分类 新闻 下的文章

迈阿密考虑用比特币支付工人的工资

报道,这个计划允许以 BTC 支付部分或全部工资,该市委员会以 4:1 批准了该决议。迈阿密市长表示,“这让我们的居民可以用比特币支付费用。”该提案还被提交给州立法机构,以允许 BTC 作为可以接受的货币。

虽然这是一个好的迹象,但是以 BTC 作为一种日常流动的货币来使用,似乎并不是合适的做法。

CloudLinux 为树莓派提供了零停机时间的实时补丁

CloudLinux 宣布,其 KernelCare 服务现在支持树莓派平台。这是一项免费服务,以确保物联网设备和组件自动更新并始终可用。这为物联网项目提供了更好的保护,可以让新发现的漏洞被修复,而不是容易成为黑客的目标。

目前该服务支持 64 位 ARM 平台的 Ubuntu,并将很快支持 Debian 和 Raspbian。目前支持树莓派 4 和树莓派 3 和 2 的后续型号。

实时补丁的内核一般用在重要的生产服务器上,不过对于 IoT 领域来说也相当重要。采用树莓派作为 IoT 设备使用,虽然是个小众市场,但是颇有意义。

微软在量子计算机上的押注失败

多年来,微软一直在押注某个名叫“马约拉纳费米子”的量子粒子,以构建一台能够实际运行的量子计算机。2018 年的时候,受微软资助的一支以色列研究团队宣布,他们已证明这种粒子确实存在于过冷的半导体纳米线中。然而,这篇 2018 年的论文被撤稿,意味着微软从“光明前景”直接跌落到了“重头再来”。与此同时,使用更常规技术的谷歌,已经在 2019 年宣布了实现了量子优势。

在量子计算最终形成更大规模的应用前景之前,技术的道路总是曲折的。就是不知道这篇被撤销的论文是否涉及学术造假。

苹果将在 iOS14.5 上代理安全浏览流量,以隐藏用户 IP 不被谷歌发现

安全浏览 Safe Browsing ”是谷歌推出的一项安全服务,其工作原理是将用户试图访问的 URL,以匿名状态发送至谷歌的安全浏览服务器,由谷歌访问该网站并扫描威胁。多年前,当谷歌推出安全浏览API时,谷歌是知道使用该服务的用户正在访问哪些网站的。虽然近年来,对用户通过安全浏览功能发送的数据进行了一定的匿名化处理,但谷歌仍然可以看到来自安全浏览检查的 IP 地址。

而据报道,在苹果即将发布的 iOS 14.5 版本将搭载一项功能,即通过苹果控制的代理服务器重新路由所有 Safari 的安全浏览流量,以防止谷歌了解 iOS 用户 IP 地址。当然,只有当用户在 iOS Safari 应用设置中激活“欺诈网站警告”选项时,新功能才能发挥作用。

看起来,苹果对谷歌的隐私底线不够信任,那么,作为最终用户,你是信谷歌还是信苹果?

自去年以来,webshell 的数量已经翻了一番

微软表示,近来每月约能检测到 14 万个 webshell,而去年 8 月才 7.7 万个。这个曾经被认为是脚本小子搞乱网站的工具,现在也是 DDoS 僵尸网络运营商的首选工具。

webshell 是简单的脚本,几乎可以用任何在 Web 服务器上运行的编程语言来编写,比如 PHP、ASP、JSP 或 JS。而这样的脚本,可以很容易地隐藏在网站的源代码内。这使得它们难以检测。此外,webshell 还为恶意行为者们提供了一种简单的方式,可以通过图形或命令行界面在被攻击的服务器上执行命令,为恶意行为者提供了一种简单的攻击方式。

这个数据是微软基于其安全软件遥测得到的数据,似乎我还没看到针对 Linux 的同类的开源安全软件。

谷歌为 Python 编程语言提供 35 万美元的资金支持

Python 对谷歌云及谷歌云的用户都至关重要,谷歌内部也使用 Python 来驱动其许多核心产品和服务。谷歌从 2010 年开始赞助 PSF,成为 Python 语言的第一个“有远见的赞助商”。现在,谷歌正在捐赠 35 万美元以支持一些 Python 软件基金会(PSF)的项目,这些项目旨在提高 Python 生态系统的供应链安全性。

