我们正在为您自己的利益而刮脸! (据称)
单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。
与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 密码学、警察反击、Apple 更新和……算牌!
所有这些,以及更多,都在 Naked Security 播客上。
[音乐调制解调器]
欢迎大家收听播客。
我是道格·阿莫斯; 他是保罗·达克林。
保罗,你今天好吗?
鸭。 我很好,谢谢你,道格拉斯。
我非常兴奋地期待着数牌位,尤其是因为它不仅仅是数数,它还与洗牌有关。
道格。 不错,很好,期待!
在我们的技术历史部分,我们将谈论一些不是随机的——它是经过精心计算的。
本周,25 年 2001 月 XNUMX 日,Windows XP 正式发布。
它建立在 Windows NT 操作系统之上,XP 将 Windows 2000 和 Windows Millennium Edition 分别替换为“XP Professional Edition”和“XP Home Edition”。
XP Home 是第一个不基于 MS-DOS 或 Windows 95 内核的 Windows 消费者版本。
而且,就个人而言,我喜欢它。
我可能只是记得更简单的时代……我不知道它是否真的和我记忆中的一样好,但我记得它比我们以前的更好。
鸭。 我同意这一点。
我想你可能戴着一些玫瑰色的眼镜,道格……
道格。 嗯嗯。
鸭。 ……但我不得不同意这是一种改进。
道格。 让我们谈谈报应,具体来说,报应 不需要的面部识别 在法国:
鸭。 的确如此!
普通听众会知道我们有 谈到 一家名为 Clearview AI 的公司 很多次,因为我认为公平地说这家公司是有争议的。
法国监管机构非常有帮助地以法语和英语发布其裁决,或者至少已经发布了其 Clearview 裁决。
所以,基本上,他们是这样描述它的:
Clearview AI 从包括社交媒体在内的许多网站收集照片。 它收集在这些网络上可直接访问的所有照片。 因此,该公司已在全球收集了超过 20 亿张图像。
由于这个集合,该公司以搜索引擎的形式销售对其图像数据库的访问权,在该搜索引擎中可以使用照片找到一个人。 该公司向执法部门提供这项服务。
法国监管机构的反对意见,至少在去年得到了英国和澳大利亚监管机构的响应,是:“我们认为这在我们国家是非法的。 未经他们同意,您不能出于商业目的去抓取人们的图像。 而且你也没有遵守 GDPR 规则、数据销毁规则,让他们很容易联系你并说‘我想退出’。”
因此,首先,如果您想运行它,应该选择加入。
并且在收集了这些东西之后,即使他们想要确保他们的数据被删除,你也不应该坚持下去。
道格,法国的问题是去年 XNUMX 月监管机构说,“对不起,你不能这样做。 停止抓取数据,摆脱你对法国每个人的了解。 非常感谢。”
显然,根据监管机构的说法,Clearview AI 似乎并不想遵守。
道格。 哦!
鸭。 所以现在法国人回来说,“你似乎不想听。 你似乎不明白这是法律。 现在,同样的事情也适用,但您还必须支付 20 万欧元。 感谢你的到来。”
道格。 我们对这篇文章正在酝酿一些评论……我们很想听听您的想法; 你可以匿名评论。
具体来说,我们提出的问题是:“Clearview AI 真的为执法部门提供了有益的和社会可接受的服务吗? 还是通过非法收集生物特征数据并在未经同意的情况下将其商业化用于调查跟踪目的而随意践踏我们的隐私?”
好吧,让我们坚持这个报应的主题,谈谈一点 DEADBOLT 的惩罚 罪犯。
这是一个有趣的故事,涉及执法和黑客攻击!
鸭。 向警察致敬,尽管正如我们将解释的那样,这是一次性的事情。
普通听众会记得 DEADBOLT——它之前出现过几次。
DEADBOLT 是勒索软件团伙,如果您是家庭用户或小型企业,他们基本上会找到您的网络附加存储 [NAS] 服务器……
…如果没有针对他们知道如何利用的漏洞进行修补,他们就会进来,他们只是扰乱你的 NAS 盒子。
他们认为那是你所有备份的地方,那是你所有大文件的地方,那是你所有重要的东西所在的地方。
“让我们不必担心必须为 Windows 编写恶意软件和为 Mac 编写恶意软件,也不必担心你有什么版本。 我们会直接进去,打乱你的文件,然后说,‘付给我们 600 美元’。”
这就是当前的汇率:0.03 比特币,如果你不介意的话。
因此,他们采取了以消费者为导向的方法,试图吸引很多人,并要求每次都能负担得起的数量。
而且我想如果你所拥有的一切都备份在那里,那么你可能会觉得,“你知道吗? 600美元是很多钱,但我几乎可以负担得起。 我会付钱的。”
为了简化问题(我们不情愿地说,如果你愿意,这是这个特定勒索软件的一个聪明部分)......基本上,你所做的就是通过比特币区块链向骗子发送消息来告诉他们你感兴趣.
