标签 机器人 下的文章

微软推出中国特供版的“微软电脑管家”

微软专门针对国内用户发布了一款“微软电脑管家”的软件。官方介绍称:“微软电脑管家聚合了微软 Windows 系统强大的底层研发能力,搭配微软独有反病毒引擎,全面构建您的电脑防护体系。主打低占用、不打扰、干净、不捆绑的产品特点,为用户提供电脑体检、反病毒、主页反劫持、电脑垃圾清理等功能。”不过,虽然该软件的开发商是世纪互联的子公司北京蓝云公司,但是微软表示该软件隶属于微软

老王点评:真是熟悉的配方。

波士顿动力的机器人从 DHL 获得 1500 万美元的工作机会

去年 3 月,波士顿动力公司公布了其第二款商业机器人 Stretch。该机器人建立在箱子搬运概念之上,旨在将该公司的先进机器人技术带入仓库/物流环境中。最近,波士顿动力公司 宣布,物流巨头 DHL 已经承诺与其达成一项为期多年、价值 1500 万美元的合作,它将在未来三年为 DHL 物流中心带来一支机器人队伍,首先它将负责从卡车上自动卸货,随后还将增加更多的任务,以进一步实现包裹处理过程的自动化。

老王点评:看来以后这种体力活都是机器人的了。

Let's Encrypt 错误签发数百万张证书

Let's Encrypt 工程师称在 2022 年 1 月 26 日 00:48 UTC 部署修复程序时发现,所有通过 TLS-APLN-01 质询颁发和验证的证书都是错误的,需在 5 天内让错误证书失效,计划 从 1 月 28 日 16:00 UTC 开始吊销错误证书。但并非所有证书都受此问题影响,预计不到 1% 的活跃证书受此问题,影响当前已经向相关用户发送邮件通知。

老王点评:保险起见,无论是否收到邮件,还是重新签发一下比较好。

CrowdSec 门卫被设计成可以包含在任何 PHP 应用程序中,以帮助阻止攻击者。

 title=

PHP 是 Web 上广泛使用的一种编程语言,据估计有近 80% 的网站使用它。我在 CrowdSec 的团队决定,我们需要为服务器管理员提供一个 PHP 门卫,以帮助抵御那些可能试图与 PHP 文件互动的机器人和不良分子。

CrowdSec 门卫可以在应用栈的各个层面上进行设置:Web 服务器、防火墙、CDN 等等。本文关注的是另外一个层次:直接在应用层面设置补救措施。

由于各种原因,直接在应用程序中进行补救是有帮助的:

  • 它为潜在的安全威胁提供了业务逻辑上的答案。
  • 它提供了关于如何应对安全问题的自由。

虽然 CrowdSec 已经发布了一个 WordPress 门卫,但这个 PHP 库被设计成可以包含在任何 PHP 应用中(例如 Drupal)。该门卫有助于阻止攻击者,用验证码挑战他们,让人类通过,同时阻止机器人。

先决条件

本教程假定你在 Linux 服务器上运行 Drupal,并使用 Apache 作为 Web 服务器

第一步是在你的服务器上 安装 CrowdSec。你可以用 官方安装脚本 来完成。如果你使用的是 Fedora、CentOS 或类似系统,请下载 RPM 版本:

$ curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh

在 Debian 和基于 Debian 的系统上,下载 DEB 版本:

$ curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh

这些脚本很简单,所以仔细阅读你下载的脚本,以验证它是否导入了 GPG 密钥并配置了一个新的存储库。当你清楚了它的作用后,就执行它,然后安装。

$ sudo dnf install crowdsec || sudo apt install crowdsec

CrowdSec 会自己检测到所有现有的服务,所以不需要进一步的配置就可以立即得到一个能发挥功能的设置。

测试初始设置

现在你已经安装了 CrowdSec,启动一个 Web 应用漏洞扫描器,比如 Nikto,看看它的表现如何:

$ ./nikto.pl -h http://<ip_or_domain>

 title=

该 IP 地址已被检测到触发了各种场景,最后一个是 crowdsecurity/http-crawl-non_statics

 title=

然而,CrowdSec 只检测问题,需要一个门卫来应用补救措施。这就是 PHP 门卫发挥作用的地方。

用 PHP 门卫进行补救

现在你可以检测到恶意行为了,你需要在网站层面上阻止 IP。在这个时候,没有用于 Drupal 的门卫可用。然而,你可以直接使用 PHP 门卫。

它是如何工作的?PHP 门卫(和其他门卫一样)对 CrowdSec 的 API 进行调用,并检查是否应该禁止进入的 IP,向他们发送验证码,或者允许他们通过。

Web 服务器是 Apache,所以你可以使用 Apache 的安装脚本

$ git clone https://github.com/crowdsecurity/cs-php-bouncer.git
$ cd cs-php-bouncer/
$ ./install.sh --apache

 title=

门卫的配置是用来保护整个网站。可以通过调整 Apache 的配置保护网站的一个特定部分。

尝试访问网站

PHP 门卫已经安装并配置好。由于之前的网络漏洞扫描行动,你被禁止了,你可以尝试访问该网站看看:

 title=

门卫成功阻止了你的流量。如果你在以前的 Web 漏洞扫描后没有被禁止,你可以用增加一个手动决策:

$ cscli decisions add -i <your_ip>

对于其余的测试,删除当前的决策:

$ cscli decisions delete -i <your_ip>

更进一步

我封锁了试图破坏 PHP 网站的 IP。这很好,但那些试图扫描、爬取或 DDoS 的 IP 怎么办?这些类型的检测可能会导致误报,那么为什么不返回一个验证码挑战来检查它是否是一个真正的用户(而不是一个机器人),而不是封锁 IP?

检测爬虫和扫描器

我不喜欢爬虫和坏的用户代理,在 Hub 上有各种方案可以用来发现它们。

确保用 cscli’ 下载了 Hub 上的base-http-scenarios` 集合:

$ cscli collections list | grep base-http-scenarios
crowdsecurity/base-http-scenarios  ✔️ enabled  /etc/crowdsec/collections/base-http-scenarios.yaml

如果没有找到,请安装它,并重新加载 CrowdSec:

$ sudo cscli collections install crowdsecurity/base-http-scenarios
$ sudo systemctl reload crowdsec

用验证码补救

由于检测 DDoS、爬虫或恶意的用户代理可能会导致误报,我更倾向于对任何触发这些情况的 IP 地址返回一个验证码,以避免阻止真正的用户。

为了实现这一点,请修改 profiles.yaml 文件。

/etc/crowdsec/profiles.yaml 中的配置文件的开头添加这个 YAML 块:

---
# /etc/crowdsec/profiles.yaml
name: crawler_captcha_remediation
filter: Alert.Remediation == true && Alert.GetScenario() in ["crowdsecurity/http-crawl-non_statics", "crowdsecurity/http-bad-user-agent"]

decisions:
  - type: captcha
    duration: 4h
on_success: break

有了这个配置文件,任何触发 crowdsecurity/http-crawl-non_staticscrowdsecurity/http-bad-user-agent 场景的 IP 地址都会被强制执行一个验证码(持续 4 小时)。

接下来,重新加载 CrowdSec:

$ sudo systemctl reload crowdsec

尝试自定义的补救措施

重新启动 Web 漏洞扫描器会触发很多场景,所以你最终会再次被禁止。相反,你可以直接制作一个触发 bad-user-agent 场景的攻击(已知的坏用户代理列表在 这里)。请注意,你必须激活该规则两次才能被禁止。

$ curl --silent -I -H "User-Agent: Cocolyzebot" http://example.com > /dev/null
$ curl -I -H "User-Agent: Cocolyzebot" http://example.com
HTTP/1.1 200 OK
Date: Tue, 05 Oct 2021 09:35:43 GMT
Server: Apache/2.4.41 (Ubuntu)
Expires: Sun, 19 Nov 1978 05:00:00 GMT
Cache-Control: no-cache, must-revalidate
X-Content-Type-options: nosniff
Content-Language: en
X-Frame-Options: SAMEORIGIN
X-Generator: Drupal 7 (http://drupal.org)
Content-Type: text/html; charset=utf-8

当然,你可以看到,你的行为会被抓住。

$ sudo cscli decisions list

 title=

如果你试图访问该网站,不会被简单地被阻止,而是会收到一个验证码:

 title=

一旦你解决了这个验证码,你就可以重新访问网站了。

接下来,再次解禁自己:

$ cscli decisions delete -i <your_ip>

启动漏洞扫描器:

$ ./nikto.pl -h http://example.com

与上次不同的是,你现在可以看到,你已经触发了几个决策:

 title=

当试图访问网站时,禁止决策具有优先权:

 title=

总结

这是一个帮助阻止攻击者进入 PHP 网站和应用程序的快速方法。本文只包含一个例子。补救措施可以很容易地扩展,以适应额外的需求。要了解更多关于安装和使用 CrowdSec 代理的信息,查看这个方法指南 来开始。

