标签 黑客 下的文章

1 联网的扭矩扳手也能被入侵

博世力士乐某个系列的手持螺帽扳手可以无线联网。世界各地的工厂都在使用这些扳手组装敏感仪器和设备。这种无线设备可以无线连接到使用它的企业的本地网络,让工程师可以按照对安全性和可靠性至关重要的精确扭矩水平拧紧螺栓和其他机械紧固件。如果太松或太紧都可能影响设备的使用或安全。研究人员称,黑客能利用漏洞安装恶意程序,能导致扭的太松或太紧,但设备的显示屏却显示一切正常。博世力士乐表示已收到了漏洞报告,即将发布补丁。

(插图:DA/1c460b4b-5dce-480b-b4ef-54c302c75554)

消息来源:Ars Technica
老王点评:你好好一个扳手,真的非常需要联网吗?

2 Git 项目考虑使用 Rust 代码开发

广泛使用的 Git 分布式版本控制系统正在评估允许在其代码库中使用 Rust 代码编写代码的想法。现在 Git 的代码库中使用了 C 和 Python 语言。虽然 Rust 的内存安全特性对很多人来说是个利好,但到目前为止,Git 开发者的反应却好坏参半。部分原因是 Rust 代码几乎必须使用基于 LLVM 的 rustc 编译器。因此,如果必须使用 Rust 代码开发的部分功能,Git 的使用可能会受到限制,否则这些 Rust 开发的 Git 功能就只能是可选的。

(插图:DA/19dc3e93-ee1c-4293-9f07-1eb0d62e55af)

消息来源:Phoronix
老王点评:看起来是天下苦 C 已久,纷纷考虑 Rust 了。

3 开源社区在 2024 年仍在继续支持 Flash 播放器

在 Adobe 正式终结 Flash 播放器三年后,开源的 Ruffle 项目仍在维护其 Flash 播放器的仿真器。虽然有些人讨厌 Flash 以及它带来的大量漏洞,但是仍然有一些喜欢那些运行在 Flash 上的古老游戏。

(插图:DA/4068a17b-fc34-4a19-bdb7-58edce6cfae6)

消息来源:Phoronix
老王点评:这就是开源的意义,总是可以提供一些其它选择。

GitHub 调整主页信息流惹怒开发人员

一周前,GitHub 将用户主页中的“关注”信息流和算法推荐的“为你”信息合并,就像在浏览 Twitter 一样,信息流中不按时间顺序排列,也可能混入你没有关注的内容。这让不少用户感到非常生气。有用户说,“不是所有东西都要变得像 Twitter、Facebook 或 Instagram 一样。我们是来完成工作的,而不是来参与你的算法认为我们喜欢的任何事情。”GitHub 回应了这些反馈,称部分受质疑的行为实际上是由于漏洞造成的,现已得到修复,同时加倍坚持其新的信息流的决定。GitHub 称出于性能考虑“删除了‘为用户订阅的资源库推送事件’的功能。我们不会轻易做出这些改变,……我们必须优先考虑可用性、用户体验和性能”。

消息来源:The Register
老王点评:明明是生产力平台,非要变成大家说的“同性交友平台”。

黑客声称只打了 10 分钟电话就关闭了米高梅酒店

一个勒索软件组织声称对周二发生的米高梅酒店网络中断事件负责。该组织声称使用了常见的社会工程学策略,“入侵所做的一切就是在 LinkedIn 找到一名员工,然后致电服务台”,获取员工信任以获得内部信息。据该组织称,授予初始访问权限的对话仅用了 10 分钟。另据报道,他们试图从美高梅骗取赎金,但该公司拒绝支付。受此影响,米高梅的股价已下跌超过 6%。

消息来源:Engadget
老王点评:古老的社工手段真是一直有效。

JetBrains 放弃开源插件,宣布全新 Rust IDE

JetBrains 宣布了 RustRover 的早期访问预览版,这是一个全新的 Rust 集成开发环境。但同时,JetBrains 将不再开发现有的支持 Rust 的开源插件,不会再对其修复漏洞或添加新功能。该插件可与 JetBrains IDE 免费的社区版一起使用。而新发布的 RustRover 也将不会推出社区版,但正式版的发布日期还没有确定,至少在 2024 年 9 月前都只会发布公开测试版本。

消息来源:Dev Class
老王点评:看来,这个开源插件很快就会有复刻版了。

回音

  • “免费下载管理器(FDM)” 承认 其被利用传播 恶意木马,并估计只有 0.1% 的用户受影响。

“Go 2 永远不会出现”

