МИ ВИСКРИВАЄМО ВАШІ ОБЛИЧЧЯ ДЛЯ ВАШОГО БЛАГА! (НІБИТО)
Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.
З Дугом Амотом і Полом Дакліном. Вступна та кінцева музика Едіт Мадж.
Ви можете послухати нас на Soundcloud, Apple Podcasts, Підкасти Google, Spotify, брошюровщик і скрізь, де можна знайти хороші подкасти. Або просто скиньте URL-адреса нашого каналу RSS у ваш улюблений подкечер.
ПРОЧИТАЙТЕ СКРИПТ
ДУГ. Криптологія, поліцейські зломи, оновлення Apple і… підрахунок карток!
Все це та багато іншого в подкасті Naked Security.
[МУЗИЧНИЙ МОДЕМ]
Ласкаво просимо в подкаст, усі.
Я Дуг Аамот; він Пол Даклін.
Павле, як ти сьогодні?
КАЧКА. Я дуже добре, дякую, Дугласе.
І я з нетерпінням чекаю моменту підрахунку карток, не в останню чергу тому, що йдеться не лише про підрахунок, але й про тасування карт.
ДУГ. Гаразд, дуже добре, чекаю на це!
І в нашому сегменті Tech History ми поговоримо про те, що не було випадковим – це було дуже прораховано.
Цього тижня, 25 жовтня 2001 року, Windows XP була випущена в роздрібну торгівлю.
Він був побудований на основі операційної системи Windows NT, і XP замінив Windows 2000 і Windows Millennium Edition як «XP Professional Edition» і «XP Home Edition» відповідно.
XP Home була першою споживчою версією Windows, яка не базувалася на MS-DOS або ядрі Windows 95.
І, особисто, мені це сподобалося.
Можливо, я просто пам’ятаю простіші часи… Не знаю, чи було це насправді так добре, як я пам’ятаю, але я пам’ятаю, що це було краще, ніж те, що ми мали раніше.
КАЧКА. Я погоджуюсь з цим.
Мені здається, на тобі, Дуг, є рожеві окуляри…
ДУГ. Гм-ммм.
КАЧКА. …але я мушу погодитися, що це було покращення.
ДУГ. Давайте поговоримо трохи про відшкодування, зокрема, відшкодування за небажане розпізнавання обличчя у Франції:
КАЧКА. Дійсно!
Постійні слухачі знають, що ми маємо говорив о компанія під назвою Clearview AI багато разів, тому що я вважаю справедливим сказати, що ця компанія викликає суперечки.
Французький регулятор дуже люб’язно публікує свої рішення або опублікував принаймні свої рішення Clearview французькою та англійською мовами.
Отже, ось як вони це описують:
Clearview AI збирає фотографії з багатьох веб-сайтів, у тому числі соціальних мереж. Він збирає всі фотографії, доступні безпосередньо в цих мережах. Таким чином, компанія зібрала понад 20 мільярдів зображень по всьому світу.
Завдяки цій колекції компанія продає доступ до своєї бази даних зображень у формі пошукової системи, в якій людину можна знайти за фотографією. Цю послугу компанія пропонує правоохоронним органам.
І заперечення французького регулятора, яке минулого року було повторено принаймні Великобританією та Австралією також: «Ми вважаємо це незаконним у нашій країні. Ви не можете знімати зображення людей з цією комерційною метою без їхньої згоди. Крім того, ви не дотримуєтеся правил GDPR, правил знищення даних, завдяки чому їм легко зв’язатися з вами та сказати: «Я хочу відмовитися».
Отже, по-перше, якщо ви хочете запустити це, його слід увімкнути.
І зібравши матеріал, ви не повинні затримувати його навіть після того, як вони хочуть переконатися, що їхні дані видалено.
І проблема у Франції, Дуг, полягає в тому, що минулого грудня регулятор сказав: «Вибачте, ви не можете цього зробити. Припиніть збирання даних і позбудьтеся того, що ви маєте на всіх у Франції. Велике спасибі."
