Return to Video

#rC3 - Exposure Notification Security

  • 0:00 - 0:17
    Translated by Juho Halttunen (ITKST56 course assignment at JYU.FI)
  • 0:17 - 0:20
    Hei, kaikki ja tervetuloa esitykseeni,
    joka on Bluetooth
  • 0:20 - 0:25
    altistusilmoituksen turvasta.
    Tämän esityksen voi vetää yhteen:
  • 0:25 - 0:31
    ensiksi altistumisilmoitukset Goolen/
    Applen API:ssa ovat todella turvalliset ja
  • 0:31 - 0:36
    patteri ystävälliset. Ja käyttää vain
    Korona varoitussovellusta.
  • 0:36 - 0:39
    Tämä voi olla sekavaa monille teistä,
    jotka kuuntelavat sillä olen
  • 0:39 - 0:44
    työskennellyt Bluetooth hyväksikäytön
    kanssa jo aikaisemmin ja aina
  • 0:44 - 0:48
    opettanut, että Bluetooth
    ei ole turvallinen. Joten saatatte miettiä
  • 0:48 - 0:53
    kuinka tämä käy järkeen. Miksi olen täällä
    nyt kertomassa, että ilmoitukset ovat
    turvallisia?
  • 0:53 - 1:00
    Koska nyt on pandemia ja sen sijaan, että
    kritisoitaisiin ratkaisuja, meidän tulisi
  • 1:00 - 1:06
    etsiä ratkaisuja, jotka toimivat. Joten
    sen sijaan, että paasaisin, teen jotain
  • 1:06 - 1:14
    mikä auttaa kaikkia. Ensimmäinen kysymys,
    jota useat kysyvät on, että tarvisemmeko
  • 1:14 - 1:22
    edes älypuhelin applikaatiota pandemiaa
    vastaan? No mitä voimme sanoa, on joulukuu
  • 1:22 - 1:26
    ja altistumisilmoitukset esiteltiin kesäkuussa
    ja meillä on vielä korona.
  • 1:26 - 1:35
    Joten se ei auttanut täysin ja se ei
    todennäköisesti pysäytä koronaa. Mutta
  • 1:35 - 1:41
    katsotaan asiaa toisesta kulmasta.
    Ensiksi mikäli sinulla appi ja saat
  • 1:41 - 1:46
    varoituksia, voimme tehdä tarkempia
    testejä ja se on erittäin tärkeää, koska
  • 1:46 - 1:51
    jopa nyt olemme alhaisissa testilukemissa.
    Emme voi testata kaikkia. Testaamme vain
  • 1:51 - 1:57
    ihmiset, joilla on oireita. Ja se on
    ongelma, sillä ihmiset voivat tartuttaa
  • 1:57 - 2:02
    muita ennen oireita ja voivat tartuttaa
    oireettomina.
  • 2:02 - 2:08
    Nämä kaikki voidaan löytää korona
    varoitus sovelluksella. Ja se myös voi
  • 2:08 - 2:11
    rohkaista manuaalista jäljitystä, koska
    terveysviranomaiset eivät voi kontaktoida
  • 2:11 - 2:17
    manuaalisesti enää jokaista.
  • 2:17 - 2:23
    Joten sinun täytyy kysyä ystävältäsi jos
    sovelluksesi muuttuu punaiseksi ja siten
  • 2:23 - 2:28
    voit löytää tapauksia vaikka he
    unohtaisivat kertoa. Tämä ei tietenkään
  • 2:28 - 2:34
    korvaa käsienpesua, maskin käyttöä,
    etäisyyden pitämistä ja niin edelleen.
  • 2:34 - 2:40
    Joten tietenkin nämä täytyy tehdä.
    Mutta mikäli edes ilmoitat muutamalle
  • 2:40 - 2:45
    ihmiselle, voi jokainen estetty infektio
    pelastaa elämiä. Joten se on erittäin
  • 2:45 - 2:53
    tärkeää, että on tälläinen appi. Ja
    seuraava kysymys on, että onko
  • 2:53 - 2:57
    jotain parempaa kuin Bluetooth? Jos
    haluamme etsiä ratkaisua sovelluksen
  • 2:57 - 3:03
    rakentamisesta, joka tukee altistumis-
    ilmoituksia ja estää tartuntoja. Kuinka
  • 3:03 - 3:10
    voisimme rakentaa sellaisen? Tarvitsemme
    jotain, joka mittaa lähistöä tai lokaa-
  • 3:10 - 3:14
    tiota ja kännykässä meillä on useita
    teknologioita, jotka tukevat tätä. On
  • 3:14 - 3:20
    GPS, Bluetooth, LTE ja 5G, Wi-Fi, Ultra-
    wideband, josta et ehkä ole kuullut
  • 3:20 - 3:24
    on audiota, on kameraa.
  • 3:24 - 3:31
    Voisit käyttää jokaista näistä. Ja syy
    miksi voit mitata näillä etäisyyttä tai
  • 3:31 - 3:37
    suuntaa on se, että fyysisellä tasolla
    sinulla on aaltomuoto. Ja tämä aalto-
  • 3:37 - 3:42
    muodolla on ensinnäkin amplituudi
    ja etäisyyden kasvaessa se pienenee.
  • 3:42 - 3:45
    Jolloin tämä tarkoittaa, että signaalin
    voimakkuus on heikompi ja sinulla on
  • 3:45 - 3:50
    vaihe joka vaihtuu etäisyyden kanssa.
    Joten nämä ovat ominaisuudet, jotka
  • 3:50 - 3:54
    voit mitata fyysisellä tasolla, raa'assa
    aaltomuodossa. Ja osa tästä tiedosta
  • 3:54 - 4:00
    lähetetään ylemmille tasoilla. Ja ilmeisin
    näistä on signaalin voimakkuus, joten
  • 4:00 - 4:04
    se on fyysisen tason ominaisuus, jonka voi
    mitata. Se myös lähetetään ylemmille
  • 4:04 - 4:10
    tasoille useimmissa protokollissa yksin-
    kertaisiin asioihin kuten Wi-Fi signaalin
  • 4:10 - 4:15
    voimakkuuden arvioimiseen, jotta laite
    voi määrittää voimakkaimman Wi-Fi aseman
  • 4:15 - 4:19
    ja niin edelleen. Joten signaalin voi-
    makkuus on erittäin olennainen ja se
  • 4:19 - 4:25
    lähetetään ylemmille tasoille useimmissa
    protokollissa. Voit itseasiassa tehdä
  • 4:25 - 4:30
    erittäin tarkkaa mittausta mutta tarvitset
    raakaa aaltomuotoa ja tätä ei ole tuettu.
  • 4:30 - 4:34
    Jotkin piirit voivat tätä tehdä. Tarkkaan
    mittaamiseen sinun täytyy lähettää
  • 4:34 - 4:39
    signaali ja lähettää takaisin ja mitata
    edestakainen aika signaalista.
