El FBI quiere acceso “casi en tiempo real” a lectores de matrículas en EE. UU.

 (wired.com)
1 puntos por GN⁺ 3 시간 전 | 1 comentarios | Compartir por WhatsApp
  • El FBI busca pagar millones de dólares por acceso a datos de lectores automáticos de matrículas al costado de carreteras en todo Estados Unidos, para obtener información sobre movimientos de vehículos en casi tiempo real
  • Las cámaras ALPR capturan imágenes de vehículos que pasan y colocan matrícula, ubicación, hora y fecha en una base de datos consultable, a la que con frecuencia acceden agencias policiales locales y federales
  • En el momento en que dos legisladores estadounidenses de ambos partidos presentaron un borrador legislativo para bloquear a nivel nacional el uso policial del rastreo por matrículas, documentos de adquisiciones del FBI revelaron la necesidad de acceso a datos de autopistas principales y diversas ubicaciones
  • Google publicó y luego retiró una prueba de concepto funcional de una vulnerabilidad sin parche en Chromium, pero el código del exploit ya fue replicado, por lo que sigue habiendo riesgo para usuarios de Chrome, Edge y otros
  • A medida que se endurece la aplicación de la Take It Down Act, junto con advertencias de la FTC y arrestos relacionados con imágenes deepfake de abuso sexual, aumenta la presión para eliminar imágenes no consentidas y vigilar servicios de generación

Plan del FBI para acceder a lectores de matrículas en todo el país

  • The FBI Wants ‘Near Real-Time’ Access to License Plate Readers Across the US
  • La misma semana en que legisladores estadounidenses presentaron una propuesta para prohibir el uso nacional de lectores automáticos de matrículas, se reveló que el FBI planea comprar acceso a cámaras y a datos de movimiento de vehículos en casi tiempo real
  • Registros públicos de adquisiciones de la Dirección de Inteligencia del FBI, reportados primero por 404 Media, indican que el FBI pretende pagar millones de dólares por acceso a datos ALPR instalados al costado de carreteras
  • Las cámaras ALPR capturan imágenes de vehículos en circulación y agregan matrícula, ubicación, hora y fecha a una base de datos consultable, a la que con frecuencia acceden agencias policiales locales y algunas federales
  • La declaración de trabajo señala: “FBI has a crucial need for accessible LPRs to provide a diverse and reliable range of collections across the United States”
  • El mismo documento añade: “This data should be available across major highways and in an array of locations for maximum usefulness to law enforcement”
  • Documentación adicional especifica que el acceso a los datos debe ofrecerse en “near real time”

Publicación de exploit para una vulnerabilidad sin parche en Chromium

  • Google Publishes Live Exploit Code for Unpatched Chromium Flaw
  • Google publicó código funcional de prueba de concepto para una vulnerabilidad aún no corregida en Chromium, la base de código de código abierto sobre la que se construyen Chrome, Microsoft Edge, Brave, Opera, Vivaldi y Arc
  • Según Ars Technica, el fallo fue reportado por primera vez a Google hace 42 meses por la investigadora independiente Lyra Rebane
  • Rebane creyó que una publicación del miércoles en el rastreador de bugs del proyecto significaba que el parche ya se había distribuido, pero en realidad no se había lanzado ninguno
  • Google retiró el material publicado después de que se expuso el error, pero el código del exploit ya había sido replicado en sitios de archivo
  • La vulnerabilidad explota la Browser Fetch API, usada para manejar descargas grandes en segundo plano, y permite que cualquier sitio web visitado por el usuario active un service worker persistente en el dispositivo
  • La conexión creada puede usarse para vigilar la actividad de navegación, enrutar tráfico a través del dispositivo de la víctima o incorporarlo a una red DDoS basada en proxies
  • Esa conexión persiste incluso después de reiniciar el navegador y, en algunos casos, también tras reiniciar el dispositivo
  • En Edge casi no hay señales visibles, mientras que los usuarios de Chrome podrían ver un menú desplegable de descargas sin explicación
  • Ingenieros de Google marcaron el bug como un problema grave en el hilo de divulgación original y le asignaron varias clasificaciones internas de alta severidad
  • Firefox y Safari no están afectados porque no implementan la función relacionada
  • Google dijo que está trabajando en una corrección, y los usuarios deberían desconfiar de ventanas de descarga no solicitadas