基本上,你将钱付给他们指定的、对你来说唯一的比特币地址。
当他们收到付款消息时,他们会发回 0 美元的付款,其中包括作为解密密钥的注释。
所以这是他们需要与您进行的*唯一*互动。
他们不需要使用电子邮件,也不需要运行任何暗网服务器。
然而,荷兰警察认为骗子犯了与协议有关的错误!
一旦你的交易进入比特币生态系统,寻找挖掘它的人,他们的脚本就会发送解密密钥。
事实证明,虽然你不能双花比特币(否则系统会崩溃),你可以同时进行两笔交易,一笔交易费用很高,另一笔交易费用非常低或为零。
猜猜比特币矿工和最终比特币区块链会接受哪一个?
这就是警察所做的……
道格。 [笑] 很聪明,我喜欢!
鸭。 他们会坚持以零交易费用付款,这可能需要几天时间才能得到处理。
然后,一旦他们从骗子那里拿回了解密密钥(我想,他们有 155 个用户,他们有点像俱乐部)……他们一拿到解密密钥,就进行了双花交易。
“我想再次花费同样的比特币,但这次我们将把它还给我们自己。 现在我们将提供合理的交易费用。”
因此,该交易是最终真正得到确认并锁定在区块链中的交易……
......而另一个只是被忽视并被扔掉...... [笑]一如既往,不应该笑!
道格。 [笑]
鸭。 所以,基本上,骗子们付出的太快了。
如果你是执法人员,我想这不是*背叛*,而且你是以合法的方式进行的……它基本上是一个*陷阱*。
骗子走进了它。
正如我一开始提到的,这只能工作一次,因为骗子当然想,“哦,亲爱的,我们不应该那样做。 让我们更改协议。 让我们先等待交易被确认到区块链上,然后一旦我们知道没有人可以带来稍后会胜过它的交易,我们才会发出解密密钥。”
鸭。 但骗子们确实措手不及,因为来自 155 个不同国家的受害者向荷兰警方寻求帮助的 13 个解密密钥。
所以, 帽子 [法国自行车俚语表示“脱帽”],正如他们所说!
道格。 太好了……这是连续两个积极的故事。
让我们在下一个故事中保持积极的氛围。
这是关于密码学中的女性。
他们获得了美国邮政局的表彰,该机构正在庆祝第二次世界大战的密码破解者。
告诉我们这一切——这是一个 非常有趣的故事,保罗:
鸭。 是的,这是在 Naked Security 上写的那些好东西之一: 密码学中的女性——美国邮政局庆祝第二次世界大战的密码破译者.
现在,我们已经介绍了 Bletchley Park 密码破解,这是英国在第二次世界大战期间的密码学工作,主要是为了尝试破解纳粹密码,例如众所周知的 Enigma 机器。
然而,正如你可以想象的那样,美国在太平洋战区面临着一个巨大的问题,试图处理日本密码,特别是一种被称为 PURPLE 的密码。
与纳粹的 Enigma 不同,这不是可以购买的商业设备。
它实际上是一种来自军队的国产机器,基于电话交换继电器,如果你仔细想想,它有点像“基地十”开关。
所以,以同样的方式 布莱切利公园 在英国秘密雇佣了 10,000 多人……我没有意识到这一点,但事实证明,在美国,有超过 10,000 名女性被招募到密码学领域,从事密码破解,在战争期间尝试处理日本密码。
无论如何,他们都非常成功。
1940 年代初,一位名叫 Genevieve Grotjan 的美国密码学家取得了密码学突破,显然这导致在阅读日本机密方面取得了惊人的成功。
我将引用美国邮政局的邮票系列:
他们破译了日本舰队的通讯,帮助防止德国 U 型潜艇击沉重要的货船,并努力破解揭示日本航线和外交信息的加密系统。
你可以想象这确实为你提供了非常、非常、有用的情报……你必须假设这有助于缩短战争。
幸运的是,即使日本人已经被警告(显然是纳粹)他们的密码要么是可破解的,要么已经被破解,但他们拒绝相信,并且在整个战争期间继续使用 PURPLE。
而当时的女密码学家肯定会趁着阳光明媚的时候偷偷摸摸干草。
不幸的是,就像在英国与布莱切利公园的所有战时英雄(再次,其中大多数是女性)一样……
…战后,他们宣誓保密。
因此,他们在获得任何认可之前已经过了几十年,更不用说在 1945 年和平爆发时他们基本上应得的英雄欢迎。
道格。 哇,这是一个很酷的故事。
不幸的是,他们花了很长时间才获得认可,但他们终于得到认可真是太好了。
我敦促任何正在收听此内容的人前往该站点阅读该内容。
它被称为: 密码学中的女性——USPS 庆祝第二次世界大战的密码破译者.