  • 4:39 - 4:44
    Ja tätä esimerkiksi tehdään siinä,
    kun päätetään voiko Applen kello
  • 4:44 - 4:49
    aukaista MacBookin. Ja kolmas
    vaihtoehto on se, että voit mitata
  • 4:49 - 4:54
    signaalin suunnan. Tämä tarvitsee itse-
    asiassa useampaa antennia, jotta kolmio-
  • 4:54 - 4:59
    mittaus voidaan tehdä signaalille. Tätä
    ei tueta useimmissa piireissä, sillä
  • 4:59 - 5:04
    pelkästään piirin tukea ei tarvita, vaan
    myös useampaa antennia. Tämän avulla
  • 5:04 - 5:09
    voit esimerkiksi iPhonella saada
    AirDrop suunnan toiselle iPhonelle ja niin
  • 5:09 - 5:14
    edelleen ja voit nähdä signaalin suunnan
    omasta laitteestasi.
  • 5:14 - 5:22
    Mitä tulee lokaatioon niin ilmeisin
    valinta monille on GPS.
  • 5:22 - 5:27
    GPS:ssä signaalit lähetetään
    satelliiteilla.
  • 5:27 - 5:32
    Nämä kiertävät yli 20 000 km päässä ja
    ovet todennäköisesti erittäin kaukaisia.
  • 5:32 - 5:37
    Ja ennen kuin signaali saapuu puhelimeen
    siinä on paljon vaimennusta.
  • 5:37 - 5:42
    Joten vaikka siinä olisi vain muutama
    rakennus tai olisit sisällä
  • 5:42 - 5:46
    mutta jo muutama rakennus
    ovat tehokkaita estämään
  • 5:46 - 5:52
    paikantamisen ja sisätiloissa ei
    se toimi lainkaan. Sisätiloissa meillä
  • 5:52 - 6:01
    on suurin riski tartunnoille, joten GPS
    ei ole hyödyllinen tässä. Seuraava
  • 6:01 - 6:09
    vaihtoehto signaaleille olisi LTE, 5G ja
    niin edelleen. Tässä on siis lähettäjiä ja
  • 6:09 - 6:14
    voit oikeasti vaihtaa soluja puhelimessa.
    Joten tässä meillä on yksi solu ja kun
  • 6:14 - 6:19
    liikumme liikut toiseen soluun ja tämä
    on liikettä mitä teet ja solujen vaihtelua
  • 6:19 - 6:25
    voidaan mitata. Tätä on oikeasti käytetty
    puhelimien toimittajien toimesta Saksassa
  • 6:25 - 6:30
    kuinka tehokkaita sulkutoimenpiteet ovat.
    Tämän avulla voit nähdä, sitä
  • 6:30 - 6:37
    liikkuuko ihmiset enemmän vai vähemmän
    kuin ennen pandemiaa.
  • 6:37 - 6:41
    Kuinka tehokkaita nämä säännöt ovat ja
    niin edelleen. Nämä eivät ole tarkkaa sta-
  • 6:41 - 6:50
    tistiikkaa mutta on hyvä olla laaja-
    alaista statistiikkaa ihmisistä mutta
  • 6:50 - 7:00
    se ei ole hyödyllistä siinä ketä tapasit.
    Toinen vaihtoehto on Wi-Fi mutta
  • 7:00 - 7:05
    siinä on toinen ongelma. Wi-Fi on
    riippuvainen tukiasemista ja niin edelleen
  • 7:05 - 7:10
    Voit skannata tukiasemia ja tottakai
    puhelimet tukevat, että teet oman
  • 7:10 - 7:14
    tukiaseman ja sitten skannaisit sitä
  • 7:14 - 7:18
    mutta silloin, et kuitenkaan käyttäisi
    omaa Wi-Fiä sillä voit liittyä Wi-Fii tai
  • 7:18 - 7:24
    luoda sellaisen. Tämä ei oikeastaan toimi.
    On olemassa valmistaja spesifisiä
  • 7:24 - 7:28
    lisäyksiä, jotka mahdollistavat etäi-
    syyskien mittaamisen mutta niitä ei
  • 7:28 - 7:34
    ole useimmissa laitteissa, eikä se ole
    saatavilla APIen kautta. Joten ei voida
  • 7:34 - 7:41
    käyttää Wi-Fiä, sen toiminnallisuuden
    vuoksi ja kuinka se on rakennettu puhelimiin.
  • 7:41 - 7:45
    Paras tapa tarkkaan mittaukseen on audio,
    koska vaikka ei olisi pääsyä piirille tai
  • 7:45 - 7:53
    APIin, niin se mitä on on lähettäjä tai
    puhujantapainen ja mikrofoni
  • 7:53 - 7:59
    ja ne lähettävät aaltoja ja niitä voidaan
    mitata.
  • 7:59 - 8:04
    Ja vaikka ilman alemman tason pääsyä
    sovellustasolle jollekkin piirille sinulla
  • 8:04 - 8:09
    voi olla tarkka mittaus. Mutta tässä
    ongelmana on se, että tarvitaan
  • 8:09 - 8:14
    pääsyä mikrofonille. Joten appin pitäisi
    olla ajossa etualalla koko ajan mikrofonin
  • 8:14 - 8:18
    kanssa. Tämä kuluttaa akkua ja mikä
    pahinta, se tarkoittaa että sinulla on
  • 8:18 - 8:22
    pysyvä vakoilija taskussasi. Sinulla olisi
    valtiollinen appi, joka kuuntelisi
  • 8:22 - 8:28
    mikrofoniasi kaiken aikaa. Ja kovin
    moni ei tätä halua. Sitten vielä on
  • 8:28 - 8:32
    sellainen mistä et ole todennäköisesti
    kuullut. Ultra-wideband, joka on
  • 8:32 - 8:36
    tulossa uuden generaation iPhoneen
    ja tähän mennessä sitä ei ole käytetty
  • 8:36 - 8:41
    kauhean monessa. Se on jotain, joka
    voi myös selvittää signaalin suunnan
  • 8:41 - 8:46
    antennien avulla ja se voi näyttää
    missä suunnassa toinen laite
  • 8:46 - 8:51
    sijaitsee. Mutta koska se on vain
    muutamassa laitteessa niin se ei
  • 8:51 - 8:56
    ole hyödyllinen yleisesti. Se on kiva
    feature mutta olemme pari vuotta
  • 8:56 - 9:03
    liian aikaisessa. Ja tietenkin voisit
    käyttää kameraa samalla tavalla kuin
  • 9:03 - 9:08
    mikrofonia mutta tallentaa kaikki kameralla
    mutta se ei ole todennäköisesti se mitä
  • 9:08 - 9:14
    halutaan. Joten todennäköisesti voisit
    käyttää sitä paikkoihin lukittaumiseen.
  • 9:14 - 9:19
    Voisit skannata QR koodin ja sen
    jälkeen rekisteröidä ravintolaan tai
  • 9:19 - 9:24
    että tapaat ystävisiä. Tämä olisi ideaali
    käyttö kameralle ja olisi hyvä
  • 9:24 - 9:32
    lisä varoitus appeihin. Ja mitä on
    jäljellä niin on Bluetooth.
  • 9:32 - 9:38
    Bluetooth itseasiassa lähettää signaalit
    2.4 GHz kuten Wi-Fi ja 2.4 GHz on iso
  • 9:38 - 9:45
    ongelma, sillä siihen vaikuttaa vesi ja
    ihmiset ovat 60% vettä.
  • 9:45 - 9:52
    Tämän vuoksi mitaukset ovat hieman
    epätarkkoja mutta 40% ihmisistä on
  • 9:52 - 9:56
    tyhmyyttä. On myös ongelma, että
    ihmiset eivät käytä ollenkaan
  • 9:56 - 10:03
    Korona varoitus appia. Se on vielä
    pahempaa. Ja mitä muuta on?
