S3 Ep135: Sysadmin την ημέρα, εκβιαστής τη νύχτα

Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.

ΖΥΜΗ.  Μέσα στις εργασίες, η αναγνώριση προσώπου και το «S» στο «IoT» εξακολουθεί να σημαίνει «ασφάλεια».

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.

Παύλο, πώς τα πας σήμερα;

---

ΠΑΠΙΑ.  Πολύ καλά, Νταγκ.

Γνωρίζετε τη συνθηματική σας φράση, "Θα το παρακολουθούμε";

---

ΖΥΜΗ.  [ΓΕΛΙΑ] Χο, χο, χο!

---

ΠΑΠΙΑ.  Δυστυχώς, υπάρχουν πολλά πράγματα αυτή την εβδομάδα που «προσέχουμε» και ακόμα δεν έχουν τελειώσει καλά.

---

ΖΥΜΗ.  Ναι, έχουμε μια ενδιαφέρουσα και μη παραδοσιακή σύνθεση αυτή την εβδομάδα.

Ας μπει σε αυτό.

Αλλά πρώτα, θα ξεκινήσουμε από το δικό μας Αυτή η εβδομάδα στην ιστορία της τεχνολογίας τμήμα.

Αυτή την εβδομάδα, στις 19 Μαΐου 1980, ανακοινώθηκε το Apple III.

Θα αποσταλεί τον Νοέμβριο του 1980, οπότε ανακλήθηκαν τα πρώτα 14,000 Apple III εκτός γραμμής.

Το μηχάνημα θα επαναφερόταν ξανά τον Νοέμβριο του 1981.

Με λίγα λόγια, το Apple III ήταν μια αποτυχία.

Ο συνιδρυτής της Apple, Steve Wozniak, απέδωσε την αποτυχία του μηχανήματος στο ότι σχεδιάστηκε από ανθρώπους του μάρκετινγκ αντί για μηχανικούς.

Ωχ!

---

ΠΑΠΙΑ.  Δεν ξέρω τι να πω σε αυτό, Νταγκ. [ΓΕΛΙΟ]

Προσπαθώ να μη χασκογελάω, ως άνθρωπος που θεωρεί τον εαυτό του τεχνολόγο και όχι μάρκετροϊντ.

Νομίζω ότι το Apple III προοριζόταν να δείχνει καλό και να δείχνει ωραίο, και είχε σκοπό να αξιοποιήσει την επιτυχία του Apple II.

Αλλά καταλαβαίνω ότι το Apple III (A) δεν μπορούσε να τρέξει όλα τα προγράμματα Apple II, κάτι που ήταν λίγο χτύπημα συμβατότητας προς τα πίσω και το (B) απλώς δεν ήταν αρκετά επεκτάσιμο όπως το Apple II.

Δεν ξέρω αν πρόκειται για αστικό μύθο ή όχι…

…αλλά έχω διαβάσει ότι τα πρώτα μοντέλα δεν είχαν τοποθετήσει σωστά τις μάρκες τους στο εργοστάσιο και ότι στους παραλήπτες που ανέφεραν προβλήματα είπαν να σηκώσουν το μπροστινό μέρος του υπολογιστή από το γραφείο τους μερικά εκατοστά και να τον αφήσουν να χτυπήσει πίσω.

[ΓΕΛΙΟ]

Αυτό θα χτυπούσε τις μάρκες στη θέση τους, όπως θα έπρεπε να ήταν στην πρώτη θέση.

Το οποίο προφανώς λειτούργησε, αλλά δεν ήταν το καλύτερο είδος διαφήμισης για την ποιότητα του προϊόντος.

---

ΖΥΜΗ.  Ακριβώς.

Εντάξει, ας μπούμε στην πρώτη μας ιστορία.

Αυτή είναι μια προειδοποιητική ιστορία για το πόσο κακό εσωτερικές απειλές μπορεί να είναι, και ίσως πόσο δύσκολο μπορεί να είναι να τα καταφέρουν επίσης, Paul.

