень низкой или нулевой комиссией за транзакцию.
И угадайте, какой из них примут биткойн-майнеры и, в конечном счете, биткойн-блокчейн?
Что и сделали полицейские…
ДУГ. [СМЕЕТСЯ] Очень умно, мне нравится!
УТКА. Они вставляли платеж с нулевой комиссией за транзакцию, обработка которого могла занять несколько дней.
А потом, как только они получили от мошенников ключ расшифровки (у них было, кажется, 155 пользователей, которых они как бы объединили вместе)… как только они получили ключ расшифровки, они совершили транзакцию с двойной тратой.
«Я хочу снова потратить тот же биткойн, но на этот раз мы собираемся вернуть его себе. А теперь мы предложим разумную комиссию за транзакцию».
Так что именно эта транзакция в конечном итоге была подтверждена и заблокирована в блокчейне…
…а другой просто проигнорировали и выбросили… [СМЕЕТСЯ] как всегда, не надо смеяться!
ДУГ. [СМЕЕТ]
УТКА. Так что мошенники расплатились слишком рано.
И я предполагаю, что это не *предательство*, если вы служите правоохранительным органам и делаете это законным способом… это, по сути, *ловушка*.
И мошенники вошли в него.
Как я упоминал в начале, это может сработать только один раз, потому что мошенники, конечно же, подумали: «О, дорогой, мы не должны так поступать. Давайте изменим протокол. Давайте сначала подождем, пока транзакция будет подтверждена в блокчейне, а затем, как только мы узнаем, что никто не может прийти с транзакцией, которая позже превзойдет ее, только тогда мы отправим ключ дешифрования».
УТКА. Но мошенники зашли в тупик из-за 155 ключей дешифрования от жертв из 13 разных стран, которые обратились за помощью к голландской полиции.
Итак, вводная [Французский велосипедный сленг для «снятия шляпы»], как они говорят!
ДУГ. Это здорово… это две положительные истории подряд.
И давайте сохраним положительные эмоции в этой следующей истории.
Это о женщинах в криптологии.
Их наградила Почтовая служба США, которая чествует взломщиков кодов времен Второй мировой войны.
Расскажите нам об этом – это очень интересная история, Павел:
Женщины в криптологии - USPS чествует взломщиков кодов времен Второй мировой войны
УТКА. Да, это была одна из тех приятных вещей, о которых можно написать в Naked Security: Женщины в криптологии: Почтовая служба США чествует взломщиков кодов времен Второй мировой войны.
Теперь мы рассказали о взломе кода в Блетчли-парке, который представляет собой криптографическую деятельность Великобритании во время Второй мировой войны, в основном для того, чтобы попытаться взломать нацистские шифры, такие как хорошо известная машина Enigma.
Однако, как вы можете себе представить, США столкнулись с огромной проблемой на Тихоокеанском театре военных действий, пытаясь разобраться с японскими шифрами, и в частности с одним шифром, известным как ПУРПУРНЫЙ.
В отличие от нацистской Enigma, это не было коммерческим устройством, которое можно было купить.
На самом деле это была доморощенная машина, вышедшая из армии, основанная на телефонных коммутационных реле, которые, если подумать, что-то вроде переключателей с основанием XNUMX.
Таким образом, таким же образом Блетчли-Парк в Великобритании тайно работало более 10,000 10,000 человек… Я этого не осознавал, но оказалось, что в криптологию, в криптографический взлом, в США было завербовано более XNUMX XNUMX женщин, чтобы попытаться разобраться с японскими шифрами во время войны.
По общему мнению, они были чрезвычайно успешными.
Был криптографический прорыв, сделанный в начале 1940-х одним из американских криптологов по имени Женевьева Гротян, и, по-видимому, это привело к впечатляющим успехам в чтении японских секретов.
