VI SKRAPAR DINA ANSIKTEN FÖR DITT EGET BÄSTA! (PÅSTÅS)
Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.
Med Doug Aamoth och Paul Ducklin. Intro och outro musik av Edith Mudge.
Du kan lyssna på oss på soundcloud, Apple Podcasts, Google Podcasts, Spotify, häft och överallt där bra poddar finns. Eller bara släpp URL till vårt RSS-flöde till din favoritpodcatcher.
LÄS TRANSKRIPTET
DOUG. Kryptologi, poliser som hackar tillbaka, Apple-uppdateringar och... korträkning!
Allt det och mer i podden Naked Security.
[MUSIKALT MODEM]
Välkommen till podden, alla.
Jag är Doug Aamoth; han är Paul Ducklin.
Paul, hur mår du idag?
ANKA. Jag mår mycket bra, tack, Douglas.
Och jag ser mycket med spänning fram emot korträkningsbiten, inte minst för att det inte bara handlar om att räkna, det handlar också om kortblandning.
DOUG. Okej, mycket bra, ser fram emot det!
Och i vårt segment Tech History kommer vi att prata om något som inte var slumpmässigt – det var väldigt uträknat.
Den här veckan, den 25 oktober 2001, släpptes Windows XP till detaljhandeln.
Den byggdes på operativsystemet Windows NT och XP ersatte både Windows 2000 och Windows Millennium Edition som "XP Professional Edition" respektive "XP Home Edition".
XP Home var den första konsumentversionen av Windows som inte var baserad på MS-DOS eller Windows 95-kärnan.
Och på ett personligt sätt älskade jag det.
Jag kanske bara kommer ihåg enklare tider... Jag vet inte om det faktiskt var så bra som jag minns det, men jag minns att det var bättre än vad vi hade tidigare.
ANKA. Jag håller med om det.
Jag tror att det finns några rosenfärgade glasögon du kan ha på dig där, Doug...
DOUG. Umm-hmmm.
ANKA. …men jag måste hålla med om att det var en förbättring.
DOUG. Låt oss prata lite om comeuppance, specifikt, comeuppance för oönskad ansiktsigenkänning i Frankrike:
Clearview AI bildskrapande ansiktsigenkänningstjänst fick böter på 20 miljoner euro i Frankrike
ANKA. Verkligen!
Regelbundna lyssnare vet att vi har talade om ett företag som heter Clearview AI många gånger, för jag tycker att det är rättvist att säga att det här företaget är kontroversiellt.
Den franska tillsynsmyndigheten publicerar mycket hjälpsamt sina beslut, eller har åtminstone publicerat sina Clearview-beslut, på både franska och engelska.
Så, i princip, så här beskriver de det:
Clearview AI samlar in fotografier från många webbplatser, inklusive sociala medier. Den samlar alla foton som är direkt tillgängliga på dessa nätverk. Således har företaget samlat in över 20 miljarder bilder världen över.
Tack vare denna samling marknadsför företaget tillgång till sin bilddatabas i form av en sökmotor där en person kan hittas med hjälp av ett fotografi. Företaget erbjuder denna tjänst till brottsbekämpande myndigheter.
Och den franska tillsynsmyndighetens invändning, som upprepades förra året av åtminstone Storbritannien och den australiensiska tillsynsmyndigheten också, är: "Vi anser att detta är olagligt i vårt land. Du kan inte skrapa människors bilder för detta kommersiella ändamål utan deras medgivande. Och du följer inte heller GDPR-reglerna, reglerna för dataförstöring, vilket gör det enkelt för dem att kontakta dig och säga "Jag vill välja bort".
Så för det första bör det vara opt in om du vill köra detta.
Och efter att ha samlat in grejerna bör du inte hänga på det även efter att de vill se till att deras data tas bort.
Och frågan i Frankrike, Doug, är att tillsynsmyndigheten i december förra året sa: "Tyvärr, du kan inte göra det här. Sluta skrapa data och bli av med det du har på alla i Frankrike. Tack så mycket."
Tydligen, enligt regulatorn, verkade Clearview AI helt enkelt inte vilja följa.
DOUG. Hoppsan!
ANKA. Så nu har fransmännen kommit tillbaka och sagt: ”Du verkar inte vilja lyssna. Du verkar inte förstå att detta är lagen. Nu gäller samma sak, men du måste också betala 20 miljoner euro. Tack för att du kom."
DOUG. Vi har några kommentarer på gång om artikeln... vi vill gärna höra vad du tycker; du kan kommentera anonymt.