  • 10:03 - 10:08
    Seuraava ongelma on, että sirut ja
    antenni positiot vaihtelevat. Eli
  • 10:08 - 10:13
    oikeastaan sinulla on ongelma, että
    mittaukset eivät joka mallilla sama.
  • 10:13 - 10:19
    Se saattaa olla sama signaali, mutta
    eri tulokset. Meillä on tähän ongelmaan
  • 10:19 - 10:23
    mittauksien tulosten vaihteluun jotain.
    APIin on valmiiksi rakennettu
  • 10:23 - 10:29
    virallisiin Google/Apple APIn, että ne
    lisäävät lähetystehon laiteperusteisesti
  • 10:29 - 10:37
    ja niin edelleen, joka on hienoinen riski
    yksityisyydelle. Mutta kaiken kaikkiaan
  • 10:37 - 10:45
    sillä on hyvä kompensaatio. Se on parempi
    käyttää mutta on hieman vähemmän
  • 10:45 - 10:49
    yksityisyyttä. Jotain muuta mitä voidaan
    käyttää on aktiivinen datayhteys
  • 10:49 - 10:55
    tietyssä ajassa mitattaakseen signaalin
    voimakkuutta. Mutta se on huonompi
  • 10:55 - 10:59
    sillä aktiivinen datayhteys tarkoittaa,
    että dataa vaihdetaan kahden
  • 10:59 - 11:06
    laitteen välillä mikä altistaa hyväksikäyttö
    riskeille. Hyväksikäyttö tarvitsee
  • 11:06 - 11:12
    jotain datan vaihtoa ja tämä olisi riski
    turvallisuudelle. Ja yksi toinen asia
  • 11:12 - 11:17
    on se, että voitaisiin lisätä kiihtyvyys-
    mittari. Riippuen siitä miten pidät
  • 11:17 - 11:20
    puhelinta voidaan määritellä kiihtivyys-
    mittarin avulla onko se kädessä
  • 11:20 - 11:25
    taskussa vai missä ja sen jälkeen
    kompensoida mittauksissa. Mutta
  • 11:25 - 11:31
    ongelma on, että se voi myös määritellä
    mikäli juokset, kävelet tai kuinka monta
  • 11:31 - 11:36
    askelta otat. Se on suuri riski
    yksityisyydelle.
  • 11:36 - 11:43
    Viimeisimpänä on saapumisen kulma
    ja se on jotain mikä on
  • 11:43 - 11:48
    ollut tuettuna Bluetooth 5.1 asti
    mutta se on optionaalinen feature
  • 11:48 - 11:52
    bluetoothin spekseissä, joten missään
    puhelimessa ei sitä vielä ole. Joten
  • 11:52 - 11:59
    ei voida tehdä tarkkoja mittauksia
    toisen laitteen kulmasta. Se on
  • 11:59 - 12:05
    melko surullista. Joten kaikki mikä
    parantaa mittauksia Bluetoothilla
  • 12:05 - 12:12
    on aina yksityisyyden,
    turvallisuuden ja akun iän kustannuksella.
  • 12:12 - 12:19
    Joten jos mietitään kuinka se on tällä
    hetkellä tehty APIssa niin se on hyvin.
  • 12:19 - 12:24
    Ja summatakseni paasausta technologiasta.
    Vaikka Bluetooth ei ole täydellinen,
  • 12:24 - 12:28
    Bluetooth low energy on paras teknologia,
    mikä meillä on kaikissa puhelimissa tai
  • 12:28 - 12:34
    viimeaikaisssa puhelimissa. Ja sen avulla
    voidaan tehdä altistus ilmoituksia. Joten
  • 12:34 - 12:42
    vaikka Bluetooth ei olisi optimaalinen on
    se silti voittaja. Tiedän, tiedän Bluetooth
  • 12:42 - 12:47
    on vaarallinen ja niin edelleen, joten
    keskustellaan siitä hieman.
  • 12:47 - 12:53
    Oikeastaan vuoden 2020 aikana moni
    sanomalehti yritti ottaa yhteyttä ja
  • 12:53 - 12:57
    sanoa "Hei, Jiska, olet ollut Bluetoothin
    tietoturvan kanssa tekemisissä, joten
  • 12:57 - 13:01
    kerro meille on nykyinen kunto kuinka
    huono" Olin heille, että en halua tätä
  • 13:01 - 13:06
    kertoa mutta Bluetooth on langaton proto-
    kolla, joka lähettää langattomasti dataa
  • 13:06 - 13:12
    ja siinä on tiettyjä riskejä mutta niin
    on kaikessa muussakin. Ja tämän vuoksi
  • 13:12 - 13:15
    he eivät sitä julkaisseet. Onhan se hieno
    otsikko julkaista:
  • 13:15 - 13:21
    "Bluetooth on langaton protokolla datan
    lähettämiseen" Sitten he olivat: "Tiedätkö
  • 13:21 - 13:26
    mitä en käytä altistumisilmoituksia sillä
    käytän vanhentunutta puhelinta, joka
  • 13:26 - 13:31
    ei saa enää tietoturvapäivityksiä" Sen
    jälkeen olin vain, huh.
  • 13:31 - 13:35
    Eli ei tietoturvapäivityksiä. Tuo ei ole
    Bluetooth ongelma.
  • 13:35 - 13:39
    Tuo on ongelma kaikkeen, sillä
    mikäli selailet yksisarvisen kuvia
  • 13:39 - 13:46
    internetistä tai saat sähköpostia.
    Ehkä pitäisi hommata uusi puhelin, jos
  • 13:46 - 13:51
    on huolissaan puhelimen datasta.
    Ja toinen asia mitä ei kannata tehdä
  • 13:51 - 13:55
    journalistille on kun he kysyvät niin kertoa
    "Sinulla on vanhentunut puhelin?
  • 13:55 - 13:59
    Soitatko vain puhelinnumeroon, joka kuuluu
    puhelimelle?" Joten älkää keskustelko
  • 13:59 - 14:07
    tälläistä sillä se on yleinen ongelma,
    eikä Bluetooth spesifinen.
  • 14:07 - 14:14
    Toinen mikä on enenmmän spesifinen
    Bluetoothille on se, että voit tehdä
  • 14:14 - 14:20
    matoja. Joten laite voi olla isäntä tai
    orja Bluetooth terminologiassa.
  • 14:20 - 14:27
    Ja isäntä voi yhdistyä orjiin
  • 14:27 - 14:32
    ja puhelin voi vaihtaa rooleja, mikä
    tarkoittaa, että se voi saada
  • 14:32 - 14:36
    madon ja tulla isännäksi ja lähettää sen
    muihin orjiin ja orja tulee jälleen
  • 14:36 - 14:42
    isännäksi ja niin edelleen. Joten se on
    levittyjä. Mutta jotta olisi hyvä mato
  • 14:42 - 14:47
    pitää olla, jokin exploit, joka suoriutuu
    uusimmalla iOS ja uusimmalla
  • 14:47 - 14:53
    Android versiolla ja oltava erittäin
    luotettava. Sen pitäisi olla erittäin
  • 14:53 - 14:58
    exploit kaikilla järjestelmillä. Ja mikäli
    jollain tälläinen olisi, niin se ei ajaisi
  • 14:58 - 15:03
    sitä tuhoamaan altistumisilmoituksia
    vaan myisivät hyvällä hinnalla.
