การโจมตีจากบุคคลภายใน (ซึ่งบุคคลนั้นถูกจับได้)
ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์
ดั๊ก เอมอธ และพอล ดักคลิน เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. Inside job การจดจำใบหน้า และตัว "S" ใน "IoT" ยังคงหมายถึง "ความปลอดภัย"
ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน
ฉัน Doug Aamoth; เขาคือพอล ดักคลิน
พอล วันนี้คุณเป็นอย่างไรบ้าง
เป็ด. ดีมากดั๊ก
คุณรู้จักคำพูดติดปากของคุณ “เราจะจับตาดูสิ่งนั้น” ไหม?
ดั๊ก. [หัวเราะ] โฮ โฮ โฮ โฮ!
เป็ด. น่าเศร้าที่สัปดาห์นี้มีหลายสิ่งหลายอย่างที่เรา "เฝ้าดู" และยังคงจบลงได้ไม่ดีนัก
ดั๊ก. ใช่ เรามีผู้เล่นตัวจริงที่น่าสนใจและไม่ธรรมดาในสัปดาห์นี้
ลองเข้าไปดูกัน
แต่ก่อนอื่นเราจะเริ่มต้นด้วยของเรา สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี ส่วน
ในสัปดาห์นี้ในวันที่ 19 พฤษภาคม พ.ศ. 1980 Apple III ได้รับการประกาศ
โดยจะจัดส่งในเดือนพฤศจิกายน พ.ศ. 1980 ซึ่งเป็นจุดที่มีการเรียกคืน Apple III นอกสายการผลิต 14,000 เครื่องแรก
เครื่องจะถูกนำมาใช้อีกครั้งในเดือนพฤศจิกายน พ.ศ. 1981
เรื่องสั้นสั้น Apple III ล้มเหลว
Steve Wozniak ผู้ร่วมก่อตั้ง Apple กล่าวถึงความล้มเหลวของเครื่องว่าเกิดจากการออกแบบโดยนักการตลาดแทนที่จะเป็นวิศวกร
อุ๊ย!
เป็ด. ฉันไม่รู้จะพูดอะไรกับสิ่งนั้น ดั๊ก [หัวเราะ]
ฉันพยายามที่จะไม่แสยะยิ้ม ในฐานะคนที่คิดว่าตัวเองเป็นนักเทคโนโลยี ไม่ใช่นักการตลาด
ฉันคิดว่า Apple III ควรจะดูดีและเท่ และควรใช้ประโยชน์จากความสำเร็จของ Apple II
แต่ความเข้าใจของฉันคือ Apple III (A) ไม่สามารถเรียกใช้โปรแกรม Apple II ทั้งหมดได้ ซึ่งเป็นความเข้ากันได้แบบย้อนกลับเล็กน้อย และ (B) ไม่สามารถขยายได้มากพอเหมือน Apple II
ไม่รู้ว่าเป็นตำนานเมืองหรือเปล่า...
…แต่ฉันได้อ่านมาว่ารุ่นแรกๆ ไม่ได้ติดตั้งชิปอย่างถูกต้องในโรงงาน และผู้รับที่รายงานปัญหาจะได้รับคำสั่งให้ยกด้านหน้าของคอมพิวเตอร์ขึ้นจากโต๊ะสองสามเซนติเมตรแล้วปล่อยให้มันชนกลับ
[เสียงหัวเราะ]
สิ่งนี้จะทำให้ชิปเข้าที่อย่างที่ควรจะเป็นในตอนแรก
ซึ่งดูเหมือนจะได้ผล แต่ไม่ใช่โฆษณาที่ดีที่สุดสำหรับคุณภาพของผลิตภัณฑ์
ดั๊ก. เผง
เอาล่ะมาเข้าเรื่องแรกกันเลยดีกว่า
เรื่องนี้เป็นอุทาหรณ์ว่าไม่ดีอย่างไร ภัยคุกคามภายใน เป็นไปได้และบางทีอาจยากเพียงใดที่จะดึงออกเช่นกัน พอล
เป็ด. แน่นอนมันเป็นดักลาส
และถ้าคุณกำลังมองหาเรื่องราวบน Nakedsecurity.sophos.com, มันเป็นสิ่งที่มีคำบรรยาย, “ใคร? Cybercrook ใช้เวลา 6 ปีในการเรียกค่าไถ่นายจ้างของเขาเอง”
และที่นั่นคุณมีความกล้าของเรื่องราว
ดั๊ก. ไม่ควรหัวเราะ แต่… [หัวเราะ]
เป็ด. มันเป็นเรื่องตลกและไม่ตลก
เพราะถ้าคุณดูว่าการโจมตีเกิดขึ้นได้อย่างไร โดยพื้นฐานแล้วก็คือ:
“เฮ้ มีคนบุกเข้ามา เราไม่รู้ว่าพวกเขาใช้ช่องโหว่อะไร มาลงมือปฏิบัติและลองหาคำตอบกัน”
"ไม่นะ! ผู้โจมตีจัดการเพื่อรับพลังดูแลระบบ!”
"ไม่นะ! พวกเขาได้ดูดข้อมูลลับไปหลายกิกะไบต์!”
"ไม่นะ! พวกเขายุ่งกับบันทึกของระบบ ดังนั้นเราไม่รู้ว่าเกิดอะไรขึ้น!”