Närmare bestämt är frågorna vi ställer: "Gör Clearview AI verkligen en fördelaktig och socialt acceptabel tjänst till brottsbekämpande myndigheter? Eller trampar det slentrianmässigt på vår integritet genom att olagligt samla in biometrisk data och kommersialisera den för utredningssyften utan samtycke?”
Okej, låt oss hålla oss till det här temat med uppkomst och prata om lite comeuppance för DEADBOLT brottslingar.
Det här är en intressant historia, som involverar brottsbekämpning och hacka tillbaka!
När polisen hackar tillbaka: holländsk polis fäller DEADBOLT-kriminella (lagligt!)
ANKA. Hatten av för polisen för att de gjorde detta, även om det, som vi ska förklara, var en enstaka sak.
Regelbundna lyssnare kommer ihåg DEADBOLT – det har kommit upp ett par gånger tidigare.
DEADBOLT är ransomware-gänget som i princip hittar din Network Attached Storage [NAS]-server om du är en hemanvändare eller ett litet företag...
...och om det inte är patchat mot en sårbarhet som de vet hur de ska utnyttja, kommer de in och de bara förvränger din NAS-box.
De tänkte att det är där alla dina säkerhetskopior finns, det är där alla dina stora filer finns, det är där alla dina viktiga saker finns.
"Låt oss inte oroa oss för att behöva skriva skadlig programvara för Windows och skadlig programvara för Mac, och oroa oss för vilken version du har. Vi går bara in, förvränger dina filer och säger sedan "Betala oss 600 $".
Det är den nuvarande kursen: 0.03 bitcoins, om du inte har något emot det.
Så de tar det konsumentorienterade tillvägagångssättet att försöka slå många människor och ber om en ganska överkomlig summa varje gång.
Och jag antar att om allt du har är säkerhetskopierat där, då kanske du känner, "Vet du vad? 600 $ är mycket pengar, men jag har nästan råd med det. Jag betalar."
För att förenkla saken (och vi har motvilligt sagt, det här är en smart del, om du så vill, av denna speciella ransomware) ... i grund och botten, vad du gör är att berätta för skurkarna att du är intresserad genom att skicka ett meddelande till dem via Bitcoin blockchain .
I grund och botten betalar du dem pengarna till en specificerad, unik för dig Bitcoin-adress.
När de får betalningsmeddelandet skickar de tillbaka en betalning på $0 som inkluderar en kommentar som är dekrypteringsnyckeln.
Så det är den *enda* interaktionen de behöver med dig.
De behöver inte använda e-post, och de behöver inte köra några mörka webbservrar.
Men de holländska poliserna ansåg att skurkarna hade gjort en protokollrelaterad blunder!
Så fort din transaktion träffade Bitcoins ekosystem och letade efter någon att bryta den, skulle deras skript skicka dekrypteringsnyckeln.
Och det visar sig att även om du inte kan dubbelspendera bitcoins (annars skulle systemet falla sönder) så kan du lägga in två transaktioner samtidigt, en med hög transaktionsavgift och en med mycket låg eller noll transaktionsavgift.
Och gissa vilken bitcoin-gruvarbetarna och i slutändan bitcoin blockchain kommer att acceptera?
Och det var vad polisen gjorde...
DOUG. [SKratt] Mycket smart, jag gillar det!
ANKA. De skulle hålla fast vid en betalning med noll transaktionsavgift, vilket kan ta dagar att behandlas.
Och sedan, så fort de fick tillbaka dekrypteringsnyckeln från skurkarna (de hade, tror jag, 155 användare som de liksom klubbade ihop)... så fort de fick tillbaka dekrypteringsnyckeln gjorde de en dubbel-spend-transaktion.
"Jag vill spendera samma Bitcoin igen, men den här gången ska vi betala tillbaka det till oss själva. Och nu kommer vi att erbjuda en vettig transaktionsavgift.”
Så den transaktionen var den som till slut faktiskt blev bekräftad och låst in i blockkedjan...
...och den andra blev bara ignorerad och slängd... [SKratt] som alltid, ska inte skratta!
DOUG. [skrattar]
ANKA. Så i princip betalade skurkarna ut för tidigt.
Och jag antar att det inte är *förräderi* om du är brottsbekämpande, och du gör det på ett lagligt motiverat sätt... det är i grunden en *fälla*.
Och skurkarna gick in i den.
Som jag nämnde i början, kan detta bara fungera en gång eftersom skurkarna förstås tänkte: "Åh, kära du, vi borde inte göra det på det sättet. Låt oss ändra protokollet. Låt oss vänta på att transaktionen ska bekräftas på blockkedjan först, och sedan när vi vet att ingen kan komma med en transaktion som kommer att övertrumfa den senare, först då kommer vi att skicka ut dekrypteringsnyckeln."