  • 15:03 - 15:07
    Korkeimmalla hinnalla tietysti, koska
  • 15:07 - 15:13
    sinulla ei ole kauhean monia eettisiä
    huolia raportoinnin sijaan. Mutta tuo
  • 15:13 - 15:20
    olisi skenaario tässä. Ihmiset myös
    sanovat, että "Laitan Bluetoothini
  • 15:20 - 15:24
    pois päältä sillä se kuluttaa akkua" Mutta
    tiedätkö mitä, Bluetooth ei kuluta
  • 15:24 - 15:28
    paljoa akkua, varsinkaan Bluetooth low
    energy. Joten Bluetooth Low Energy on
  • 15:28 - 15:36
    teknologia, joka voi antaa virtaa jopa
    näin pienille laitteille. Joten jos sinulla
  • 15:36 - 15:42
    on patteri, tämänkokoinen nappi-
    paristo ja sitten voi olla näin iso laite
  • 15:42 - 15:47
    hieman suurempi kuin Bluetooth etsin,
    joka on tämän kokoinen voivat
  • 15:47 - 15:51
    toimia tämän pariston avulla vuoden.
    Ja lataat puhelinta päivittäin ja sinun
  • 15:51 - 15:57
    puhelimessa on paljon enemmän akku-
    kapasitettia kuin yhdessä nappiparistossa.
  • 15:57 - 16:02
    Joten oikeastaan se ei kulutua akkua koska
    sinulla on yhteisiä siruja ja mikäli on
  • 16:02 - 16:08
    Wi-Fi enabloitu silloin Bluetooth ei
    oikeastaan lisää tähän juurikaan. Toinen
  • 16:08 - 16:13
    argumentti voi olla, että Google sekä
    Apple varastavat dataasi aina ja
  • 16:13 - 16:18
    mikäli ne nyt tekevät jäljitystä
    se tarkoittaa, että ne varastavat
  • 16:18 - 16:23
    dataa jo. Mutta oikeastaan altistumis API
    nimettiin uudelleen koska se on vain
  • 16:23 - 16:28
    altistumisilmoituksille. Se ei ole
    tapaamislokia. Ja tämä tarkoittaa ,että
  • 16:28 - 16:35
    API ei kerää dataa tapaamistarkoituksessa
    ja se on hyvä sekä paha siinä, että
  • 16:35 - 16:40
    estävät keskitetyn keräyksen.
    Ei pelkästään terveysviranomaisilta
  • 16:40 - 16:44
    vaan myös kaikilta heidät mukaan lukien.
  • 16:44 - 16:53
    Joten siellä ei ole mitään datan keräystä.
    Joten siitä ei voi valittaa. Tämän sanomisen
  • 16:53 - 16:59
    jälkeen voit ehkä kysyä, että sanoinko
    juuri että Bluetooth ei ole ollenkaan
  • 16:59 - 17:04
    vaarallinen. Mutta tiedätkö mitä,
    Bluetooth on silti langaton protokolla
  • 17:04 - 17:15
    joka lähettää dataa. Joten ehkä se on
    jotakuinkin vaarallinen. Joten
  • 17:15 - 17:21
    mikäli katsotaan Applen ekosysteemiä, mitä
    siellä on kutsutaan jatkuvaksi frameworkiksi
  • 17:21 - 17:26
    ja se tekee paljon asioita kuten,
    copy-paste AirDrop hand-off ja niin.
  • 17:26 - 17:33
    Joten siinä on paljon dataa vaihdossa. Ja
    kaikki se jatkuva osio tässä, se kaikki
  • 17:33 - 17:41
    toimii BLE mainostuksella ja sitten
    Wi-Fi tai AWDL datan vaihtoon. Joten
  • 17:41 - 17:46
    on paljon BLE mainostusta menossa,
    mikäli käytät iOS ja muita Applen
  • 17:46 - 17:51
    laitteita. Ja altistumisilmoitukset ovat
    vain pieni lisäosa siihen.
  • 17:51 - 17:55
    Joten se on vain yksi feature joka
    pohjautuu BLE mianostukseen.
  • 17:55 - 18:04
    Siinä ei ole juurikaan mitään. Ja
    toinen asia on se, että altistumis-
  • 18:04 - 18:08
    ilmoitukset eivät sisällä juurikaan
    logiikkaa, vaan saat ne, etkä vastaa
  • 18:08 - 18:13
    niihin ollenkaan. Joten se on melko
    harmiton feature verratuna toisiin
  • 18:13 - 18:19
    verrattuna. Katsotaanpa Androidia
    esimerkiksi, jolla on viimeaikainen
  • 18:19 - 18:26
    Bluetooth exploit. Joten tälläisiä bugeja
    on eikä se ole Android spesifinen juttu,
  • 18:26 - 18:31
    vaan se voi olla myös iOS:lla ja se ei
    ole Bluetooth ongelma sillä, meillä
  • 18:31 - 18:36
    on bugeja kaiken aikaa. Joten mikäli
    käytät ohjelmaa ja mikäli et päivitä
  • 18:36 - 18:40
    sitä niin siinä saattaa olla bugeja ja
    siinä voi olla bugeja joita ei olla
  • 18:40 - 18:47
    nähty hetkeen. Vaikkakin ne pitäisi olla
    korjattu jo aikoja sitten. Joten tämä
  • 18:47 - 18:52
    on olemassa mikäli käytät ohjelmia.
    Ja usein nämä bugit usein riippuvat
  • 18:52 - 18:57
    tarkoista laite ja ohjelmisto versioista.
    Joten esimerkiksi tämä exploit toimii
  • 18:57 - 19:03
    vain Android 9 ja vanhemmilla koska
    se tarvitsee erittäin tarkan implementaation
  • 19:03 - 19:08
    muistikopiosta, koska muistikopio on
    kutsuttu argumentti pituudella -2 ja
  • 19:08 - 19:14
    sillä on toisenlainen käyttäytyminen
    eri järjestelmissä. Ja eikä vähäisempänä
  • 19:14 - 19:20
    tämä exploit tarvitsee 2 minuuttia ajaakseen
    koska sen tarvitsee päästä ASLR ohi
  • 19:20 - 19:25
    ilmassa. Joten täytyy olla haavoittuvan
    laitteen lähellä jonkin aikaa mikäli
  • 19:25 - 19:32
    on hyökkääjä. Ja nyt ihmiset sanovat:
    "Joo, mutta se on spesiaali, sillä tälläinen
  • 19:32 - 19:36
    on matomainen". Joo kyllä se pitää
    paikkaansa. Sinäkin voisit rakentaa
  • 19:36 - 19:41
    Bluetooth madon tämän avulla, mutta
    miltä näyttää? Ensinnäkin laitteet
  • 19:41 - 19:47
    menettävät yhteyskiä siellä täällä ja
  • 19:47 - 19:51
    mato on leviämässä jossain ja niin
    edelleen. Mutta hyökkääjä
  • 19:51 - 19:55
    tarvitsee oikeastaan jonkinlaisen komento-
    palvelimen. Joten aivan sama
  • 19:55 - 20:01
    mitä hyökkääjä haluaa saavuttaa, kuten
    varastaa dataa tai bitcoin kaivausta
  • 20:01 - 20:07
    loppujen lopuksi sinulla pitää olla jokin
    palaute ja komentopalvelin internetissä
  • 20:07 - 20:11
    kommunikointiin tai jos jotain menee
    pieleen tai exploit lakkaa toimimasta tai
  • 20:11 - 20:16
    jotain. Tarvitset varakanavan siitäkin
    huolimatta, että on langaton kanava
  • 20:16 - 20:21
    koska se ei ole pysyvä. Ja seuraava
    haaste on se, että exploit täytyy olla
  • 20:21 - 20:29
    erittäin luotettava, tarkoittaen että
    mikäli tulee kaatuminen
  • 20:29 - 20:32
    ja se on matomainen, joka leviää erittäin
    nopeasti ja paljon, on ongelmana
  • 20:32 - 20:37
    se että mikäli se ei ole 100% luotettava
    ja saat kaatumisia ja ne raportoidaan
  • 20:37 - 20:44
    Applelle tai Googlelle. Se on suuri ongelma
    koska kun bugi havaitaan
  • 20:44 - 20:48
    se tarkoittaa, että Apple ja Google
    päivittävät käyttöjärjestelmät ja
  • 20:48 - 20:54
    bugi on poissa. Joten kaikki haittaohjelman
    kehitys on poissa ja turhaan.
