硬核老王 发布的文章

美国司法部修订反黑客法律,将不对白帽黑客追究责任

美国司法部周四修订了其反黑客法律《计算机欺诈和滥用法》(CFAA)。该部指示检察官不要用 CFAA 来起诉网络安全研究人员,即所谓的“白帽黑客”、“道德黑客”。CFAA 是美国于 1986 年颁布的一项美国联邦法规,其禁止未经授权或超出授权的情况下访问计算机。此举意义重大,因为 CFAA 经常对安全研究人员构成威胁,他们可能会探测或入侵系统,以确定漏洞,从而修复这些漏洞。政策的修订意味着这种研究不应面临指控。

消息来源:techcrunch
老王点评:保护这些白帽子才能保护网络安全。不过想想某个被封的某云和被起诉的白帽子,也就是想想罢了,还是自己保护自己吧。

2 个严重程度为 9.8 级的漏洞正在被利用!

之前我们 报道 过 F5 的 BIG-IP 防火墙有一个评分为 9.8(满分为 10)的漏洞正在被利用,F5 已经提供了相关补丁。而更早一些时候,VMware 多个产品系列的未修补版本也被发现存在 9.8 级的安全漏洞。这两个漏洞使攻击者有能力远程执行恶意代码或命令,并以不受约束的 root 系统权限运行。而根据披露的补丁,攻击者可以很快就开发出相关的攻击代码,并将其积极投入利用。

消息来源:arstechnica
老王点评:随着世界局势不稳定,这种恶性漏洞也会越来越多的被发现。再结合上一条,你品一下。

谷歌宣布开源卸载友好协议 PSP

谷歌早在十多年前就对数据中心之间的流量进行加密,但加密和解密的处理需要大约 0.7% 的处理能力,以及相应的内存占用。这促使谷歌研发了 PSP 协议,将加密处理卸载到网卡上,也就是将本来由操作系统进行的一些数据包处理(如 TCP 分段、IP 分片、重组、校验、TCP 协议处理等)放到网卡硬件中去做,降低系统 CPU 消耗的同时提高处理的性能。PSP 加密卸载可节省约 0.5% 的谷歌整体处理能力。

消息来源:谷歌
老王点评:虽然谷歌总是被批评,但是平心而论,无论是科研水平,还是开放程度,都不是一般的科技公司能比拟的。

代码托管平台 Gitee 的开源仓库需要先审再上线

周三晚上,有用户反馈 Gitee 上的开源仓库访问受限,需要审核后才能公开访问。这一事件引发了大量讨论。Gitee 回复称:“即日起执行开源仓库审核后上线的措施,所有新上线的开源仓库需要进行人工审核后可正式公开。已经是开源状态的仓库,我们会暂时转为私有仓库,经审核后会进行公开。……此举也是迫于无奈,目前已经是 Gitee 团队能确保大家尽快正常使用的最优解。”有趣的是,如此重大的动作在 Gitee 官网并没有明确公布,而是选择在知乎上草草回复了不到两百字。而且,从用户实际公开仓库的过程中,只是勾选了几个平台方免责的选项而已。

消息来源:知乎
老王点评:红薯做 Gitee 时可能没想到最大的运营风险不是来自于友商的竞争。不过就这个事情,虽然无奈,但是我觉得处理的有点太糙了,一看就是技术人员破罐破摔的处理方式。

依靠近距离蓝牙解锁的特斯拉都能被远程解锁

研究人员设计了一种黑客技术,使他能够解锁数以百万计的特斯拉和无数的其他设备,即使认证的手机或钥匙扣在数百码或数英里之外。这种攻击利用了蓝牙低能耗标准的弱点,采用中继攻击方式,只需要不到 100 美元的设备,就可以在汽车和解锁手机之间通过中继的方式截获并传输蓝牙密钥,从而非法解锁设备。而且这种攻击对所有不需要在解锁手机上进行操作的解锁操作都有效。几乎所有仅靠接近度进行认证、并且不同时要求用户互动或地理位置查询的 BLE 设备都是脆弱的,这影响到了大量的特斯拉汽车和智能门锁。

消息来源:arstechnica
老王点评:本来 BLE 就不是为近距离解锁设计的,只是被产品厂家用到这个场景了。要想解决这个连 CVE 编号都没有的问题,只能是修改使用方式,比如解锁需要人在手机上进行操作。

愚蠢的 CEO 们最常使用的密码一样愚蠢

一般人最常使用的密码是连续的数字或简单的单词,如123456picture1,以及 password。在最近的一份由全球 2.9 亿个网络安全数据泄露事件组成的研究样本中,也记录了受影响者的工作级别。结果发现,当涉及到 CEO 和其他高级企业高管时,他们的密码选择与一般公众基本相同,尽管许多人经常以名字为特征。

