adv

solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
安全
pigsrollaroundinthem(39396)
发表于2017年11月03日 16时40分 星期五
来自UI 开发者负责
美国海军今年发生了多起军舰与商船相撞的事故,造成多名水兵死亡。美国海军刚刚公布了导弹驱逐舰 Fitzgerald 号和麦凯恩号(John S. McCain)相撞事故的调查报告(PDF),称两次事故都是可以避免的。其中发生在 8 月 21 日的麦凯恩号相撞事件(第四起)被认为是 UI 混乱导致的。报告称,当地时间 5:19am,麦凯恩号指挥官 Alfredo J. Sanchez 注意到操舵的值班人员难以在调整速度控制杆的同时维持维持航向,下令重分配掌舵和速度控制的责任,将速度控制转交给另一名值班人员。但这名舵手不小心将所有控制都转交给另一名值班。发生这种情况后,船舵自动移动到默认的中线位置。为维持航线,舵手选择右转,但这一调整意味着船开始偏离航线。此时舰桥上的每一个人都以为失控。混乱之中,Sanchez 下令引擎减速,但在切换控制过程中屏幕上的减速控制并没有联动,导致军舰继续不受控的驶入港口,与商船 Alnic MC 相撞。
安全
pigsrollaroundinthem(39396)
发表于2017年11月01日 11时30分 星期三
来自Electron 应用
端对端加密通讯应用 Signal 发布了独立的桌面版本,弃用了旧的 Chrome App,Firefox 或 Safari 用户不再需要安装 Chrome 就能使用桌面版 Signal。桌面版支持 Windows 7 以上版本,MacOS 10.9 +,Linux 发行版如 Ubuntu 和 Debian。使用桌面版本需要与手机配对,使用 Signal Desktop Chrome App 的用户可以输出数据,导入到独立桌面版中。
黑莓
pigsrollaroundinthem(39396)
发表于2017年10月31日 21时09分 星期二
来自不保证成功
科技公司是否在破解加密通信上帮助政府目前是一个受争议的话题,执法部门对科技公司在其产品中使用的强加密表达了强烈不满,政府高官甚至以“负责任的加密”的名义建议科技公司使用弱加密。黑莓的通信也使用加密保护。公司 CEO 程守宗在伦敦举行的黑莓安全峰会上表示,如果政府有合法的法庭命令,黑莓会尝试破解它使用的加密。程守宗说,今天的加密已经到达这样一个程度,即使他们自己去破解自己的加密也非常困难。破解加密并非易事,因此黑莓只会在法庭命令下尝试去破解。
安全
pigsrollaroundinthem(39396)
发表于2017年10月30日 15时41分 星期一
来自用 Rust
"注意 SQL 注入",“监视跨站脚本”,“当心被劫持的会话凭证”,Web 开发者和测试者经常听到此类的警告,但为什么他们一次又一次犯同样的错误?Open Web Application Security Project 每年都会公布十大 Web 开发安全问题,而这些问题 2013 年到 2017 年基本没有多少变化。新的工具,更好的测试工具,新开发模式都没有改变这一状况。一些人猜测,犯同样错误的开发者并不是同一群开发者,或者是 Web 开发本来就是 IT 行业软件开发中最低端,从业者普遍缺乏能力和知识,而安全是他们最后考虑的问题。
安全
pigsrollaroundinthem(39396)
发表于2017年10月30日 13时27分 星期一
来自背锅
英国国务大臣华莱士(Ben Wallace)表示,该国“相当肯定”朝鲜是 WannaCry 勒索软件攻击背后的元凶,那次攻击严重破坏了英国国民健康服务系统的计算机系统,并扩散到了 150 多个国家,包括中国的大学、德国的铁路系统,以及俄罗斯内政部。华莱士拒绝详细说明这个结论的证据是什么。他表示:“我显然不能谈论情报细节,但是在这个社区和不少国家中,人们普遍认为是朝鲜扮演了这个角色。”“朝鲜与其他一些意图筹集外币的攻击之间可能也存在联系,”他说,他明确提到去年朝鲜黑客试图从纽约的美联储窃取 10 亿美元,如果不是出了一个拼写错误,那次攻击差点就成功了。英国和美国的专家说,朝鲜有 6000 名黑客,他们开展有效网络攻击的能力已经获得了提升。
安全
pigsrollaroundinthem(39396)
发表于2017年10月29日 21时26分 星期日
来自雇网管
今年上半年爆发的 NotPetya 恶意程序一度导致制药巨头默克停产 HPV 疫苗 Gardasil,迫使该公司借用美国疾病预防控制中心的库存以满足需求。这一消息是默克在其递交到美国证券交易委员会(SEC)的 8-k 季度公报中披露的。默克在文件中称,它因为 NotPetya 恶意程序感染而遭受严重经济损失,导致第三季度销售和收入减少了数亿美元。默克称网络攻击相关的市场销售损失约 1.35 亿美元,因为恶意程序导致的疫苗停产而导致第三季度销售额减少约 2.4 亿美元。
安全
pigsrollaroundinthem(39396)
发表于2017年10月28日 21时40分 星期六
来自