"ไม่นะ! ตอนนี้พวกเขากำลังเรียกร้อง 50 bitcoins (ซึ่งขณะนั้นอยู่ที่ประมาณ 2,000,000 เหรียญสหรัฐ) เพื่อให้ทุกอย่างเงียบลง… เห็นได้ชัดว่าเราจะไม่จ่ายเงิน 2 ล้านเหรียญเป็นงานเงียบ ๆ”
และอีกอย่างคือ บิงโก คนโกงไปและทำแบบดั้งเดิม นั่นคือการรั่วไหลของข้อมูลบนดาร์กเว็บ โดยพื้นฐานแล้วเป็นการทำให้บริษัทเสียหาย
และน่าเสียดายที่คำถาม ตอบโดย: หนึ่งในผู้ดูแลระบบของบริษัทเอง
ในความเป็นจริง บุคคลหนึ่งที่ถูกเกณฑ์เข้าทีมเพื่อพยายามค้นหาและขับไล่ผู้โจมตี
ดังนั้นเขาจึงแสร้งทำเป็นต่อสู้กับผู้โจมตีรายนี้ในตอนกลางวันและเจรจาต่อรองเงินแบล็กเมล์มูลค่า 2 ล้านดอลลาร์ในตอนกลางคืน
และที่แย่ไปกว่านั้น ดั๊ก ดูเหมือนว่าเมื่อพวกเขาเริ่มสงสัยในตัวเขา...
…ที่ทำไปก็เพื่อความเป็นธรรมกับบริษัท
(ฉันจะไม่บอกว่าเป็นใคร ขอเรียกพวกเขาว่า Company-1 เหมือนที่กระทรวงยุติธรรมสหรัฐเรียก แม้ว่าตัวตนของพวกเขาจะค่อนข้างเป็นที่รู้จัก)
ทรัพย์สินของเขาถูกค้น และเห็นได้ชัดว่าพวกเขายึดแล็ปท็อปซึ่งต่อมากลายเป็นว่าถูกใช้ก่ออาชญากรรม
พวกเขาซักถามเขา ดังนั้นเขาจึงดำเนินกระบวนการ "การกระทำความผิดเป็นรูปแบบการป้องกันที่ดีที่สุด" และแสร้งทำเป็นเป็นผู้แจ้งเบาะแสและติดต่อกับสื่อภายใต้อัตตาที่เปลี่ยนแปลง
เขาเล่าเรื่องราวที่เป็นเท็จทั้งหมดว่าการละเมิดเกิดขึ้นได้อย่างไร นั่นคือการรักษาความปลอดภัยที่ไม่ดีใน Amazon Web Services หรืออะไรทำนองนั้น
ในหลาย ๆ ด้าน ดูเหมือนว่าจะเลวร้ายยิ่งกว่าที่เป็นอยู่มาก และราคาหุ้นของบริษัทก็ร่วงลงค่อนข้างแย่
มันอาจจะลดลงบ้างเมื่อมีข่าวว่าพวกเขาถูกละเมิด แต่ดูเหมือนว่าเขาจะพยายามอย่างเต็มที่เพื่อทำให้มันดูแย่ลงมากเพื่อเบี่ยงเบนความสงสัยออกจากตัวเขาเอง
ซึ่งโชคดีที่ไม่ได้ผล
เขา *ไม่* ถูกตัดสินว่ามีความผิด (แต่เขาสารภาพผิด) และอย่างที่เราพูดในพาดหัวข่าว เขาได้รับโทษจำคุกหกปี
จากนั้นรอลงอาญา 1,500,000 ปี และเขาต้องจ่ายค่าปรับ XNUMX ดอลลาร์
ดั๊ก. คุณไม่สามารถสร้างสิ่งนี้ได้!
คำแนะนำดีๆ ในบทความนี้… มีคำแนะนำอยู่สามข้อ
ฉันรักอันแรกนี้: แบ่งและพิชิต
คุณหมายความว่าอย่างไรพอล?
เป็ด. ดูเหมือนว่าในกรณีนี้ บุคคลนี้มีอำนาจมากเกินไปในมือของเขาเอง
ดูเหมือนว่าเขาสามารถทำให้ทุกส่วนเล็กๆ น้อยๆ ของการโจมตีนี้เกิดขึ้นได้ รวมถึงการเข้าไปยุ่งกับท่อนซุงในภายหลัง และพยายามทำให้ดูเหมือนว่าคนอื่นๆ ในบริษัททำแบบนั้น
(เพื่อแสดงให้เห็นว่าเขาเป็นคนดีชะมัด เขาพยายามประสานเพื่อนร่วมงานของเขาด้วย ดังนั้นพวกเขาจึงต้องเจอปัญหา)
แต่ถ้าคุณทำกิจกรรมบางอย่างของระบบที่สำคัญจำเป็นต้องได้รับการอนุญาตจากคนสองคน โดยเฉพาะอย่างยิ่งจากสองแผนกที่แตกต่างกัน เช่น เมื่อธนาคารกำลังอนุมัติการเคลื่อนย้ายเงินจำนวนมาก หรือเมื่อทีมพัฒนากำลังตัดสินใจ “มาดูกันว่าการดำเนินการนี้ รหัสดีพอ เราจะให้คนอื่นมาดูอย่างเป็นกลางและเป็นอิสระ”...
… นั่นทำให้ยากขึ้นสำหรับคนวงในคนเดียวที่จะดึงกลอุบายเหล่านี้ออกมา
เนื่องจากพวกเขาต้องสมรู้ร่วมคิดกับคนอื่นๆ ที่พวกเขาต้องการการอนุญาตร่วมระหว่างทาง
ดั๊ก. ตกลง
และในบรรทัดเดียวกัน: เก็บบันทึกที่ไม่เปลี่ยนรูป
นั่นเป็นสิ่งที่ดี
เป็ด. ใช่.