消息来源:pcgamer
老王点评:给这些愚蠢的老板们准备个用来输入密码的助理吧,要不他们会一直用这么简单的密码的。

回音

  • 红帽前两天说 RHEL 9 将在几周内可用,不过实际上没等那么久,现已向客户 正式发布 了 RHEL 9。

去年底,我们 报道过 一款非常漂亮的 Linux 桌面 CutefishOS。有消息称,这是一款来自国人的作品。当时国外的开源网站 “It's FOSS” 认为 CutefishOS “有可能取代深度成为最漂亮的 Linux 发行版”,并在测试了最新的测试版(v0.6)后,对它寄予了厚望,希望它“成为现有 Linux 发行版的一个有前途的替代方案”。

然而,据爆料,仅仅过了不到半年,CutefishOS 团队就可能已经解散了。在撰写本文时,其官网 https://cutefishos.com/ 已经无法访问。有消息称,解散原因是由于团队缺乏资金而结束了开发,但我尚未见到官方的解释和宣布。

在惋惜之余,被踢出 CutefishOS QQ 群的一些社区伙伴们自发成立了一个 CutefishOS 社区,以社区的方式来延续它的生命。按照其论坛上的说法,就是“从社区中来,到社区中去”。

根据这个非官方论坛披露的 消息,CutefishOS 最初名为 PandaOS,“是一款国内开源 Linux 社区发行版,由爱好者们构建,目标是提供简洁、易用美观的 PC 操作系统,使用 C++/Qt 技术开发新的桌面环境。” 它长这个样子:

后来改名为 CyberOS,是一款“使用 Qt Quick 与 Arch Linux 构建的 Linux 发行版。”

后因名字被占用,又改名为 CutefishOS。在 2021 年 5 月上线了官网 https://cutefishos.com (现已不能访问)。在当年的国庆长假期间,CutefishOS 官方发布了基于 Debian 的 CutefishOS 镜像。并在后继发布过测试版本。

然后,就没有然后了,2022 年 5 月 14 日开发团队解散,QQ 群也解散了。

看起来颇有前途的一个桌面系统,就这样戛然而止,十分令人可惜。更令人可惜的是,该团队在遇到困难时,我们似乎也没有听到任何呼吁和求救;而结束时,甚至连个告别的公告都没发出,连其官网也马上消失无踪。我也是听到网友私下反馈才得知的这个消息。

不过,好在还有一些社区伙伴觉得它值得抢救一把,因此发起了这个 非官方社区,并在几天前开始了一些建设性的工作。

我觉得,虽然不知道他们是否可以继续使用 CutefishOS 这个名字,但是如果在原本开源的代码基础上,或许可以继续打造出一个还不错的桌面环境。让我们拭目以待,哦不,应该亲自去帮忙,帮助这棵小苗成长起来。

你对此怎么看,是否有兴趣参与到这个社区项目中呢?

软件自由保护协会为开源权利赢得了重大进展

软件自由保护协会(SFC)是一个促进开源软件和捍卫自由软件通用公共许可证(GPL)的非营利组织。SFC 最近以消费者身份起诉美国主要电视厂商 Vizio 滥用了 GPL,因为其基于 Linux 开发了 SmartCast 操作系统,而没有遵守 GPL 许可证公开源代码。Vizio 认为 SFC 无权要求提供源代码。然而,5 月 13 日,SFC 在美国联邦法院成功地提出了动议,要求将其对 Vizio 的诉讼发回加利福尼亚州奥兰治县高级法院。根据法院的裁决,SFC 解释说:“这项裁决是版权许可许可历史上的一个分水岭。这一裁决表明,GPL 协议既作为版权许可,又作为合同协议发挥作用。”此外,这一裁决使其成为第一个以个人消费者作为 GPL 的第三方受益人对源代码拥有权利的案例。

消息来源:ZDNet
老王点评:虽然这一诉讼还未完结,但是这一动议裁决,作为判例,可能影响非常深远。以后那些基于 Linux 开发的软硬件,都面临在 GPL 大刀之下不得不交出源代码的境地。我指的不是“谁”,而是在座的“各位”。

Arm 开源项目从 GitHub 迁移到 GitLab

GitLab 官方博客阐述了 Arm 选择 GitLab 作为自托管平台的优点:最大化选择和成本效益,最小化供应商锁定。Arm 软件社区高级主管说,“GitHub 是一个黑盒子,所以我们必须与他们合作,或者让他们来做这些工作,而且不一定正确。然后我们就必须做审查。我们不一定能做补丁审查,因为这都是私有和专有代码……这是我们选择 GitLab 的一个重要因素”。

消息来源:GitLab
老王点评:虽然搭建自己的 Git 基础设施感觉离开了 GitHub 上的海量用户,但是那些不关心你的项目的海量用户其实和你没有什么关系。建立自己的 GitLab 实例是个不错的选择,至少对我们来说,访问速度快,能自己把握控制权。

谷歌引入“有保证的开源软件”服务

在最近发表的一篇博文中,谷歌推出了名为“有保证的开源软件”服务。谷歌称,将把谷歌自己广泛的软件审计经验的好处扩展到其云客户。该公司表示,所有通过该服务提供的开源软件包也是谷歌内部使用的,并定期扫描和分析漏洞。

