LINUX.ORG.RU
ФорумTalks

Ещё больше IoT вам в дыры

 , , ,


0

2

Я просто оставлю это здесь
И всё-таки немного для Ъ:

Изданию The Intercept стало известно о крупном провале производителя камер безопасности Ring (принадлежит Amazon). Оказывается, эта компания предоставила своим разработчикам в Киеве полный доступ к папке на Amazon S3, где хранится отснятый материал со всех устройств. Более того, видеоданные на тот момент не были зашифрованы, а разработчикам дали ещё и базу данных, которая соотносит имена пользователей и видеофайлы.

UPDATE:
https://lenta.ru/news/2019/01/12/amazon/

https://theintercept.com/2019/01/10/amazon-ring-security-camera/

To jump-start the process, Ring used its Ukrainian “data operators” as a crutch for its lackluster artificial intelligence efforts, manually tagging and labeling objects in a given video as part of a “training” process to teach software with the hope that it might be able to detect such things on its own in the near future. This process is still apparently underway years later: Ring Labs, the name of the Ukrainian operation, is still employing people as data operators, according to LinkedIn, and posting job listings for vacant video-tagging gigs: “You must be able to recognize and tag all moving objects in the video correctly with high accuracy,” reads one job ad. “Be ready for rapid changes in tasks in the same way as be ready for long monotonous work.”

Украинский филиал Ring Labs не сумел допилить искуственный интеллект для распознавания видео с камер наблюдения, поэтому до сих пор нанимает операторов для ручной разметки. Операторы имеют доступ ко всем данным.

★★★★★

Как бы новая эпоха, когда ваши данные майнят не только гугл и фейсбук, а вообще все, включая приложение по заказу пиццы.

goingUp ★★★★★ ()
Последнее исправление: goingUp (всего исправлений: 1)

Да и *** с ними!

Deleted ()

У этих рингов, хотя бы в принципе предусмотрена настройка, чтобы данные передавались и лежали на каком-то пользовательском ресурсе?

А вообще лишний раз убеждаешься, что действительность бывает круче любой фантастики. Что в будущем могут устроить такую вот слежку писали разные авторы, самое известное - это Оруэлл с его 1984.

Но даже им не пришло в голову, что такие устройства все это люди без всякого принуждения, еще и за свои деньги, с удовольствием будут ставить сами.

Еще и на хабре коменты в основном не о том, что это такое творится вообще, а как правильно построить процесс разработки, чтобы разработчики не имели к ним доступ.

При желании можно было бы шифровать эти данные приватным ключом пользователя и они чисто технически были бы доступны только и исключительно ему, но это же «не наш метод»?

praseodim ★★★★ ()
Последнее исправление: praseodim (всего исправлений: 2)

видеоданные на тот момент не были зашифрованы

на тот момент

Будто потом бы их зашифровали. Если это не делают изначально, то и дальше бы продолжали на это забивать.

базу данных, которая соотносит имена пользователей и видеофайлы

Ну, существование такой БД вполне оправдано.

компания предоставила своим разработчикам <...> полный доступ

И где дыра в IoT то?

micronekodesu ★★ ()
Ответ на: комментарий от praseodim

Еще и на хабре коменты в основном не о том, что это такое творится вообще, а как правильно построить процесс разработки, чтобы разработчики не имели к ним доступ.

Потому что такие девайсы - наше будущее, избежать этого не получится, а вот сделать все правильно возможность еще есть.

При желании можно было бы шифровать эти данные приватным ключом пользователя и они чисто технически были бы доступны только и исключительно ему, но это же «не наш метод»?

При желании можно менять пароль на роутере и не использовать "qwerty12345" для своего почтового ящика, странички в социалке и в банк-клиенте (одновременно), но это же "не наш метод".

micronekodesu ★★ ()
Ответ на: комментарий от praseodim

коменты в основном не о том, что это такое творится вообще, а как правильно построить процесс разработки, чтобы разработчики не имели к ним доступ.

А надо как бабки на лавочке охать или все таки думать, как избегать подобных проблем?

kernelpanic ★★★★★ ()
Ответ на: комментарий от praseodim

как правильно построить процесс разработки, чтобы разработчики не имели к ним доступ.
При желании можно было бы шифровать эти данные приватным ключом пользователя и они чисто технически были бы доступны только и исключительно ему, но это же «не наш метод»?

