硬核老王 发布的文章

密码管理软件 LastPass 承认遭到黑客入侵

全球用户数超过 3300 万的密码管理软件公司 LastPass 表示,最近一名黑客在侵入其开发系统后窃取了部分源代码和一些专有信息。LastPass 将密码存储在“加密的保险箱”中,只有使用客户的主密码才能解密。LastPass 表示在这次网络攻击中主密码没有被泄露,用户不需要采取行动来保护他们的账户。

消息来源:Bleeping Computer
老王点评:理论上客户的主密码不会被泄露,因为 LastPass 也没有。但是其软件的源代码被泄露,或许一些潜在的缺陷就会被利用。总之,这个事情可能还需要进一步评估。

iPhone 的锁定模式会导致被识别

iPhone 的“锁定模式”禁用了一系列可用于入侵 iPhone 用户的功能。但是,如果用户打开锁定模式,他们将很容易被打上指纹和识别。据一位开发者说,他创建了一个概念验证网站,可以检测你是否启用了锁定模式。任何网站或在线广告都可以检测到一些常规功能是否缺失,比如加载自定义字体,这是锁定模式禁用的功能之一。

消息来源:VICE
老王点评:这是安全和隐私之间的一个权衡,选择了极致安全却丢失了隐私。也许,会有更好的权衡方案。

微软称 80% 勒索软件攻击都是由于服务器错误配置导致

微软最近发布的《Cyber Signals》报告指出,勒索软件即服务(RaaS)日益猖獗,但是常规的软件设置就能应对,可以阻止大部分勒索软件攻击。此外,报告中还发现客户错误配置云服务、依赖不可靠的安全软件,以及通过默认宏设置的流量勒索软件,这导致微软制造了某种勒索软件攻击,即人为操作的勒索软件。

消息来源:Onmsft
老王点评:问题是,依靠人总是有各种疏漏,所以如何用软件或机制来保障这 80% 的情况才是最重要的。

Python 虽然是最受欢迎的编程语言,但是找工作还是要会点 SQL

在 IEEE 的最新年度调查榜单中,Python 名列榜首,然后是三种 C 语言的变体(C、C++ 和 C#),接着是 Java、SQL 和 JavaScript。但涉及到找工作时,SQL 爬到了列表的顶端,其次是 Java、Python。该榜单的编辑称,“SQL 信号的强度并不是因为有很多雇主只寻找 SQL 程序员,……他们想要一种特定的语言加上 SQL。”

消息来源:The Register
老王点评:复杂的 SQL 不会,简单的 SQL 总是会一点的,所以,请在简历上大大的写上 SQL。

微软发现一个 ChromeOS 的高危漏洞

微软在 ChromeOS 中发现了一个漏洞,并给它打出了 9.8 的评分。在报告给谷歌后,该漏洞不到一周就得到了修复,只用了一个月就提供给了用户。这个问题源于 D-Bus,它是 Linux 中使用的一种进程间通信机制,使用了一个标准库中的典型的危险函数 strcpy(),稍有安全经验的 C 程序员都知道这个函数容易出现缓冲区溢出安全漏洞。这个漏洞为安全研究人员得到了 25000 美元的奖金。比较有趣的是,以往经常是谷歌的 Project Zero 团队提醒微软的产品漏洞,并且,如果在三个月内没修复就会不管不顾地公开漏洞细节。有时候让微软特别上火。

消息来源:The Register
老王点评:居然会犯这么低级的错误,这钱也太好挣了吧 —— 我寻思是不是写个扫描器,当这些有钱的企业的代码一旦发布,就触发对这种经典漏洞的扫描。

利用手机陀螺仪窃取物理隔离系统的数据

物理隔离在物理上是隔离的,用于对安全要求特别高的环境中,它无法与其他计算机或网络设备进行无线或物理连接。之前有研究利用物理隔离系统上的扬声器发出特定频率的声波,从而通过手机接受声波而窃取数据。现在安全专家发现陀螺仪也可用于此用途。陀螺仪用于检测智能手机的旋转速度,被广泛认为是一种安全的传感器,因而 iOS 或 Android 没有提供阻止访问的选项。安全专家利用这种方法,可以在“几米远”的范围内从物理隔离的计算机中窃取敏感信息。这些听不见的频率会让陀螺仪产生微小机械振荡,从而将其转换为数据。

消息来源:Tech Crunch
老王点评:真是无孔不入,我觉得这种物理隔离环境就不该让人带手机进去。?

