分类 新闻 下的文章

破坏一个 SHA-1 生成的 SSH 验证密钥,现在的成本大约为 5 万美元,使得重要的远程服务器面临着被攻击的风险。

OpenSSH SSH

最受欢迎的连接和管理远程服务器的实用工具 OpenSSH 今天宣布,计划放弃对其 SHA-1 验证方案的支持。在这个宣布当中,OpenSSH 团队列举了 SHA-1 散列算法的安全问题,该算法目前被认为是不安全的。

SHA-1 算法在 2017 年 2 月的一次实际的、真实世界的攻击中被破解,当时谷歌密码学家披露的 SHAttered 技术可以使两个不同的文件拥有相同的 SHA-1 文件签名(这称之为“碰撞”)。

在当时,创建一个 SHA-1 碰撞被认为需要非常昂贵的计算成本,谷歌的专家认为 SHA-1 在实际应用中至少还能用上五年,直到成本下降。

然而,随后在 2019 年 5 月和 2020 年 1 月发布的研究报告中,详细介绍了一种更新的方法,将 SHA-1 选择-前缀碰撞攻击chosen-prefix collision attack的成本分别降低到 11 万美元5 万美元以下。

对于高级威胁攻击者,例如国家黑客和高端网络犯罪集团,如果他们能够生成一个 SSH 认证密钥,使他们能够远程不被发现地访问关键服务器,那么 5 万美元是一个很小的代价。

OpenSSH 关闭 ssh-rsa 模式

“由于这个原因,我们将在不久的未来版本中默认禁用 ssh-rsa 公钥签名算法。”OpenSSH 开发者今天表示。

OpenSSH 应用程序使用 ssh-rsa 模式来生成 SSH 验证密钥。这些密钥中的一个存储在用户要登录的服务器上,另一个存储在用户的本地 OpenSSH 客户端中,这样用户就可以在每次登录时不需要输入密码就可以访问服务器,而是以本地认证密钥来代替。

在默认情况下,OpenSSH ssh-rsa 模式通过使用 SHA-1 哈希函数生成这些密钥,这意味着这些密钥容易受到 SHAterred 攻击,使攻击者能够生成重复的密钥。

“遗憾的是,尽管有更好的替代方案存在,但这种算法仍然被广泛使用,它是原始的 SSH RFC 规定的唯一剩下的公钥签名算法”,OpenSSH 的开发人员今天表示。

OpenSSH 团队现在要求服务器所有者检查他们的密钥是否已经使用默认的 ssh-rsa 模式生成,并使用不同的模式生成新的密钥。

OpenSSH 团队表示,推荐的模式是 rsa-sha2-256/512(从 OpenSSH 7.2 开始支持)、ssh-ed25519(从 OpenSSH 6.5 开始支持)或 ecdsa-sha2-nistp256/384/521(从 OpenSSH 5.7 开始支持)。

这里是最近公告中的最好的消息。让我们为所有的嵌入式系统和设备永远不会看到 OpenSSH 中废弃的 ssh-rsa SHA-1 密钥的升级而默哀一分钟。

  • Julio (@juliocesarfort) 2020 年 5 月 27 日

OpenSSH 项目将在未来(目前还未确定)的版本中默认禁用 ssh-rsa 模式,但是在此之前,他们还计划默认启用 UpdateHostKeys 功能,让服务器所有者可以轻松自动地从旧的 ssh-rsa 模式迁移到更好的验证算法。

依赖 OpenSSH 管理远程系统的服务器管理员可以在 OpenSSH 8.3 的变更日志中找到更多关于如何测试他们的服务器是否有基于弱 SHA-1 的密钥的详细信息。

在之前的一个版本中,在 8.2 版本中,OpenSSH 团队还增加了对基于 FIDO/U2F 的硬件安全密钥的支持,这也可以用来更安全地登录远程服务器。


via: https://www.zdnet.com/article/openssh-to-deprecate-sha-1-logins-due-to-security-risk/

作者:Catalin Cimpanu 选题:wxy 译者:wxy 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