Whodunnit; Ο Cybercrook τιμωρείται με 6 χρόνια για λύτρα στον εργοδότη του

---

ΠΑΠΙΑ.  Πράγματι είναι, Ντάγκλας.

Και αν ψάχνετε για την ιστορία nadsecurity.sophos.com, είναι αυτό που έχει λεζάντα, «Whodunnit; Ο Cybercrook τιμωρείται με 6 χρόνια για λύτρα στον εργοδότη του».

Και εκεί έχεις τα κότσια της ιστορίας.

---

ΖΥΜΗ.  Δεν πρέπει να γελάσω, αλλά… [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  Είναι κάπως αστείο και αστείο.

Γιατί αν δεις πώς εξελίχθηκε η επίθεση, βασικά ήταν:

«Γεια, κάποιος μπήκε μέσα. δεν ξέρουμε ποια ήταν η τρύπα ασφαλείας που χρησιμοποίησαν. Ας αναλάβουμε δράση και ας προσπαθήσουμε να μάθουμε».

"Ωχ όχι! Οι εισβολείς κατάφεραν να αποκτήσουν εξουσίες sysadmin!».

"Ωχ όχι! Έχουν ρουφήξει gigabyte εμπιστευτικών δεδομένων!».

"Ωχ όχι! Έχουν μπλέξει με τα αρχεία καταγραφής του συστήματος, οπότε δεν ξέρουμε τι συμβαίνει!».

"Ωχ όχι! Τώρα απαιτούν 50 bitcoin (τα οποία εκείνη την εποχή ήταν περίπου 2,000,000 $ ΗΠΑ) για να κρατήσουν τα πράγματα ήσυχα… προφανώς δεν πρόκειται να πληρώσουμε 2 εκατομμύρια δολάρια ως σιωπηλή δουλειά».

Και, μπίνγκο, ο απατεώνας πήγε και έκανε αυτό το παραδοσιακό πράγμα της διαρροής των δεδομένων στον σκοτεινό ιστό, βασικά κάνοντας doxxing την εταιρεία.

Και, δυστυχώς, η ερώτηση "Whodunnit;" απάντησε: Ένας από τους sysadmin της εταιρείας.

Στην πραγματικότητα, ένας από τους ανθρώπους που είχαν κληθεί στην ομάδα για να προσπαθήσουν να βρουν και να εκδιώξουν τον επιθετικό.

Έτσι, κυριολεκτικά προσποιούνταν ότι πολεμούσε αυτόν τον εισβολέα την ημέρα και διαπραγματευόταν μια πληρωμή εκβιασμών 2 εκατομμυρίων δολαρίων τη νύχτα.

Και ακόμα χειρότερα, Νταγκ, φαίνεται ότι, όταν τον υποψιάστηκαν…

…κάτι που έκαναν, ας είμαστε δίκαιοι με την εταιρεία.

(Δεν πρόκειται να πω ποιος ήταν, ας τους ονομάσουμε Εταιρεία-1, όπως έκανε το Υπουργείο Δικαιοσύνης των ΗΠΑ, αν και η ταυτότητά τους είναι αρκετά γνωστή.)

Έγινε έρευνα στην περιουσία του και προφανώς έπιασαν τον φορητό υπολογιστή που αργότερα αποδείχθηκε ότι χρησιμοποιήθηκε για το έγκλημα.

Τον ανέκριναν, έτσι προχώρησε σε μια διαδικασία «η παράβαση είναι η καλύτερη μορφή άμυνας» και προσποιήθηκε ότι ήταν πληροφοριοδότης και επικοινώνησε με τα μέσα ενημέρωσης υπό κάποιο alter ego.

Έδωσε μια ολόκληρη ψευδή ιστορία για το πώς συνέβη η παραβίαση – ότι επρόκειτο για κακή ασφάλεια στις Υπηρεσίες Ιστού της Amazon ή κάτι τέτοιο.