Medidas contra imágenes deepfake de abuso sexual y la Take It Down Act

  • Feds Arrest Men Allegedly Behind Deepfake Sexual Abuse Watched Millions of Times
  • Recientemente, Reino Unido y la UE anunciaron planes para prohibir los llamados nudifying websites, que crean imágenes falsas de desnudos de mujeres y niñas mediante inteligencia artificial
  • Desde el 19 de mayo, con una aplicación más estricta de la Take It Down Act, también ha aumentado en Estados Unidos la presión para exigir la eliminación de imágenes privadas no consentidas y vigilar estos servicios
  • Esta semana la FTC envió cartas a 12 empresas que ofrecen servicios de nudifying, advirtiendo que podrían estar violando la ley
  • Las cartas de la FTC señalan que las víctimas deben contar con un proceso para solicitar la eliminación de imágenes privadas no consentidas
  • Aunque esta medida no restringe directamente el contenido de los servicios, sí intensifica la vigilancia sobre sitios dañinos
  • El Departamento de Justicia arrestó a dos hombres por presuntamente compartir “miles” de fotos y videos generados por IA que hacían parecer que mujeres reales estaban desnudas o participaban en actos sexuales
  • Cornelius Shannon (51) y Arturo Hernandez (20) están acusados de subir material generado por IA a sitios pornográficos y plataformas para compartir video
  • La fiscalía dijo que las imágenes y videos fueron vistos millones de veces e incluían no solo celebridades y políticos, sino también mujeres que los acusados conocían
  • Estos arrestos se producen después de la primera condena de un hombre de Ohio el mes pasado bajo la Take It Down Act

Lecturas relacionadas

1 comentarios

 
GN⁺ 3 시간 전
Comentarios de Hacker News

  • SCOTUS ya dictaminó que rastrear los movimientos de una persona durante un período prolongado sin orden judicial viola la Cuarta Enmienda
    https://en.wikipedia.org/wiki/Carpenter_v._United_States

    • Hasta que SCOTUS dictamine que la construcción paralela (parallel construction) en sí es inconstitucional, el FBI puede rastrear a todo el mundo, armar casos con datos obtenidos ilegalmente y luego fingir que los consiguió por otra vía
      https://en.wikipedia.org/wiki/Parallel_construction
    • Por desgracia, hoy en día decir que SCOTUS ya dijo antes que era inconstitucional ya no suena tan definitivo como antes
    • Lo único que decidió la corte fue que la gente tiene una expectativa razonable de privacidad sobre los registros del celular
      Generalizar ese precedente lleva a conclusiones raras y difíciles de aplicar. En Estados Unidos no existe realmente un derecho establecido a desplazarse sin ser observado, y el simple hecho de que tengas que ponerle a tu auto o motocicleta una placa claramente visible, que es básicamente un dispositivo de rastreo, lo demuestra
    • Probablemente a la SCOTUS actual no le importe ese precedente
      El fascismo se está acercando y parecemos ranas hirviéndose lentamente en agua caliente
    • ¿Y por qué les importaría?

  • Deberíamos crear un sistema open source de reconocimiento automático de placas que muestre en tiempo real la ubicación de vehículos de las fuerzas del orden
    Incluso mejor si incluye los autos que usan los policías para ir y venir del trabajo; también habría servido para detectar infracciones de placas de agentes de ICE en California. Podríamos llamarlo "CopAware"

    • Justo Benn Jordan, después de investigar las cámaras de Flock, hizo ingeniería inversa a dispositivos ALPR que no eran de Flock y armó su propio sistema con componentes comerciales, una tablet y una impresora 3D
      Principalmente era un experimento, pero también porque el algoritmo de detección de imágenes de Flock es sorprendentemente malo y se equivoca mucho al leer placas. También hay varios modelos open source para detectar placas; no recuerdo cuál era exactamente el mejor, pero fue un gran video para entender lo ineficientes que son los sistemas comerciales y lo fácil que es inutilizarlos: https://www.youtube.com/watch?v=Pp9MwZkHiMQ
    • Casi todos tenemos uno o dos teléfonos Android viejos guardados en un cajón, así que quizá bastaría con ponerlos en una ventana y conectarlos a un servicio público compartido
      Pero si el sistema es público y compartido, Flock también podría simplemente conectarse a la API pública y agregar una nueva categoría de "Public cameras" a sus propios datos. Cualquier dato que ofrezcamos en un sistema público también se lo estamos ofreciendo a actores maliciosos
    • Hay que hacerlo. Y no tiene por qué limitarse a vehículos relacionados con las fuerzas del orden, ni a los de funcionarios que les dan órdenes a la policía y hacen las leyes, ni a los de los jueces que hacen cumplir esas leyes
      Mejor registrar indiscriminadamente todos los vehículos y publicar los datos en bruto. La razón es simple: se pueden dividir las funciones, y esa separación mejora la seguridad operativa. En este momento parecen adecuadas unas 4 funciones: los operadores de cámaras son los que corren más riesgo directo, porque están vinculados a una casa o edificio reales, pero también son los que más se necesitan y el hecho de registrar a todo el mundo les da una negación plausible. Los encargados de ordenar los datos cumplen una función de backend reuniendo y organizando datos de placas, hora y ubicación, así que corren menos riesgo y pueden operar desde cualquier parte del mundo. Los creadores de filtros son más vulnerables porque rastrean qué placas están vinculadas a qué figuras gubernamentales, aunque pueden decir que muchas organizaciones hacen listas así. Los creadores de mapas reciben los datos y filtros que juntaron otros y los muestran en un mapa público; estructuralmente no son los más importantes, pero sí los más visibles y los que más probablemente recibirían ataques de la prensa