ผู้ฟังที่มีความทรงจำที่ยาวนานอาจจำไดร์ฟ WORM ได้
สิ่งเหล่านี้เป็นสิ่งที่ย้อนกลับไปในสมัยนั้น: เขียนครั้งเดียว อ่านหลาย ๆ ครั้ง
แน่นอนว่าพวกเขาได้รับการขนานนามว่าเหมาะอย่างยิ่งสำหรับบันทึกระบบ เพราะคุณสามารถเขียนถึงพวกเขาได้ แต่คุณไม่สามารถ *เขียนซ้ำ* ได้
อันที่จริง ฉันไม่คิดว่าพวกเขาได้รับการออกแบบมาโดยตั้งใจ… [หัวเราะ] ฉันแค่คิดว่ายังไม่มีใครรู้วิธีทำให้เขียนซ้ำได้
แต่ปรากฎว่าเทคโนโลยีประเภทนั้นยอดเยี่ยมสำหรับการเก็บไฟล์บันทึก
หากคุณจำ CD-R, CD-Recordables ในยุคแรกๆ ได้ คุณสามารถเพิ่มเซสชันใหม่เพื่อบันทึก เช่น เพลง 10 นาที แล้วเพิ่มเพลงอีก 10 นาทีหรือข้อมูลอีก 100MB ในภายหลัง แต่คุณทำไม่ได้ กลับไปเขียนใหม่ทั้งหมด
ดังนั้น เมื่อคุณล็อคมันแล้ว ใครก็ตามที่ต้องการยุ่งกับหลักฐาน จะต้องทำลายซีดีทั้งแผ่น เพื่อให้มันหายไปจากห่วงโซ่ของหลักฐานอย่างเห็นได้ชัด ไม่เช่นนั้นจะทำให้มันเสียหาย
พวกเขาจะไม่สามารถใช้ดิสก์ต้นฉบับนั้นและเขียนเนื้อหาใหม่ได้ ดังนั้นมันจึงแสดงออกมาแตกต่างออกไป
และแน่นอนว่ามีเทคนิคมากมายที่คุณสามารถทำได้ในระบบคลาวด์
หากคุณต้องการ นี่คืออีกด้านของเหรียญ "แบ่งและพิชิต"
สิ่งที่คุณพูดคือคุณมี sysadmins จำนวนมาก, งานระบบจำนวนมาก, daemon หรือกระบวนการบริการจำนวนมากที่สามารถสร้างข้อมูลการบันทึก แต่พวกเขาถูกส่งไปที่ไหนสักแห่งซึ่งต้องใช้ความตั้งใจจริงและความร่วมมือเพื่อสร้างสิ่งเหล่านั้น ท่อนซุงหายไปหรือมองหาอย่างอื่นที่ไม่ใช่ตอนที่สร้าง
ดั๊ก. และสุดท้าย แต่ไม่ท้ายสุด: วัดเสมอไม่เคยถือว่า
เป็ด. อย่างแน่นอน
ดูเหมือนว่าในกรณีนี้ Company-1 จะจัดการสิ่งเหล่านี้อย่างน้อยบางส่วนในท้ายที่สุด
เนื่องจากชายคนนี้ถูกระบุตัวและสอบสวนโดย FBI… ฉันคิดว่าภายในประมาณสองเดือนหลังจากการโจมตีของเขา
และการสืบสวนไม่ได้เกิดขึ้นเพียงชั่วข้ามคืน จำเป็นต้องมีหมายค้นและต้องการสาเหตุที่น่าจะเป็นไปได้
ดังนั้นจึงดูเหมือนว่าพวกเขาทำสิ่งที่ถูกต้อง และพวกเขาไม่ได้เชื่อใจเขาต่อไปเพียงสุ่มสี่สุ่มห้าเพียงเพราะเขาเอาแต่พูดว่าเขาไว้ใจได้
อาชญากรของเขาออกมาล้างตามเดิม
ดังนั้น สิ่งสำคัญคือคุณต้องไม่ถือว่าใครอยู่เหนือความสงสัย
ดั๊ก. ตกลง กำลังเดินไปทางขวา
ผู้ผลิตอุปกรณ์เบ็ดเตล็ด Belkin กำลังอยู่ในกระแส โดยพูดง่ายๆ ว่า “การสิ้นสุดอายุการใช้งานหมายถึงการสิ้นสุดของการอัปเดต” สำหรับปลั๊กอัจฉริยะยอดนิยมตัวใดตัวหนึ่ง
Belkin Wemo Smart Plug V2 – บัฟเฟอร์โอเวอร์โฟลว์ที่ไม่ได้รับการแก้ไข
เป็ด. ดูเหมือนว่าจะได้รับการตอบสนองค่อนข้างแย่จาก Belkin
แน่นอนว่าจากมุมมองของ PR มันไม่ได้ชนะใจพวกเขามากนัก เพราะอุปกรณ์ในกรณีนี้คือหนึ่งในอุปกรณ์ที่เรียกว่าปลั๊กอัจฉริยะ
คุณได้รับสวิตช์เปิดใช้งาน Wi-Fi; บางคนจะวัดพลังและสิ่งอื่น ๆ เช่นนั้นด้วย
ดังนั้น แนวคิดก็คือคุณสามารถมีแอพ หรือเว็บอินเตอร์เฟส หรือบางอย่างที่จะเปิดและปิดเต้ารับที่ผนังได้
ดังนั้นจึงเป็นเรื่องประชดประชันเล็กน้อยที่ข้อบกพร่องอยู่ในผลิตภัณฑ์ที่หากถูกแฮ็กอาจทำให้ใครบางคนเปิดและปิดสวิตช์โดยพื้นฐานแล้วซึ่งอาจมีอุปกรณ์เสียบอยู่
ฉันคิดว่าถ้าฉันเป็น Belkin ฉันอาจจะพูดว่า “ดูสิ เราไม่ได้สนับสนุนสิ่งนี้อีกต่อไป แต่ในกรณีนี้… ใช่ เราจะออกแพตช์”
และมันก็เป็นบัฟเฟอร์ล้น ดั๊ก ธรรมดาและเรียบง่าย
[หัวเราะ] โอ้ ที่รัก...
