分类 硬核观察 下的文章

新的 USB “橡皮鸭子”比以前更危险

USB “橡皮鸭子”看起来就像一个普通的 U 盘。但把它插入电脑,机器就会把它看作是一个 USB 键盘。最初的 USB “橡皮鸭子”在 10 多年前发布,成为黑客们的最爱,如创建一个假的 Windows 弹出框来获取用户的登录凭证,或使 Chrome 浏览器将所有保存的密码发送到攻击者的服务器。这些年来它也在不断更新。新的 DuckyScript 3.0 允许用户编写函数、存储变量和使用逻辑流控制,成为了一种功能丰富的语言。它还可以将数据编码为二进制格式,并通过键盘的大写锁定或数字锁定灯的闪烁作为信号,来窃取目标机器的数据。用这种方法,攻击者可以把它插上几秒钟,告诉别人:"对不起,我想那个 U 盘坏了",然后把它拿回来,并保存他们所有的密码。

消息来源:The Verge
老王点评:真是防不胜防,要我说,这些黑客工具的想法也真巧妙。

Copilot 将使计算机教育的编程练习变得毫无意义

有计算机教授担心 Copilot 将使传统的计算机教育的编程练习变得毫无意义,因为 Copilot 知道所有的答案。“据我所知,Copilot 在所有的入门编程作业上都接受过专门培训,Copilot 该死的喜欢编程入门作业。”虽然很多计算机编程练习可以在网上找到代码的例子,但老师也可以在谷歌上找到它们,然后用抄袭检测器将这些代码与提交的代码进行比较。而 Copilot 是不同的,它实际上产生了新颖的解决方案,在表面上有足够的不同,以至于它们看起来可能来自学生们自己写的。

消息来源:The Register
老王点评:确实,这就如同使用计算器来学习初等数学,并不能真的让人学会数学。所以,计算机教育需要为 Copilot 这类 AI 工具的到来做一些准备。除了限制对 Copilot 的访问,是否还可以做更多的事情?

新的后量子密码学算法将于 2024 成为标准

上个月,由恩智浦、IBM 和 Arm 的安全专家共同编写的专门安全算法被美国 NIST 选中,成为旨在应对量子威胁的行业全球标准的一部分。NIST 宣布了这些后量子密码学算法将在 2024 年成为标准。而目前通行的 RSA 和 ECC 等密码学算法用了十多年才确定了最佳标准。

消息来源:IoT Times
老王点评:先不说两年时间能不能准备好,我认为现在的抗量子加密学算法还未经受过考验,仓促之下怕是用处有限。

韦伯太空望远镜大量使用了 20 年前的一种 JavaScript 方言

根据韦伯太空望远镜的综合科学仪器模块手册,它有一堆预先写好的 JavaScript 脚本来完成特定的任务,地面上的科学家可以告诉它运行这些任务。当然,这些脚本不是运行在一个浏览器里面,而是用一个叫做“脚本处理器”的程序解释,然后它将根据脚本的要求,与其他的应用程序和系统联系。这些脚本所使用的语言是一种 JavaScript 版本 Nombas ScriptEase 5.00e,但开发它的公司已不存在,这种语言最后的版本发布于 2003 年。虽然韦伯太空望远镜是在 2021 年底发射的,但这个项目从上世纪八十年代就开始了,而建设在 2004 年开始时的。

消息来源:The Verge
老王点评:居然选择了这么古老而不严谨的脚本,这十年间就难道没有一点点改进的想法吗?

VFX 参考平台建议动画行业升级到 RHEL 9

VFX 参考平台旨在帮助规范数字内容创作领域的软件平台,以发布年度软件建议清单而闻名,如每个操作系统上的编译器版本,特定年份的 Qt/Python/Numpy 组件,以及基于行业反馈和与各种内容创作者和工作室互动的各种其他软件版本。他们发布了一份报告,供视觉效果和动画工作室在选择下一个 Linux 平台时考虑。他们发现很多工作室仍然依赖 CentOS 7,他们建议这些工作室不迟于 2024 年转移到新的操作系统,首选是红帽的 RHEL 9,或者 Rocky Linux、AlmaLinux 等下游分支。他们也建议可以考虑 Ubuntu Linux。

消息来源:Phoronix
老王点评:即便不想付费购买 RHEL 9,Rocky Linux 等也可以考虑。其实,根据我的研究, CentOS Stream 也是可以的。

Meta 用算法“随机”解雇 60 名劳务派遣人员

此前 Meta 与埃森哲签订了近 5 亿美元的合同,由隶属于后者的劳务派遣人员到 Meta 位于奥斯汀的办公室工作,主要开展内容审核和商业诚信等业务。Meta 通过视频电话会议告知被裁的员工,除了明确是“随机”选择之外,没有给出裁员的具体原因。去年 8 月份,游戏行业支付处理公司 Xsolla 也使用算法裁掉了 150 名员工。