消息来源:谷歌
老王点评:这对谷歌云及其客户来说都是一件好事,不过我更乐于见到谷歌将其做成一种公共服务,而不仅仅是面对其商业客户的商业服务。

AI 能通过 X 射线成像识别人的种族

MIT 和哈佛医学院的研究人员们意外的发现,经过训练读取 X 射线成像结果和 CT 扫描结果的人工智能程序可以以 90% 的准确率预测一个人的种族,判断一个人是黑人、白人还是黄种人。但有趣的是,进行这项研究的科学家表示他们不知道计算机是如何做到的。

消息来源:bostonglobe
老王点评:这就是现在的人工智能黑盒的可怕之处,你知道它能做到,但你不知道它怎么能做到。

研究人员设计出 iPhone 关闭时仍能运行的恶意软件

iPhone 在关闭时并没有完全关机。设备内部的芯片继续在低功耗模式下运行,因此可用 “Find My” 功能定位丢失或被盗的设备,或者在电池耗尽后使用信用卡和车钥匙。现在研究人员设计出了一种方法,滥用这种永远开机的机制来运行恶意软件,即使 iPhone 关机了,恶意软件仍然可以保持激活。这是因为 iPhone 的蓝牙芯片没有对运行的固件进行数字签名的机制,甚至也没有进行加密。

消息来源:arstechnica
老王点评:虽然这个漏洞单独利用价值不大,不过要是用来带到某些需要关闭电子设备的场所,可能就容易绕开防范了。

英伟达显卡的挖矿限制被破解,但游戏玩家无需担心

之前我们报道过,NiceHash 终于打破了英伟达显卡的挖矿限制。显卡的价格一直在暴跌,但似乎没有大的矿场大量买入被解除了挖矿限制的显卡。这是因为考虑到目前的盈利能力,即使是 3080 Ti 也才每天 3.5 美元左右的收入,仍需要近一年的时间才能实现收支平衡。而原计划在今年 6 月,后又延期的以太坊从 POW 共识转向 POS 共识的迁移计划,让现在大量买入 POW 挖矿使用的显卡显然不明智。

消息来源:tomshardware
老王点评:说到底,显卡厂商的限制治标不治本,区块链网络抛弃 POW 才是釜底抽薪。但是我对 POS 是否是区块链网络的未来表示怀疑,因为没有没有任何成功的 POS 前例。

微软:“IE 被黑了这么多年”

微软宣布 IE 将于 6 月 16 日正式退役,Edge 浏览器的官方微博送上告别微博,“终于,被黑了这么多年,IE 要正式跟大家说再见啦。IE 27 年的旅程,从今以后,这条路由 Edge 替 IE 继续走下去。”IE 浏览器是微软在 1995 年 8 月伴随 Windows 95 推出的。在推出三年后,IE 成为全球市场份额第一的浏览器,在 2003 占据了全球市场高达 95% 的份额。

不过,虽然退役了 ,但对于那些死抱着 IE 不放手的网站,Edge 继续提供了 IE 模式,该模式至少会支持到 2029 年。此外,出于企业需求,Windows 10 LTSC(长期服务版)也将继续保留 IE 浏览器。

消息来源:微博
老王点评:我觉得,真不是大家黑你,是你本身就是黑的呀。不过,大家也别高兴的太早,还是有大把的公共网站继续赖在 IE 上。

Python 的速度将提升一倍

去年,微软资助了 Python 软件基金会的 Faster CPython 项目,旨在使 Python 的速度比目前稳定的 3.10 系列快一倍。现在,该项目公布了更多的结果,将 3.11 beta 预览版与 3.10 的几十项性能指标进行了比较,显示 3.11 总体上比 3.10 快 1.25 倍。该项目负责人说,“Python 被普遍认为是慢的。虽然 Python 永远不会达到像 C、Fortran 甚至 Java 这样的低级语言的性能,但我们希望它能与脚本语言的快速实现相竞争,比如 Javascript 的 V8 或 lua 的 luajit。”

消息来源:ZDNet
老王点评:微软真是做了一件大好事,久被诟病的 Python 速度问题,居然就这样提高了一倍!

微软还有第二个内部使用的 Linux 发行版

我们知道,微软有一个内部使用的 Linux 发行版,CBL-Mariner,它刚刚发布了 2.0。现在有人发现微软在发布 CBL-Mariner 同一年,还发布了一个名为 CBL-Delridge(或 CBL-D)的 Linux 发行版。两者之间的主要区别是:Delridge 是一个定制的 Debian 衍生版,而 Mariner 是一个定制的 LFS 风格的发行版。Azure Cloud Shell 就建立在 CBL-D 之上,它提供了一套打包在容器中的云管理工具。

消息来源:ZDNet
老王点评:微软现在是真正践行了“拿来主义”,但凡好的,都拿来。