很好的一块!
鸭。 顺便说一句,道格,关于你可以买到的邮票系列(纪念系列,你可以在整张纸上买到邮票)……在邮票周围,USPS 实际上放了一个小密码谜题,我们已经重复了文章。
它不像 Enigma 或 PURPLE 那样难,所以你实际上可以用笔和纸相当容易地完成它,但它是一个很好的纪念乐趣。
所以,如果你喜欢,就过来试试吧。
我们还提供了几年前写的一篇文章的链接(2000 年的密码学可以教给我们什么),您将在其中找到有助于解决 USPS 密码难题的提示。
和你的纪念一起去很有趣!
道格。 好吧,让我们稍微坚持一下随机性和密码学,并提出一个可能有些人以前想知道的问题。
创新中心 随机 您可能会在赌场看到那些自动洗牌机吗?
鸭。 是的,感谢密码学大师布鲁斯·施奈尔 (Bruce Schneier) 写的另一个引人入胜的故事 在他自己的博客上, 他把他的文章命名为 关于自动洗牌机的随机性.
我认为我们正在谈论的论文可以追溯到 2013 年,而我认为已经完成的工作可以追溯到 2000 年代初。
但是这个故事让我着迷并让我想分享它的是,它对于目前参与编程的人来说具有难以置信的可教时刻,无论是否在密码学领域。
而且,更重要的是,在测试和质量保证方面。
因为,与拒绝相信他们的 PURPLE 密码可能无法正常工作的日本人不同,这是一个关于一家制造自动洗牌机的公司的故事,但他们想,“他们真的足够好吗?”
或者有人真的可以弄清楚它们是如何工作的,并从它们不够随机的事实中获得优势吗?
于是他们特意从加利福尼亚聘请了三位数学家,其中一位也是一位出色的魔术师……
......他们说,“我们制造了这台机器。 我们认为它足够随机,只需洗牌一次。”
他们自己的工程师已经不遗余力地设计了测试,他们认为这些测试可以显示机器是否足够随机以进行洗牌,但他们想要第二个意见,所以他们真的出去了。
这些数学家研究了机器是如何工作的,并且能够提出,信不信由你,用所谓的封闭公式。
他们对其进行了完整的分析:事物将如何表现,因此他们可以对卡片的输出方式做出哪些统计推断。
他们发现,尽管洗好的牌会通过大量的良好随机性测试,但在洗牌后,牌中仍有足够多的完整序列,这使他们能够预测下一张牌的几率是两倍。
他们能够展示他们能够提出他们的心理算法的推理,以两次猜测下一张牌......
……所以他们不仅可靠且可重复地做到了这一点,而且他们实际上有数学公式化地表明为什么会这样。
而这个故事最出名的可能是雇用他们的公司总裁的朴实但完全恰当的回应。
他应该说:
我们对您的结论不满意,但我们相信他们,这就是我们聘请您的原因。
换句话说,他是在说,“我不是为了得到快乐而付钱的。 我花钱是为了查明事实并采取行动。”
在为他们的软件设计测试时,如果只有更多的人这样做!
因为很容易创建一组您的产品将通过的测试,如果它失败了,您就知道肯定出了问题。
但是要提出一组*值得您的产品通过*的测试却出奇地困难。
这就是这家公司所做的,聘请数学家研究洗牌机的工作原理。
道格,那里有很多人生课程!
道格。 这是一个有趣的故事,非常有趣。
现在,我们通常每周都会谈论某种 Apple 更新,但不是本周。
不,不!