ANKA. Men skurkarna fick plattfota till beloppet av 155 dekrypteringsnycklar från offer i 13 olika länder som bad den holländska polisen om hjälp.
Så, chapeau [Fransk cykelslang för en "hat doff"], som man säger!
DOUG. Det är bra... det är två positiva historier i rad.
Och låt oss hålla de positiva vibbarna igång med denna nästa berättelse.
Det handlar om kvinnor inom kryptologi.
De har hedrats av US Postal Service, som firar andra världskrigets kodbrytare.
Berätta allt om detta – det här är en mycket intressant historia, Paul:
ANKA. Ja, det var en av de där trevliga sakerna att skriva om på Naked Security: Kvinnor i kryptologi – United States Postal Service firar andra världskrigets kodbrytare.
Nu har vi täckt Bletchley Park-kodbrott, vilket är Storbritanniens kryptografiska ansträngningar under andra världskriget, främst för att försöka knäcka nazistiska chiffer som den välkända Enigma-maskinen.
Men, som ni kan föreställa er, stod USA inför ett enormt problem från krigsteatern i Stilla havet och försökte hantera japanska chiffer, och i synnerhet ett chiffer som kallas LILA.
Till skillnad från nazisternas Enigma var detta inte en kommersiell enhet som gick att köpa.
Det var faktiskt en egentillverkad maskin som kom ut ur militären, baserad på telefonväxlingsreläer, som, om du tänker efter, är ungefär som "bas tio"-växlar.
Alltså på samma sätt som Bletchley Park i Storbritannien anställde i hemlighet mer än 10,000 10,000 personer... Jag insåg inte detta, men det visade sig att det fanns långt över XNUMX XNUMX kvinnor rekryterade till kryptologi, till kryptografisk cracking, i USA för att försöka hantera japanska chiffer under kriget.
Av allt att döma var de extremt framgångsrika.
Det gjordes ett kryptografiskt genombrott i början av 1940-talet av en av de amerikanska kryptologerna som heter Genevieve Grotjan, och uppenbarligen ledde detta till spektakulära framgångar när det gäller att läsa japanska hemligheter.
Och jag ska bara citera från US Postal Service, från deras frimärksserie:
De dechiffrerade kommunikationen från den japanska flottan, hjälpte till att förhindra tyska U-båtar från att sjunka viktiga lastfartyg och arbetade för att bryta krypteringssystemen som avslöjade japanska sjöfartsrutter och diplomatiska meddelanden.
Du kan föreställa dig att det ger dig väldigt, väldigt, användbar intelligens... som du måste anta hjälpte till att förkorta kriget.
Lyckligtvis, även om japanerna hade blivit varnade (uppenbarligen av nazisterna) att deras chiffer antingen var brytbart eller redan hade brutits, vägrade de att tro på det, och de fortsatte att använda LILA under hela kriget.
Och dåtidens kvinnliga kryptologer gjorde definitivt hö i hemlighet medan solen sken.
Tyvärr, precis som hände i Storbritannien med alla krigstidshjältar (igen, de flesta kvinnor) på Bletchley Park...
…efter kriget svurdes de till tystnadsplikt.
Så det dröjde många decennier innan de fick något erkännande överhuvudtaget, än mindre vad man kan kalla hjältens välkomnande som de i princip förtjänade när freden bröt ut 1945.
DOUG. Wow, det är en cool historia.
Och synd att det tog så lång tid att få erkännandet, men bra att de äntligen fick det.
Och jag uppmanar alla som lyssnar på detta att gå till sidan för att läsa det.
Det heter: Kvinnor i kryptologi – USPS firar andra världskrigets kodbrytare.
Mycket bra bit!
ANKA. Förresten, Doug, på frimärksserien som du kan köpa (jubileumsserien, där du får frimärkena på ett helark)... runt frimärkena har USPS faktiskt lagt ett litet kryptografiskt pussel, som vi har upprepat i artikeln.
Det är inte lika svårt som Enigma eller LILA, så du kan faktiskt göra det ganska enkelt med penna och papper, men det är lite jubileumskul.
Så kom in och prova om du vill.
Vi har också lagt en länk till en artikel som vi skrev för ett par år sedan (Vad 2000 år av kryptografi kan lära oss) där du hittar tips som hjälper dig att lösa USPS kryptografiska pussel.
Kul att få följa med på din åminnelse!
DOUG. Okej, så låt oss hålla oss till slumpmässighet och kryptografi lite, och ställa en fråga som kanske vissa har undrat tidigare.