Έτσι, το έκανε να φαίνεται, από πολλές απόψεις, πολύ χειρότερο από ό,τι ήταν, και η τιμή της μετοχής της εταιρείας έπεσε αρκετά άσχημα.

Μπορεί να έπεσε ούτως ή άλλως όταν υπήρχαν είδηση ​​ότι είχαν παραβιαστεί, αλλά σίγουρα φαίνεται ότι έκανε τα πάντα για να το κάνει να φαίνεται πολύ χειρότερο για να εκτρέψει την υποψία από τον εαυτό του.

Το οποίο, ευτυχώς, δεν λειτούργησε.

Καταδικάστηκε (καλά, ομολόγησε την ενοχή του) και, όπως είπαμε στον τίτλο, καταδικάστηκε σε έξι χρόνια φυλάκιση.

Στη συνέχεια, τρία χρόνια αποφυλάκισης, και πρέπει να επιστρέψει μια ποινή 1,500,000 $.

---

ΖΥΜΗ.  Δεν μπορείτε να φτιάξετε αυτά τα πράγματα!

Εξαιρετικές συμβουλές σε αυτό το άρθρο… υπάρχουν τρεις συμβουλές.

Λατρεύω αυτό το πρώτο: Διαίρει και βασίλευε.

Τι εννοείς με αυτό, Παύλο;

---

ΠΑΠΙΑ.  Λοιπόν, φαίνεται ότι, σε αυτήν την περίπτωση, αυτό το άτομο είχε πάρα πολλή δύναμη συγκεντρωμένη στα χέρια του.

Φαίνεται ότι ήταν σε θέση να κάνει κάθε μικρό μέρος αυτής της επίθεσης να συμβεί, συμπεριλαμβανομένου του να μπει στη συνέχεια και να μπλέξει με τα κούτσουρα και να προσπαθήσει να το κάνει να φαίνεται σαν να το έκαναν άλλοι άνθρωποι στην εταιρεία.

(Λοιπόν, μόνο και μόνο για να δείξει τι τρομερά καλό παιδί ήταν – προσπάθησε να ράψει και τους συναδέλφους του, ώστε να μπουν σε μπελάδες.)

Αλλά αν κάνετε ορισμένες βασικές δραστηριότητες συστήματος απαιτούν την εξουσιοδότηση δύο ατόμων, ιδανικά ακόμη και από δύο διαφορετικά τμήματα, όπως όταν, ας πούμε, μια τράπεζα εγκρίνει μια μεγάλη κίνηση χρημάτων ή όταν μια ομάδα ανάπτυξης αποφασίζει, «Ας δούμε αν αυτό Ο κωδικός είναι αρκετά καλός. θα κάνουμε κάποιον άλλο να το δει αντικειμενικά και ανεξάρτητα»…

…αυτό κάνει πολύ πιο δύσκολο για έναν μοναχικό γνώστη να καταφέρει όλα αυτά τα κόλπα.

Επειδή θα έπρεπε να συνεννοηθούν με όλους τους άλλους ότι θα χρειάζονταν συνέγκριση από την πορεία.

---

ΖΥΜΗ.  Εντάξει.

Και στην ίδια γραμμή: Κρατήστε αμετάβλητα αρχεία καταγραφής.

Αυτό είναι καλό.

---

ΠΑΠΙΑ.  Ναί.

Όσοι ακροατές έχουν μακριές μνήμες μπορεί να ανακαλέσουν δίσκους WORM.

Ήταν το ίδιο πράγμα στην εποχή μας: Γράψε μια φορά, διάβασε πολλά.

Φυσικά, διαφημίζονταν ως απολύτως ιδανικά για αρχεία καταγραφής συστήματος, επειδή μπορείτε να τους γράψετε, αλλά δεν μπορείτε ποτέ να τα *ξαναγράψετε*.

Τώρα, στην πραγματικότητα, δεν νομίζω ότι σχεδιάστηκαν έτσι επίτηδες… [ΓΕΛΙΑ] Απλώς νομίζω ότι κανείς δεν ήξερε πώς να τα κάνει ακόμα επανεγγράψιμα.