百度在 GitHub 上发布量子机器学习工具包

百度日前发布了其量子机器学习平台 Paddle Quantum 的工具包,称该工具包将使开发者能够构建和训练量子神经网络模型。该工具包基于它的深度学习平台 PaddlePaddle 构建,它包括量子化学库和优化工具,以及三个量子应用:量子机器学习、量子化学模拟和量子组合优化。此外,百度还为 PaddlePaddle 推出了 7 个新工具,提供了 27 项增强功能。其中包括 Paddle.js,这是一个深度学习的 JapaScript 库,它将使开发者能够在浏览器内使用 AI 或微信等应用中的智能小程序。

来源:zdnet

硬核老王点评:这一点,厉害了。好好的做点有用的事情多好。

为了阻止学生们规避计算器的考试模式限制,德州仪器取消了对计算器编程的部分支持

德州仪器公司已经取消了一些最受欢迎的计算器运行汇编或 C 语言编写的程序的能力。除了作为教育工具,德州仪器的计算器也是相对简单、便宜的可编程设备。受影响的计算器包括流行的 TI-84 Plus CE、TI-83 Plus CE-T 和 TI-83 Premium CE。可编程功能在设备的最新固件更新中消失,升级后目前还没有办法回滚。这一改变是为了阻止学生们规避计算器的考试模式限制。尽管计算器仍然支持其他编程语言,如 TI-BASIC 和 Python,但据说这些语言的程序运行效率要低得多。

来源:cnBeta.COM

硬核老王点评:对这些计算器的编程和研究,是一种值得鼓励的古典黑客精神,虽然不应该用在考试作弊上。另外就是,现在去买一台这些可编程计算器还来得及吗?:D

谷歌 TAG 报告中重点提到了印度的“黑客雇佣”公司

谷歌威胁分析小组(TAG)是谷歌安全部门内部跟踪国家和高端网络犯罪团伙的部门,今天发布了其首份 TAG 季度报告。“我们看到了来自‘黑客雇佣’公司的新活动,这些公司很多总部设在印度,他们一直在创建 Gmail 账户,欺骗世卫组织,”谷歌 TAG 负责人 Shane Huntley 说,“这些账户主要针对众多国家内的金融服务、咨询和医疗卫生企业的商业领袖。”

来源:zdnet

硬核老王点评:利用人类的共同灾难而做这些非法活动,可见其无下限。要警惕印度的国家黑客和黑客产业。顺便提一句,此处所说的黑客和和上面提及的古典黑客精神不是一回事。

Qt 5.15 LTS 发布

Qt 项目释出了 Qt 5 系列的最后一个功能版本 5.15,未来它的重心将转向下一个大版本 Qt 6,Qt 6 预计将在年底发布。Qt 5.15 是一个长期支持版本,为商业授权用户提供 3 年的支持,完全兼容 Qt 5 系列之前发布的版本,其主要工作是 bug 修正,它被认为是 Qt 5 系列最稳定的版本。Qt 5.15 的一个主要变化是为 Qt 6 打下基础。

来源:solidot

Windows 纸牌已经 30 岁了,每月仍然有 3500 万玩家

纸牌游戏是随 1990 年发布的 Windows 3.0 提供给用户的,最初是设计教用户如何使用鼠标,操作鼠标抓住虚拟纸牌拖放到一个地方,教用户基本的拖曳操作。它是史上最常用的 Windows 程序之一,被预装到数以亿计的设备上。它的开发者 Wes Cherry 是微软的实习生,他没有从游戏上获得任何版税。Cherry 最初还给游戏加入了老板模式,伪装成电子表格去愚弄老板和同事,但在正式发布前被要求移除了。如果不移除的话,也许能拯救某些因上班玩纸牌被解雇的员工。

来源:solidot

硬核老王点评:有没有人第一个玩的电脑游戏就是纸牌(或扫雷)?有谁没玩过 Windows 纸牌吗?谁现在还在玩?