Hur ser din drömresa ut slumpmässig är de automatiska kortblandare du kan se på ett kasino?
Allvarlig säkerhet: Hur slumpmässigt (eller inte) kan du blanda kort?
ANKA. Ja, ännu en fascinerande historia som jag plockade upp tack vare kryptografigurun Bruce Schneier, som skrev om den på sin egen blogg, och han gav sin artikel titeln Om slumpmässigheten hos automatiska kortblandare.
Tidningen vi pratar om går tillbaka, tror jag, till 2013, och det arbete som gjordes, tror jag, går tillbaka till början av 2000-talet.
Men det som fascinerade mig med berättelsen, och fick mig att vilja dela den, är att den har otroliga lärbara ögonblick för människor som för närvarande är involverade i programmering, oavsett om det är inom kryptografi eller inte.
Och, ännu viktigare, inom testning och kvalitetssäkring.
För, till skillnad från japanerna, som vägrade att tro att deras LILA chiffer kanske inte fungerar som det ska, är det här en berättelse om ett företag som tillverkade automatiska kortblandningsmaskiner men tänkte: "Är de verkligen tillräckligt bra?"
Eller kan någon faktiskt ta reda på hur de fungerar, och få en fördel av att de inte är tillräckligt slumpmässiga?
Och så gick de ut för att anställa en trio matematiker från Kalifornien, av vilka en också är en skicklig magiker...
…och de sa: ”Vi byggde den här maskinen. Vi tycker att det är slumpmässigt nog, med en blandning av korten.”
Deras egna ingenjörer hade gjort sitt yttersta för att utarbeta tester som de trodde skulle visa om maskinen var tillräckligt slumpmässig för kortblandning, men de ville ha en andra åsikt, så de gick faktiskt ut och fick en.
Och dessa matematiker tittade på hur maskinen fungerade och kunde komma på, tro det eller ej, med vad som är känt som en sluten formel.
De analyserade det fullständigt: hur saken skulle bete sig, och därför vilka statistiska slutsatser de kunde göra om hur korten skulle komma ut.
De upptäckte att även om de blandade korten skulle klara ett stort antal bra slumpmässiga tester, fanns det fortfarande tillräckligt många obrutna sekvenser i korten efter att de hade blandats som gjorde att de kunde förutsäga nästa kort dubbelt så bra som slumpen.
Och de kunde visa resonemanget med vilket de kunde komma på sin mentala algoritm för att gissa nästa kort dubbelt så bra som de borde...
...så de gjorde det inte bara tillförlitligt och upprepade gånger, de hade faktiskt matematiken för att formellt visa varför det var fallet.
Och historien är kanske mest känd för det jordnära men helt passande svaret från presidenten för företaget som anställde dem.
Han ska ha sagt:
Vi är inte nöjda med dina slutsatser, men vi tror på dem, och det är vad vi anlitade dig för.
Med andra ord, han säger: "Jag betalade inte för att bli lycklig. Jag betalade för att ta reda på fakta och för att agera utifrån dem.”
Om bara fler människor gjorde det när det gällde att utforma tester för sin programvara!
Eftersom det är lätt att skapa en uppsättning tester som din produkt kommer att klara och där om den misslyckas vet du att något definitivt har gått fel.
Men det är förvånansvärt svårt att komma på en uppsättning tester som det är *värt att din produkt klarar*.
Och det var vad det här företaget gjorde, genom att anställa matematiker för att undersöka hur kortblandningsmaskinen fungerade.
Ganska många livslektioner där, Doug!
DOUG. Det är en rolig historia och väldigt intressant.
Nu pratar vi i allmänhet om någon form av Apple-uppdatering varje vecka, men inte den här veckan.
Nej nej!
Den här veckan har vi har för dig… en Apple *megaupdate*:
Apple megaupdate: Ventura out, iOS och iPad kernel zero-day – agera nu!
ANKA. Tyvärr, om du har en iPhone eller en iPad, täcker uppdateringen en nolldag som för närvarande utnyttjas aktivt, vilket som alltid luktar jailbreak/komplett övertagande av spionprogram.
Och som alltid, och kanske förståeligt nog, är Apple väldigt osäker på exakt vad nolldagen är, vad den används till och, lika intressant, vem som använder den.
Så om du har en iPhone eller en iPad är det här *definitivt* en för dig.
Och förvirrande nog, Doug...
Det är bättre att jag förklarar detta, för det var faktiskt inte självklart till en början... och tack vare lite läsarhjälp, tack Stefaan från Belgien, som har skickat mig skärmdumpar och förklarat exakt vad som hände med honom när han uppdaterade sin iPad!