Αλλά αποδεικνύεται ότι αυτό το είδος τεχνολογίας ήταν εξαιρετικό για τη διατήρηση αρχείων καταγραφής.

Αν θυμάστε τα πρώτα CD-R, CD-Recordables – θα μπορούσατε να προσθέσετε μια νέα συνεδρία, ώστε να μπορείτε να ηχογραφήσετε, ας πούμε, 10 λεπτά μουσικής και στη συνέχεια να προσθέσετε άλλα 10 λεπτά μουσικής ή άλλα 100 MB δεδομένων αργότερα, αλλά δεν θα μπορούσατε πήγαινε πίσω και ξαναγράψε το όλο θέμα.

Έτσι, μόλις το κλειδώσατε μέσα, κάποιος που ήθελε να μπλέξει με τα αποδεικτικά στοιχεία θα έπρεπε είτε να καταστρέψει ολόκληρο το CD, ώστε να απουσιάζει εμφανώς από την αλυσίδα των αποδεικτικών στοιχείων, είτε διαφορετικά να το καταστρέψει.

Δεν θα μπορούσαν να πάρουν αυτόν τον αρχικό δίσκο και να ξαναγράψουν το περιεχόμενό του, οπότε εμφανίστηκε διαφορετικά.

Και, φυσικά, υπάρχουν όλων των ειδών οι τεχνικές με τις οποίες μπορείτε να το κάνετε αυτό στο cloud.

Αν θέλετε, αυτή είναι η άλλη όψη του νομίσματος «διαίρει και βασίλευε».

Αυτό που λέτε είναι ότι έχετε πολλούς sysadmin, πολλές εργασίες συστήματος, πολλούς δαίμονες ή διαδικασίες υπηρεσίας που μπορούν να δημιουργήσουν πληροφορίες καταγραφής, αλλά αποστέλλονται κάπου όπου χρειάζεται πραγματική θέληση και συνεργασία για να γίνουν τα κούτσουρα απομακρύνονται ή για να φαίνονται διαφορετικά από αυτό που ήταν όταν δημιουργήθηκαν αρχικά.

---

ΖΥΜΗ.  Και τέλος, αλλά σίγουρα όχι λιγότερο σημαντικό: Πάντα να μετράτε, ποτέ να μην υποθέτετε.

---

ΠΑΠΙΑ.  Απολύτως.

Φαίνεται ότι η εταιρεία-1 σε αυτήν την περίπτωση κατάφερε τελικά τουλάχιστον μερικά από όλα αυτά τα πράγματα.

Επειδή αυτό το άτομο αναγνωρίστηκε και ανακρίθηκε από το FBI… Νομίζω ότι μέσα σε περίπου δύο μήνες από την επίθεσή του.

Και οι έρευνες δεν γίνονται εν μία νυκτί – απαιτούν ένταλμα για την έρευνα και απαιτούν πιθανή αιτία.

Φαίνεται λοιπόν ότι έκαναν το σωστό και ότι δεν συνέχισαν να τον εμπιστεύονται τυφλά μόνο και μόνο επειδή συνέχιζε να λέει ότι ήταν αξιόπιστος.

Τα κακουργήματα του όντως βγήκαν στο πλύσιμο, λες.

Επομένως, είναι σημαντικό να μην θεωρείτε κανέναν ως υπεράνω υποψίας.

---

ΖΥΜΗ.  Εντάξει, προχωράμε αμέσως.

Ο κατασκευαστής gadget Belkin είναι σε ζεστό νερό, λέγοντας βασικά, "Τέλος ζωής σημαίνει τέλος των ενημερώσεων" για ένα από τα δημοφιλή έξυπνα βύσματά του.

Belkin Wemo Smart Plug V2 – η υπερχείλιση buffer που δεν θα διορθωθεί

---

ΠΑΠΙΑ.  Φαίνεται ότι ήταν μια μάλλον κακή απάντηση από τον Belkin.