谷歌对 PSF 的支持包括:对 PyPI 的恶意软件检测、对核心 Python 工具和服务的改进,以及 2021 年贡献一个 CPython 的全职开发者职位。

Python 的成功,除了生逢其时,也得益于这些赞助商和贡献者们。当然,这是相辅相成的。

科学家发现,猪都可以玩电子游戏

报道,科学家们在对四头爱玩的猪进行测试后发现,猪可以玩电子游戏。它们被训练通过鼻子操纵街机游戏杆来引导屏幕上的光标进入墙壁。通常情况下,猪们只要“赢得”游戏关卡,就会得到一个食物颗粒。但当食物奖励分配器坏掉时,猪们甚至还在继续玩。不过研究人员说,由于猪没有灵活的手指,只能使用鼻子,在玩游戏时,猪还是比不上人类 —— 甚至比不上聪明的灵长类动物。

研究人员表示,这些猪能理解操纵杆和游戏之间的联系,“这不是小事”。这篇研究论文发表在《心理学前沿》杂志上。

看完结论,我表示松了一口气,至少猪还是比不上人类 ;D

比特币消耗电力超过阿根廷,18% 的比特币已遗失

剑桥大学的分析表明,比特币每年消耗约 121.36 太瓦时(TWh)电力,仅次于挪威,比阿根廷、阿联酋、荷兰等国还高。不过,仅美国每年一直开机但不使用的家庭设备所消耗的电量就可以为整个比特币网络提供一年的电力。

世界上浪费的电力和计算能力多了去了,至少我觉得比特币要比这些浪费有意义。

另外伦敦加密货币托管公司 Copper.co.的一项最新研究披露了一些有趣的数据。目前 56% 的比特币被投资者持有,18% 的比特币已经遗失。其中 80% 的比特币持有者都是长期投资者。

魔高一丈:勒索软件解密器发布后,很快就失效了

一名西班牙学生发布了一个免费的解密工具,可以帮助 Avaddon 勒索软件的受害者免费恢复文件。然而,勒索团伙在论坛表示,它也知道了这个解密器,并且已经部署了更新的代码,有效地否定了该工具的功能。

一些安全专家建议,利用勒索软件加密漏洞的解密实用程序应该被保密,并通过非公开渠道向受害者发布,而不是在网上宣传。即使这类工具需要公开,也不应该伴随着工具发布任何技术细节,这些细节显然也会帮助攻击者修补自己的代码。

但是我觉得,这始终是一种道高一尺魔高一丈的博弈,如果解密工具不能公开,无论是传播还是可信度都是个问题,而公开了,又会遇到勒索软件的升级对抗。

Linspire 10 发布,自称“第一发行版”

Linspire 的前身是 20 多年前知名的 Lindows 发行版。去年底发布 Linspire 10 Beta 版时,声称 Linspire 是“新用户、中级用户和高级用户的第一发行版”。其正式版于近日发布,在发布公告中该团队骄傲地宣称该团队“努力开发出了市场上最好、最精心的设计和工程化的 FOSS 桌面”。该版本基于 Ubuntu 20.04 LTS,使用 Linux 5.8 内核、定制的 GNOME 3.38 桌面,Chrome 88,以及微软 PowerShell 7 和 DVD/蓝光解码能力。

但是,要注意的是,这是一款商业版的 Linux 发行版,其单个许可证的起价为 29.99 美元,而企业无限授权模式下,起价则高达 2500 美元。

敢于宣称自己是 No. 1,还这么贵,我觉得没点底气是不行的,或许该试试。

研究人员利用开源软件依赖攻击入侵 35 家科技公司

安全研究人员注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包,他想知道如果他创建一个同名的公开的 npm 包,那么软件在构建时是优先使用私有的还是公开的版本?为了进行测试,他向流行的软件包库 npm、PyPI 和 RubyGems 上传了同名的冒牌项目,结果这些项目自动下传到了公司的内部应用程序中。作为道德黑客测试,他上传的冒牌项目明确地解释了软件包“不包含任何有用的代码,只是用于安全研究目的”。

该攻击利用了开源生态系统的一个独特设计缺陷,被称为“依赖性混淆”。他发现,公开的软件包会比私有的软件包优先度更高;某些情况下版本更高的软件包优先度更高,无论私有还是公开。利用这一方法,他成功地入侵了 35 家知名科技公司,包括微软、苹果、特斯拉、PayPal、Shopify、Netflix、Yelp、和 Uber 等,获得了超过 13 万美元的漏洞报告奖励。

这种攻击很可能会迅速针对使用开源软件构建内部软件的公司展开,而且,就目前而言,现有的开源软件依赖模式并没有直接的防范方法。如果你的公司也存在类似情况,请尽快采取缓解措施。

Gmail iOS 应用已有 2 个月未更新,开始弹安全警告

虽然谷歌已经承诺更新其应用程序套件的应用程序隐私标签,以遵守苹果在 12 月开始执行的 App Store 规则,但它的许多主要应用程序已经几个月没有更新。iOS 版 Gmail 自 12 月 1 日以来就没有更新过。当用户在其上登录一个新的账户时,它会给出了一个应该更新的警告,并建议你只有在“了解风险的情况下”才继续登录。

目前仍不清楚谷歌为什么要花这么长时间为其 iOS 应用添加应用隐私标签,Gmail 何时能获得更新也没有消息。但谷歌一直在定期更新其 Android 应用,Android Gmail 应用的最后一次更新是在 2 月 9 日发布的。

看来,谷歌对如何遵守苹果的隐私政策,心有疑虑啊;难道是谷歌的应用实在是要的隐私太多了,不好意思公开说明吗?