要下载 PHP 门卫,请到 CrowdSec HubGitHub


via: https://opensource.com/article/22/1/php-website-bouncer-crowdsec

作者:Philippe Humeau 选题:lujun9972 译者:wxy 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

澳本聪要求比特币开发者重写区块链,以找回他的加密货币

一位被俗称为“澳本聪”的人声称自己是比特币创造者,他说他的比特币私钥在 2020 年被黑客删除了。现在他正在起诉 Bitcoin SV(BSV)的开发者们,希望迫使他们“重写或修改底层软件代码”,让他获得他“拥有但无法访问”的价值 1400 万英镑的 BSV。Bitcoin SV 是 Bitcoin(BTC)的一个分叉。他声称丢失的私钥除了可以控制这些 BSV,还可以控制对应的比特币,总价值高达 45 亿美元。这 15 名被告包括比特币博客作者“比特币耶稣”、BSV 比特币协会等比特币核心的开发人员。

老王点评:能修改的区块链,亏他能想得出来。不过这人就是一个讼棍,意不在真的修改,而是利用诉讼达成另外的目的。

工厂雇佣机器人员工

芝加哥南部的一家生产金属铰链、锁具和支架的工厂已经经营了上百年,去年为了在人工短缺的情况下满足不断增长的需求,雇佣 了第一位机器人员工。这个“机器人”是一只机械臂,执行一项简单的重复性工作:将一块金属放到冲压机里,后者随后将其弯曲成新的形状。和人一样,机器工人按照工作时间获得报酬。这位雇佣或者说租来的机器人的成本相当于每小时 8 美元,而人类员工的最低工资为每小时 15 美元。

老王点评:如果说是租来的,感觉还没那么强烈,但是如果说是雇佣,这种机器人抢走人类工作的感觉非常明显了。而对工厂来说,其实没有区别。

一半的医院联网设备容易受到黑客攻击

根据一份报告,医院中使用的互联网连接设备有一半以上 存在漏洞,可能会危及病人安全、机密数据或设备的可用性。该报告分析了全球 300 多家医院和医疗机构的 1000 多万台设备的数据。医院里最常见的互联网连接设备类型是输液泵。这些设备可以远程连接到电子医疗记录,提取正确剂量的药物或其他液体,并将其分配给病人。报告发现,输液泵是最有可能存在可被黑客利用的漏洞的设备,73% 的该类设备存在漏洞。

老王点评:在享受联网便利的同时,安全没有跟上带来的风险更大。

Winamp 准备重启

在我们用流媒体播放音乐之前,最受欢迎的播放 MP3 的媒体播放器之一是 Winamp。用户会翻录他们的专辑或下载 MP3,用媒体播放器在他们的电脑上收听。然而,Winamp 在 2007 年发布 5.5 版本后就再无下文。虽然 Winamp 的所有者 Radionomy 说他们对 Winamp 有很大的计划,但此后没有进一步的版本发布。2018 年 10 月,在 Winamp 5.8 版本在网上被泄露后,Winamp 社区的开发者决定在他们的网站 Winamp.com发布泄露的版本。我们所看到的唯一新的 Winamp 开发是由 Winamp 社区更新项目(WACUP) 发布的预览版。

老王点评:真是令人怀念的软件。

狗狗电话让宠物给它们的主人打电话

英国卫报报道,研究人员为独自留在家中的犬类创造了一种高科技的选择:一个被称为“DogPhone”的软球可以让它们呼叫主人。当这个软球被移动时,会向一台笔记本电脑发送信号,启动视频通话,并发出电话铃声。主人可以选择是否接电话,以及何时挂断电话,同时他们也可以给他们的宠物打电话,尽管狗必须移动球才能接电话。这项研究 发表 在《计算机协会计算机与人类互动论文集》上。但记录表明,研究者的狗似乎并不总是知道自己在做什么,打出的许多电话似乎都是意外。但研究者认为“当狗用屁股触发系统时,这可能是故意的,是狗触发互动的独特方式。”

老王点评:要不是发表在了 ACM,我以为这是准备申报今年的搞笑诺贝尔奖的。

Alphabet 将原型机器人用于清理谷歌的办公室

Alphabet 旗下的 X 实验室内致力于创造“通用学习机器人”的团队已经将其一些 原型机器人 放到谷歌的湾区园区。他们说,“我们现在正在运营一个由 100 多个机器人原型组成的车队,它们正在我们的办公室周围自主地执行一系列有用的任务。”这些机器人现在可以配备一个刮刀来擦桌子,也可以用抓手来开门。