Σίγουρα από πλευράς δημοσίων σχέσεων δεν τους έχει κερδίσει πολλούς φίλους, γιατί η συσκευή σε αυτή την περίπτωση είναι ένα από αυτά τα λεγόμενα έξυπνα βύσματα.

Έχετε έναν διακόπτη με δυνατότητα Wi-Fi. μερικοί από αυτούς θα μετρήσουν επίσης την ισχύ και άλλα παρόμοια.

Επομένως, η ιδέα είναι ότι μπορείτε στη συνέχεια να έχετε μια εφαρμογή ή μια διεπαφή ιστού ή κάτι που θα ενεργοποιεί και θα απενεργοποιεί μια πρίζα τοίχου.

Είναι λοιπόν λίγη ειρωνεία ότι το σφάλμα βρίσκεται σε ένα προϊόν που, εάν παραβιαστεί, θα μπορούσε να οδηγήσει σε κάποιον να αναβοσβήνει βασικά έναν διακόπτη που θα μπορούσε να έχει μια συσκευή συνδεδεμένη σε αυτό.

Σκέφτομαι, αν ήμουν στη θέση του Μπέλκιν, μπορεί να έλεγα: «Κοίτα, δεν το υποστηρίζουμε πια, αλλά σε αυτήν την περίπτωση… ναι, θα βάλουμε ένα έμπλαστρο».

Και είναι μια υπερχείλιση buffer, Doug, απλό και απλό.

[ΓΕΛΙΑ] Ω, αγαπητέ…

Όταν συνδέετε τη συσκευή, πρέπει να έχει ένα μοναδικό αναγνωριστικό, ώστε να εμφανίζεται στην εφαρμογή, ας πούμε, στο τηλέφωνό σας… αν έχετε τρία από αυτά στο σπίτι σας, δεν θέλετε να τα καλέσουν όλα Belkin Wemo plug.

Θέλετε να πάτε να το αλλάξετε και να βάλετε αυτό που ο Belkin αποκαλεί «φιλικό όνομα».

Και έτσι μπαίνεις με την εφαρμογή του τηλεφώνου σου και πληκτρολογείς το νέο όνομα που θέλεις.

Λοιπόν, φαίνεται ότι υπάρχει ένα buffer 68 χαρακτήρων στην εφαρμογή στην ίδια τη συσκευή για το νέο σας όνομα… αλλά δεν υπάρχει έλεγχος ότι δεν βάλετε ένα όνομα μεγαλύτερο από 68 byte.

Ανόητα, ίσως, οι άνθρωποι που δημιούργησαν το σύστημα αποφάσισαν ότι θα ήταν αρκετά καλό αν απλώς έλεγχαν πόσο καιρό ήταν το όνομα *που πληκτρολογήσατε στο τηλέφωνό σας όταν χρησιμοποιούσατε την εφαρμογή για να αλλάξετε το όνομα*: «Θα αποφύγουμε την αποστολή ονόματα που είναι εξαρχής πολύ μεγάλα».

Και πράγματι, στην εφαρμογή τηλεφώνου, προφανώς δεν μπορείτε να βάλετε περισσότερους από 30 χαρακτήρες, επομένως είναι εξαιρετικά ασφαλείς.

Μεγάλο πρόβλημα!

Τι γίνεται αν ο εισβολέας αποφασίσει να μην χρησιμοποιήσει την εφαρμογή; [ΓΕΛΙΟ]

Τι γίνεται αν χρησιμοποιούν ένα σενάριο Python που έγραψαν οι ίδιοι…

---

ΖΥΜΗ.  Χμμμμμ! [ΕΙΡΩΝΙΚΟ] Γιατί να το κάνουν αυτό;

---

ΠΑΠΙΑ.  …αυτό δεν κάνει τον κόπο να ελέγξετε για το όριο των 30 ή των 68 χαρακτήρων;

Και αυτό ακριβώς έκαναν αυτοί οι ερευνητές.