Очевидно, за словами регулятора, Clearview AI просто не хотів виконувати вимоги.
ДУГ. Ой-ой!
КАЧКА. Тож тепер французи повернулися і сказали: «Ви, здається, не хочете слухати. Ви ніби не розумієте, що це закон. Тепер те саме, але ви також повинні заплатити 20 мільйонів євро. Дякую, що прийшли."
ДУГ. У нас є кілька коментарів до статті… ми хотіли б почути вашу думку; Ви можете коментувати анонімно.
Зокрема, питання, які ми ставимо, такі: «Чи справді Clearview AI надає правоохоронним органам корисну та соціально прийнятну послугу? Або це випадково порушує нашу конфіденційність, незаконно збираючи біометричні дані та комерціалізуючи їх для слідчих цілей відстеження без згоди?»
Гаразд, давайте зупинимося на цій темі компенсації та поговоримо трохи про це винагорода за ЗАСУВ злочинців.
Це цікава історія із залученням правоохоронних органів та хакерства!
Коли копи зламують: нідерландська поліція викриває злочинців DEADBOLT (законно!)
КАЧКА. Знімаю капелюха перед копами за те, що вони зробили це, хоча, як ми пояснимо, це було на кшталт одноразової події.
Постійні слухачі пам’ятають DEADBOLT – він згадувався кілька разів раніше.
DEADBOLT — це банда програм-вимагачів, яка фактично знаходить ваш сервер Network Attached Storage [NAS], якщо ви домашній користувач або малий бізнес…
…і якщо він не виправлений проти вразливості, якою вони знають, як використовувати, вони прийдуть і просто зашифрують ваш блок NAS.
Вони придумали, що саме там зберігаються всі ваші резервні копії, усі ваші великі файли, там усі ваші важливі речі.
«Давайте не хвилюватися про необхідність писати зловмисне програмне забезпечення для Windows і зловмисне програмне забезпечення для Mac і хвилюватися про те, яка у вас версія. Ми просто зайдемо, переглянемо ваші файли, а потім скажемо: «Заплатіть нам 600 доларів».
Це поточний курс: 0.03 біткойна, якщо ви не проти.
Тож вони використовують підхід, орієнтований на споживача, намагаючись вразити багато людей і щоразу вимагаючи дещо доступну суму.
І я думаю, що якщо все, що у вас є, є резервною копією, ви можете відчути: «Знаєте що? 600 доларів — це великі гроші, але я можу собі це дозволити. Я заплачу».
Щоб спростити справу (і ми неохоче сказали, що це розумна частина, якщо хочете, цього конкретного програмного забезпечення-вимагача)… по суті, ви говорите шахраям, що вас цікавить, надсилаючи їм повідомлення через блокчейн біткойнів. .
По суті, ви платите їм гроші на вказану унікальну для вас біткойн-адресу.
Коли вони отримують платіжне повідомлення, вони повертають платіж у розмірі 0 доларів США з коментарем, який є ключем розшифровки.
Тож це *єдина* взаємодія, яка їм потрібна з вами.
Їм не потрібно використовувати електронну пошту, і їм не потрібно запускати сервери темної мережі.
Однак нідерландські поліцейські вважали, що шахраї зробили помилку, пов’язану з протоколом!
Щойно ваша транзакція потрапляє в екосистему біткойнів, шукаючи когось для її майнінгу, їхній сценарій надсилає ключ дешифрування.
І виявляється, хоча ви не можете подвоїти витрати біткойнів (інакше система розвалиться), ви можете здійснити дві транзакції одночасно: одну з високою комісією за транзакцію, а іншу з дуже низькою або нульовою комісією за транзакцію.
І вгадайте, який з них приймуть майнери біткойнів і, зрештою, блокчейн біткойнів?
І ось що копи зробили...
ДУГ. [СМІЄТЬСЯ] Дуже розумно, мені подобається!
