Freunde, die sich fragen, ob das Clubhaus sicher ist oder nicht, suchen nach Literatur und haben bisher verstanden, dass das Clubhaus hier und da Metadaten hinterlässt. Dies scheint tatsächlich ihr Anliegen zu sein, aber sie vergessen, dass Clubhouse auch Daten anderer Art versendet. Biometrische Daten.

Stellen Sie sich vor, ein soziales Netzwerk fordert Sie auf, Ihre Fingerabdrücke zu hinterlassen, um ein Konto zu erhalten. Bis dahin ist nichts falsch: Immerhin ist es wie eine Unterschrift, oder wir können uns sogar ein soziales Netzwerk vorstellen, das Sie auffordert, Ihre Unterschrift (gescannt) zu hinterlassen, um Sie einzulassen.

Sie wären sehr ratlos, denke ich: Mit einer Unterschrift können Sie viele Dinge tun. Schecks können unterschrieben, Verträge unterschrieben, Kreditkarten geprüft usw. werden. Sie möchten also nicht, dass ein soziales Netzwerk nach hochauflösenden Bildern Ihrer Signatur fragt. Die Anmeldung ist ernst, oder?

Sprechen wir also über Biometrie.

Biometrie ist all diese Techniken oder Technologien, mit denen Sie Ihre Identität mit einem eindeutigen Merkmal (zumindest statistisch) Ihres biologischen Körpers verknüpfen können. Zum Beispiel:

• DNA-PCR
• Gesichtserkennung.
• Fingerabdrücke.
• Netzhaut-Scan.
• Stimmerkennung.
• Unterschrift auf Papier.

Nun gibt es einige Überlegungen zu diesen Methoden. Und die Überlegung, die ich machen möchte, betrifft Social Engineering oder Cyber-Angriffe auf "Schicht 8".

Angenommen, ich rufe meinen Teamassistenten am Telefon an und frage, ob ich zufällig ein bestimmtes Dokument im Intranet per E-Mail senden kann, auf das ich aus mysteriösen Gründen nicht zugreifen kann (z. B. ich habe nur ein Handy, aber keinen Laptop dabei). und das Intranet ist nicht über Mobiltelefone zugänglich).

Also, meine heldenhafte Teamassistentin (covid hat es bestätigt: sie ist heldenhaft), was wird sie tun?

• Er wird mich an seiner Stimme erkennen.
• Er wird mir die Akte schicken.

Sehr gut. In der Tat sehr schlecht, denn wir haben gerade einen Angriff auf die sogenannte „Schicht 8“ gesehen. Oder besser gesagt: nein. Die Teamassistentin ist absolut berechtigt, mir diese Datei zu geben, solange sie mich an der Stimme erkennen kann.

Hier ist das Problem: Er verwendet ein Spracherkennungssystem.

Sie haben den Punkt verstanden: Das Problem tritt auf, wenn jemand meine Stimme nachahmen kann. Gehen wir Schritt für Schritt vor und erstellen eine Gefährlichkeitsstatistik. Fragen wir uns, wie viel Schaden jemand anrichten kann, der Ihre Identität fälschen kann.

• Unterschrift auf Papier. (das gefährlichste, weil es für Verträge aller Art akzeptiert wird).
• Stimmerkennung. (Es gibt Telefonverträge, auch wenn für ein paar Dinge).
• Gesichtserkennung (der Wächter eines Gebäudes erkennt Sie vom Gesicht).
• Fingerabdrücke. (hier betreten wir das Gebiet der Kriminologie)
• DNA-PCR. (wieder im Fall der Kriminologie)
• Netzhaut-Scan. (Ich kenne nicht viele kommerzielle Anwendungen, die die Netzhaut als ID verwenden)

Wenn wir uns darauf verlassen, ist es klar, dass ein Angriff auf "Schicht 8" viel gefährlicher ist, wenn er Ihre Signatur emuliert, und an zweiter Stelle würde ich die Spracherkennung einsetzen, da sie alles abdeckt, was Sie mit einem Telefonanruf tun können kommen. erkannt. Gesichtserkennung ist ebenfalls gefährlich, erfordert jedoch physische Präsenz, sodass Sie den gesamten Körper nachahmen müssen. Es ist wahr, dass ein Videoanruf auf das Gesicht beschränkt sein kann, aber bei einem Videoanruf müssen Sie auch die Stimme imitieren.