Tornado Cash 代码在 GitHub 上重新上传

美国财政部本月早些时候宣布制裁混币器 Tornado Cash,禁止美国个人或组织与 Tornado Cash 有任何交易往来。GitHub 随即下架了该代码库,删除了开发者账号。荷兰还逮捕了一名参与它的开发的开发者。本周,美国约翰霍普金斯大学计算机科学教授 Matthew Green 以教学和研究的目的在 GitHub 上重新上传了 Tornado Cash 代码。电子前哨基金会(EFF)宣布将代表 Green 教授捍卫发布源代码的权利。EFF 称美国宪法第一修正案保护了 GitHub 托管代码的权利,也保护了 Green 教授重新发布代码的权利。

消息来源:EFF
老王点评:这让我想起来当年 PGP 源代码以出版书籍的方式被带出美国的事情。

亚马逊使用为将来保留的 IPv4 240/4 地址段

称之为 E 类地址的 240/4(240.0.0.0 - 255.255.255.255)被保留供未来使用。但 IPv4 地址资源的稀缺促使 IETF 开始讨论使用这些地址空间。主要操作系统从 2008 年起就支持将 240/4 地址空间作为单播地址使用。调查发现,亚马逊等公司已经在没有和国际互联网机构协调的情况下,在其 AS 内使用 240/4 地址块。

消息来源:RIPE
老王点评:就算是这几亿个 IP 地址释放出来,也很快就会耗尽,所以倒不如像现在这样,当成私有地址使用好了。

美科技巨头收集了大量用户数据,谷歌最多

研究人员分析了谷歌、苹果、Facebook、亚马逊和 Twitter 等主要科技公司收集的用户的大量敏感数据。其中,谷歌从用户那里收集的数据最多,有 39 种。接下来是 Twitter,24 种;亚马逊,23 种;Facebook,14 种。排名最后的是苹果,它收集了 12 种。报告称,“用户没有耐心、时间或精力来发现网站存储了哪些信息,以及如何利用这些信息来获取利益。这意味着,用户通过接受隐私政策,能够让这些公司获取他们所需要的所有信息。”

消息来源:Stock Apps
老王点评:这些商业公司不收集用户隐私反而会是奇怪的事情,所以,现在开始比谁最过分了,不出预料,果然是广告公司谷歌拔的头筹。

现代公司的电动汽车在其车载系统使用教程上的示例密钥

一位开发者发帖称,他想要修改汽车上的车载信息娱乐系统,他的汽车是现代公司 2021 款的“全新未来移动生活概念的电动汽车 IONIQ”。在试图找出如何为汽车更新定制固件时发现,其中用来为某些部分签名的 RSA 公钥可以在网上搜索找到。更离谱的是,正如这位开发者说的,“如果运气好的话,他们不仅留下了公钥,还留下了私钥”,它是一个常见的密钥对,出现在“使用 OpenSSL 进行 RSA 加密和解密的 C 语言示例”之类的在线教程中,在这些教程中列出了使用的示例公钥和私钥。现代公司对此没有置评。

消息来源:The Register
老王点评:这可真是按照教程来的,连示例的密钥对都一起学习了。

AI 被用于通过监控视频中的行人步态识别和分类行人

据报道,马里兰大学的一个明星教授研究团队在资金的支持下,开发了一种城市监控软件,可以根据行人的独特步态特征来识别他们。然后,该算法将使用这些步态特征将行人分为“好斗”、“害羞”、“冲动”和其他性格。“这些能力将被用来预测每个行人的行为,对监视很有用”。他们在赞助方提供的视频上进行了测试,并提供了该软件的 C++ 代码库和原始数据集作为交付品。该团队还进行了“模拟大规模异质人群的有效计算模型”等类似研究。这一研究引发了对“关于机器学习研究中的严重道德问题”的关注。

消息来源:The Daily Beast
老王点评:AI 究竟该用于什么地方,该如何用,这里面不仅仅是道德问题,还应该是法律问题。我只能说这么多了。

苹果公司的服务成为其收入的重要来源

迄今为止,苹果公司已将 18 亿台设备装入世界上一些最富裕的消费者的口袋和办公桌上。现在,它正在向其他公司出售这些客户的使用权,并说服那些拥有其设备的人注册自己的订阅服务。去年,苹果的服务带来了 680 亿美元的收入,占苹果总收入的 19%。在最近一个季度,服务收入的份额甚至高达 24%。据估计,最大的一块是来自其应用商店的费用,去年的费用可能达到 250 亿美元。其次是谷歌为 iOS 中的默认搜索引擎付出的费用,2020 年付出了 100 亿美元,据估计现在接近 200 亿美元。而其广告服务今年估计是 70 亿美元。剩下的是一系列订阅服务:iCloud 存储、苹果音乐和苹果护理保险等等。