КАЧКА. Вони стягували б платіж із нульовою комісією за транзакцію, обробка якої могла тривати кілька днів.
А потім, щойно вони повернули ключ розшифровки від шахраїв (у них було, я думаю, 155 користувачів, яких вони як би зібрали разом)… як тільки вони отримали ключ розшифровки назад, вони здійснили подвійну транзакцію.
«Я хочу знову витратити той самий біткоін, але цього разу ми повернемо його собі. І тепер ми запропонуємо розумну комісію за транзакцію».
Отже, ця транзакція була тією, яка врешті-решт була фактично підтверджена та заблокована в блокчейні…
…а іншого просто проігнорували та викинули… [СМІЄТЬСЯ] як завжди, не варто сміятися!
ДУГ. [СМІЄТЬСЯ]
КАЧКА. Тож, в основному, шахраї заплатили занадто рано.
І я вважаю, що це не *зрада*, якщо ви працюєте в правоохоронних органах і робите це в законний спосіб… це, по суті, *пастка*.
І шахраї увійшли в це.
Як я зазначав на початку, це може спрацювати лише один раз, тому що, звісно, шахраї подумали: «О, боже, ми не повинні робити це таким чином. Змінимо протокол. Давайте спочатку зачекаємо, поки транзакція буде підтверджена в блокчейні, а потім, коли ми дізнаємося, що ніхто не може прийти з транзакцією, яка перевершить її пізніше, лише тоді ми надішлемо ключ розшифровки».
КАЧКА. Але шахраї таки потрапили до 155 ключів дешифрування від жертв у 13 різних країнах, які звернулися за допомогою до голландської поліції.
Отже, вступна [на французькому велосипедному сленгу «зняти капелюх»], як то кажуть!
ДУГ. Це чудово… це дві позитивні історії поспіль.
І давайте збережемо позитивний настрій у наступній історії.
Це про жінок у криптології.
Їх відзначила Поштова служба США, яка відзначає зламників кодів Другої світової війни.
Розкажіть нам усе про це – це a дуже цікава історія, Павло:
Жінки в криптології – USPS вшановує зламників Другої світової війни
КАЧКА. Так, це була одна з тих приємних речей, про які можна написати на Naked Security: Жінки в криптології – Поштова служба США вшановує зламників Другої світової війни.
Тепер ми розглянули злом коду Блетчлі Парку, який є криптографічними зусиллями Великобританії під час Другої світової війни, головним чином спроби зламати нацистські шифри, такі як добре відома машина Enigma.
Однак, як ви можете собі уявити, США зіткнулися з величезною проблемою на тихоокеанському театрі війни, намагаючись впоратися з японськими шифрами, зокрема з одним шифром, відомим як PURPLE.
На відміну від нацистської Enigma, це не був комерційний пристрій, який можна було купити.
Насправді це була домашня машина, яка вийшла з військових, заснована на телефонних комутаційних реле, які, якщо ви подумаєте, схожі на комутатори «бази десять».
Отже, таким же чином Парк Блетчлі у Великій Британії таємно працювало понад 10,000 10,000 людей… Я цього не усвідомлював, але виявилося, що було більше XNUMX XNUMX жінок, завербованих у криптологію, у криптографічний злом, у США, щоб спробувати мати справу з японськими шифрами під час війни.
Судячи з усього, вони були надзвичайно успішними.
На початку 1940-х років одним із американських криптологів на ім’я Женев’єва Гротян був здійснений криптографічний прорив, і, очевидно, це призвело до вражаючих успіхів у читанні японських секретів.
І я просто процитую Поштову службу США з їхньої серії марок:
Вони розшифрували повідомлення японського флоту, допомогли запобігти німецьким підводним човнам потопити життєво важливі вантажні кораблі та зламали системи шифрування, які розкривали японські судноплавні маршрути та дипломатичні повідомлення.