谷歌的 Russ Cox 称现在还没有 Go 2 的计划,这就提出了一个显而易见的问题:我们什么时候才能看到会破坏旧版 Go 1 程序的 Go 2 规范呢?在今天的博文中他写道:“答案是永远不会。从与过去决裂、不再编译旧程序的意义上讲,Go 2 永远不会出现。从 2017 年开始对 Go 1 进行重大修订的意义上来说,Go 2 已经出现了。” Go 语言的开发者认为,“优先考虑兼容性是我们为 Go 1 所做的最重要的设计决定。”

消息来源:Phoronix
老王点评:编程语言的大版本换代中,Python、Perl 都遭遇过严重的问题,而 Go 很好地绕开了这些前辈们遇到的陷阱,显然会让 Go 的发展更加顺畅。

“诈弹” 毁了 DEF CON 派对之夜

本次 DEF CON 黑客大会于 8 月 10 日在拉斯维加斯召开,并于 8 月 13 日结束,今年据称有超过 3 万人参加了大会。在周六傍晚,主会场受到炸弹威胁,导致主会场大厅被清空,消防人员和警察对大楼进行了搜查,但没有找到可疑物品。炸弹威胁被认为是一次恶作剧,但恶作剧者毁掉了所有人的夜晚。受此影响,大会主办方取消了当晚在主会场的庆祝活动,令数千人倍感失望。这个恶作剧者还导致四号轨道大厅欣赏《2001:太空漫游》的观众被迫错过了电影最后十分钟的关键时刻。

消息来源:The Register
老王点评:本来 DEF CON 是欢迎恶作剧的,但是这个蠢蛋的恶作剧太过分了,毁掉了大家的狂欢夜。

微软发现可关闭发电厂的安全漏洞

微软披露了一个广泛使用的工具集合中的 15 个高严重性漏洞,这些工具用于开发可编程逻辑控制器,这种面包大小的设备用于打开和关闭阀门、转动转子以及控制全球工业设施中的各种其他物理设备。微软警告说,虽然利用代码执行和拒绝服务漏洞很困难,但它能使威胁行为者 “对目标造成巨大损害”,如关闭发电厂,而远程代码执行可为设备创建后门,让攻击者篡改操作,导致 PLC 以异常方式运行,或窃取关键信息。

消息来源:Ars Technica
老王点评:这种工业控制领域的安全风险,不出则已,一旦被利用,造成的危害可远不止数据丢失那么简单。

时隔 15 年,几名学生再次黑进波士顿地铁

在 2008 年的 DefCon 上,几名 MIT 学生准备演讲他们如何找到方法免费搭乘波士顿的地铁,但该演讲被波士顿地铁管理部门申请了禁令而取消。不过,演讲稿已经在与会者之间传开,并发布到了网上。2021 年,两名高中生在搭乘波士顿地铁时谈论了此事,他们好奇是否能重复当年的做法,实现免费搭乘地铁。他们一开始认为不可能,波士顿地铁应该早就修复了该问题。但他们发现,该问题并没有被修复。他们对原有方案进行了扩展,以适应新的 RFID 智能卡。他们将在今年举行的 DefCon 上谈论他们的研究结果,但这一次波士顿地铁没有起诉他们,而是邀请他们前往其总部,并礼貌的请求他们隐藏部分技术细节,以增加其他黑客复制的难度。

消息来源:Wired
老王点评:这一次,波士顿地铁部门最大的问题是没有升级系统,而最大的进步是没有起诉这几位未来的“黑客”。顺便说一句,这件事不要随便尝试,除非你在波士顿。

ChatGPT 回答代码问题的正确率还不如抛硬币

普渡大学团队分析了 ChatGPT 对 517 个 Stack Overflow 问题的回答,分析表明,52% 的 ChatGPT 答案是错误的,77% 的答案是冗长的。但有趣是,“由于其全面性和清晰的语言风格,ChatGPT 答案在 39.34% 的情况下仍然会被测试者选择。”而这些被选择的答案中有 77% 是错误的。其主要原因之一是 ChatGPT 的答案非常详细。在很多情况下,如果参与者能够从冗长而详细的答案中获得有用的信息,他们并不介意长度。研究发现,只有当 ChatGPT 答案中的错误很明显时,用户才能识别出错误。当错误不易验证或需要 IDE 或文档时,用户通常无法识别错误或低估答案中的错误程度。

消息来源:The Register
老王点评:ChatGPT 看来不合适在数学、编程等严谨的场合工作,感觉更适合文科生的工作。另外一方面,对于 Stack Overflow 这样流量逐月下降的技术问答网站来说,这可能是个好消息,程序员们在发现 ChatGPT 不靠谱后还会回来的。