  • Este año hay muchos candidatos en elecciones locales de EE. UU. que dicen que quieren enfrentarse al gobierno federal
    Uno puede pensar que no hay mucho que se pueda hacer a nivel de alcalde o senador estatal, pero eliminar la vigilancia pasiva local sí podría tener un impacto real. Ojalá más candidatos hicieran campaña prometiendo prohibir cámaras de semáforo, cámaras lectoras de placas y otras herramientas de vigilancia pasiva. Si los datos ni siquiera se recolectan, no se pueden abusar

    • No es cierto que no se pueda hacer mucho a nivel de alcalde o senador estatal
      Primero, resistir requiere un esfuerzo equivalente. Si 10,000 ciudades no cooperan por culpa de 10,000 alcaldes, la fuerza política necesaria para romper esa resistencia sería enorme. Un alcalde puede retrasar o cancelar negocios con proveedores poco cooperativos o maliciosos, y también puede demorar permisos. Quienes integran esta administración y quienes quieren poder de vigilancia buscan cargos menores, juntas escolares y puestos de sheriff justamente porque entienden eso. Segundo, un senador estatal es mucho más poderoso de lo que parece. Normalmente son muchos menos que los miembros de la Cámara o el Senado federal, así que cada voto individual pesa más, y la combinación de mayoría partidaria y comités puede afectar fuertemente la política estatal. Tercero, los recursos se concentran y los partidos se coordinan, así que cortar de raíz la fuente de influencia del dinero es clave para desplazar a partidos antidemocráticos. No hay que creerse tal cual lo que se escribe sobre política en internet. Mucho está diseñado para el consumo moderno y superficial. Las elecciones pequeñas importan. Incluso participar directamente puede marcar una gran diferencia, y ni siquiera hace falta andar gritando en campaña. Basta con postularse, comportarse con normalidad, ganar y dejar que el voto hable
    • Puede sonar cínico, pero el sistema bipartidista ya parece haber decidido que quiere un estado de vigilancia total
      Después de cubrir casi por completo el ciberespacio doméstico observable, el siguiente objetivo es la capa física. A cualquiera que se oponga lo pintan como simpatizante del terrorismo o como alguien con intenciones criminales. Al final, siempre se dice que es por la seguridad de la patria
    • Esta también es una razón por la que la infraestructura dependiente del automóvil es mala para la libertad de los estadounidenses
      Uno tiene más ciudadanía cuando es peatón que cuando está dentro de un auto que requiere licencia
    • No estoy de acuerdo con prohibir las cámaras de semáforo ni las lectoras de placas
      Hemos sido demasiado indulgentes con los delitos cometidos con vehículos, y a menudo están vinculados con otros delitos. Me gustaría ver mucha más fiscalización automatizada para exceso de velocidad, pasarse semáforos en rojo, circular por el acotamiento, placas faltantes o falsificadas, violaciones de ruido, emisiones contaminantes, etc.

  • Esta nota se parece más a blogspam sobre un artículo que ya tuvo mucha cobertura en la portada
    https://news.ycombinator.com/item?id=48184350

    • El artículo de 404 Media está detrás de un paywall, pero el envío de Wired no
      Me cuesta llamar blogspam a Wired

  • Lo digo con cautela porque es una opinión personal, pero la tecnología hace posibles nuevas conductas y oportunidades que no siempre podemos prever
    Vamos hacia un mundo casi completamente transparente. Es muy probable que algún día alguien registre conversaciones cotidianas, voz, texto y video; cómo un jefe trata a sus empleados, cómo una enfermera le habla a un paciente, cómo una cajera le habla a un cliente, cómo un padre le habla a su hijo. Y eso podría ser algo bueno. Puedo imaginar un escenario donde un jefe recibe retroalimentación en tiempo real sobre cómo está guiando a su equipo, o donde yo recibo sugerencias sobre cómo no pelearme con mi pareja. El reto es simple. Si perdemos todos los secretos, la privacidad pasa a depender de la cortesía del prójimo. Harán falta leyes fuertes, pero también un cambio social que vuelva tan socialmente inaceptable mostrar anuncios basados en conductas observables como defecar en la puerta de alguien, rociarlo con gasolina y prenderle fuego. Aun así, podría existir un mundo donde la privacidad siga protegida, los epidemiólogos puedan resolver problemas difíciles, las personas crezcan mejor y la sociedad sea más comunitaria y resiliente. La tecnología es neutral, y las sociedades y estados que la adopten probablemente obtendrán el impulso que la gente espera de la IA