Ви можете собі уявити, що це дійсно дає вам дуже, дуже корисні інтелектуальні дані... які, на вашу думку, допомогли скоротити війну.
На щастя, навіть незважаючи на те, що японці були попереджені (мабуть, нацистами), що їхній шифр або зламаний, або вже зламаний, вони відмовилися в це повірити, і вони продовжували використовувати PURPLE протягом усієї війни.
А жінки-криптологи того часу обов’язково таємно робили сіно, поки світило сонце.
На жаль, як це сталося у Великій Британії з усіма героями війни (знову ж таки, більшість із них жінки) у Блетчлі-парку…
…після війни вони присягнулися зберігати таємницю.
Тому минуло багато десятиліть, поки вони не отримали хоч якогось визнання, не кажучи вже про те, що можна назвати героїчною зустріччю, яку вони, по суті, заслужили, коли в 1945 році спалахнув мир.
ДУГ. Вау, це крута історія.
І шкода, що знадобилося так багато часу, щоб отримати визнання, але чудово, що вони нарешті його отримали.
І я закликаю всіх, хто це слухає, зайти на сайт, щоб прочитати це.
Це називається: Жінки в криптології – USPS вшановує зламників Другої світової війни.
Дуже хороший твір!
КАЧКА. До речі, Дуг, щодо серії марок, які ви можете придбати (ювілейна серія, де ви отримуєте марки на повному аркуші)… навколо марок USPS фактично склала маленьку криптографічну головоломку, яку ми повторювали в Стаття.
Це не так складно, як Enigma або PURPLE, тому ви можете зробити це досить легко за допомогою ручки та паперу, але це гарна пам’ятна розвага.
Тож приходьте та спробуйте, якщо хочете.
Ми також розмістили посилання на статтю, яку написали пару років тому (Чого можуть навчити нас 2000 років криптографії), у якому ви знайдете підказки, які допоможуть вам вирішити криптографічну головоломку USPS.
Гарна розвага під час святкування пам’яті!
ДУГ. Гаразд, тож давайте трохи поговоримо про випадковість і криптографію та задамо запитання, яке, можливо, дехто задавав собі раніше.
Як випадковий це автоматичні тасувальники карт, які ви можете побачити в казино?
Серйозна безпека: як випадково (чи ні) ви можете тасувати карти?
КАЧКА. Так, ще одна захоплююча історія, яку я дізнався завдяки гуру криптографії Брюсу Шнайеру, який написав про це у власному блозі, і так він назвав свою статтю Про випадковість автоматичних тасувальників карт.
Стаття, про яку ми говоримо, датується, я думаю, 2013 роком, а робота, яка була виконана, я думаю, сягає початку 2000-х.
Але те, що мене захопило в цій історії, і змусило мене поділитися нею, так це те, що в ній є неймовірні моменти для навчання людей, які зараз займаються програмуванням, незалежно від того, працюють вони в галузі криптографії чи ні.
І, що ще важливіше, у тестуванні та гарантії якості.
Тому що, на відміну від японців, які відмовлялися вірити, що їхній ФІОЛЕТОВИЙ шифр може не працювати належним чином, це історія про компанію, яка виготовила машини для автоматичного тасування карток, але подумала: «Чи справді вони достатньо хороші?»
Або хтось може насправді зрозуміти, як вони працюють, і отримати перевагу від того факту, що вони недостатньо випадкові?
І тому вони зробили все можливе, щоб найняти тріо математиків із Каліфорнії, один із яких також є досвідченим фокусником…
…і вони сказали: «Ми створили цю машину. Ми вважаємо, що це досить випадково, одним перетасуванням карт».
Їхні власні інженери зробили все можливе, щоб розробити тести, які, на їхню думку, показали б, чи достатньо випадкова машина для тасування карт, але вони хотіли отримати іншу думку, тож вони справді пішли й отримали її.
І ці математики подивилися, як працює машина, і змогли, вірите чи ні, створити так звану замкнуту формулу.