《雷神之锤 2》游戏代码开源

《雷神之锤 2》是 id Software 于 1997 年发布的一款第一人称射击游戏作品,成为了当时 FPS 游戏的划时代之作,其整体游戏画面、玩法都超越了前作。id Software 日前推出了《雷神之锤 2》增强版游戏,与此同时,官方开源了这款游戏,代码包含了《雷神之锤 2》2023 年重新发行的游戏代码和原版代码,供希望修改游戏的用户使用。

消息来源:GitHub
老王点评:经典之作!雷神 2 的开源想必会对 Linux 上的游戏开发有帮助。

谷歌可能重新考虑在 Chrome 中支持 JPEG-XL

谷歌去年表示,由于没有足够的 兴趣 和其他因素,他们决定取消 Chrome/Chromium 浏览器对 JPEG-XL 图像的支持。但苹果公司今年决定在其 Safari 网页浏览器中支持 JPEG-XL,社区建议谷歌重新考虑对 JPEG-XL 的支持。今天,对该提议的追踪有了更新,谷歌要求“相关开发团队的人员对此进行调查,以便进一步更新。”

消息来源:Phoronix
老王点评:我们将拭目以待,看看 JPEG-XL 支持是否会重返 Chrome 浏览器。

Window Maker 发布了三年来的首次更新

Window Maker 0.96 于本周末发布,它是一款受 NeXTSTEP 图形用户界面启发的 X11 窗口管理器。这是该窗口管理器自 2020 年以来的首次更新,并没有什么特别大的功能更新。

消息来源:Phoronix
老王点评:很多人都没用过这个窗口管理器,之所以提到它只是因为我个人曾经特别喜欢这个窗口管理器。Window Maker 在当时看起来很漂亮,甚至就是现在看起来虽然不够炫,但是依然够精细。可惜就是这样逐渐式微了。

间谍软件制造商 LetMeSpy 被黑后关闭

总部位于波兰的间谍软件 LetMeSpy 在 6 月份的 数据泄露 事件后被迫关闭了服务器。LetMeSpy 发布公告称将永久关闭间谍软件服务,并将于 8 月底停止运营。LetMeSpy 是一款安卓手机监控应用程序,它被特意设计成隐藏在受害者的手机主屏幕上,使应用程序难以被发现和删除。

消息来源:Tech Crunch
老王点评:这就像江湖,偷东西的遇到了打劫的。?

现存最古老的发行版 Slackware 已经 30 岁了

本周,Slackware Linux 项目庆祝其成立 30 周年。Slackware 1.0 版本于 1993 年 7 月 16 日发布,它是目前仍在积极维护和开发的最古老的 Linux 发行版,虽然它不是第一个 Linux 发行版。最让人敬佩的是,其创始人至今仍在维护该项目。他说,“这真的是一段非凡的旅程,我在 1993 年开始时根本无法预料。”当前版本 Slackware 15 于 2021 年进入测试阶段,并于去年初发布。顺便说一句,MCC Interim Linux 可以说是第一个发行版,它的第一个候选版本 0.97 在 1991 年内核发布几个月后就出现了。Debian 比 Slackware 稍微年轻一点,是在 Slackware 发布两个月后发布的。

消息来源:The Register
老王点评:Slackware 是我用过的第一个 Linux 发行版,那应该是 1997 年或 1998 年。而我那时最喜欢的发行版是 Mandrake。

黑客之王凯文·米特尼克去世

凯文·米特尼克 Kevin Mitnick ,曾被称为 “世界头号通缉黑客”,于上周日去世,享年 59 岁。他曾因侵入和篡改公司计算机网络而入狱服刑,2000 年获释后开始了新的职业生涯,担任安全顾问、作家和公共演讲人。他最为人熟知的是 20 世纪 90 年代的疯狂犯罪,当时他从美国各地的电脑中窃取了成千上万的数据文件和信用卡号码。他利用自己的技能进入美国的电话和手机网络,破坏政府、企业和大学的计算机系统。1995 年,经过长达两年多的追捕,他被美国联邦调查局抓获。

消息来源:Engadget
老王点评:这是一个传奇,虽然是那种以破坏为目的的“黑客”,但依然是传奇的一生。

苹果正在开发自己的人工智能大模型

据报道,苹果正在开发自己的大语言模型以及类似 ChatGPT 的 AI 工具。苹果的大模型代号 “Ajax”,苹果还创建了一个聊天机器人服务,一些工程师称之为 “Apple GPT”。苹果有多个团队在 AI 项目上展开合作,它已成为苹果的一大重要工作。苹果员工表示这项工作基本上是对 Bard、ChatGPT 的复制,并不包含任何新功能或新技术。苹果正在积极改进模型,但目前没有向消费者发布的计划。

消息来源:彭博社
老王点评:苹果在这一点上已经大大落后,不知道什么时候它的 Siri 才可以变聪明。