Microsoft Edge 浏览器迎来“上网冲浪”游戏

谷歌很早就为自家 Chrome 浏览器引入了可离线玩耍的横版跳跃“霸王龙”(T-Rex)游戏,Mozilla Firefox 和 Microsoft Edge 却迟迟没有跟进。不过最新消息是,微软今日宣布向所有用户开放了 Microsoft Edge 集成的“上网冲浪”游戏,感兴趣的朋友可在地址栏输入 edge://surf 来跳转体验。据悉,该游戏已在 Edge Canary、Dev、以及 Beta 通道上线,体验前请先将 Edge 浏览器的版本升到 83.0.478.37 及以上。

来源:cnBeta.COM

硬核老王点评:来,大家一起断网玩游戏!

报告显示僵尸网络会利用 BAT 等常用服务进行管理

奇虎安全研究人员报告,双枪恶意程序的僵尸网络利用国内的常用服务进行管理。该僵尸网络的数量超过了 10 万。研究人员观察到双枪恶意程序使用百度贴吧图片来分发配置文件和恶意软件,使用了阿里云存储来托管配置文件,利用百度统计管理感染主机的活跃情况,恶意程序样本中还多次发现了腾讯微云的 URL 地址。

来源:solidot

硬核老王点评:真是防不胜防,将指令和配置放在这些常用服务中是为了避免追踪。

Mozilla、Reddit 和 Twitter 等呼吁立法保护互联网浏览隐私

ZDNet 有消息称,Mozilla、Reddit、Twitter 和 Patreon 以及包括 Reform Government Surveillance、Engine 和 i2Coalition 在内的组织则在近日签署了一封联名信, 要求美国立法者明确禁止无故收集互联网搜索和浏览历史记录的行为。Mozilla 在博客中表示:“我们希望立法者修改该法案,以限制政府对没有证据的互联网浏览和搜索历史的访问。”

来源:开源中国

80% 的 Oracle JDK 用户正在考虑其他支持选项

在 2019 年,Oracle 决定更改许可模式,从提供免费的 Java 更新转变为要求付费订阅。据 Azul Systems 的一项新调查显示,目前有 80% 的 Oracle JDK 用户正在考虑其他选择。Azul Systems 透露,对 Oracle JDK 的首选使用率已从 70% 下降至 34%,大部分现有用户都选择了免费或受支持的基于 OpenJDK 的部署。不过在目前愿意支付支持费用的企业中,Oracle 仍然是赢家,占有 55 %的市场份额。红帽(17%)、IBM(16%)和 Azul(12%)则紧随 Oracle 之后。

来源:开源中国

硬核老王点评:习惯了免费的开源软件,对于收费,很多企业和人还没做好准备;而另外一方面,很多免费的 JDK 看起来也完全能取代 Oracle JDK 的作用。

开发者将 GCC 的 JIT 库移植到 Windows

libgccjit 是一个实现 GCC JIT 编译的嵌入式库,它可以动态链接到字节码解释器和其它程序中,在运行时生成本机代码。目前 GCC 开发者实验性地将 libgccjit 移植到了 Windows,并提交了补丁。GCC 代码库使用的是具有“传染性”的 GPLv3 许可,因此就算 libgccjit 移植到 Windows,那预估也不会有多少基于 Windows 的程序使用,因为有必须将新程序也开源的要求。

来源:开源中国

硬核老王点评:GPL 的传染性在捍卫了自由的同时,也让很多软件望而生畏。另一方面,随着计算机技术的变化和互联网的发展,许可证也需要与时俱进。

Linus Torvalds 升级主力电脑,15 年来首次不用英特尔处理器

在近日发布的 Linux Kernel 5.7 rc7 帖子中,托瓦兹表示主力电脑将不再使用英特尔的 CPU 了:“事实上本周对于我来说最大的兴奋点就是我升级了主力电脑,而且这是我 15 年来首次更换到非英特尔平台。我目前还没有切换到 ARM,不过我现在使用的是 AMD 的 Threadripper 3970x。我的 allmodconfig 测试版速度要比此前快了 3 倍。在这段平静期还无法突显出来,不过相信在下个窗口合并期将会有明显的升级。”