เมื่อคุณเสียบอุปกรณ์ อุปกรณ์จะต้องมีตัวระบุที่ไม่ซ้ำกันจึงจะแสดงในแอป เช่น ในโทรศัพท์ของคุณ... ถ้าคุณมีสามตัวในบ้าน คุณคงไม่อยากให้เรียกมันทั้งหมด Belkin Wemo plug
.
คุณต้องการไปและเปลี่ยนสิ่งนั้นและใส่สิ่งที่ Belkin เรียกว่า "ชื่อที่เป็นมิตร"
ดังนั้นคุณจึงเข้าใช้แอปโทรศัพท์ของคุณ และพิมพ์ชื่อใหม่ที่คุณต้องการ
ดูเหมือนว่ามีบัฟเฟอร์ 68 อักขระในแอปบนอุปกรณ์สำหรับชื่อใหม่ของคุณ… แต่ไม่มีการตรวจสอบว่าคุณไม่ได้ใส่ชื่อที่ยาวกว่า 68 ไบต์
อาจเป็นเรื่องโง่เขลา คนที่สร้างระบบตัดสินใจว่ามันคงจะดีพอหากพวกเขาตรวจสอบระยะเวลาของชื่อ *ที่คุณพิมพ์ลงในโทรศัพท์เมื่อคุณใช้แอปเพื่อเปลี่ยนชื่อ*: “เราจะหลีกเลี่ยงการส่ง ชื่อที่ยาวเกินไปในตอนแรก”
และแน่นอน ในแอปโทรศัพท์ เห็นได้ชัดว่าคุณไม่สามารถใส่อักขระเกิน 30 ตัวได้ ดังนั้นอักขระเหล่านี้จึงปลอดภัยเป็นพิเศษ
ปัญหาใหญ่!
จะเกิดอะไรขึ้นหากผู้โจมตีตัดสินใจที่จะไม่ใช้แอป [หัวเราะ]
จะเกิดอะไรขึ้นถ้าพวกเขาใช้สคริปต์ Python ที่พวกเขาเขียนขึ้นเอง...
ดั๊ก. อืมมมมม! [IRONIC] ทำไมพวกเขาถึงทำอย่างนั้น?
เป็ด. …ซึ่งไม่รบกวนการตรวจสอบขีดจำกัด 30 อักขระหรือ 68 อักขระ
และนั่นคือสิ่งที่นักวิจัยเหล่านี้ทำ
และพวกเขาพบว่า เนื่องจากมี stack buffer overflow พวกเขาจึงสามารถควบคุมที่อยู่ส่งคืนของฟังก์ชันที่กำลังใช้อยู่ได้
ด้วยการลองผิดลองถูกที่เพียงพอ พวกเขาสามารถเบี่ยงเบนการดำเนินการไปสู่สิ่งที่เรียกกันในศัพท์แสงว่า “shellcode” ที่พวกเขาเลือกเอง
โดยเฉพาะอย่างยิ่ง พวกเขาสามารถเรียกใช้คำสั่งระบบที่เรียกใช้ wget
ซึ่งดาวน์โหลดสคริปต์ ทำให้สคริปต์สามารถเรียกใช้งานได้ และเรียกใช้งาน
ดั๊ก. โอเค อืม…
…เรามีคำแนะนำในบทความ
หากคุณมีปลั๊กอัจฉริยะเหล่านี้ ตรวจสอบว่า.
ฉันเดาว่าคำถามที่ใหญ่กว่านี้คือ สมมติว่า Belkin ทำตามสัญญาที่จะไม่แก้ไขปัญหานี้... [เสียงหัวเราะดัง]
…โดยพื้นฐานแล้ว การแก้ไขนี้ยากแค่ไหน พอล?
หรือจะเป็นการดีที่จะ PR เพียงแค่เสียบรูนี้?
เป็ด. ฉันไม่รู้
อาจมีแอปอื่นๆ อีกมากมายที่พวกเขาต้องทำการแก้ไขแบบเดียวกัน
ดังนั้นพวกเขาอาจไม่ต้องการทำเช่นนี้เพราะกลัวว่าจะมีใครพูดว่า "มาเจาะลึกกัน"
ดั๊ก. ทางลาดชัน…
เป็ด. ฉันหมายความว่านั่นจะเป็นเหตุผลที่ไม่ดีที่จะไม่ทำ
ฉันคงคิดว่าตอนนี้มันเป็นที่รู้จักดี และดูเหมือนว่าจะแก้ไขได้ง่ายพอสมควร...
…เพียงแค่ (A) คอมไพล์แอปใหม่สำหรับอุปกรณ์ที่เปิดการป้องกันสแต็ก หากเป็นไปได้ และ (B) อย่างน้อยในโปรแกรมการเปลี่ยนชื่อ “ชื่อที่จำง่าย” นี้โดยเฉพาะ อย่าให้ชื่อยาวเกิน 68 อักขระ!