老王点评:以后或许我们身边很多在做着各种活的机器人。

微软阻止了所有绕过 Edge 浏览器的方法

微软在 Windows 11 发布会上告诉媒体,它知道它使改变应用程序默认值变得毫无意义的困难,但它不是恶意这样做的,并将修复该问题。但事实恰恰相反,在最近的 Windows 11 Insider 版本中,不再能使用 EdgeDeflector 等应用程序绕过微软的默认浏览器设置。即使你已经通过令人难以置信的、深思熟虑的步骤,使非 Edge 浏览器成为 Windows 11 的默认浏览器,微软仍然通过系统层面的 URL 请求迫使你使用 Edge。EdgeDeflector 以及 Firefox 等第三方浏览器通过拦截系统级的 URL 请求来使自己服务这些 URL 请求。但在最新的 Insider 版本中,微软正在改变这些 URL 请求的工作方式,导致这些 URL 不能再被拦截。微软会忽略所有这些方法,而默默打开 Edge,即便你野蛮清除了 Edge 浏览器,它也只是报错而坚持不使用你的默认浏览器。

老王点评:微软这是要掀起默认浏览器大战么?我觉得微软是忘记了当年是如何因为 IE 而被起诉的了。

预计到 2030 年中国将创造所有物联网价值的四分之一以上

麦肯锡全球研究院估计,到 2030 年,物联网可以在全球范围内实现 5.5 万亿美元至 12.6 万亿美元的价值。其中约 65% 的价值预计将在商业应用中创造,如智能工厂或办公室,而不是像联网的吸尘器这样的消费应用。他们预计到 2030 年,中国将创造所有物联网价值的四分之一以上。并且指出,对未来物联网价值的高端估计有四分之三取决于建立互操作性,而网络安全问题仍将是一个挥之不去的问题。

老王点评:在基础设施进一步发展的形势下,到时候我们身边会遍布物联网设备和机器人。

美国雇用机器人的数量创造了新纪录

根据 行业组织 A3 汇编的数据,美国的工厂和其他工业用户订购了价值 14.8 亿美元的 2.9 万台机器人,比去年同期多 37%。长期以来,汽车公司已经购买了大部分工业机器人。但在 2020 年,其他类型企业的销售总额首次超过了汽车行业,而且这一趋势在今年继续。根据 A3 的数据,今年前 9 个月,与汽车相关的机器人订单增长了 20%,而非汽车公司的订单扩大了 53%。

老王点评:别说身边的机器人了,以后很多工作都是机器人的了。

约 60% 的访客屏蔽了谷歌分析

很多浏览器和广告屏蔽扩展都会屏蔽谷歌分析的跟踪,使用它来记录网站访问可能不会收集到精确的访问数据。根据一项研究,对谷歌分析的屏蔽情况如下:

  • 按浏览器:Firefox 88.28%、Edge 71.58%、Chrome 50.42%、Safari 41.41%;
  • 按设备:笔记本和桌面 68.2%、移动和平板 49.9%;
  • 按操作系统:Linux 82.3%、Windows 74.4%、Mac 61.7%、Android 54%、iOS 41.5%;
  • 整体来说,58% 的访客屏蔽了谷歌分析。
第三方统计由于其对隐私的侵犯,越来越多的被屏蔽,其可靠性也越来越差了。

人类驾驶的汽车碾过一个自动送货机器人

虽然围绕着具有自动驾驶功能的大型车辆的行人安全问题仍存在争议,但这一次角色互换了。一段披露的视频显示,一辆 Starship 送货机器人在经过过街人行道时被拐弯的汽车碾压到了“脚脚”,受伤的机器人一瘸一拐的退回了人行道上。

可怜的小机器人。

Cloudflare 将不在其下一代服务器内使用英特尔 CPU

Cloudflare 自 2020 年中期以来一直在为第十一代服务器进行设计。他们评估了英特尔最新的 Ice Lake 至强处理器,认为,“虽然英特尔的芯片在原始性能方面能够与 AMD 竞争,但每台服务器的功耗却高出几百瓦。”此外,他们的测试显示,为其服务器配备 512GB 的内存并没有产生足够的性能提升,因此决定采用 384GB 的内存。

不知道英特尔对此怎么看,是否还要捂着新技术不发布?