消息来源:Economist
老王点评:成功的硬件和软件带来的大量用户,其附加服务也是日进斗金。

研究发现所有的网络拥塞控制算法都可能是非常不公平的

尽管在过去大约 40 年中提出了数百种控制计算机网络“拥堵”延迟的关键算法,但没有明显的赢家。一项新的研究发现,每种拥塞控制算法都无法解决“饿死”的问题,即让一些用户占据了所有的带宽,而至少有一个人基本上得不到带宽。拥塞控制算法依靠数据包的丢失和延迟作为细节来推断拥塞,并决定发送数据的速度。然而,数据包可能因为网络拥堵以外的原因而丢失和延迟 —— 这被称之为网络“抖动”。而拥塞控制算法无法区分由拥塞和抖动造成的延迟的区别,由抖动引起的延迟是不可预测的,最终会导致出现饥饿的情况。

消息来源:Slashdot
老王点评:这就是算法的不公平,或许,限定在算法的层面上,并无一个完美的解决方案。

TikTok 否认内置浏览器记录用户输入

研究发现,流行 iOS 应用如 TikTok、Instagram、FB Messenger 和 Facebook 都支持用户在应用内打开浏览器访问第三方网站,期间会植入跟踪代码。以 TikTok 为例,它会记录用户的所有键盘输入,包括密码信用卡信息等敏感数据,以及屏幕上的每一次点击。从技术上说这相当于安装了一个键盘记录器。在这一报道发表之后,TikTok 发表声明,证实该功能存在,但 TikTok 并没有利用这些代码。TikTok 表示应用内浏览器旨在提供更好的用户体验,它植入第三方网站的 JS 代码是为了调试、排错和性能监视。

消息来源:Solidot
老王点评:植入这种第三方 SDK,即便是没启用,但是谁知道你什么时候会启用呢?

美国绝大部分雇主正在跟踪员工的生产力

根据《纽约时报》的调查,美国 10 个最大的私人雇主中,有 8 个正在为他们的雇员追踪生产力指标。其中一些软件测量活动时间,观察键盘停顿,甚至默默地计算击键次数。他们看到了从写电子邮件的时间到键盘活动的一切。如果员工没有达到预期的目标,就会产生影响:一个催促的通知,一个跳过的奖金,或者一个在家工作的日子被剥夺。对于在返回办公室的斗争中投降的雇主来说,这种监控是保持控制感的一种方式。

消息来源:Slashdot
老王点评:这可真是“工具人”,我觉得这和用代码行数来统计程序员的绩效具有“异曲同工之妙”。

新的 USB “橡皮鸭子”比以前更危险

USB “橡皮鸭子”看起来就像一个普通的 U 盘。但把它插入电脑,机器就会把它看作是一个 USB 键盘。最初的 USB “橡皮鸭子”在 10 多年前发布,成为黑客们的最爱,如创建一个假的 Windows 弹出框来获取用户的登录凭证,或使 Chrome 浏览器将所有保存的密码发送到攻击者的服务器。这些年来它也在不断更新。新的 DuckyScript 3.0 允许用户编写函数、存储变量和使用逻辑流控制,成为了一种功能丰富的语言。它还可以将数据编码为二进制格式,并通过键盘的大写锁定或数字锁定灯的闪烁作为信号,来窃取目标机器的数据。用这种方法,攻击者可以把它插上几秒钟,告诉别人:"对不起,我想那个 U 盘坏了",然后把它拿回来,并保存他们所有的密码。

消息来源:The Verge
老王点评:真是防不胜防,要我说,这些黑客工具的想法也真巧妙。

Copilot 将使计算机教育的编程练习变得毫无意义

有计算机教授担心 Copilot 将使传统的计算机教育的编程练习变得毫无意义,因为 Copilot 知道所有的答案。“据我所知,Copilot 在所有的入门编程作业上都接受过专门培训,Copilot 该死的喜欢编程入门作业。”虽然很多计算机编程练习可以在网上找到代码的例子,但老师也可以在谷歌上找到它们,然后用抄袭检测器将这些代码与提交的代码进行比较。而 Copilot 是不同的,它实际上产生了新颖的解决方案,在表面上有足够的不同,以至于它们看起来可能来自学生们自己写的。

消息来源:The Register
老王点评:确实,这就如同使用计算器来学习初等数学,并不能真的让人学会数学。所以,计算机教育需要为 Copilot 这类 AI 工具的到来做一些准备。除了限制对 Copilot 的访问,是否还可以做更多的事情?

新的后量子密码学算法将于 2024 成为标准

上个月,由恩智浦、IBM 和 Arm 的安全专家共同编写的专门安全算法被美国 NIST 选中,成为旨在应对量子威胁的行业全球标准的一部分。NIST 宣布了这些后量子密码学算法将在 2024 年成为标准。而目前通行的 RSA 和 ECC 等密码学算法用了十多年才确定了最佳标准。

消息来源:IoT Times
老王点评:先不说两年时间能不能准备好,我认为现在的抗量子加密学算法还未经受过考验,仓促之下怕是用处有限。
  1. 1
  2. ...
  3. 87
  4. 88
  5. 89
  6. 90
  7. 91
  8. 92
  9. 93
  10. ...
  11. 213