Доступ к этим видео был предоставлен для тренировки на них системы компьютерного зрения, так что это не утечка или какая-то оплошность при организации разработки, это обычное «пользуемся вашими данными для своих целей».

goingUp ★★★★★ ()
Ответ на: комментарий от praseodim

При желании можно было бы шифровать эти данные приватным ключом пользователя и они чисто технически были бы доступны только и исключительно ему

А смысл предоставлять такой сервис?

t184256 ★★★★★ ()

Ой да ладно, это вообще на каждом шагу так. Даже у крупных компаний весьма проблематично полностью соблюсти области видимости разработчиков. В компаниях по меньше и мелких всегда срать хотели на это дело. Тут дело в обычной экономике, ведь для того, чтобы разрабочик имел доступ до только своего куска кода, который бы работал только с тестовыми данными приближенными к боевым, а потом всё это дело после обкатки объединялось - нужно всю эту иерархию разрабатывать и поддерживать. Для мелких и средних проектов это минимум 50% бюджета, а может быть и больше, в зависимости от проекта. Поэтому применяется схема - дадим разработчикам доступ до почти всего, пускай разгребают всё говно, но попробуем этих самых разработчиков перед работой проверить, заставить подписать соглашение о неразглашении и тд.

У нас так у заказчиков у многих, при этом их заказчики(ну то есть наши заказчики это субподряд), даже и не знают зачастую о раскладе, им заливают что всё секурно, всё по высшему разряду, а программы пишут только белокурые голубоглазые арийцы в офисе где-то не то во Флориде не то в Калифорнии

ixrws ★★ ()

И что? Разработчикам же, а не левым анонимусам из интернетов

Harald ★★★★★ ()

Это не иот. Это обычный вендорлоченный «облачный» сервис, не более.

Иот не предполагает постоянного контакта с единственным вендором - вещи взаимодействуют с контроллером и между собой. При этом контроллер также находится в зо юзера.

AlexAT ()
Ответ на: комментарий от AlexAT

Интернет тоже в своё время не предполагал постоянного контроля государством и несколькими корпорашками. А сейчас всё свелось к гуглу, амазону и сами знаете кому

Promusik ★★★★★ ()
Ответ на: комментарий от Harald

Решил ты такой Telegram на русский перевести и бац... А у тебя доступ ко всей переписке, файлу, контактам и вообще БД с номерами телефонов.
Или решил ты написать программу для сотового оператора, а у тебя бац, и жоступ к БД с персданными, паспортами и прочим...
А нет, решил ты ПО для какого-нить beward написать (за денежку, по договору), а у тебя доступ ко всем камерам beward и смотришь ты, а на столе в каком-нить ООО Фунтик твою жену жахают... А она ведь и не виновата, что у тебя не стоит, просто иногда тоже хочет.

Promusik ★★★★★ ()
Последнее исправление: Promusik (всего исправлений: 1)
Ответ на: комментарий от kernelpanic

Ох... Всё равно ты не поможешь этим людишкам, они очень глупы. Предлагаю уничтожить эту планету и побыстрей вернуться в нашу Альфа-Центавра.

Promusik ★★★★★ ()
Ответ на: комментарий от Promusik

как будто что-то плохое :) юзвери сами добровольно свои данные отдали

Harald ★★★★★ ()
Ответ на: комментарий от kernelpanic

А надо как бабки на лавочке охать или все таки думать, как избегать подобных проблем?

Проблема-то не в том, что разработчики доступ к записям получили, а в том, что они вообще в принципе имелись!

micronekodesu

Потому что такие девайсы - наше будущее, избежать этого не получится, а вот сделать все правильно возможность еще есть.

Нафиг *такое* будущее. Сделать все правильно - это в идеале вообще исключить такой сбор данных. По крайней мере без наличия альтернативы в виде собственного сервака и без пары-тройки подписей-галочек с предупреждением для тех, кто таки захочет свое куда-то сливать.

praseodim ★★★★ ()
Ответ на: комментарий от t184256

А смысл предоставлять такой сервис?

Приватность? Не не слышали...

praseodim ★★★★ ()
Ответ на: комментарий от praseodim

Да не, зачем исключать? Желающие пожевать кактусов могут пользоваться дальше, их выбор.

AlexAT ()
Ответ на: комментарий от AlexAT

К сожалению, этих желающих, а точнее даже не то, чтобы желающих, а даже не задумывающихся над тем, что они делают, стало слишком много.

praseodim ★★★★ ()

компания предоставила своим разработчикам в Киеве полный доступ к папке

Главное полный доступ к мамке кому попало не предоставлять.

WitcherGeralt ★★ ()
Ответ на: комментарий от praseodim

Да, и самое главное что они в эту хрень затягивают и понимающих что происходит людей, шаря их данные без их желания.

