硬核老王 发布的文章

黑客正在窃取加密数据,留待量子计算机日后破解

现在很多重要数据是采用加密保护的,黑客窃取之后,利用现有的计算能力很难破解。但是仍有黑客在积极行动窃取这些加密数据,以留待将来的 量子计算机进行破解,而这个时间可能只需要 10 年。量子计算机的工作方式与我们今天使用的经典计算机非常不同,使它们能够解决现代计算机几乎不可能解决的问题。虽然现在量子计算机仍处于起步阶段,极其昂贵和充满问题。包括美国国土安全部在内的美国政府部门自 2016 年以来一直在举行竞赛,目的是在 2024 年之前产生第一批抗量子计算机的算法,并提出了一份过渡路线图来应对未来的量子计算机。

老王点评:随着量子计算机变得实用,一定会出现抗量子加密算法。但是现有加密数据可能在十年后依旧很有价值,因此,部署抗量子的加密算法需要提前。

消费类无人机被用来攻击美国电网

根据美国政府部门的 一份报告,去年美国的一个变电站遭到一架改装的消费类无人机的攻击。这是美国第一次已知的使用无人机攻击能源基础设施的事件,它发生在美国宾夕法尼亚州的一个变电站。但该无人机坠毁时没有造成损害,它加装了一个拖曳的系绳,牵引着一段铜线。如果电线接触到高压设备,可能会造成短路、设备故障,甚至可能引起火灾。

老王点评:新的科技进步带来了各种前所未有的攻击可能。

LXQt 桌面发布 1.0

经过八年的发展,由 LXDE 和 Razor-qt 开源桌面项目合并而成的 LXQt 桌面 正在庆祝其 V1.0 版本 的发布。哦对了,1.0 的上一个版本是半年前发布的 0.17.0。LXQt 1.0 使用的是 Qt 5.15 LTS 工具包,还没有移植到 Qt 6。LXQt 1.0 带来了文件管理器和图像查看器的改进、桌面通知的免打扰模式、两个新的桌面主题、更新的翻译等。

老王点评:新的里程碑值得庆贺,就是这个飙版本号的风潮什么时候能停一停。

CentOS Stream 结出了第一个果实:RHEL 9 Beta

虽然许多 CentOS 用户对 CentOS 成为 RHEL 的上游感到不满,但 RHEL 9 表明新的 CentOS 模式已经实现了红帽公司对它的期望。RHEL 9 发布了第一个测试版,它基于 Linux 5.14 内核,支持四种架构:英特尔/AMD 64 位、ARM 64 位等等。红帽公司最近取消了注册 RHEL 测试版的要求。如果你有任何种类的红帽账户(包括免费的红帽开发者计划),你就可以无限制地获得红帽测试订阅。当然,以前的 CentOS 用户现在有 RHEL 克隆的 Rocky Linux 和 AlmaLinux,或者也可以转向 CloudLinux 来支持 CentOS 8。

老王点评:虽然 CentOS 落幕,CentOS Stream 成了 RHEL 的上游,这给了许多类 CentOS 发行版一个新机会,但是 CentOS Stream/RHEL 的这个新模式也许也能获得成功。

自托管的 GitLab 服务器被利用发动 DDoS 攻击

Google 安全工程师发现了 这次 DDoS 攻击,攻击流量一度超过 1 Tbps。该漏洞位于 ExifTool 库内,它被用于移除上传到 Web 服务器中的图像元数据。GitLab 已在今年 4 月将其修复,但不是所有自托管服务器打上了补丁。有大约 6 万 GitLab 自托管服务器联网,而其中一半的服务器没有打上该补丁。利用该漏洞的概念验证代码在今年 6 月公布,而攻击也是始于 6 月。

老王点评:漏洞披露机制虽然推动厂商会加速解决安全问题,但是也给存在潜在缺陷的产品带来了更大的攻击面。

微软为 Excel 增加新的自定义数据类型支持

Excel 在历史上一直是用来组织文本和数字的,但几年来,微软一直在努力提高 Excel 支持的数据类型。去年,它推出了动态数组和数组公式,并通过链接数据类型支持股票、地理和 Wolfram 等数据。为此,微软推出了几个新的 JavaScript API,允许开发者使用 更多的数据类型