    • Decir que la tecnología es neutral se queda corto
      Las personas que la crean, la financian, la controlan, la desarrollan, la implementan y la usan no son neutrales, y es difícil separar la tecnología de esas personas. En ese sentido, decir que la tecnología es neutral no pasa de ser retórica, y en cualquier sentido importante la tecnología no tiene neutralidad
    • Eso de que un jefe reciba retroalimentación en tiempo real sobre su estilo de liderazgo, o que yo reciba guía sobre cómo no pelearme con mi esposa, suena distópico
      O recibes retroalimentación generada por máquina sin revisar, que puede no aplicar para nada, o alguien la revisó y entonces mi vida entera está siendo evaluada por extraños. Me imagino la escena: mi pareja me engañó, yo levanté la voz, y me llega una alerta diciendo que mi comportamiento cruzó la línea. Más allá de la intención positiva, suena inquietantemente parecido a la frase de "no tendrás nada y serás feliz"
    • David Brin planteó el debate de la sociedad transparente en 1996, pero creo que es justo decir que fracasó en la prueba empírica
      La vigilancia desde abajo (sousveillance) que él proponía es posible, pero en cada etapa las élites de poder de estados liberales y no liberales, y más recientemente de estados antes liberales, han bloqueado ese tipo de medidas. La tecnología en general no es neutral; se parece más a un amplificador de poder
      <https://en.wikipedia.org/wiki/The_Transparent_Society>
      <https://www.wired.com/wired/archive/4.12/fftransparent.html>
      <https://www.schneier.com/essays/archives/2008/03/the_myth_of...>
    • Decir que la tecnología es neutral tiene más o menos la misma sabiduría que decirle a un juez en Estados Unidos en los 90, durante un juicio por venta de marihuana, "pero si solo es una planta"
      Puede ser cierto, pero no tiene nada que ver con la razón por la que estamos aquí ahora. Para que exista la "tecnología" hace falta toda una maquinaria grotesca hecha de dinero y monstruos, y casi nada de eso es neutral. Si de verdad creyeras que la tecnología es neutral, no querrías esconder todos estos dispositivos detrás de una de las agencias más secretas de Estados Unidos ni ponerlos a tirar de la correa de oligarcas; querrías regularlos con fuerza, que fueran operados y poseídos públicamente, y que su acceso fuera universal. Si no, entonces tú eres uno de esos oligarcas o te lavaron el cerebro ellos
    • Incluso en una conversación sobre abuso de poder de un estado policial y violaciones inconstitucionales de la privacidad, siempre terminamos desviándonos a que "lo que de verdad importa es lo pésimo que es Google"

  • Me pregunto si esto es un respaldo para un sistema que lea el RFID dentro de las llantas
    Siempre pensé que eso ya se estaba haciendo desde hace mucho

  • ¿La placa es un requisito federal o un requisito estatal?

  • Llevo 20 años viendo por encima series estadounidenses como CSI, así que estaba convencido de que sistemas así ya existían desde hace muchísimo
    ¿Entonces eso significa que no se puede sacar un reflejo perfecto de un tornillo medio oxidado?

    • Me sorprendería muchísimo que esto no estuviera ya integrado en el aparato de inteligencia de EE. UU.
      Solo que tal vez no se usa mucho en casos internos dirigidos contra ciudadanos estadounidenses, o que haya hecho falta construcción paralela para justificar cómo sabían algo que en teoría no debían saber. Esto podría ser una forma de legalizarlo o de integrar algunas fuentes nuevas de datos

  • El FBI es una buena metáfora de las opciones políticas que tienen los estadounidenses entre demócratas y republicanos
    Es completamente no ideológico; al final todo se reduce al poder y al control sobre la población. De algún modo hay que recuperar los derechos

  • Yo había oído que mi departamento de policía local es el dueño de los datos de Flock, y que Flock ni los posee ni puede compartirlos; así que no sé qué fue de eso
    ¿Nos mintieron para agrandar aún más el estado de vigilancia?