Και ανακάλυψαν, επειδή υπάρχει υπερχείλιση buffer στοίβας, μπορούσαν να ελέγξουν τη διεύθυνση επιστροφής μιας συνάρτησης που χρησιμοποιήθηκε.

Με αρκετές δοκιμές και σφάλματα, μπόρεσαν να παρεκκλίνουν την εκτέλεση σε αυτό που είναι γνωστό στην ορολογία ως «κώδικας κελύφους» της επιλογής τους.

Συγκεκριμένα, θα μπορούσαν να εκτελέσουν μια εντολή συστήματος που εκτελούσε το wget εντολή, η οποία κατέβασε ένα σενάριο, έκανε το σενάριο εκτελέσιμο και το έτρεξε.

---

ΖΥΜΗ.  Εντάξει καλά…

…έχουμε μερικές συμβουλές στο άρθρο.

Εάν έχετε ένα από αυτά τα έξυπνα βύσματα, ελέγξτε το.

Υποθέτω ότι το μεγαλύτερο ερώτημα εδώ είναι, αν υποθέσουμε ότι ο Belkin τηρήσει την υπόσχεσή τους να μην το διορθώσουν… [ΔΥΝΑΤΟ ΓΕΛΙΟ]

…Βασικά, πόσο δύσκολο είναι αυτό, Παύλο;

Ή θα ήταν καλό PR να κλείσετε αυτή την τρύπα;

---

ΠΑΠΙΑ.  Λοιπόν, δεν ξέρω.

Μπορεί να υπάρχουν πολλές άλλες εφαρμογές στις οποίες, ω, αγαπητέ, πρέπει να κάνουν το ίδιο είδος επιδιόρθωσης.

Έτσι μπορεί απλώς να μην θέλουν να το κάνουν αυτό από φόβο μήπως κάποιος πει, «Λοιπόν, ας σκάψουμε πιο βαθιά».

---

ΖΥΜΗ.  Μια ολισθηρή πλαγιά…

---

ΠΑΠΙΑ.  Θέλω να πω, αυτός θα ήταν ένας κακός λόγος για να μην το κάνουμε.

Θα το σκεφτόμουν, δεδομένου ότι αυτό είναι πλέον γνωστό και δεδομένου ότι φαίνεται σαν μια αρκετά εύκολη λύση…

…απλά (Α) κάντε εκ νέου μεταγλώττιση των εφαρμογών για τη συσκευή με ενεργοποιημένη την προστασία στοίβας, αν είναι δυνατόν, και (Β) τουλάχιστον σε αυτό το συγκεκριμένο πρόγραμμα αλλαγής «φιλικού ονόματος», μην επιτρέπετε ονόματα μεγαλύτερα από 68 χαρακτήρες!

Δεν φαίνεται σαν μια σημαντική λύση.

Αν και, φυσικά, αυτή η επιδιόρθωση πρέπει να είναι κωδικοποιημένη. Πρέπει να αναθεωρηθεί. Πρέπει να δοκιμαστεί. πρέπει να κατασκευαστεί μια νέα έκδοση και να υπογραφεί ψηφιακά.

Στη συνέχεια, πρέπει να προσφερθεί σε όλους και πολλοί άνθρωποι δεν θα συνειδητοποιήσουν καν ότι είναι διαθέσιμο.

Και τι γίνεται αν δεν ενημερώσουν;

Θα ήταν ωραίο αν όσοι γνωρίζουν αυτό το ζήτημα μπορούσαν να λάβουν μια επιδιόρθωση, αλλά μένει να δούμε αν η Belkin θα περιμένει απλώς να αναβαθμίσουν σε ένα νεότερο προϊόν.

---

ΖΥΜΗ.  Εντάξει, για το θέμα των ενημερώσεων…

… παρακολουθούμε, όπως λέμε, αυτή την ιστορία.

Έχουμε μιλήσει για αυτό αρκετές φορές: Clearview AI.