  • 20:54 - 21:00
    Exploittisi on poissa. Ja tämä tarkoittaa
    itseasiassa sitä, että mikäli hyökkääjä
  • 21:00 - 21:06
    rakentaa madon he käyttäisivät todennäköisesti
    vanhentunutta bugia. Ja kuten
  • 21:06 - 21:12
    sanoin bugit ovat yleensä kuukausista
    vuosiin hieman riippuen. Sinulla
  • 21:12 - 21:19
    olisi bugi, joka toimii matona ja
    tällöin hyökkääjällä ei olisi riskiä
  • 21:19 - 21:26
    menettää uniikkia bugia, joka
    on rahallisesti arvokas, jos he
  • 21:26 - 21:30
    voisivat käyttää vanhaa. Mutta se
    tarkoittaa myös, että kaikki päivitetyt
  • 21:30 - 21:36
    laitteet ovat turvassa tältä. Joten
    se riippuu siitä mitä hyökkääjä haluaa.
  • 21:36 - 21:41
    Mitä minä mietin on enemmänkin,
    madon rakentamisen sijaan - mitkä
  • 21:41 - 21:46
    ovat hyökkäysskenaariot? Jos ajatellaan
    Bluetooth exploitteja, mato tarvitsee paljon
  • 21:46 - 21:52
    luotettavuutta. Ja sinulla on riski, että
    menetät exploitin. Joten luultavasti
  • 21:52 - 21:56
    hyökkääjät ovat valikoivia ja haluavat
    fyysisen läheisyyden kohteeseen.
  • 21:56 - 22:02
    Joten realistisesti ajateltuna tälläisiä
    paikkoja voisi olla lentokentän
  • 22:02 - 22:08
    turvatarkastus tai, että hyökkääjä on
    lähellä tiettyä rakennusta,
  • 22:08 - 22:12
    kuten yrityksen rakennusta tai sinun
    kotiasi tai jotain, jotta voivat varastaa
  • 22:12 - 22:17
    tiettyjä salaisuuksia tai valtion puolelta
    jos on protesteja ja valtio haluaa
  • 22:17 - 22:24
    henkilöllisyyden protestoijilta tai jotain.
    Tämä on vaihtoehtona.
  • 22:24 - 22:35
    Mutta mato, kuten sanoin, ei niin
    mahdollinen.
  • 22:35 - 22:42
    Ja seurava asia on exploit kehittäminen,
    joka tarkoittaa that jos haluat kehittää
  • 22:42 - 22:50
    exploitin viimeaikaiselle iOS ja Androidille,
    niin se on paljon työtä ja vihollisellasi
  • 22:50 - 22:55
    voi olla varaa siihen. Ja tässä tapauksessa
    he voivat käyttää sitä monta kertaa,
  • 22:55 - 23:00
    kunhan bugi ei vuoda jonnekkin ja sitä
    ei korjata he voivat käyttää sitä uudelleen.
  • 23:00 - 23:05
    Joten se on ainutkertainen kustannus.
    Mutta jos mietitään, että on tämänkaltaisia
  • 23:05 - 23:09
    vihollisia silloin ehkä kannattaa käyttää
    toista erillistä puhelinta alistumisilmoituksiin
  • 23:09 - 23:15
    ja pitää puhelin päivitettynä ja niin edelleen.
    Tai mikäli olet erittäin huolissasi hyökkäysistä
  • 23:15 - 23:19
    ehkä älä käytä puhelinta ollenkaan koska
    Bluetooth ei ole ainut tapa kaapata
  • 23:19 - 23:24
    puhelintasi. Hyökkäys voi tapahtua messen-
    gerin avulla, selaimen tai
  • 23:24 - 23:29
    jonkun muun langattoman tekniikan avulla,
    kuten LTE ja niin edelleen.
  • 23:29 - 23:34
    Joten se on vain riski, joka sinulla on.
    Eikä se ole spesifinen Bluetoothiin.
  • 23:34 - 23:43
    Kuitekin katsotaan pari implementointia
    spesifistä yksityiskohtaa. Mikäli haluat
  • 23:43 - 23:48
    ymmärtää hyökkäyksen taustaa ja miksi
    minä uskon, että Bluetooth
  • 23:48 - 23:55
    altistumisilmoitus API on erittäin turvallinen.
    Ensiksi API tekee Bluetooth osoitteelle
  • 23:55 - 24:01
    randomisaatiota, joka tarkoittaa että
    nämä osoitteet ovat satunnaisia ja
  • 24:01 - 24:06
    niihin ei voi yhdistää ja et voi yhdistää
    niihin hyökkääjänä. Ja myös
  • 24:06 - 24:11
    siellä ei ole palautekanavaa tämän ei yhdis-
    tettävä ominaisuuden takia. Ja
  • 24:11 - 24:17
    se, tarkoittaa yleensä, että puhelimesi
    on konfiguroitu siten, että se ei
  • 24:17 - 24:23
    kaiuta mitään yhdistettävää osoitetta,
    ja sillä on vain nämä satunnaiset osoitteet.
  • 24:23 - 24:26
    Ja tämä on erittäin vaikeaa hyväksikäytölle.
    Joten sinun täytyy tietää puhelimen
  • 24:26 - 24:32
    oikea osoite, jonne lähettää exploit. Ja
    sitä ei lähetetä ilmassa. Joten sinun
  • 24:32 - 24:36
    täytyy dekoodata paketit, esimerkiksi, jos
    olet rinnakkaiskuuntelussa musiikkiin tai
  • 24:36 - 24:43
    jotain voisit saada osoitteen siitä mutta
    se on erittäin vaikea saavuttaa. Ja toinen
  • 24:43 - 24:48
    asia on, että varsinkin Apple erityisesti
    rajoittaa Bluetooth käyttöliittymiä.