ดูเหมือนจะไม่ใช่การแก้ไขที่สำคัญ
แม้ว่าการแก้ไขนั้นจะต้องมีการลงรหัส จะต้องมีการตรวจสอบ; จะต้องได้รับการทดสอบ ต้องสร้างเวอร์ชันใหม่และเซ็นชื่อแบบดิจิทัล
จากนั้นจะต้องมีการเสนอให้กับทุกคน และผู้คนจำนวนมากจะไม่รู้ด้วยซ้ำว่ามีให้
แล้วถ้าไม่อัพเดทล่ะ?
คงจะดีหากผู้ที่ทราบปัญหานี้สามารถแก้ไขได้ แต่ยังคงต้องรอดูว่า Belkin จะคาดหวังให้พวกเขาอัปเกรดเป็นผลิตภัณฑ์ใหม่หรือไม่
ดั๊ก. เอาล่ะ ในเรื่องของการอัปเดต...
…เราเฝ้าดูเรื่องนี้อย่างที่เราพูด
เราได้พูดคุยเกี่ยวกับเรื่องนี้หลายครั้ง: Clearview AI
สุดอลเวง! ราคเลจ แครปูลูซ์! Clearview AI มีปัญหาเพิ่มขึ้น 20% ในฝรั่งเศส
ฝรั่งเศสมีบริษัทนี้อยู่ในสายตาสำหรับการต่อต้านซ้ำแล้วซ้ำเล่า และเกือบจะเป็นเรื่องน่าขันที่สิ่งนี้เลวร้ายลง
ดังนั้น บริษัทนี้จึงคัดลอกรูปภาพจากอินเทอร์เน็ตและแมปกับบุคคลที่เกี่ยวข้อง และหน่วยงานบังคับใช้กฎหมายก็ใช้เครื่องมือค้นหานี้ในการค้นหาผู้คน
ประเทศอื่นๆ ก็ประสบปัญหานี้เช่นกัน แต่ฝรั่งเศสกล่าวว่า “นี่คือ PII นี่เป็นข้อมูลที่สามารถระบุตัวบุคคลได้”
เป็ด. ใช่.
ดั๊ก. “เคลียร์วิว ได้โปรดหยุดทำแบบนี้”
และ Clearview ไม่แม้แต่จะตอบสนอง
ดังนั้นพวกเขาจึงโดนปรับ 20 ล้านยูโร และพวกเขาก็ทำต่อไป...
และฝรั่งเศสกำลังพูดว่า “ตกลง คุณทำอย่างนั้นไม่ได้ เราบอกให้คุณหยุด ดังนั้นเราจะลงแรงกับคุณมากขึ้น เราจะเรียกเก็บเงินจากคุณ 100,000 ยูโรทุกวัน”… และพวกเขาลงข้อมูลย้อนหลังจนถึงจุดที่สูงถึง 5,200,000 ยูโรแล้ว
และ Clearview ก็ไม่ตอบสนอง
มันแค่ไม่ยอมรับว่ามีปัญหา
เป็ด. ดูเหมือนจะเป็นเช่นนั้นอย่างแน่นอน ดั๊ก
ที่น่าสนใจและในความเห็นของฉันค่อนข้างสมเหตุสมผลและที่สำคัญมาก เมื่อหน่วยงานกำกับดูแลของฝรั่งเศสตรวจสอบ Clearview AI (ในเวลานั้นพวกเขาตัดสินใจว่าบริษัทจะไม่เล่นบอลโดยสมัครใจและปรับพวกเขา 20 ล้านยูโร)...
…พวกเขายังพบว่าบริษัทไม่ใช่แค่การรวบรวมสิ่งที่พวกเขาพิจารณาว่าเป็นข้อมูลไบโอเมตริกซ์โดยไม่ได้รับความยินยอม
พวกเขายังทำให้ผู้คนใช้สิทธิ์ของตนได้อย่างเหลือเชื่อ ไม่จำเป็น และผิดกฎหมาย (ก) ที่จะรู้ว่าข้อมูลของพวกเขาถูกรวบรวมและกำลังถูกใช้ในเชิงพาณิชย์ และ (ข) ให้ลบทิ้งหากพวกเขาต้องการ
สิ่งเหล่านี้เป็นสิทธิที่หลายประเทศบัญญัติไว้ในข้อบังคับของตน
ฉันคิดว่ายังคงอยู่ในกฎหมายของสหราชอาณาจักรอย่างแน่นอน แม้ว่าตอนนี้เราจะอยู่นอกสหภาพยุโรปก็ตาม และเป็นส่วนหนึ่งของกฎระเบียบ GDPR ที่รู้จักกันดีในสหภาพยุโรป
ถ้าฉันไม่ต้องการให้คุณเก็บข้อมูลของฉัน คุณต้องลบทิ้ง
และเห็นได้ชัดว่า Clearview กำลังทำสิ่งต่างๆ เช่น พูดว่า "โอ้ อืม ถ้าเราเก็บไว้นานกว่าหนึ่งปี มันก็ยากเกินไปที่จะลบออก ดังนั้นมันจึงเป็นเพียงข้อมูลที่เรารวบรวมภายในปีที่แล้วเท่านั้น"
ดั๊ก. อ๊าาาา [หัวเราะ]
เป็ด. ถ้าคุณไม่สังเกต หรือคุณเพิ่งรู้หลังจากผ่านไปสองปี?
สายเกินไป!
แล้วพวกเขาก็พูดว่า “โอ้ ไม่นะ คุณได้รับอนุญาตให้ถามได้ปีละสองครั้งเท่านั้น”
ฉันคิดว่า เมื่อฝรั่งเศสตรวจสอบ พวกเขายังพบว่าคนในฝรั่งเศสบ่นว่าพวกเขาต้องถามซ้ำแล้วซ้ำอีก ก่อนที่พวกเขาจะสามารถเขย่าความทรงจำของ Clearview ให้ทำอะไรได้เลย
ใครจะรู้ว่าเรื่องนี้จะจบลงอย่างไร ดั๊ก?