老王点评:作为世界上使用最多的“编程语言”,Excel 能进一步支持各种丰富的数据类型,这应该是微软在无代码产品方面的重要动作。

在元宇宙中做 PPT 和 Excel

目前最热的流行词某过于“元宇宙”了。除了连名字都改成 “Meta” 的 Facebook 之外,微软也在积极 拥抱元宇宙,它正在调整其标志性的软件产品,以创建一个更加企业化的元宇宙版本。第一个产品是具有数字化身功能的聊天和会议程序 Teams,该版本正在进行测试,将于 2022 年上半年推出。用户也能在这个空间中使用 PowerPoint 和 Excel。当然,除了这些企业级需求外,微软也会将其游戏产品搬到元宇宙里面。

老王点评:哪怕是在虚拟世界,你也得工作。

用超级计算机应对人类抗生素耐药性

像红霉素这样的抗生素曾经起到了巨大作用,但是随着抗生素的滥用,很多细菌都对抗生素产生了耐药性。据估计,每年约有 70 万人死于抗生素耐药细菌,而这一数字预计将上升至数百万。朴茨茅斯大学研究团队的 一项研究 通过重新设计现有抗生素来克服细菌耐药性机制,利用超级计算机来对抗细菌的进化能力,最终解决耐药性问题。该团队已经证明,他们的最佳候选药物(尚未进行临床试验)对测试菌株的活性是红霉素和克拉霉素的 56 倍。其候选药物对世卫清单上排名前三的细菌依然有效,而这三种细菌已经对红霉素和克拉霉素产生耐药性。

老王点评:有人曾经问超级计算机有什么用?这就是超级计算机的用处之一。

小偷机器人正在窃取你的 2FA 代码

诈骗者使用了一种机器人,通过电话 冒充苹果支付、贝宝、亚马逊、Coinbase 和各种银行的来电,欺骗受害者输入其 2FA 代码。电话中说,“有人试图使用你的账户消费。需要验证你的身份以阻止转账”。并说:“为了保护你的账户,请输入我们现在发给你的移动设备的代码。”在输入一串六位数字后,该声音说:"谢谢你,你的账户已经得到保护……。你现在可以挂断了。”以前往往需要黑客直接与受害者对话,在电话中假装是银行或相关支付机构,而这些机器人大大降低了绕过多因素认证的门槛。

老王点评:真是科技助长坏人。无论如何,你的多因素认证代码不要给任何人,除非是你主动进行的操作。

自 JDK 17 开始 Oracle JDK 又可以免费商用了

Oracle 最新发布的 NFTC 许可 中撤回了 2018 年制定的要对 Oracle JDK 收取商用费用的决定,并且也将继续提供 Oracle OpenJDK 发行版。最新 NFTC 适用于最近发布的 Oracle JDK 17 和后续版本。Oracle 对此解释称,“在 GPL 下提供的 Oracle OpenJDK 构建版本是非常受欢迎的,但来自开发者、学术界和企业的反馈是,他们也希望在一个明确的自由条款许可下获得值得信赖、坚如磐石的 Oracle JDK。”并明确表示,新版 NFTC “包括商业和生产用途”,而且“只要不收费,允许再分发”。但调查表明,甲骨文的 JDK 发行版已不再是最受欢迎的 Java 发行版。开发人员们更喜欢 AdoptOpenJDK、亚马逊、微软等其他供应商的 OpenJDK 发行版。

老王点评:早知今日何必当初。但是即便如此,我也不看好他们对开源方面的态度。

科学家开发出可存储 138 亿年的 5D 光盘

南安普顿大学的研究人员“开发了一种快速和节能的激光写入方法,用于在硅玻璃中生产高密度的纳米结构,这些微小的结构可用于长期的 五维光学数据存储,其密度是蓝光光盘存储技术的 10,000 倍以上。”数据存储在玻璃光盘中三层纳米级的点上,这些点的大小、方向和位置(在三个维度上)提供了用于编码数据的五个“维度”。研究人员说,5D 光盘可以在 138 亿年后仍然可读,并且在较短的时间内被加热到 1000 摄氏度后也可以继续保持数据。写入数据速率大约为每秒 230 KB,一张 5D 光盘可存储 500 TB 数据。这项工作仍处于早期阶段。