Вони повністю проаналізували: як буде поводитись річ, і, отже, які статистичні висновки вони зможуть зробити щодо того, як вийдуть карти.
Вони виявили, що, незважаючи на те, що перемішані карти проходили значну кількість хороших тестів на випадковість, після перемішування в них залишалося достатньо нерозривних послідовностей, що дозволяло передбачити наступну карту вдвічі краще, ніж шанс.
І вони змогли показати міркування, за допомогою яких вони змогли придумати свій розумовий алгоритм для вгадування наступної карти вдвічі краще, ніж вони повинні…
…тому вони не тільки робили це надійно та повторювано, але й справді володіли математикою, щоб формульно показати, чому це так.
І ця історія, мабуть, найвідоміша за земну, але цілком доречну відповідь президента компанії, яка їх найняла.
Він нібито сказав:
Ми не задоволені вашими висновками, але ми їм віримо, і саме для цього ми вас найняли.
Іншими словами, він каже: «Я не платив, щоб бути щасливим. Я заплатив, щоб з’ясувати факти та діяти відповідно до них».
Якби більше людей робили це, коли справа дійшла до розробки тестів для свого програмного забезпечення!
Тому що легко створити набір тестів, які ваш продукт пройде, і якщо він не пройде, ви знаєте, що щось точно пішло не так.
Але напрочуд важко придумати набір тестів, який *вартий того, щоб ваш продукт пройшов*.
Саме це і зробила ця компанія, найнявши математиків, щоб дослідити, як працює машина для тасування карт.
Там багато життєвих уроків, Дуг!
ДУГ. Це весела і дуже цікава історія.
Щотижня ми зазвичай говоримо про якесь оновлення Apple, але не цього тижня.
Ні ні!
Цього тижня ми отримав для вас… *мегаоновлення* від Apple:
Мегаоновлення Apple: вихід Ventura, ядро iOS і iPad нульового дня – дійте зараз!
КАЧКА. На жаль, якщо у вас є iPhone або iPad, оновлення охоплює нульовий день, який зараз активно експлуатується, який, як завжди, пахне джейлбрейком/повним захопленням шпигунського ПЗ.
І як завжди, і, мабуть, зрозуміло, Apple дуже хитро ставиться до того, що таке нульовий день, для чого він використовується і, що не менш цікаво, хто його використовує.
Отже, якщо у вас є iPhone або iPad, це *однозначно* для вас.
І що дивно, Дуг...
Мені краще це пояснити, тому що спочатку це було неочевидно… і завдяки допомозі читачів, дякую Стефану з Бельгії, який надсилає мені знімки екрана та пояснює, що саме сталося з ним, коли він оновив свій iPad!
В оновленні для iPhone та iPad було сказано: «Привіт, у вас iOS 16.1 і iPadOS 16». (Оскільки версія ОС iPad 16 була відкладена.)
І про це йдеться в бюлетені безпеки.
Коли ви встановлюєте оновлення, на основному екрані «Про» буде лише написано «iPadOS 16».
Але якщо збільшити головний екран версії, то обидві версії фактично вийдуть як «iOS/iPadOS 16.1».
Отже, це *оновлення* до версії 16, а також це життєво важливе виправлення нульового дня.
Це важка та заплутана частина… інше полягає в тому, що є багато виправлень і для інших платформ.
За винятком того, що Ventura вийшла – macOS 13 зі 112 виправленнями, пронумерованими CVE, хоча для більшості людей у них не буде бета-версії, тому це буде *оновлення* і *оновлення* одночасно…
Оскільки вийшла macOS 13, це залишає macOS 10 Catalina на три версії позаду.
І справді виглядає так, ніби Apple лише зараз підтримує попередні та попередні версії.
Отже, *є* оновлення для Big Sur і Monterey, це macOS 11 і macOS 12, але Каталіна, як відомо, відсутня, Дуг.