И я просто процитирую Почтовую службу США, из их серии марок:
Они расшифровали сообщения японского флота, помогли предотвратить потопление немецкими подводными лодками жизненно важных грузовых судов и работали над взломом систем шифрования, которые раскрывали маршруты японского судоходства и дипломатические сообщения.
Вы можете себе представить, что это дает вам очень, очень полезную информацию… которая, как вы должны предположить, помогла сократить войну.
К счастью, хотя японцы были предупреждены (очевидно, нацистами), что их шифр либо поддается взлому, либо уже был взломан, они отказывались в это верить и продолжали использовать ФИОЛЕТОВЫЙ на протяжении всей войны.
А женщины-криптологи того времени определенно тайно заготавливали сено, пока светило солнце.
К сожалению, так же, как это произошло в Великобритании со всеми героями военного времени (опять же, большинство из них женщины) в Блетчли-парке…
…после войны они поклялись хранить тайну.
Так что прошло много десятилетий, прежде чем они получили хоть какое-то признание, не говоря уже о том, что вы могли бы назвать приемом героев, которого они по сути заслужили, когда в 1945 году наступил мир.
ДУГ. Вау, это крутая история.
И жаль, что потребовалось так много времени, чтобы получить признание, но здорово, что они наконец его получили.
И я призываю всех, кто это слушает, зайти на сайт и прочитать это.
Это называется: Женщины в криптологии – USPS чествует взломщиков кодов Второй мировой войны.
Очень хороший кусок!
УТКА. Между прочим, Даг, на серии марок, которые вы можете купить (памятная серия, где вы получаете марки на полном листе)… вокруг марок USPS на самом деле положила небольшую криптографическую головоломку, которую мы повторили в статья.
Это не так сложно, как Enigma или PURPLE, так что на самом деле вы можете сделать это довольно легко с ручкой и бумагой, но это неплохое памятное развлечение.
Так что приходите и попробуйте, если хотите.
Мы также разместили ссылку на статью, которую мы написали пару лет назад (Чему нас могут научить 2000 лет криптографии), в котором вы найдете подсказки, которые помогут вам решить криптографическую головоломку USPS.
Хорошая порция удовольствия от поминок!
ДУГ. Хорошо, так что давайте немного остановимся на случайности и криптографии и зададим вопрос, который, возможно, кто-то уже задавал.
Как случайный те автоматические перетасовщики карт, которые вы можете увидеть в казино?
Serious Security: Насколько случайно (или нет) можно тасовать карты?
УТКА. Да, еще одна увлекательная история, которую я подобрал благодаря гуру криптографии Брюсу Шнайеру, который написал об этом в своем собственном блоге, и он озаглавил свою статью О случайности автоматических тасовщиков карт.
Статья, о которой мы говорим, восходит, я думаю, к 2013 году, а проделанная работа, я думаю, восходит к началу 2000-х годов.
Но что очаровало меня в этой истории и заставило меня хотеть поделиться ею, так это то, что в ней есть невероятные обучающие моменты для людей, которые в настоящее время занимаются программированием, будь то в области криптографии или нет.
И, что еще более важно, в тестировании и обеспечении качества.
Потому что, в отличие от японцев, которые отказывались верить, что их ФИОЛЕТОВЫЙ шифр может работать неправильно, это история о компании, которая производила автоматические машины для тасования карт, но прикидывала: «Достаточно ли они хороши?»
Или может кто-то на самом деле понять, как они работают, и получить преимущество от того, что они недостаточно случайны?
И поэтому они изо всех сил старались нанять троих математиков из Калифорнии, один из которых также является опытным фокусником…
… и они сказали: «Мы построили эту машину. Мы думаем, что это достаточно случайно, с одним тасованием карт».
Их собственные инженеры изо всех сил старались разработать тесты, которые, как они думали, покажут, достаточно ли случайна машина для целей тасования карт, но им нужно было второе мнение, и поэтому они действительно пошли и получили его.