Zut alors! Raclage crapuleux! Το Clearview AI αντιμετωπίζει 20% περισσότερα προβλήματα στη Γαλλία

Η Γαλλία έχει αυτή την εταιρεία στο στόχαστρο της για επανειλημμένη περιφρόνηση, και είναι σχεδόν αστείο το πόσο άσχημα έχει γίνει αυτό.

Έτσι, αυτή η εταιρεία αφαιρεί φωτογραφίες από το Διαδίκτυο και τις χαρτογραφεί στους αντίστοιχους ανθρώπους τους και οι αρχές επιβολής του νόμου χρησιμοποιούν αυτή τη μηχανή αναζήτησης, σαν να λέγαμε, για να αναζητήσουν άτομα.

Και άλλες χώρες είχαν προβλήματα με αυτό, αλλά η Γαλλία είπε, «Αυτό είναι το PII. Πρόκειται για στοιχεία προσωπικής ταυτοποίησης."

---

ΠΑΠΙΑ.  Ναί.

---

ΖΥΜΗ.  «Clearview, σταμάτα να το κάνεις αυτό».

Και η Clearview δεν απάντησε καν.

Έτσι τους επιβλήθηκε πρόστιμο 20 εκατομμυρίων ευρώ και απλώς συνέχισαν…

Και η Γαλλία λέει, «Εντάξει, δεν μπορείς να το κάνεις αυτό. Σου είπαμε να σταματήσεις, γι' αυτό θα σε αντιμετωπίσουμε ακόμα πιο σκληρά. Θα σας χρεώνουμε 100,000 € κάθε μέρα»… και το έβαλαν πίσω σε σημείο που είναι ήδη μέχρι 5,200,000 €.

Και το Clearview απλώς δεν ανταποκρίνεται.

Είναι απλώς να μην αναγνωρίζεις ότι υπάρχει πρόβλημα.

---

ΠΑΠΙΑ.  Σίγουρα έτσι φαίνεται να εξελίσσεται, Νταγκ.

Είναι ενδιαφέρον, και κατά τη γνώμη μου αρκετά λογικό και πολύ σημαντικό, όταν η γαλλική ρυθμιστική αρχή εξέτασε το Clearview AI (τότε αποφάσισαν ότι η εταιρεία δεν επρόκειτο να παίξει μπάλα οικειοθελώς και τους επέβαλε πρόστιμο 20 εκατομμυρίων ευρώ)…

…διαπίστωσαν επίσης ότι η εταιρεία δεν συνέλεγε απλώς αυτά που θεωρούν βιομετρικά δεδομένα χωρίς τη συγκατάθεσή τους.

Επίσης καθιστούσαν απίστευτα, άσκοπα και παράνομα δύσκολο για τους ανθρώπους να ασκήσουν το δικαίωμά τους (Α) να γνωρίζουν ότι τα δεδομένα τους έχουν συλλεχθεί και χρησιμοποιούνται εμπορικά, και (Β) να διαγραφούν εάν το επιθυμούν.

Αυτά είναι δικαιώματα που πολλές χώρες έχουν κατοχυρώσει στους κανονισμούς τους.

Είναι σίγουρα, νομίζω, ακόμη στη νομοθεσία στο Ηνωμένο Βασίλειο, παρόλο που βρισκόμαστε πλέον εκτός Ευρωπαϊκής Ένωσης, και αποτελεί μέρος του γνωστού κανονισμού GDPR στην Ευρωπαϊκή Ένωση.

Εάν δεν θέλω να κρατήσετε τα δεδομένα μου, τότε πρέπει να τα διαγράψετε.

Και προφανώς το Clearview έκανε πράγματα όπως έλεγε, "Ω, καλά, αν το είχαμε για περισσότερο από ένα χρόνο, είναι πολύ δύσκολο να το αφαιρέσουμε, επομένως είναι μόνο δεδομένα που συλλέξαμε τον τελευταίο χρόνο."