一朵在印度非常流行的花,占了维基共享资源五分之一的请求量

在维基共享资源上,有一朵花的图片每天的访问量高达 9000 万,而这些访问请求的 IP 地址来自印度各地,并且请求中没有引用来源和 UA 等浏览器信息。据调查,对这个图片的调用来自于一款印度的手机应用,它在印度封禁了来自中国的一些手机应用之后,从去年 7 月开始在印度变得非常火爆,以至于访问量多达千万计,连带着这朵花的访问量也一路攀升。维基百科已经联系了该应用厂商以解决问题,并临时禁止来自该应用的访问。

这是对公共资源的滥用,这是印度人在炫耀他们能访问维基百科么。

以太坊上的虚拟财产售价创 150 万美元价格记录

有人在区块链市场和游戏平台 Axie Infinity 上以 888.25 以太的价格购买了 9 个相邻的创世区块的虚拟数字地产,大约相当于 150 万美元。这笔交易标志着有史以来最大的非同质化通证(NFT)交易的诞生,超了之前的 80 万美元的“太阳城”的记录。购买者认为这是十分值得的,将其视作见证数字国家的崛起。

有人说今年是 DeFi 年,也有人说 NFT 之年,市场情绪在 BTC 暴涨和 DeFi 喷发的环境下,十分狂热,也许这是一个时代,也许是群体狂热。

一家名为“无支持 Linux 托管”的虚拟主机公司被黑客攻击后宣布关闭

这家名为“No Support Linux Hosting(无支持 Linux 托管)”的 Web 托管公司是一家成立了 11 年的公司,以不提供技术支持而降低托管费用。该公司称其在 2 月 8 日被入侵。黑客似乎已经入侵了该公司的整个运营系统,包括其官方网站、管理部分和客户数据库。该公司称无法继续运营,“所有客户应立即通过 cPanel 下载网站和数据库的备份。”目前尚不清楚黑客攻击的目的是为了破坏还是勒索。

这种主要面对有经验的客户的公司,似乎自己的技术经验也不够强啊,这次看来是被整个一锅端了。

美国佛罗里达州水处理系统遭黑客攻击,被调整了自来水成分

报道称,有黑客成功渗透了控制佛罗里达州奥尔德斯马市水处理设施的计算机系统。通过篡改可远程控制的计算机数据,攻击者改变了当地供水中的化学品含量,上调了氢氧化钠碱液的水平。幸好被及时发现,目前暂无居民受到伤害的报告。当地水处理设施使用了常见的 TeamViewer 远程访问软件,有人再次远程访问了系统,将系统的氢氧化钠水平从 100 ppm 暴增到了 11100 ppm,操作员发现后及时改了回去。当地警方已经投入了调查。

这是非常严重的对公共安全的威胁,各种公共安全事业部门要注意了,有些黑客攻击不是为了牟利,但是会对社会造成很大破坏。

首款国产量子计算机操作系统“本源司南”发布

据报道,该系统由合肥本源量子计算科技有限责任公司自主研发。利用量子卷积神经网络模型开发出的量子图像识别应用,可将图像识别任务转化为多个量子线路,在经过量子态数据编码之后,这些量子线路就处于排队等待运行状态。通过“本源司南”的统一调度管理,这些量子线路在单个量子芯片上可以被并行执行,不仅大大减少了整体线路运行时间,还有效提高了量子芯片的整体利用率,使得当前有限的量子计算资源得到最大化利用。

如同超算一样,量子计算机也需要合适的操作系统才能发挥作用,可喜地看到国内在量子技术前进了一小步。

Rust 基金会成立

Rust Core 团队宣布了新成立的 Rust 基金会,创始成员中包括了微软、谷歌、华为、亚马逊云服务(AWS)等科技巨头,以及原发起方 Mozilla 。Mozilla 现已将包括商标等在内的所有基础设施资产,转移到了新成立的 Rust 基金会。

Mozilla 裁员导致这些项目星散后,或许是这些项目的好的开始。