  • 24:48 - 24:55
    Joten puhelin ei voi käyttää Bluetoothia
    mielivaltaiseen featureihin, jotka ovat
  • 24:55 - 25:03
    Bluetooth spesifikaatiossa. Ja tämä
    tarkoittaa, että se on hyvä
  • 25:03 - 25:09
    yksityisyydelle. Joten on vaikeaa tehdä
    esimerkiksi vakoilija taskuusi
  • 25:09 - 25:16
    iOS:lla koska on vaikeaa ajaa
    appia taustalla, joka tekee
  • 25:16 - 25:22
    seuraamista Bluetoothilla ja niin
    edelleen. Ja toisinpäin on se, että
  • 25:22 - 25:26
    jos on appi, joka tekee alistumis-
    ilmoituksia tai tapaamis jäljitystä ja
  • 25:26 - 25:34
    ne eivät käytä virallista APIa, niin
    nämä ovat hyväksikäytettävissä
  • 25:34 - 25:41
    koska ne käyttävät aktiivisia yhteyksiä.
    Ne ajavat edustalla. Ne oikeasti
  • 25:41 - 25:45
    lokittavat, jotain mitä ei pitäisi. Joten
    älä tee tätä ja älä luota näihin
  • 25:45 - 25:54
    appeihin, jotka eivät käytä APIa.
    Toinen ongelma voi olla yksityisyys.
  • 25:54 - 25:59
    Ensinnäkin siellä on satunnainen tunniste,
    joka pysyy samana jonkin aikaa mutta
  • 25:59 - 26:03
    kuten sanoin iOS:lla sinulla on jatkuvuus
    framework ja se tekee samaa. Joten vähintään
  • 26:03 - 26:07
    Applen laitteissa tämä ei tee suurtakaan
    eroa. Ja jos ajatellaan hieman laajemmin
  • 26:07 - 26:11
    kuin Apple. Siellä on signaalin voimakkuus
    ja mikäli vertaat tätä muihin
  • 26:11 - 26:17
    teknologioihin, jotka ovat langattomia,
    kuten Wi-Fi ja LTE näissä on myös
  • 26:17 - 26:22
    signaalin voimakkuus ja osoitteiden
    vaihto ja niin edelleen.
  • 26:22 - 26:28
    Voit aina kolmiomitata signaaleja.
    Joten jos et halua tulla seuratuksi
  • 26:28 - 26:38
    sinun täytyy disabloida Wi-Fi ja LTE.
    Ja toinen tärkeä osa turvallisuus
  • 26:38 - 26:42
    oletuksissa on palvelin infrastruktuuri.
    Siellä on kaksi eri palvelin infrastruktuuria
  • 26:42 - 26:47
    ja ensinnäkin sinulla on keskitetty
    lähestyminen,
  • 26:47 - 26:50
    joka myös tunnetaan kontakti jäljityksenä.
    Ja tässä keskitetyssä lähestymisessä
  • 26:50 - 26:55
    palvelin tietää kaiken. Joten palvelin tietää
    kuka oli kenenkin kanssa kontaktissa ja
  • 26:55 - 27:00
    kuinka kauan. Esimerkiksi Alice tapasi Bobia
    15 minuuttia mutta Alice tapasi 10 muuta
  • 27:00 - 27:09
    tiistaina tai jotain. Joten heillä on lokit,
    kuka tapasi ketä. Ja nyt palvelin
  • 27:09 - 27:14
    pystyy kertomaan tietyille ihmisille
    kun joku on saanut positiivisen testin
  • 27:14 - 27:20
    ja kuinka kauan sitten tämä oli. Palvelin
    pystyy sensuroimaan, jotain informaatiota
  • 27:20 - 27:27
    jonka se lähettää tietyille henkilöille
    mutta sillä on paljon tietoa sisäisesti.
  • 27:27 - 27:31
    Joten tämä tarkoittaa, että mikäli palvelinta
    ajaa joku terveysviranomainen ja sitä,
  • 27:31 - 27:39
    että kaikien täytyy luottaa tähän heidän
    kontakti historiallaan. Ja toinen lähestyminen
  • 27:39 - 27:45
    ovat hajautetut altistumisilmoitukset. Eli
    palvelimella on lista pseudonyymeistä
  • 27:45 - 27:52
    ja positiivisesti testatuista käyttäjistä
    mutta nämä ovat vain pseudonyymeja
  • 27:52 - 27:56
    eivät tarkkoja aikoja tai altistumisia. Ja
    jokainen voi ladata tämän listan ja
  • 27:56 - 28:00
    verrata sitä lokaaliin listaan. Joten sinulla
    on vain lokaali lista puhelimessa
  • 28:00 - 28:06
    ketä olet tavannut ja vertaat sitä listaan
    pseudonyymeista, jotka ovat palvelimella.
  • 28:06 - 28:12
    Ja jokainen voi vetäytyä julkaisemasta
    näitä pseudonyymeja. Ja etkä jaa omaa
  • 28:12 - 28:19
    listaasi kellekkään. Joten miksi tämä
    hyvä tai huono? Terveysviranomaiset eivät
  • 28:19 - 28:24
    saa mitään kontakti seurausinfoa hajaute-
    tussa mallissa ja tämä saattaa olla ongelma
  • 28:24 - 28:28
    sillä valtiolla ei ole mitään statistiikkaa
    näistä leviämisistä ja sovelluksen
  • 28:28 - 28:32
    toimivuudesta. He eivät voi mitata
  • 28:32 - 28:37
    kuinka paljon appi oikeasti auttoi. He
    eivät voi mitata kuinka monta tartuntaa
  • 28:37 - 28:41
    estettiin sillä, että kerrottiin ihmisen
    karanteenista tai että käy testattavana.
  • 28:41 - 28:49
    Toisaalta se tarkoittaa että kukaan ei saa
    dataa. Eli ei Apple tai Goole eikä
  • 28:49 - 28:53
    hallinto. Kukaan ei saa dataa ja eikä
    ole mitään hyötyä hyökätä
  • 28:53 - 28:58
    palvelinta kohtaan sillä siellä
    ei ole mitään sensitiivistä tietoa.
  • 28:58 - 29:03
    Eikä appin käytöllä ole mitään impaktia
    yksityisyydelle. Ja loppujen lopuksi
  • 29:03 - 29:08
    jos saat positiivisen tuloksen myös
    silloin voit olla jakamatta tuloksia, jos
  • 29:08 - 29:14
    koet pseudonyymi jaon olevan ongelma.
    Ja mielestäni monien pitäisi jakaa tulokset
  • 29:14 - 29:23
    mutta sinun ei täydy. Ja haluan näyttää
    muutaman hyökkäyksen altistumisilmoituksia
  • 29:23 - 29:27
    vastaan koska jotkut ihmiset sanovat, että
    altistumisilmoitukset ovat erittäin
  • 29:27 - 29:33
    epäturvallisia. Joten tarkastellaan hyökkäysiä,
    joista on julkisesti puhuttu altistumisilmoituksia
  • 29:33 - 29:38
    kohtaan kuten ne ovat nyt implementoitu.
    Ja huomioikaa se, että monikaan hyökkäys
  • 29:38 - 29:43
    ei ole spesifinen Bluetoothille mutta
    ne ovat spesifisiä kaikelle, jotka
  • 29:43 - 29:49
    ovat jollain tavalla langattomia ja
    notifikaatioita. Joten tarkastellaan.