---

ΖΥΜΗ.  Αααααργκ. [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  Έτσι, αν δεν το προσέξετε ή το καταλάβετε μόνο μετά από δύο χρόνια;

Πολύ αργά!

Και τότε έλεγαν, «Ω, όχι, επιτρέπεται να ρωτάς μόνο δύο φορές το χρόνο».

Νομίζω ότι, όταν οι Γάλλοι ερεύνησαν, διαπίστωσαν επίσης ότι οι άνθρωποι στη Γαλλία παραπονιόντουσαν ότι έπρεπε να ρωτούν ξανά και ξανά και ξανά πριν καταφέρουν να παραβιάσουν τη μνήμη του Clearview για να κάνουν οτιδήποτε.

Λοιπόν, ποιος ξέρει πώς θα τελειώσει αυτό, Νταγκ;

---

ΖΥΜΗ.  Αυτή είναι μια καλή στιγμή για να ακούσετε από πολλούς αναγνώστες.

Συνήθως κάνουμε τα σχόλια της εβδομάδας από έναν αναγνώστη, αλλά εσείς ρωτήσατε στο τέλος αυτού του άρθρου:

Αν ήσασταν {Βασίλισσα, Βασιλιάς, Πρόεδρος, Ανώτατος Μάγος, Ένδοξος Ηγέτης, Επικεφαλής Δικαστής, Επικεφαλής Διαιτητής, Ύπατος Αρμοστής Προστασίας Προσωπικών Δεδομένων} και μπορούσατε να διορθώσετε αυτό το πρόβλημα με ένα {κύμα του ραβδιού σας, χτύπημα της πένας σας, κούνημα του σκήπτρου σας , ένα κόλπο του μυαλού των Τζεντάι}…

…πώς θα επιλύατε αυτήν την αντιπαράθεση;

Και για να τραβήξω απλώς μερικά αποσπάσματα από τους σχολιαστές μας:

• «Με τα κεφάλια τους».
• «Εταιρική θανατική ποινή».
• «Κατατάξτε τους ως εγκληματική οργάνωση».
• «Τα ανώτερα στελέχη θα πρέπει να φυλακίζονται μέχρι να συμμορφωθεί η εταιρεία».
• «Δηλώστε τους πελάτες ως συν-συνωμότες».
• "Χάσε τη βάση δεδομένων και διαγράψτε τα πάντα."
• «Δημιουργήστε νέους νόμους».

Και τότε ο Τζέιμς κατεβαίνει με το εξής: «Περνώ προς τη γενική σας κατεύθυνση. Η μητέρα σου ήταν «άμστερ και ο πατέρας σου μύριζε σαμπούκους». [Ο ΜΟΝΤΥ ΠΥΘΩΝ ΚΑΙ ΤΟ ΑΓΙΟ Δισκοπότηρο ΝΥΞΗ]

Κάτι που νομίζω ότι μπορεί να είναι σχόλιο σε λάθος άρθρο.

Νομίζω ότι υπήρχε ένα απόσπασμα των Monty Python στο "Whodunnit?" άρθρο.

Αλλά, Τζέιμς, σε ευχαριστώ που μπήκες στο τέλος…

---

ΠΑΠΙΑ.  [ΓΕΛΙΑ] Δεν πρέπει πραγματικά να γελάσουμε.

Ένας από τους σχολιαστές μας δεν είπε: «Γεια, κάντε αίτηση για μια κόκκινη ειδοποίηση της Interpol; [ΕΝΑ ΕΙΔΟΣ ΔΙΕΘΝΟΥΣ ΕΝΤΑΛΜΑΤΟΣ ΣΥΛΛΗΨΗΣ]

---

ΖΥΜΗ.  Ναι!

Λοιπόν, υπέροχο… όπως συνηθίζουμε να κάνουμε, θα το παρακολουθούμε, γιατί μπορώ να σας διαβεβαιώσω ότι αυτό δεν έχει τελειώσει ακόμα.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @NakedSecurity.

Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ που με ακούσατε.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω μέχρι την επόμενη φορά να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς!

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]