消息来源:纽约邮报
老王点评:很多底层员工,在他们看起来,其实就是一个数字,可以掷骰子决定。

听别的电脑放歌会崩溃的笔记本电脑

微软的一位工程师分享了一个 Windows XP 时代的故事:某些型号的笔记本电脑在播放珍妮·杰克逊的上世纪八十年代的热门音乐视频《节奏国度》时会崩溃。更离奇的是相邻的一台未播放音乐的笔记本电脑也崩溃了。原因是《节奏国度》中的音频与某款笔记本硬盘发生共振,会干扰其运行。该 bug 被赋予了正式的 CVE 编号 CVE-2022-38392。还好这些电脑是 2005 年上市的,基本上已经淘汰。

消息来源:ARS Technica
老王点评:这音乐太劲爆了,笔记本电脑脆弱的小心脏受不了。

骗子利用带有微软徽标的 U 盘来诈骗

一位安全顾问称,接到了一个印刷有微软品牌的欺诈 U 盘。该 U 盘被包装在一个 Office 2021 专业版的纸盒内。当用户将该 U 盘插入他们的电脑之后,就会弹出一条假的警告信息,告知用户他们的系统中存在病毒,并提示受害者拨打技术支持电话,这显然是骗子使用的号码。然后,骗子要求受害者安装一个远程访问程序来接管系统。

消息来源:Sky News
老王点评:这诈骗真是用心了,还专门弄了包装盒和印刷了徽标的 U 盘。

DDoS 攻击新纪录:每秒请求超过 4600 万次

今年 6 月,Cloudflare 报告遭遇了有史以来最大规模的 DDoS 网络攻击,峰值每秒请求高达 2600 万次。这刷新了 2021 年 8 月创下的 1720 万次和 2022 年 4 月创下的 1530 万次。不过谷歌最近披露的一个数据创造了新纪录:峰值达到了每秒 4600 万次。攻击于 6 月 1 日凌晨开始,速度为每秒 1 万次请求,但在 8 分钟后升至每秒 10 万次请求,此时 Cloud Armor 自适应保护启动。两分钟后,每秒请求数增加到 4600 万。攻击在 69 分钟内消失了,可能是因为被 Cloud Armor 挫败而没有达到预期的效果。

消息来源:The Register
老王点评:如果没有云服务商的 DDoS 防护服务,任谁也扛不住这种强度的攻击啊。

好奇号将通过软件更新提速 50%

已经登陆火星达十年之久的好奇号火星车,依靠视觉测程法测量行驶距离,它通常每行驶约 1 米就要停下来检查周围环境的照片,以计算究竟走了多远。这种谨慎的做法使得好奇号的时速只有 45 米,而它本身的硬件能支持每小时 120 米的速度。更新后的软件可以让好奇号在静止时拍摄周围环境照片,而在行驶时检查位置并修正错误。测试显示,好奇号的时速能增加到 83.2 米,提速 50%。

消息来源:新科学家
老王点评:一样是“电动车”,要是电动汽车得到这种提升 50% 的升级补丁,怎么也得收个升级费或订阅费啊。

VisionFive RISC-V 单板机正式得到 Ubuntu 支持

Canonical 正式发布了适用于 VisionFive RISC-V 单板机的 Ubuntu 22.04.1 LTS。作为一款售价 179 美元的单板机,国内厂商赛昉科技的 VisionFive 旨在支撑成熟的 RISC-V Linux 发行版运行。过去几个月,Canonical 工程师一直在努力向后移植各种补丁,以确保 Ubuntu 22.04 LTS 也可在该单板机上良好运行。

消息来源:Phoronix
老王点评:说起来,下周二赛昉科技会在线上举办发布会,会发布全球首款高性能、低成本的开源 RISC-V 单板计算机。

Linus 破例为 NTFS3 内核驱动更新网开一面

Linux 6.0 的合并窗口已经关闭,正常情况下除了修复 bug,不会接受代码清理、功能添加等提交。而在两周的合并窗口期间,开源的 NTFS3 并未带来新功能代码和其它严重 bug 修复。不过,维护者在 rc1 发布后,提交了一批 NTFS3 代码重构和 bug 修复。Linus Torvalds 认为“似乎大多仅为重构和清理 —— 这些内容本该在上一个合并窗口期内出现。不过鉴于这些只涉及 NTFS3 本身,我们认为相关实验还是相当可靠的。”因而破例接纳了这些提交。