  • 29:49 - 29:54
    Eli aikakonehyökkäys. Tämä on melko mielen-
    kiintoinen. Olettamus tässä on, että
  • 29:54 - 29:59
    joku voi vaihtaa aikaa sinun puhelimellasi
    ja sen jälkeen
  • 29:59 - 30:07
    toistaa vanhentuneet tokenit, jotta tavallaan
    tapaisit pseudonyymit menneisyydessä
  • 30:07 - 30:11
    jotka on jo testattu positiiviseksi ja koska
    puhelimesi on myös menneisyydessä
  • 30:11 - 30:16
    se hyväksyisi nuo tokenit ja lokittaisi ne
    ja jos vertaat niitä palvelimeen
  • 30:16 - 30:22
    myöhemmin luulet, että olit positiivinen,
    kontaktissa positiiviseen käyttäjään ja
  • 30:22 - 30:27
    niin edelleen. Mutta huomioikaa, että
    ajan spooffaus on erittäin vaikeaa.
  • 30:27 - 30:32
    Jos joku voi spooffata aikaa, se tarkoit-
    taa että he voivat murtaa myös muita
  • 30:32 - 30:36
    asioita kuten TLS. Ja jos minulla olisi
    aikakone niin matkustaisin ajassa
  • 30:36 - 30:44
    ennen vuotta 2020 tai jotain sen sijaan
    että väärentäisin muutaman altistumisilmoituksen.
  • 30:44 - 30:51
    Seuraava hyökkäys on madonreikähyökkäys.
    Kuvittele, että tämä on sellainen kauppakeskus,
  • 30:51 - 30:55
    sitten toinen kauppakeskus ja ehkä siellä
    poliisiasema tai jotain.
  • 30:55 - 31:00
    Kuinka se toimisi? No, jos madonreittiäisit ne
    ja laittaisit ne yhteen se, että
  • 31:00 - 31:08
    tulisi positiivinen altistumisilmoitus lopuksi
    on erittäin korkea.
  • 31:08 - 31:17
    joten nostaisit mahdollisuutta saada
    positiivisen ilmoituksen. Ja tämä
  • 31:17 - 31:24
    ilmoitus ei tietenkään olisi aito. Eli se
    on forwardoidu altistuminen. Ja tämän
  • 31:24 - 31:28
    seurauksena pahimassa tapauksessa
    tekisit enemmän fyysistä etäisyyttä,
  • 31:28 - 31:34
    enemmän testauksia, ehkä alat
    epäluottamaan appiin vähän mutta
  • 31:34 - 31:38
    se ei haittaa koko systeemiä. Joten
    määrä positiivisissa tuloksissa ei
  • 31:38 - 31:44
    kasva koska ainoastaan todennetut
    positiiviset tapaukset ladataan pseu-
  • 31:44 - 31:49
    donyymi listalle ja ketkä vain ovat täällä
    ja saavat notifikaation eivätkä uploadaa.
  • 31:49 - 31:53
    Ja että on tälläinen madonreikä ja että
    madonreikä, joka skaalautuu
  • 31:53 - 31:59
    tarvitset paljon laitteita, jotka forwardoivat
    notifikaatioita ja julkisessa tilassa
  • 31:59 - 32:06
    se ei ole helppoa implementoida.
    Viimeinen hyökkäys on identiteetin
  • 32:06 - 32:10
    jäljityshyökkäys. Joten sanotaan, että
    sinulla on nuo pseudonyymit. Pseudonyymit
  • 32:10 - 32:15
    vaihtuvat ajan kanssa ja liikut kaupungilla
    ja siellä on useita laitteita, jotka
  • 32:15 - 32:20
    tarkastelevat pseudonyymien vaihtelua.
    Tottakai voit alkaa jäljittää käyttäjiä.
  • 32:20 - 32:26
    Tämä vaatii jälleen todella skaalautuvan
    systeemin ja ongelma on
  • 32:26 - 32:31
    että mikäli pelkäät tälläistä hyökkäystä
    sinun tulisi disabloida
  • 32:31 - 32:35
    myös Wi-Fi ja LTE ja niin edelleen
    koska voit kolmia mitata aina nämä
  • 32:35 - 32:42
    signaalit. Eli ideaalisesti mikäli et
    halua tulla jäljitetyksi. Laita langattomat
  • 32:42 - 32:49
    tekniikat pois päältä. Tämä ei ole
    pelkästään Bluetooth spesifinen.
  • 32:49 - 32:56
    Kaikki nämä hyökkäyset ovat valideja mutta
    niiden hyväksikäyttöön, jotta voisit saada
  • 32:56 - 33:03
    altistumisilmoituksia, jotka voisit toistaa
    aikamatkustuksella tai madonreiällä tai
  • 33:03 - 33:07
    jäljittää ID:tä tarvitset erittäin laaja skaalautuvan
    asennuksen kuten Raspberry piit
  • 33:07 - 33:13
    läpi kaupungin ja useita useita laitteita.
    Joten tämä toimisi myös muissa langattomissa
  • 33:13 - 33:18
    ekosysteemeissä.
    Mutta OK, jos haluat tehdä tuollaisen
  • 33:18 - 33:23
    asennuksen voisit yhtä hyvin
    tehdä jotain vastaavaa kuten,
  • 33:23 - 33:29
    paljon laitteita, joissa on mikrofonit tai
    kamerat ja Wi-Fi ja niin edelleen ja
  • 33:29 - 33:34
    jäljittää paljon muitakin asioita. Tämän
    täytyy tapahtua julkisessa paikassa kuten
  • 33:34 - 33:40
    bussiasemalla, kauppakeskuksessa ja
    niin edelleen. Ja jos sinulla on
  • 33:40 - 33:46
    sellainen installaatio sillon vain
    bluetooth altistumisilmoitusten
  • 33:46 - 33:51
    muokkaus ei ole isoin huolenaihe.
    Surullinen todellisuus voisi olla se, että
  • 33:51 - 33:56
    meillä on jo valmiiksi seurantaa joka
    paikassa. Meillä on paljon kameroita
  • 33:56 - 34:02
    julkisissa paikoissa. Joten tämä ei ole
    huolenaihe. Tarkoitan, että olisin
  • 34:02 - 34:10
    huolissani julkisesta vakoilusta mutta
    en Bluetooth seurannasta. Joten
  • 34:10 - 34:14
    päättääkseni puheeni. BLE mainostus
    on paras teknologia, joka voidaan
  • 34:14 - 34:18
    implementoida altistumisilmoituksiin ja
  • 34:18 - 34:24
    ne ovat saatavilla uusissa puhelimissa
    iOSlla ja Androidilla.
  • 34:24 - 34:29
    Ne ovat erittäin turvallisia, yksityisyyden
    pitäviä, akku ystävällisiä ja laajautuvia.
  • 34:29 - 34:33
    Ja pitäkää mielessä, että jokainen
    estetty infektio pelastaa elämiä ja
  • 34:33 - 34:42
    estää pitkäaikaisia sairauksia. Joten
    tämä on käytettävä juttu, vaikka se ei
  • 34:42 - 34:47
    toimi 100%. Ja tämän jälkeen aloitetaan
    Q&A ja keskustellaan mistä haluatte,
  • 34:47 - 34:55
    Bluetooth madoista ja niin edelleen.
    Kiitokset kuuntelusta. Herald: Kiitos Jiska
  • 34:55 - 34:59
    puheestasi. Toivon, että meillä on aikaa
    Q&A:lle.