И эти математики посмотрели на то, как работает машина, и смогли найти, хотите верьте, хотите нет, то, что известно как закрытая формула.
Они полностью проанализировали его: как поведет себя эта штука и, следовательно, какие статистические выводы они могли бы сделать о том, как выйдут карты.
Они обнаружили, что, хотя перетасованные карты прошли значительную серию хороших тестов на случайность, в картах все еще оставалось достаточно много непрерывных последовательностей после того, как они были перетасованы, что позволяло им предсказать следующую карту в два раза больше, чем шанс.
И они смогли показать рассуждение, с помощью которого они смогли придумать свой мысленный алгоритм угадывания следующей карты в два раза лучше, чем нужно…
… так что они не только сделали это надежно и воспроизводимо, у них действительно была математика, чтобы формально показать, почему это было так.
И эта история, пожалуй, наиболее известна тем, что президент нанявшей их компании откликнулся на вполне приземленный, но вполне уместный ответ.
Предполагается, что он сказал:
Мы недовольны вашими выводами, но мы им верим, и для этого мы вас и наняли.
Другими словами, он говорит: «Я не платил за то, чтобы быть счастливым. Я заплатил, чтобы узнать факты и действовать в соответствии с ними».
Если бы только больше людей делали это, когда дело доходило до разработки тестов для своего программного обеспечения!
Потому что легко создать набор тестов, которые ваш продукт пройдет, и если он не сработает, вы поймете, что что-то определенно пошло не так.
Но на удивление сложно придумать набор тестов, которые стоит пройти вашему продукту*.
Именно это и сделала эта компания, наняв математиков, чтобы выяснить, как работает машина для тасования карт.
Там много жизненных уроков, Дуг!
ДУГ. Это забавная история и очень интересная.
Теперь каждую неделю мы обычно говорим о каком-то обновлении Apple, но не на этой неделе.
Нет нет!
На этой неделе у нас получил для вас… Apple *мегаобновление*:
Мегаобновление Apple: выпуск Ventura, нулевой день ядра iOS и iPad — действуйте сейчас!
УТКА. К сожалению, если у вас есть iPhone или iPad, обновление покрывает нулевой день, который в настоящее время активно эксплуатируется, что, как всегда, пахнет джейлбрейком/полным захватом шпионского ПО.
И, как всегда, и, возможно, это понятно, Apple очень уклончива в отношении того, что такое нулевой день, для чего он используется и, что не менее интересно, кто его использует.
Так что, если у вас есть iPhone или iPad, это *определенно* для вас.
И как ни странно, Дуг…
Я лучше объясню это, потому что на самом деле сначала это было неочевидно… и благодаря помощи некоторых читателей, спасибо Стефану из Бельгии, который присылал мне скриншоты и объяснял, что именно с ним произошло, когда он обновил свой iPad!
В обновлении для iPhone и iPad говорилось: «Эй, у вас iOS 16.1 и iPadOS 16». (Поскольку версия ОС iPad 16 была задержана.)
И это то, что говорится в бюллетене безопасности.
Когда вы устанавливаете обновление, на основном экране «О программе» просто написано «iPadOS 16».
Но если вы увеличите экран основной версии, обе версии на самом деле выйдут как «iOS/iPadOS 16.1».
Итак, это *обновление* до версии 16, а также это жизненно важное исправление нулевого дня.
Это сложная и запутанная часть… остальное просто состоит в том, что есть множество исправлений и для других платформ.
За исключением того, что вышла Ventura — macOS 13, со 112 патчами с номерами CVE, хотя для большинства людей у них не было бета-версии, так что это будет *обновление* и *обновление* одновременно…
Поскольку вышла macOS 13, macOS 10 Catalina осталась на три версии позади.
И действительно похоже, что Apple только сейчас поддерживает предыдущую и предыдущую версии.
Итак, *есть* обновления для Big Sur и Monterey, это macOS 11 и macOS 12, но Catalina, как известно, отсутствует, Дуг.