消息来源:Phoronix
老王点评:毕竟 NTFS3 是 Linus 钟爱的部分。

无处不在的 DOOM,这次是拖拉机

在最近的 Def Con 安全会议上,安全研究人员演示了在约翰迪尔 4240 拖拉机的显示屏上运行 DOOM 游戏。研究人员花了数个月时间,来越狱该拖拉机所使用的 Linux 系统。在拖拉机上运行的 DOOM 游戏也经过了特别修改,场景被设置在玉米田里,玩家操纵拖拉机去消灭敌人。这一尝试不仅仅是好玩,其展示的获取 root 访问权限的方法,可能有助于农民绕过这类拖拉机的限制,自行维修拖拉机,这算是对“维护权”的一种努力。

消息来源:Wired
老王点评:方法已经有了,现在就缺一台可以玩 DOOM 的拖拉机了,知道这拖拉机多少钱嘛。

中国主要互联网公司向网信办备案算法

网信办上周公布了境内互联网信息服务算法备案清单,中国主要互联网公司向网信办披露了其使用的算法细节。清单包含了 30 个备案算法,其中包括网易新闻的推送算法和信息搜索算法,360 的搜索信息检索算法,微博热搜算法,美团配送调度决策算法,百度信息检索算法,抖音个性化推荐算法,淘宝推荐算法,微信看一看个性化推送算法,等等。

消息来源:Solidot
老王点评:被算法操纵下的世界,公开不公开,都无法逃避算法的操纵。

微软为 Ubuntu 22.04 LTS 提供原生 .NET 6 支持

微软和 Canonical 共同宣布了在 Ubuntu 22.04 LTS 主机和容器环境中可原生运行 .NET 应用。微软的 .NET 6 现在可以在 Ubuntu 22.04 LTS 上通过简单的命令安装使用。.NET 开发平台是微软对开源项目最早的贡献之一。Canonical 为 .NET 6 LTS 和 ASP.NET 运行时发布了新的、符合 OCI 标准的超小型设备镜像,无需 Shell 或软件包管理器。

消息来源:Ubuntu
老王点评:来自官方的 .NET 原生支持终于出现了,不知道有多少 .NET 程序会在 Linux 下运行?

Linus 发布 Linux 6.0 的第一个候选版本

Linus Torvalds 说主版本的变化并不意味着这个版本有什么根本不同,他说,“我早就摒弃了‘主要版本号是有意义的’概念,使用分层版本号的唯一原因是它更容易记忆和区分”。他也表示,一些中国开发者建议采用 5.20 版本号,他说“因此,如果你想把这个叫做 ‘Linux 5.20’,那你继续好了”。该版本包括了 13,099 个更改的文件,这意味着“6.0 看起来是又一个相当大的版本”。大部分的更新是对 GPU、网络和声音的改进。他对一些支持 Rust 的代码没有进入该版本表示遗憾,“我希望我们能得到一些最早的 Rust 基础设施,以及多代 LRU 虚拟机,但这两个都没能进入”。

消息来源:The Register
老王点评:关于 Linux 5.20 的更详细的介绍,我今天专门写了一篇文章,感兴趣的可以去看看今天 Linux 中国的微信头条。

AI 可以使未来的消防员免于致命的燃爆

当房间里的可燃材料突然开始一次性点燃时,就会发生燃爆,并产生大量的热量和可燃气体爆炸,可能会打破墙壁和窗户。据估计,消防员受伤事故中有 13% 是燃爆造成的。来自美国 NIST、谷歌以及香港理工大学和中国石油大学的研究人员,建立了一个使用图神经网络(GNN)的系统,从模拟火灾中学习不同的数据来源之间的关系。他们使用了 25,000 个火灾案例来训练模型。初步结果显示,该模型的准确率最高为 92.1%,可以检测未来 30 秒内是否会发生燃爆。

消息来源:The Register
老王点评:非常有意义的研究,这比用 AI 来聊天更具有价值。另外,图神经网络似乎是个很有希望的技术。

谷歌发布 Android 13,源代码已发布到 AOSP

Android 13 开始推送给谷歌的智能手机 Pixel 系列,今年晚些时候,主要厂商三星、小米、一加等也会给旗下部分型号手机更新 Android 13。新变化包括:自定义非谷歌应用匹配墙纸主题和颜色,允许给应用分配与系统不同的语言,设定应用只能访问特定照片和视频,剪切板拷贝的敏感数据会在一定时间后自动清除,等等。Android 13 的源代码已经发布到了安卓开源项目(AOSP)。

消息来源:谷歌
老王点评:我觉得买谷歌 Pixel 手机的最大好处就是能第一时间得到新版本,我也想买一台。