ดั๊ก. นี่เป็นช่วงเวลาที่ดีที่จะได้ยินจากผู้อ่านหลายๆ คน
เรามักจะแสดงความคิดเห็นประจำสัปดาห์จากผู้อ่านคนหนึ่ง แต่คุณถามในตอนท้ายของบทความนี้:
หากคุณเคยเป็น {Queen, King, President, Supreme Wizard, Glorious Leader, Chief Judge, Lead Arbiter, High Commissioner of Privacy} และสามารถแก้ไขปัญหานี้ได้ด้วย {โบกไม้กายสิทธิ์ สะบัดปากกา เขย่าคทา , กลลวงใจของเจได}…
…คุณจะแก้ปัญหาความขัดแย้งนี้อย่างไร?
และเพื่อดึงคำพูดบางส่วนจากผู้แสดงความคิดเห็นของเรา:
- “ปิดหัวของพวกเขา”
- “โทษประหารชีวิตในองค์กร”
- “จัดให้พวกเขาเป็นองค์กรอาชญากรรม”
- “ระดับสูงควรติดคุกจนกว่าบริษัทจะยอมทำตาม”
- “ประกาศให้ลูกค้าเป็นผู้สมรู้ร่วมคิด”
- “เจาะฐานข้อมูลและลบทุกอย่าง”
- “สร้างกฎหมายใหม่”
จากนั้นเจมส์ก็ลงจากหลังม้าพร้อมกับ: “ฉันผายลมไปในทิศทางทั่วไปของคุณ แม่ของคุณเป็น 'amster และพ่อของคุณมีกลิ่นเอลเดอร์เบอร์รี่” [MONTY PYTHON และจอกศักดิ์สิทธิ์ พาดพิงถึง]
ซึ่งฉันคิดว่าอาจจะเป็นความคิดเห็นในบทความที่ไม่ถูกต้อง
ฉันคิดว่ามีคำพูดของ Monty Python ใน "Whodunnit?" บทความ.
แต่ เจมส์ ขอบคุณที่กระโดดลงมาในตอนท้าย...
เป็ด. [LAUGHS] ไม่ควรหัวเราะจริงๆ
คนแสดงความคิดเห็นของเราไม่ได้พูดว่า “นี่ สมัครขอหมายแดงของอินเตอร์โพลเหรอ? [ประเภทของหมายจับระหว่างประเทศ]
ดั๊ก. ใช่!
เยี่ยมมาก… อย่างที่เราเคยชินกัน เราจะจับตาดูเรื่องนี้ เพราะฉันรับรองได้ว่าเรื่องนี้ยังไม่จบ
หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมลไปที่ tips@sophos.com แสดงความคิดเห็นเกี่ยวกับบทความของเรา หรือจะติดต่อผ่านโซเชียลได้ที่ @NakedSecurity
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...
ทั้งสอง รักษาความปลอดภัย!
[โมเด็มดนตรี]
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ซื้อและขายหุ้นในบริษัท PRE-IPO ด้วย PREIPO® เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/05/18/s3-ep135-sysadmin-by-day-extortionist-by-night/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 000
- 10
- 14
- 200
- 30
- 50
- 500
- a
- สามารถ
- เกี่ยวกับเรา
- เกี่ยวกับมัน
- ข้างบน
- ไม่อยู่
- อย่างแน่นอน
- กระทำ
- การกระทำ
- กิจกรรม
- เพิ่ม
- ที่อยู่
- คำแนะนำ
- หลังจาก
- ภายหลัง
- อีกครั้ง
- AI
- ทั้งหมด
- อนุญาต
- ตาม
- แล้ว
- Alright
- ด้วย
- แม้ว่า
- am
- อเมซอน
- Amazon Web Services
- an
- และ
- ประกาศ
- อื่น
- ใด
- อีกต่อไป
- สิ่งใด
- ทุกแห่ง
- app
- Apple
- ใช้
- ปพลิเคชัน
- เป็น
- จับกุม
- บทความ
- บทความ
- AS
- At
- โจมตี
- เสียง
- ผู้เขียน
- การอนุญาต
- ใช้ได้
- หลีกเลี่ยง
- ทราบ
- ไป
- กลับ
- ไม่ดี
- ไม่ดี
- ลูกบอล
- ธนาคาร
- เป็นพื้น
- BE
- กลายเป็น
- เพราะ
- รับ
- ก่อน
- กำลัง
- ด้านล่าง
- ที่ดีที่สุด
- ใหญ่
- ที่ใหญ่กว่า
- ไบโอเมตริกซ์
- บิต
- Bitcoins
- แบล็กเมล์
- สุ่มสี่สุ่มห้า
- ระเบิด
- ช่องโหว่
- แตก
- กันชน
- บัฟเฟอร์ล้น
- สร้าง
- แต่
- by
- โทรศัพท์
- ที่เรียกว่า
- โทร
- CAN
- กรณี
- จับ
- ก่อให้เกิด
- เป็นการตักเตือน
- CD
- บาง
- อย่างแน่นอน
- โซ่
- เปลี่ยนแปลง
- เปลี่ยนแปลง
- อักขระ
- รับผิดชอบ
- ตรวจสอบ
- ตรวจสอบแล้ว
- การตรวจสอบ
- หัวหน้า