Uppdateringen för iPhones och iPads sa: "Hej, du har iOS 16.1 och iPadOS 16". (Eftersom iPad OS version 16 var försenad.)
Och det är vad säkerhetsbulletinen säger.
När du installerar uppdateringen säger den grundläggande Om-skärmen bara "iPadOS 16".
Men om du zoomar in på huvudversionsskärmen kommer båda versionerna faktiskt ut som "iOS/iPadOS 16.1".
Så det är *uppgraderingen* till version 16, plus denna viktiga nolldagsfix.
Det är den svåra och förvirrande delen... resten är bara att det finns massor av korrigeringar för andra plattformar också.
Förutom det, eftersom Ventura kom ut – macOS 13, med 112 CVE-numrerade patchar, men för de flesta kommer de inte att ha haft beta, så detta kommer att vara *uppgradering* och *uppdatering* samtidigt...
Eftersom macOS 13 kom ut lämnar det macOS 10 Catalina tre versioner bakom sig.
Och det ser verkligen ut som om Apple först nu stöder tidigare och tidigare.
Så det *finns* uppdateringar för Big Sur och Monterey, det är macOS 11 och macOS 12, men Catalina är notoriskt frånvarande, Doug.
Och lika irriterande som alltid, det vi inte kan berätta för dig...
Betyder det att den helt enkelt var immun mot alla dessa korrigeringar?
Betyder det att det faktiskt behöver åtminstone några av korrigeringarna, men de har bara inte kommit ut än?
Eller betyder det att den har fallit utanför världens ytterkant och att du aldrig kommer att få en uppdatering igen, vare sig den behöver en eller inte?
Vi vet inte.
DOUG. Jag känner mig vindad, och jag gjorde inte ens något av de tunga lyften i den berättelsen, så tack för det... det är mycket.
ANKA. Och du har inte ens en iPhone.
DOUG. Exakt!
Jag har en iPad...
ANKA. Åh, gör du?
DOUG. …så jag måste gå och se till att jag uppdaterar den.
Och det leder oss in i vår dagens läsarfråga, om Apples historia.
Anonym kommentator frågar:
Kommer 15.7-uppdateringen för iPads att lösa detta, eller måste jag uppdatera till 16? Jag väntar tills de mindre störande buggarna i 16 är lösta innan jag uppdaterar.
ANKA. Det är den andra nivån av förvirring, om du vill, orsakad av detta.
Jag förstår nu att när iPadOS 15.7 kom ut var det exakt samma tid som iOS 15.7.
Och det var, vad, för drygt en månad sedan, tror jag?
Så det är en gammal säkerhetsuppdatering.
Och vad vi nu inte vet är...
Finns det fortfarande en iOS/iPadOS 15.7.1 i kulisserna som inte har kommit ut ännu, som åtgärdar säkerhetshål som finns i den tidigare versionen av operativsystem för dessa plattformar?
Eller är din uppdateringsväg för säkerhetsuppdateringar för iOS och iPadOS nu att gå längs vägen för version 16?
Jag vet bara inte, och jag vet inte hur du berättar.
Så det ser ut som om (och jag är ledsen om jag låter förvirrad, Doug, för det är jag!)...
…det ser ut som om *uppdateringen* och *uppgraderingsvägen* för användare av iOS och iPadOS 15.7 ska gå över till version 16.
Och just nu betyder det 16.1.
Det skulle vara min rekommendation, för då vet du åtminstone att du har den senaste och bästa versionen, med de senaste och bästa säkerhetsfixarna.
Så det är det långa svaret.
Det korta svaret är, Doug, "Vet inte."
DOUG. Klar som lera.
ANKA. Ja.
Tja, kanske inte så tydligt... [SKRATT]
Om du lämnar lera tillräckligt länge, så lägger sig bitarna till botten och det blir klart vatten på toppen.
Så det kanske är vad du måste göra: vänta och se, eller bara bita ihop och gå till 16.1.
De gör det lätt, eller hur? [skrattar]
DOUG. Okej, vi kommer att hålla ett öga på det, för det kan ändras lite mellan nu och nästa gång.
Tack så mycket för att du skickade in den kommentaren, anonym kommentator.
Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi det gärna i podden.
Du kan skicka e-post till tips@sophos.com, du kan kommentera någon av våra artiklar och du kan kontakta oss på social @NakedSecurity.
Det är vår show för idag, tack så mycket för att du lyssnade.
För Paul Ducklin, jag heter Doug Aamoth, påminner dig tills nästa gång att...
BÅDE. Håll dig säker!