И как всегда досадно, чего мы не можем вам сказать…
Означает ли это, что он просто был невосприимчив ко всем этим исправлениям?
Означает ли это, что на самом деле нужны хотя бы некоторые исправления, но они просто еще не вышли?
Или это означает, что он упал с края света, и вы больше никогда не получите обновление, нужно оно ему или нет?
Мы не знаем.
ДУГ. Я чувствую себя измотанным, и я даже не делал ничего тяжелого в этой истории, так что спасибо вам за это… это большое.
УТКА. А у тебя даже нет айфона.
ДУГ. В точку!
У меня есть iPad…
УТКА. О, не так ли?
ДУГ. … так что я должен пойти и убедиться, что я обновил его.
И это приводит нас к нашему читательскому вопросу дня об истории Apple.
Анонимный комментатор спрашивает:
Решит ли это обновление 15.7 для iPad или мне придется обновиться до 16? Я жду, пока мелкие неприятные ошибки в 16 не будут устранены, прежде чем обновлять.
УТКА. Это второй уровень путаницы, если хотите, вызванный этим.
Насколько я понимаю, когда вышла iPadOS 15.7, это было точно в то же время, что и iOS 15.7.
И это было, кажется, чуть больше месяца назад?
Итак, это старое обновление безопасности.
И то, чего мы сейчас не знаем, это…
Существует ли еще не выпущенная версия iOS/iPadOS 15.7.1, которая закрывает дыры в безопасности, существующие в предыдущих версиях операционных систем для этих платформ?
Или ваш путь обновления обновлений безопасности для iOS и iPadOS теперь идет по маршруту версии 16?
Я просто не знаю, и я не знаю, как вы говорите.
Так что это выглядит так, как будто (и мне жаль, если я звучу смущенно, Даг, потому что это так!)…
…похоже, что *обновление* и путь *обновления* для пользователей iOS и iPadOS 15.7 должны перейти на версию 16.
И в настоящее время это означает 16.1.
Это моя рекомендация, потому что тогда, по крайней мере, вы знаете, что у вас самая последняя и лучшая сборка с последними и лучшими исправлениями безопасности.
Так что это длинный ответ.
Короткий ответ, Дуг, «Не знаю».
ДУГ. Ясно, как грязь.
УТКА. Да.
Ну, возможно, не все так ясно… [СМЕХ]
Если вы оставите грязь достаточно долго, в конце концов, осколки осядут на дно, а наверху будет чистая вода.
Так что, возможно, это то, что вам нужно сделать: подождать и посмотреть, или просто стиснуть зубы и перейти на 16.1.
Они делают это легко, не так ли? [СМЕЕТСЯ]
ДУГ. Хорошо, мы будем следить за этим, потому что это может немного измениться между этим и следующим разом.
Большое спасибо за отправку этого комментария, анонимный комментатор.
Если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.
Вы можете отправить электронное письмо на адрес tip@sophos.com, вы можете прокомментировать любую из наших статей, и вы можете связаться с нами в социальной сети @NakedSecurity.
Это наше шоу на сегодня, большое спасибо за внимание.
Для Пола Даклина я Дуг Аамот, напоминаю вам до следующего раза…
ОБА. Оставайтесь в безопасности!
- блокчейн
- Clearview
- Клирвью ИИ
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- криптография
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Потеря данных
- ригель
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Соответствие ВВП
- Kaspersky
- Закон и порядок
- вредоносных программ
- Mcafee
- Голая Безопасность
- Голый Подкаст Безопасности
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- Подкаст
- политикой конфиденциальности.
- хаотичность
- вымогателей
- VPN
- безопасности веб-сайтов
- зефирнет
![S3 Ep111: Бизнес-риск неряшливого «фильтра обнаженной натуры» [Аудио + Текст] PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3, эпизод 111: бизнес-риск неряшливого «нефильтра наготы» [аудио + текст]")