І як завжди дратує те, що ми не можемо вам сказати...
Чи означає це, що він просто був несприйнятливий до всіх цих виправлень?
Чи означає це, що насправді потрібні принаймні деякі виправлення, але вони просто ще не вийшли?
Або це означає, що він впав із краю світу, і ви більше ніколи не отримаєте оновлення, чи потрібно воно йому чи ні?
Ми не знаємо.
ДУГ. Я почуваюся розбитим, і я навіть не займався важким у тій історії, тож дякую тобі за це… це дуже багато.
КАЧКА. А у вас навіть iPhone немає.
ДУГ. Абсолютно вірно!
У мене є iPad…
КАЧКА. О, ти?
ДУГ. …тож мені потрібно піти й переконатися, що я оновлюю його.
І це підводить нас до питання дня нашого читача про історію Apple.
Анонімний коментатор запитує:
Чи вирішить це оновлення 15.7 для iPad, чи мені потрібно оновити до 16? Я чекаю, поки дрібні неприємні помилки в 16 будуть вирішені перед оновленням.
КАЧКА. Це другий рівень плутанини, якщо хочете, спричинений цим.
Наскільки я розумію, iPadOS 15.7 вийшла точно в той самий час, що й iOS 15.7.
І це було трохи більше місяця тому, здається?
Отже, це застаріле оновлення безпеки.
І те, що ми зараз не знаємо, це...
Чи існує iOS/iPadOS 15.7.1, яка ще не вийшла, і виправляє діри в безпеці, які існують у попередніх версіях операційних систем для цих платформ?
Або ваш шлях оновлення для оновлень системи безпеки для iOS і iPadOS тепер має йти за маршрутом версії 16?
Я просто не знаю, і я не знаю, як ти це скажеш.
Тож це виглядає так, ніби (і вибачте, якщо я звучу збентеженим, Дуг, бо я так!)…
…схоже на те, що *оновлення* та шлях *оновлення* для користувачів iOS і iPadOS 15.7 мають перейти до версії 16.
А на даний момент це означає 16.1.
Це була б моя рекомендація, тому що тоді ви принаймні знаєте, що у вас найновіша та найкраща збірка з останніми та найкращими виправленнями безпеки.
Отже, це довга відповідь.
Коротка відповідь, Дуг, «не знаю».
ДУГ. Чистий як багнюка.
КАЧКА. Так.
Ну, можливо, не так зрозуміло... [СМІХ]
Якщо залишити мул досить довго, зрештою шматочки осідають на дно, а нагорі буде чиста вода.
Тож, можливо, це те, що вам потрібно зробити: почекати та побачити, або просто витримати 16.1.
Вони роблять це легко, чи не так? [СМІЄТЬСЯ]
ДУГ. Гаразд, ми будемо стежити за цим, тому що це може дещо змінитися від сьогодні до наступного разу.
Дуже дякую, що надіслав цей коментар, анонімний коментатор.
Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.
Ви можете надіслати нам електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей, а також ви можете звернутися до нас у соціальній мережі @NakedSecurity.
Це наше сьогоднішнє шоу, велике спасибі за прослуховування.
Для Пола Дакліна я Дуг Аамот, нагадую вам до наступного разу…
ОБИМ. Будьте в безпеці!
- blockchain
- Clearview
- Clearview AI
- coingenius
- крипто-валютні кошельки
- криптообмін
- криптографія
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- втрати даних
- Дедлайт
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Відповідність GDPR
- Kaspersky
- Закон і порядок
- шкідливих програм
- Макафі
- Гола безпека
- Голий подкаст безпеки
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- Подкаст
- недоторканність приватного життя
- випадковість
- вимагачів
- VPN
- безпеки веб-сайтів
- зефірнет
![S3 Ep111: Бізнес-ризик неякісного «дефільтра оголених зображень» [Аудіо + текст] PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: Бізнес-ризик неякісного «дефільтра наготи» [Аудіо + текст]")