老王点评:有趣的技术,就是不知道这些光盘怎么保存 138 亿年。

麦当劳开源了薯条字体

上周,麦当劳授权薯条体在 GitHub 上开源。该字体带有薯条和番茄酱设计风格,可以免费下载,只要标注 “#麦当劳薯条体”字样就能自由使用,包括商业用途。

老王点评:感觉这字体适合在万圣节、密室逃脱中使用。

研究人员在源代码中隐藏人眼看不见的漏洞

剑桥大学的研究人员发表论文,介绍了 在源代码中隐藏人眼看不见的漏洞的攻击方法。这种被称为 Trojan-Source 的攻击方法利用了 Unicode 中的特殊字符,通过方向覆盖、同形异义等方法创造出对编译器和人类视觉上存在差异的源代码。人眼看不出漏洞,但对编译器来说逻辑编码顺序和显示的顺序是不同的。这种攻击方法对大多数主流编程语言都有效,研究人员已经将漏洞报告给了相关项目。

老王点评:“眼见并不为实”,这个锅一方面是 Unicode 无克制的增加各种奇怪字符和控制字符导致的,另外一方面也是传统上面对 ASCII 字符的编程语言支持 Unicode 时没有预料到这种恶意利用。

美国航空机构与电信机构因 5G 发生争执

美国联邦航空管理局正准备向飞行员和航空公司发出警告,指出一项新的 5G 无线服务可能会干扰飞机驾驶舱安全系统、自动化系统,该服务将于 12 月初上线。美国联邦通信委员会则对安全问题进行了反驳,称在审查了对航空安全的潜在影响后,于 2020 年初制定了频谱使用规则,现有证据不支持 5G 网络会干扰航空安全的结论。双方争论的核心问题是无线电频谱在 3.7 到4.2 GHz 之间的波段。该波段非常适合 5G 网络传输,并且已经服务于一些国家的手机网络中。而航空设备则工作在 4.2 至 4.4 GHz 的附近频段,因此,美国联邦航空管理局觉得增加了干扰的可能性。

老王点评:说到底,还是频谱之争。

蓝牙标签被用来跟踪被盗物品

今年 4 月,苹果公司发布了 29 美元的 AirTag,为更广泛的受众带来了更有效的蓝牙跟踪技术。虽然苹果公司从没有说过 AirTag 可被用于 追回被盗财产,但实际上该公司建立了一个非常适合此类用例的网络。每一款兼容的 iPhone、iPad 和 Mac 都被默默地用作定位设备,AirTag 使用蓝牙向最近的 Apple 设备发送带有其加密位置的 ping,这些设备将信息传递到苹果的 Find My 网络。兼容 Apple 设备有近 10 亿台,使得 Find My 非常有效,尤其是在城市中。

老王点评:从技术上来说,是一个非常有用的进步,但是如何避免被滥用是个问题。

法院要求 Signal 提供私人用户数据,但它根本没有

端对端加密消息应用 Signal 通过其官方博客 公布 了它收到的一张法庭传票,传票要求它提供各种用户数据。然而Signal 根本没有数据可以提供。这家公司指出,“Signal 无法访问你的信息、你的聊天列表、你的群组、你的联系人、你的贴纸,你的个人资料名称或头像。” Signal 能提供给法庭的唯一东西就是有关账号创建和最后一次访问该服务的 Unix 时间戳。

老王点评:这简直就是给 Signal 打广告啊。

Linux 5.15 内核发布,NTFS3 驱动上线

Linux 5.15 正式释出,该版本的提交数是 5.x 系列最少的。主要新变化包括:Paragon 开发的 NTFS3 内核驱动终于进入了主线;新内核模块 KSMBD 实现了服务器端 SMB3 协议;在 DRAM 满的情况下内存页的内容转移到持久性内存而不是直接丢弃;等等。

老王点评:虽然不知道有多少人会在 Linux 下使用 NTFS 卷,但是看到这个商业驱动终于变成了开源软件的一部分,还是很好的。

开源软件给特朗普的社交网站 30 天时间遵守 AGPL 许可证

自由软件社交网络项目 Mastodon 向美国前总统特朗普的公司发去 正式通知,要求其基于 Mastodon 开发的社交网络 TRUTH Social 遵守 AGPL 许可证公开修改的源代码。特朗普旗下的公司上周 宣布 了新的社交网络 TRUTH Social,预计 11 月开放测试。然而 TRUTH 很快被发现是基于 Mastodon,按照 AGPL 许可证要求它需要公开源代码。

老王点评:这老头可以说,没有人比我懂开源软件和许可证。