- ชิป
- ทางเลือก
- วิ๊ว
- เคลียร์วิว AI
- เมฆ
- ผู้ร่วมก่อตั้ง
- รหัส
- รหัส
- เหรียญ
- การเก็บรวบรวม
- COM
- อย่างไร
- ความเห็น
- ในเชิงพาณิชย์
- กรรมาธิการ
- บริษัท
- บริษัท
- ความเข้ากันได้
- คอมพิวเตอร์
- จดจ่อ
- ความยินยอม
- พิจารณา
- พิจารณา
- เนื้อหา
- ต่อ
- ควบคุม
- เย็น
- ได้
- ประเทศ
- หลักสูตร
- Crash
- ที่สร้างขึ้น
- อาชญากรรม
- ความผิดทางอาญา
- ลูกค้า
- มืด
- Dark Web
- ข้อมูล
- ฐานข้อมูล
- วัน
- ความตาย
- ตัดสินใจ
- กำลังตัดสินใจ
- ลึก
- การต่อต้าน
- เรียกร้อง
- แผนก
- กระทรวงยุติธรรม
- หน่วยงาน
- ได้รับการออกแบบ
- เคาน์เตอร์
- ทำลาย
- พัฒนาการ
- เครื่อง
- DID
- ต่าง
- ยาก
- DIG
- ดิจิทัล
- ทิศทาง
- do
- ทำ
- ไม่
- การทำ
- Dont
- ลง
- ร่าง
- หล่น
- ปรับตัวลดลง
- ก่อน
- ง่าย
- ทั้ง
- อื่น
- อีเมล
- เปิดการใช้งาน
- ปลาย
- การบังคับใช้
- เครื่องยนต์
- วิศวกร
- พอ
- ทั้งหมด
- ความผิดพลาด
- ในทวีปยุโรป
- สหภาพยุโรป
- แม้
- ทุกๆ
- ทุกคน
- ทุกอย่าง
- หลักฐาน
- เผง
- ยอดเยี่ยม
- การปฏิบัติ
- การออกกำลังกาย
- ที่ขยายได้
- คาดหวัง
- ตา
- ที่หน้า
- การจดจำใบหน้า
- ความจริง
- โรงงาน
- ความล้มเหลว
- ธรรม
- เท็จ
- กลัว
- สองสาม
- สู้
- ไฟล์
- หา
- ชื่อจริง
- แก้ไขปัญหา
- แวบวับ
- ดังต่อไปนี้
- สำหรับ
- ฟอร์ม
- โชคดี
- พบ
- ฝรั่งเศส
- ภาษาฝรั่งเศส
- เพื่อน
- ราคาเริ่มต้นที่
- ด้านหน้า
- ฟังก์ชัน
- ตลก
- GDPR
- General
- สร้าง
- ได้รับ
- ได้รับ
- กำหนด
- Go
- ไป
- ดี
- ผิด
- hacked
- มี
- มือ
- เกิดขึ้น
- ที่เกิดขึ้น
- ยาก
- มี
- he
- พาดหัว
- หัว
- ได้ยิน
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- จุดสูง
- พระองค์
- ของเขา
- ตี
- ถือ
- รู
- ร้อน
- บ้าน
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- มนุษย์
- i
- ความคิด
- ในอุดมคติ
- ระบุ
- ระบุ
- เอกลักษณ์
- if
- ii
- ไม่เปลี่ยนรูป
- สำคัญ
- in
- รวมทั้ง
- เหลือเชื่อ
- เป็นรายบุคคล
- ข้อมูล
- คนวงใน
- แทน
- น่าสนใจ
- อินเตอร์เฟซ
- International
- อินเทอร์เน็ต
- ตำรวจสากล
- เข้าไป
- การสืบสวน
- การประชด
- ปัญหา
- IT
- ITS
- ตัวเอง
- ตัดสินจำคุก
- ศัพท์แสง
- การสัมภาษณ์
- งาน
- ผู้พิพากษา
- เพียงแค่
- ความยุติธรรม
- เก็บ
- การเก็บรักษา
- เก็บไว้
- คีย์
- ชนิด
- พระมหากษัตริย์
- ทราบ
- ที่รู้จักกัน
- แล็ปท็อป
- ชื่อสกุล
- ปีที่แล้ว
- ต่อมา
- หัวเราะ
- กฏหมาย
- การบังคับใช้กฎหมาย
- กฎหมาย
- นำ
- ผู้นำ
- น้อยที่สุด
- กดไลก์
- LIMIT
- Line
- เส้น
- เข้าแถว
- การฟัง
- น้อย
- ล็อค
- เข้าสู่ระบบ
- การเข้าสู่ระบบ
- นาน
- อีกต่อไป
- ดู
- มอง
- ที่ต้องการหา
- LOOKS
- ความรัก
- เครื่อง
- ทำ
- สำคัญ
- ทำ
- เครื่องชง
- การทำ
- จัดการ
- การจัดการ
- หลาย
- แผนที่
- การตลาด
- อาจ..
- หมายความ
- วิธี
- หมายความว่า
- วัด
- ภาพบรรยากาศ
- ความทรงจำ
- หน่วยความจำ
- อาจ
- ล้าน
- นาที
- โมเดล
- เงิน
- เดือน
- ข้อมูลเพิ่มเติม
- แม่
- การเคลื่อนไหว
- การย้าย
- มาก
- ดนตรี
- ดนตรี
- my
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- ชื่อ
- ชื่อ
- จำเป็นต้อง
- ความต้องการ
- ไม่เคย
- ใหม่
- ข่าว
- ถัดไป
- ดี
- คืน
- ไม่
- ยวด
- สังเกต..