  • 34:59 - 35:06
    J: Aloitetan
    H: Hienoa
  • 35:06 - 35:12
    J: Luulen, että tämä oli Ollien
    internetyhteys? Joten ehkä
  • 35:12 - 35:15
    päätän itsekseni kunnes hän
    reconnectaa. Ah täällä olet!
  • 35:15 - 35:21
    H: Anteeksi. Kysymys oli, että miksi
    saapumiskulma on hyökkääjälle
  • 35:21 - 35:26
    kiintoisa tai
    J: Ei hyökkääjälle mutta teknologian
  • 35:26 - 35:32
    puolesta olisi mielenkiintoista, että
    se olisi bluetoothissa koska silloin
  • 35:32 - 35:37
    voidaan tehdä suunta arvioita. Ja mikäli
    ihmiset liikkuvat voisit saada myös
  • 35:37 - 35:43
    suunnan ja ehkä lokaation tämän avulla
    tai auttaa siinä. Mutta tarkoitan että
  • 35:43 - 35:48
    se ei ole vielä missään chipeillä kuin
    evaluaatio kiteillä.
  • 35:48 - 35:55
    H: Alright. Kiitos. Onko olemassa
    tutkimuksia jotka todistavat tai
  • 35:55 - 36:00
    eivät todista kotankti seurantasovelluksien
    tehokkuutta yleisesti? Kuten use caseja?
  • 36:00 - 36:06
    J: Tarkoitan, että ongelma on siinä,
    että meillä on altistumisilmoitus
  • 36:06 - 36:12
    framework ja meillä ei ole statistiikkaa.
    joten hyvät ja huonot puolet yksityisyydestä
  • 36:12 - 36:18
    on asia mistä meillä ei voi olla tutkimusta
    muuten kuin, jos ihmiset toimittavat dataa.
  • 36:18 - 36:22
    En tiedä kyselyitä tai jotain. Mutta
    tiedän ainakin ihmisiä, joita on
  • 36:22 - 36:26
    varoitettu appilla ja saatu testi ja
    niin edelleen. Joten se näyttää
  • 36:26 - 36:33
    toimivan joillain. Ja jokainen pelastettu
    elämä lasketaan lopuksi. Joten
  • 36:33 - 36:40
    mikään ei ole täydellistä?
    H: Totta. Kiitos vastauksista.
  • 36:40 - 36:45
    Mutta käyttäjä triplefive haluaisi tietää
    "Miksi luulet että kiihtyvyysmittari
  • 36:45 - 36:50
    voisi olla yksityisyydelle ongelma. Eikös
    se riipu siitä miten data prosessoidaan
  • 36:50 - 36:54
    esimerkiksi pysyy laitteella, ei ole tallennettu
    ja niin edelleen"
  • 36:54 - 36:59
    J: Tottakai. Mutta kun annat luvan
    applikaatiolle sinun tulee luottaa
  • 36:59 - 37:03
    siihen, mikä on ensinnäkin kaikki binaarit
    mitä lataat. Tarkoitan ehkä se on
  • 37:03 - 37:07
    avointakoodia kuten meidän Saksan
    sovellus on mutta ei sitä tiedä. Ja sitten
  • 37:07 - 37:12
    se voisi prosessoida tätä dataa. Ja
    kiihtyvyysmittarista on tutkimuksia,
  • 37:12 - 37:17
    että et voi tehdä askelmittausta mutta
    se että joku kääntyy vasemmalle tai
  • 37:17 - 37:20
    oikealle ja tämänkaltaiset.
    Jos sinulla on overlay kartta voit
  • 37:20 - 37:25
    uudelleen luoda polun mitä liikuit
    kaupungin läpi esimerkiksi. Joten
  • 37:25 - 37:33
    se on iso ongelma.
    H: Alright. Kiitos. Vielä on yksi kysymys.
  • 37:33 - 37:39
    Onko yksikään teoreettisista tai
    mahdollisista hyväksikäytöistä yritetty
  • 37:39 - 37:42
    käytännössä? Sinun parhaan tiedon
    perusteella?
  • 37:42 - 37:48
    J: Minun tietääkseni ei. Tarkoitan se
    olisi näkyvissä ainoastaan kerran
  • 37:48 - 37:53
    jos joku tekee sellaisen hyökkäyksen.
    Laajassa skaalassa ja heillä täytyisi olla
  • 37:53 - 38:03
    iso käyttönotto ilman kiinnijäämistä.
    Joten kukaan ei ole tehnyt tätä vielä.
  • 38:03 - 38:11
    H: OK tuo käy järkeen. Ja oli yksi henkilö
    kenellä oli kommentti. He huomauttivat
  • 38:11 - 38:15
    että on avoin implementaatio frameworkille
    ja mikäli käyttäjä haluaa mennä ulos ilman
  • 38:15 - 38:20
    Googlea tai Applea ja silti osallistua
    altistumisilmoituksiin. Se taitaa olla
  • 38:20 - 38:24
    aikaisessa kehityksessä.
    J: kyllä. Minulla oli jo kalvot valmiina
  • 38:24 - 38:29
    kun se tuli ulos. JOten se on F-Droid
    varastossa ja se käyttää avoimen
  • 38:29 - 38:34
    lähdekoodin implementaatiota.
    Joten voit käytää sitä jopa
  • 38:34 - 38:43
    Lineage puhelimessa esimerkiksi.
    H: OK, kiitos.
  • 38:43 - 38:48
    J: OK, muita kysymyksiä?
    H: Kyllä, vielä viimeinen johon törmäsin
  • 38:48 - 38:54
    täällä. Onko kukaan yrittänyt murtaa
    varmistuspalvelinta väsytyshyökkäysellä?
  • 38:54 - 39:01
    Kysyjä teki kirjekuorilaskennalla
    akoinaan.
  • 39:01 - 39:07
    JA se näyttää siltä, että olisi mahdoll-
    ista kokeilla kaikki Tele-TANit jossain
  • 39:07 - 39:11
    vaiheessa. J: Kaikki mahdolliset Tele-TANit.
    Se olisi tosiaan väsysytyshyökkäys jonka
  • 39:11 - 39:16
    näkee back-endissa vai mitä? Joten
    siinä ei voida rate limittiä käyttää.
  • 39:16 - 39:19
    Ja se on varmaan ainut asia minkä voi
    väsytyshyökätä koska kaikki vertailu
  • 39:19 - 39:26
    tehdään lokaalisti puhelimessa. Joten
    TANit olisivat ainoat heikkoudet
  • 39:26 - 39:31
    systeemissä. Ja mikäli joku yrittää
    väsytyshyökätä kaikki TANit
  • 39:31 - 39:37
    se olisi ilmiselvä hyökkäys.
    H: Käy järkeen. Alright
  • 39:37 - 39:40
    Kiitos paljon puheesta. Kiitos
    kärsivällisyydestä kysymyksien
  • 39:40 - 39:46
    vastailuun. Luulen että tämä on
    meidän aikaraja tarkalleen. Ja
  • 39:46 - 39:52
    sen myötä annan uutisille Dubliniin.
    Kiitos paljon.
  • 39:52 - 39:57
    Loppumusiikki.
  • 39:57 - 40:32
    Translated by Juho Halttunen (ITKST56 course assignment at JYU.FI)
Title:
#rC3 - Exposure Notification Security
Description:

more » « less
Video Language:
English
Duration:
40:32

Finnish subtitles

Revisions Compare revisions