来源:cnBeta.COM

硬核老王点评:Linus 作为最大的开源领袖之一,其一举一动都极引人瞩目。Linus 换了新电脑,是不是会加速 Linux 内核的开发工作呢?毕竟大神可能会花费更少的时间来等待内核编译完成~

世界上使用量最大的数据库引擎 SQLite 3.32.0 发布

SQLite 是一个 C 实现的 SQL 数据库引擎,它的特点是小型、快速、自包含、高可靠性和功能齐全。SQLite 嵌入在所有手机和大多数计算机中,也捆绑在为数众多的其它应用中,是世界上使用量最大的数据库引擎。

来源:开源中国

硬核老王点评:这个不起眼的小型数据库,因其体型小而得到广泛使用,就像 MINIX 是世界上使用最多的操作系统一样,让很多人吃惊。

民间高手魔改卡西欧计算器遭版权组织警告

来自印度的 Neutrino 动手将一台卡西欧计算器(fx-ms991)的太阳能充电面板改造为显示屏,借助 esp 元件、Firebase 编程开发,可以通过这块屏幕连接互联网并收发即时消息。随后,改写代码等也被放上了 GitHub,供在家无聊但有兴趣的朋友效仿借鉴。然而,版权保护组织 REACT 本周出面,声称 Neutrino 托管的代码中并非全部是开源项目,有些是卡西欧专有的私产,不允许公开使用,虽然 Neutrino 坚称自己完全是从零写的程序。

来源:快科技

硬核老王点评:应该鼓励这种黑客精神,建议卡西欧和 REACT 对这种情况高抬贵手。

OpenCV 开源许可协议拟从 BSD 变更为 Apache 2

OpenCV 开发团队目前正在讨论变更开源许可协议的详细问题,预计在 6 月 29 日进行第一次评估。BSD 许可协议比较宽松,对于采用 BSD 的开源项目,开发者使可以自由使用、修改源码,也可以将修改后的代码作为开源或者专有软件再发布,不过需要保留当前许可内容。然而 BSD 许可协议在某些情况下(例如涉及到专利)却无法保护用户。

来源:开源中国

硬核老王点评:宽松自由的 BSD 许可证,是不是对开源最有利,这个要全面来看待。

谷歌工程师:七成 Chrome 安全漏洞是内存安全问题

近日,有谷歌工程师分析了自 2015 年以来在 Chrome 稳定版分支中修复的 912 个安全错误。并发现,在这些被标记为“高”或“严重”等级的所有安全漏洞中,大约 70% 是内存管理和安全问题。 这一数据恰巧与微软此前的研究结果相同:微软安全响应中心(MSRC)对自 2004 年以来所有报告过的微软安全漏洞进行了分类,所有微软年度补丁中约有 70% 是针对内存安全漏洞的修复程序。

来源:开源中国

硬核老王点评:内存问题是永恒的安全问题,所以, C/C++ 这种自我管理内存的编程语言,已经越来越面临更大的挑战,因此,Rust 得到青睐也是可以预期的。

勒索事件追踪:4200 万美金成交! 黑客声称特朗普“脏衣服”被买走

据外媒报道,此前,黑客以 2100 万美金勒索纽约 Grubman Shire Meiselas&Sacks 事务所无果后,声称有特朗普的黑历史,并以 4200 万美金发起新一轮的勒索。近日,该黑客组织声称已经将美国总统特朗普的“黑历史”卖给了一位神秘买家。

来源:E安全

开源图形编辑器 Krita 首个测试版登陆 Play 商城

该测试版基于 Krita 4.2.9 桌面版,具备和桌面版相同的完整功能。不过值得注意的是,此版软件兼容 Android 平板和 Chromebook 设备,暂不支持Android手机。此外,它并未对平板设备进行触控优化,因此还需要等待后续版本的改进。

来源:cnBeta.COM

硬核老王点评:桌面版要移植到手机上,需要做很多的工作,但是自从平板设备和触控操作尚属可行。