Der explosivste Weg ist eindeutig die Unterschrift, aber normalerweise ist die Unterschrift in der Gegenwart und würde daher erfordern, auch das Gesicht und die Stimme und oft den ganzen Körper nachzuahmen.

Die Spracherkennung ist eine enorme Schwäche in der Welt der Layer-8-Angriffe. Die Spracherkennung ist das am häufigsten verwendete Fernerkennungswerkzeug, auch wenn wir nicht viel darüber nachdenken.

Cyber-Angriffe auf "Schicht 8" beziehen sich auf Angriffe auf Computersysteme, die nicht auf der Nutzung des Netzwerks (Schicht 1 bis 7) beruhen, sondern auf dem Zugriff auf Systeme durch Angriffe auf die Personen, die sie verwalten.

Und es ist ein Problem, ja.

Schauen Sie sich diese Videos an:

Dies sind zwei Beispiele für "Angriffe auf Schicht 8", und das erste ist bemerkenswert, da es sich kaum um IT handelt: Das Einsetzen eines weinenden Babys in den Hintergrund hat dazu beigetragen, das Gefühl von Empathie und Druck auf das Telefon des Bedieners zu erhöhen.

Und das Problem wächst:

Nun, ich denke, Sie haben alle Teile, um eines zu verstehen: Es ist gefährlich, heute Ihre Stimme zu geben. Es ist gefährlich, es Fremden zu geben: Durch die Kombination von Daten, die sie von Ihnen ableiten können, Daten, die sie im Internet finden und mehr, können sie Unternehmensträger anrufen: "Kann ich meine Frau schicken, um das für mich eingetroffene Paket abzuholen?" und alles was gelingt.

Gehen wir jetzt zurück: Wie einfach ist es, eine Stimme zu imitieren, wenn sie gehört wird?

Sie haben vielleicht von Techniken wie Deepfake gehört, aber sie wirken sich auf Bilder aus. Gibt es auch tiefe Fälschungen in der Stimme?
Ja, das gibt es

Und wie Sie hören, sind sie noch effektiver. Insbesondere können sie jedoch in Echtzeit ausgeführt werden, da die Menge der Toninformationen viel geringer ist als die eines Videos.

Und diese Systeme sind bereits im Umlauf:

Aus diesem Grund betrachte ich ClubHouse als ein sehr gefährliches System. Es bringt zwei sehr gefährliche Dinge zusammen:

• die Fähigkeit, von mir gesprochene Dinge zu hören.
• die Möglichkeit, während eines Dialogs Daten über meine Person zu extrahieren.

Zum Beispiel könnte sogar ein Podcast für diesen Zweck verwendet werden: Im Podcast sagt jedoch niemand, auf welche Bank sie sich verlassen, wer ihr Hausarzt ist (sie angreifen, um Informationen zu extrahieren) oder wo genau Sie arbeiten (um den Concierge anzurufen) bei ihrem Namen) oder welche Telefongesellschaft ich benutze, meine Privatnummer usw.

Stattdessen ist es in einer hochgradig interaktiven Umgebung möglich, alle diese Informationen anzufordern. Und dann bieten Sie alles, was Sie für einen Angriff auf Schicht 8 benötigen.

Diese Informationen sind gefährlich, da die Spracherkennung über ein Telefon das am weitesten verbreitete Fernerkennungssystem ist. Es kann verwendet werden, um Alibis und mehr zu bauen (oder zu zerstören).

Geben Sie Ihre Stimme also nicht an Fremde weiter.

Noch nie. Die Menge möglicher Betrügereien ist unvorstellbar.

Sie riskieren, dass Telefonbetrug auf ein monströses Niveau anwächst.

Es ist wahr, dass Sie Ihre Stimme auch auf WhatsApp geben, aber normalerweise geben Sie sie an Leute weiter, die Sie kennen. Auf einem praktisch öffentlichen System ändert sich alles. Wenn ein Fremder deine Stimme hat, bist du in Scheiße.

Solange ich Sie gefragt habe: Ah, Sie kommen aus Düsseldorf, suche ich eine gute Bank, um ein Konto zu eröffnen. Was empfehlen Sie? Es braucht nicht viel zu sagen, dass selbst wenn Sie zwei oder drei Namen angeben, einer von ihnen Ihre Bank sein wird. Und der Typ hat deine Stimme. Ab morgen können Sie Ihre Bank mit Ihrer Stimme anrufen.

Also NEIN, NEIN, NEIN: Sie geben Ihre Stimme nicht an Fremde weiter, geschweige denn an ein soziales Netzwerk.