本周我们已经 给你… Apple *megaupdate*:
鸭。 不幸的是,如果您有 iPhone 或 iPad,则更新涵盖当前被积极利用的零日漏洞,这与往常一样,带有越狱/完全间谍软件接管的味道。
与往常一样,也许可以理解的是,Apple 对零日漏洞的具体含义、它的用途以及谁在使用它非常谨慎。
因此,如果您有 iPhone 或 iPad,那么这*绝对*适合您。
令人困惑的是,道格……
我最好解释一下,因为起初它实际上并不明显……感谢一些读者的帮助,感谢来自比利时的 Stefaan,他一直在向我发送屏幕截图并准确解释他更新 iPad 时发生的事情!
iPhone 和 iPad 的更新说:“嘿,你有 iOS 16.1 和 iPadOS 16”。 (因为 iPad OS 版本 16 延迟了。)
这就是安全公告所说的。
安装更新时,基本的关于屏幕只会显示“iPadOS 16”。
但如果你放大主版本屏幕,那么这两个版本实际上都是“iOS/iPadOS 16.1”。
这就是*升级*到第 16 版,加上这个重要的零日修复。
这是困难和令人困惑的部分……其余的只是其他平台也有很多修复。
除此之外,因为 Ventura 发布了 – macOS 13,带有 112 个 CVE 编号的补丁,尽管对于大多数人来说,他们不会拥有测试版,所以这将是 *upgrade* 和 *update* 同时......
由于 macOS 13 的推出,macOS 10 Catalina 落后了三个版本。
它确实看起来好像苹果现在才支持以前的和以前的。
所以*有* Big Sur 和 Monterey 的更新,即 macOS 11 和 macOS 12,但众所周知,Catalina 缺席,Doug。
和往常一样烦人的是,我们不能告诉你的……
这是否意味着它根本不受所有这些修复的影响?
这是否意味着它实际上至少需要一些修复,但它们还没有出来?
或者这是否意味着它已经脱离了世界的边缘,无论是否需要更新,您都将永远不会再获得更新?
我们不知道。
道格。 我觉得很啰嗦,而且我什至没有在那个故事中做任何繁重的工作,所以谢谢你……这很多。
鸭。 你甚至没有 iPhone。
道格。 究竟!
我有一个 iPad…
鸭。 哦,你呢?
道格。 ......所以我必须去确保我得到它是最新的。
这将我们引向今天的读者问题,关于 Apple 的故事。
匿名评论者问:
iPad 的 15.7 更新会解决这个问题,还是我必须更新到 16? 我等到 16 中的小麻烦问题解决后再更新。
鸭。 如果您愿意,那是由此引起的第二级混乱。
现在,我的理解是,当 iPadOS 15.7 出来的时候,和 iOS 15.7 的时间完全一样。
那是,什么,就在一个多月前,我想?
所以这是一个旧的安全更新。
而我们现在不知道的是……
是否还有尚未发布的 iOS/iPadOS 15.7.1,修复了这些平台的先前版本操作系统中确实存在的安全漏洞?
或者您的 iOS 和 iPadOS 安全更新的更新路径现在是否沿着版本 16 路线进行?
我就是不知道,也不知道你是怎么说的。
所以看起来好像(如果我听起来很困惑,我很抱歉,道格,因为我是!)......
…看起来,iOS 和 iPadOS 15.7 用户的 *update* 和 *upgrade* 路径似乎是转向版本风味 16。
目前,这意味着 16.1。
这将是我的建议,因为至少你知道你拥有最新最好的构建,以及最新最好的安全修复程序。
所以这是很长的答案。
简短的回答是,道格,“不知道。”
道格。 清澈如泥。
鸭。 是的。
好吧,也许不是那么清楚……[笑声]
如果您将泥浆留得足够长,最终这些钻头会沉到底部,顶部会有清澈的水。
所以也许这就是你必须做的:等等看,或者硬着头皮去买 16.1。
他们确实让事情变得容易,不是吗? [笑]
道格。 好的,我们会密切关注这一点,因为从现在到下一次,这可能会发生一些变化。
非常感谢您发送该评论,匿名评论者。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,也可以在社交@NakedSecurity 上联系我们。
这就是我们今天的节目,非常感谢您的收听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒您下次……
两个都。 保持安全!
![S3 Ep111:低劣的“裸露过滤器”的商业风险[音频+文本] PlatoBlockchain 数据智能。 垂直搜索。 人工智能。](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111:下流的“裸体未过滤”的商业风险 [音频 + 文本]")