- พฤศจิกายน
- ตอนนี้
- of
- ปิด
- เสนอ
- oh
- on
- ครั้งเดียว
- ONE
- เพียง
- ความคิดเห็น
- or
- ใบสั่ง
- องค์กร
- เป็นต้นฉบับ
- แต่เดิม
- อื่นๆ
- มิฉะนั้น
- ของเรา
- ออก
- ด้านนอก
- เกิน
- ค้างคืน
- ของตนเอง
- ส่วนหนึ่ง
- ในสิ่งที่สนใจ
- ปะ
- พอล
- ชำระ
- การชำระเงิน
- คน
- บางที
- คน
- ส่วนตัว
- โทรศัพท์
- แอพโทรศัพท์
- ภาพถ่าย
- ชิ้น
- PII
- สถานที่
- ที่ราบ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- ผู้เล่น
- กรุณา
- ปลั๊ก
- เสียบ
- พอดคาสต์
- พอดคาสต์
- จุด
- จุดชมวิว
- น่าสงสาร
- ยอดนิยม
- เป็นไปได้
- โพสต์
- อำนาจ
- pr
- ประธาน
- ราคา
- คุก
- ปัญหา
- ปัญหาที่เกิดขึ้น
- กระบวนการ
- กระบวนการ
- ผลิตภัณฑ์
- โครงการ
- โปรแกรม
- คำมั่นสัญญา
- อย่างถูกต้อง
- คุณสมบัติ
- การป้องกัน
- ผลัก
- ใส่
- หลาม
- คุณภาพ
- คำถาม
- ถาม
- หุ้น
- คำพูด
- ค่อนข้าง
- อ่าน
- ผู้อ่าน
- ผู้อ่าน
- จริง
- จริงๆ
- เหตุผล
- ผู้รับ
- การรับรู้
- ระเบียน
- สีแดง
- แจ้งให้ทราบล่วงหน้าสีแดง
- การควบคุม
- กฎระเบียบ
- เครื่องควบคุม
- ซากศพ
- จำ
- เอาออก
- ซ้ำแล้วซ้ำอีก
- การรายงาน
- ต้องการ
- นักวิจัย
- ว่า
- ตอบสนอง
- การตอบสนอง
- คำตอบ
- กลับ
- สุดท้าย
- ขวา
- สิทธิ
- RSS
- วิ่ง
- ปลอดภัย
- กล่าวว่า
- เดียวกัน
- กล่าว
- คำพูด
- ค้นหา
- เครื่องมือค้นหา
- ความปลอดภัย
- เห็น
- ดูเหมือน
- ดูเหมือนว่า
- เห็น
- ส่วน
- การส่ง
- ส่ง
- บริการ
- บริการ
- เซสชั่น
- หลาย
- Share
- สั้น
- น่า
- โชว์
- แสดงให้เห็นว่า
- ด้าน
- ʶҹ·Õè·èͧà·ÕèÂÇ
- ลงนาม
- ง่าย
- ง่ายดาย
- หก
- สมาร์ท
- So
- สังคม
- บาง
- บางคน
- บางสิ่งบางอย่าง
- บางแห่ง
- Soundcloud
- Spotify
- กอง
- ยืน
- เริ่มต้น
- เข้าพัก
- สตีฟ
- Wozniak สตีฟ
- ยังคง
- หยุด
- เรื่องราว
- หรือ
- ส่ง
- ความสำเร็จ
- ที่สนับสนุน
- สูงสุด
- พิรุธ
- สวิตซ์
- ระบบ
- เอา
- ใช้เวลา
- งาน
- ทีม
- เทคโนโลยี
- เทคนิค
- นักเทคโนโลยี
- เทคโนโลยี
- กว่า
- ขอบคุณ
- ที่
- พื้นที่
- กฏหมาย
- สหราชอาณาจักร
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- สิ่ง
- คิด
- นี้
- ในสัปดาห์นี้
- เหล่านั้น
- แต่?
- คิดว่า
- สาม
- ตลอด
- เวลา
- ครั้ง
- ไปยัง
- ในวันนี้
- เกินไป
- โน้มน้าว
- แบบดั้งเดิม
- การทดลอง
- ลองผิดลองถูก
- ปัญหา
- ไว้วางใจ
- เชื่อถือได้
- ลอง
- กลับ
- หัน
- ผลัดกัน
- สองครั้ง
- สอง
- ชนิด
- Uk
- ในที่สุด
- ภายใต้
- ความเข้าใจ
- การแฉ
- น่าเสียดาย
- สหภาพ
- เป็นเอกลักษณ์
- จนกระทั่ง
- บันทึก
- อัพเกรด
- ในเมือง
- URL
- us
- กระทรวงยุติธรรมสหรัฐ
- ใช้
- มือสอง
- มักจะ
- รุ่น
- มาก
- รายละเอียด
- โดยสมัครใจ
- ผนัง
- ไม้เรียว
- ต้องการ
- อยาก
- หมาย
- คือ
- น้ำดื่ม
- ทาง..
- วิธี
- we
- เว็บ
- บริการเว็บ
- สัปดาห์
- ดี
- โด่งดัง
- ไป
- คือ
- อะไร
- เมื่อ
- ว่า
- ที่
- whistleblower
- WHO
- ทั้งหมด
- ทำไม
- Wi-Fi
- จะ
- กับ
- ภายใน
- ไม่มี
- วอน
- งาน
- หนอน
- แย่ลง
- จะ
- เขียน
- ผิด
- ปี
- ปี
- ใช่
- ยัง
- เธอ
- ของคุณ
- ลมทะเล