标签 白帽黑客 下的文章

比利时合法化白帽黑客行为

比利时的新吹哨人法于年初生效,该法律合法化了白帽黑客(道德黑客)行为。只要满足一定条件,他们未经同意入侵的行为可以免于刑罚。在这之前,除非被攻击/调查的对象同意,任何形式的黑客行为都面临刑法惩罚。不管对付是否同意,现在自然人或法人可以调查位于比利时的组织的安全漏洞,但需要满足如下条件:不能造成伤害或有获利企图,不能在发现漏洞之后敲诈对方,除非是某些形式的漏洞悬赏计划;必须尽快向比利时网络安全中心(CCB)以及被调查的对象报告漏洞;黑客行动不能超出必要的范围;除非获得 CCB 同意,黑客不能过早披露发现的漏洞。

消息来源:Solidot
老王点评:想必比利时以后会有全球最安全的网络。

TCP/IP 创造者谈其设计中犯下的三大错误

TCP/IP 的共同创造者 Vint Cerf 获得了 IEEE 2023 年度的荣誉勋章。他接受采访时谈到了在 TCP/IP 设计中犯下的三大错误。第一个错误是认为 32 位对于互联网地址而言足够了,在 1973 年,128 位地址可能还无法想象;第二个是没有认真考虑安全性,如引入加密,RSA 算法刚刚实现时,该协议的设计已经冻结;最后一个是没有想到 Web 的出现,以及随之带来的海量内容,他完全没有预料到以后会需要搜索引擎来找到这些内容。

消息来源:IEEE
老王点评:虽然有历史局限性,但是 TCP/IP 真正给互联网奠定了最重要的基石之一,甚至没有之一。

ChatGPT 的流量增长放缓

发布于去年 11 月的 ChatGPT 在去年 12 月吸引了约 2.66 亿次访问,与雅虎新闻相近,之后在 1 月份流量增长 131.6%,2 月份增长 62.5%,3 月份增长 55.8%,到了 4 月份增长 12.6% 至 17.6 亿次,其指数级增长势头开始消退。它的流量超过了必应、纽约时报和 CNN,但仍然只有谷歌搜索引擎的 2%。有趣的是,以新必应爆拉一波流量的必应搜索引擎的流量开始下降,其全球的访问量下降 9.7% 至 13 亿次。

消息来源:Similar Web
老王点评:随着利用 GPT 的 API 的各个网站的出现,ChatGPT 的访问量下降在情理之中,但这并不能代表 OpenAI 的访问量增长放缓,也不能代表 AI 热情降低。

美国司法部修订反黑客法律,将不对白帽黑客追究责任

美国司法部周四修订了其反黑客法律《计算机欺诈和滥用法》(CFAA)。该部指示检察官不要用 CFAA 来起诉网络安全研究人员,即所谓的“白帽黑客”、“道德黑客”。CFAA 是美国于 1986 年颁布的一项美国联邦法规,其禁止未经授权或超出授权的情况下访问计算机。此举意义重大,因为 CFAA 经常对安全研究人员构成威胁,他们可能会探测或入侵系统,以确定漏洞,从而修复这些漏洞。政策的修订意味着这种研究不应面临指控。

消息来源:techcrunch
老王点评:保护这些白帽子才能保护网络安全。不过想想某个被封的某云和被起诉的白帽子,也就是想想罢了,还是自己保护自己吧。

2 个严重程度为 9.8 级的漏洞正在被利用!

之前我们 报道 过 F5 的 BIG-IP 防火墙有一个评分为 9.8(满分为 10)的漏洞正在被利用,F5 已经提供了相关补丁。而更早一些时候,VMware 多个产品系列的未修补版本也被发现存在 9.8 级的安全漏洞。这两个漏洞使攻击者有能力远程执行恶意代码或命令,并以不受约束的 root 系统权限运行。而根据披露的补丁,攻击者可以很快就开发出相关的攻击代码,并将其积极投入利用。

消息来源:arstechnica
老王点评:随着世界局势不稳定,这种恶性漏洞也会越来越多的被发现。再结合上一条,你品一下。

谷歌宣布开源卸载友好协议 PSP

谷歌早在十多年前就对数据中心之间的流量进行加密,但加密和解密的处理需要大约 0.7% 的处理能力,以及相应的内存占用。这促使谷歌研发了 PSP 协议,将加密处理卸载到网卡上,也就是将本来由操作系统进行的一些数据包处理(如 TCP 分段、IP 分片、重组、校验、TCP 协议处理等)放到网卡硬件中去做,降低系统 CPU 消耗的同时提高处理的性能。PSP 加密卸载可节省约 0.5% 的谷歌整体处理能力。

消息来源:谷歌
老王点评:虽然谷歌总是被批评,但是平心而论,无论是科研水平,还是开放程度,都不是一般的科技公司能比拟的。