Promusik ★★★★★ ()
Ответ на: комментарий от Promusik

Угу. Вот поставит такой ринг сосед напротив квартиры в подъезде - и пошла заливка и ведь не объяснишь же.

praseodim ★★★★ ()
Последнее исправление: praseodim (всего исправлений: 1)

Стоит добавить в верхний пост:

https://lenta.ru/news/2019/01/12/amazon/

https://theintercept.com/2019/01/10/amazon-ring-security-camera/

To jump-start the process, Ring used its Ukrainian “data operators” as a crutch for its lackluster artificial intelligence efforts, manually tagging and labeling objects in a given video as part of a “training” process to teach software with the hope that it might be able to detect such things on its own in the near future. This process is still apparently underway years later: Ring Labs, the name of the Ukrainian operation, is still employing people as data operators, according to LinkedIn, and posting job listings for vacant video-tagging gigs: “You must be able to recognize and tag all moving objects in the video correctly with high accuracy,” reads one job ad. “Be ready for rapid changes in tasks in the same way as be ready for long monotonous work.”

Украинский филиал Ring Labs не сумел допилить искуственный интеллект для распознавания видео с камер наблюдения, поэтому до сих пор нанимает операторов для ручной разметки. Операторы имеют доступ ко всем данным.

question4 ★★★★★ ()
Ответ на: комментарий от praseodim

а если обычную камеру с публичной трансляцией?

Harald ★★★★★ ()

@snizovtsev

Я так понял там подавляющая часть камер смотрит на улицу, а не на диван или туалет. Что там продавать?

Например, информацию, что по какому-то адресу все уехали с вещами, и несколько дней никто не возвращался. Никого нет дома, можно красть. Доступ к адресам есть.

question4 ★★★★★ ()
Ответ на: комментарий от question4

ну дак чтобы его допилить, они вручную его и тренируют

Harald ★★★★★ ()
Ответ на: комментарий от Harald

Ну да, всё верно. Но допиливание слишком затянулось. А пользователям о живых операторах сказать забыли. Надо думать, положенный «background check» операторов тоже не проводили.

question4 ★★★★★ ()
Последнее исправление: question4 (всего исправлений: 1)
Ответ на: комментарий от Harald

По крайней мере, ему можно будет тогда сказать зачем он это делает, а тут даже как бы так и надо.

praseodim ★★★★ ()
Ответ на: комментарий от question4

Очень сложно. Нужны связи с американскими мафиози этого района и время на отсев большого числа вариантов. Откуда это у украинских гребцов? Проще выяснить на месте по другим косвенным признакам - вроде переполненного почтового ящика.
Другое дело, что Амазон сильно подпортил себе репутацию. Раз тут халатность, значит и в других местах тоже. А зонды-прослушки могут намного больше информации выдать - и проблем с распознованием нет.

snizovtsev ★★★ ()
Ответ на: комментарий от praseodim

Ну так альтернатива есть - поставь обычную ip-камеру. Я так и делаю. А те, кто не хочет заморачиваться - ну они принимают риски за вот такие вот ситуации.

Clayman ()
Ответ на: комментарий от snizovtsev

Очень сложно. Нужны связи с американскими мафиози этого района и время на отсев большого числа вариантов.

Вот именно. Только поэтому не дошло до краж за 2 года.

А может и дошло, сейчас начнут искать корреляции между преступлениями и этими камерами, может и найдут.

Кстати ещё, могли бы передать данные пранкерам. Это было бы не столь разрушительно, но столь же неприятно для Амазона.

question4 ★★★★★ ()
Ответ на: комментарий от praseodim

собственного сервака

пошутил, да? хотя интересно, конечно, если замутить срасрап по производству домашних «изи» серваков - сам загнется от недостатка продаж или спецслужбы прикроют?

TooPar ()
Последнее исправление: TooPar (всего исправлений: 1)
Ответ на: комментарий от TooPar

Даже MS одно время что-то мутила с домашними серваками.

или спецслужбы прикроют?

От огорчения? ИМХО, все же нужен повод повесомее.

praseodim ★★★★ ()
Ответ на: комментарий от praseodim

Ты не понял. «Бескорыстность? Не, не слышали.»

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Я могу поверить, что Мошков самиздат бескорыстно содержит. Или Макс - ЛОР. Но что фирмы из филантропии тратят крупные бабки на эти хранилища - точно нет.

praseodim ★★★★ ()
Ответ на: комментарий от praseodim

А теперь перечитай мой коммент, раз понял его смысл.

t184256 ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)