HardenedLinux 写道 " 近日在捷克布拉格举行的 Open Source Summit 上 Google 的工程师 Ron Minnich 谈到面对 Intel ME 和私有 UEFI 实现时 Google 感到很害怕,Google 目前和其他一些厂商以及自由软件社区合作开发基于自由固件 coreboot 一个叫 NERF 的项目,NERF 是一个基于 Linux 内核的变种作为 coreboot 的 payload 运行在固件启动阶段,借鉴了之前另外一个名为 HEADS 的 coreboot payload 实现,因此 NERF 在固件阶段可以非常灵活的定制各类操作。coreboot 是一个完全开放源代码的固件项目所以不存在不可审计的问题(闭源固件的二进制审计成本过高),另一方面,coreboot 相比私有 UEFI 大大降低了攻击平面。Intel ME 方面,虽然今天很多应用是运行于 ME 平台上,但其安全方面不仅存在漏洞的风险,更存在后门的风险,所以一般核运行核心业务的机器都会禁用,这也是为什么 NSA 在作为可信保障规划的 HAP 项目中也禁用了 Intel ME。HardenedLinux 社区的基础平台防御方案 Hardening the COREs 在最极端的场景下不仅开启 HAP bit(学习 NSA 的做法)禁用 Intel ME,同时也删除必要代码模块以外的所有模块包括 AMT 和 SGX,云计算场景中诱人的 feature 比如基础资产管理和 remote attestation 可以通过 OS 层面的实现和 meansuredboot+TPM 来实现,虚拟化层面则配合 PaX/Grsecurity 和定制 SMI 实现联动防御对抗逃逸和测信道,内核本身的加固可以参考 PaX/Grsecurity 的特性根据业务场景和威胁建模进行适配,只有当 RING 0 到 RING -3 的基础防御问题得到有效解决时我们才有精力真正意义上去 hacking RING -4 的世界,这次是真的应该给 Google 点个赞了;-)"
安全
pigsrollaroundinthem(39396)
发表于2017年10月27日 12时48分 星期五
来自黑产
赛门铁克之后,另一家美国安全公司迈克菲宣布不再允许外国政府检查其软件源代码。美国科技公司为了在俄罗斯和中国等国获得产品出售许可证而允许政府检查产品源代码。赛门铁克也曾是其中一员,允许相关政府检查其软件的源代码。但随着国家支持的黑客攻击活动的增加,允许外国政府检查源代码增加了安全风险。迈克菲发言人在一份声明中称,它是在今年 4 月脱离英特尔独立之后终止了源代码检查,但没有提供更精确的时间表。
安全
pigsrollaroundinthem(39396)
发表于2017年10月26日 15时49分 星期四
来自查水表
亚马逊宣布了智能门锁和监控探头系统 Amazon Key,让快递员能打开门进入室内放包裹。新系统的安全性引发了争议,让陌生人进家门对大多数人来说都是难以接受的。Amazon Key 由智能锁和安全摄像头 Cloud Cam 构成,售价 249 美元,目前只提供给 Prime 用户。当快递员到客户家门口送包裹时,他们并没有打开门锁的密码。他们首先需要验证记录请求开门,在记录确认无误后,Cloud Cam 开始录像,门自动打开,客户可以对此远程监控,甚至可以拒绝快递员。除了让快递员进门外,Amazon Key 也可以向客户或家人,清洁工等提供临时的进门许可。Amazon Key 将于 11 月 8 日在 美国 37 个城市发售。
安全
pigsrollaroundinthem(39396)
发表于2017年10月25日 18时11分 星期三
来自有内鬼
据《华尔街日报》早些时候报道,一位 NSA 合同工或雇员将情报机构的机密材料带到家中,俄罗斯情报机构利用这位雇员计算机上安装的卡巴斯基软件窃取了 NSA 机密。报道认为俄罗斯情报机构使用了卡巴斯基的一个修改版本,因此卡巴斯基不可能不知情。本周三,这家俄罗斯安全公司发布了调查报告,再次强调它对此事不知情。报告称,这位 NSA 雇员的计算机后来感染了恶意后门。后门是通过盗版软件下载和安装到计算机上的。为了运行盗版软件,该雇员关闭了杀毒软件,被感染后这位雇员多次运行卡巴斯基扫描计算机。计算机运行了一个家庭版的卡巴斯基,启用了 Kaspersky Security Network 服务,启用之后该服务会将新的以前未知的恶意程序上传到卡巴斯基的服务器。杀毒软件在扫描过程中发现了一个 7zip 压缩档中含有恶意程序,因此将其上传到卡巴斯基服务器供研究人员进行进一步分析。分析人员发现压缩文件包含了恶意程序和源代码,属于他们已经研究过的 NSA 黑客组织 Equation Group。分析人员随后将此事报告给 CEO,CEO 之下下令将该存档从所有系统中删除。卡巴斯基声称他们没有与第三方分享这一发现。
安全
pigsrollaroundinthem(39396)
发表于2017年10月25日 17时06分 星期三
来自后门
国内媒体根据前从业者透露的消息再次报道了应用打包党。所谓的打包党是指将互联网上热门的应用拆包,插入一些自己想要分发的东西再重新拼装,最后把这些“二次打包” 的软件重新发布,以此牟利。前从业者称,有一些圈内 “大神” 并不会满足捆绑几个 APP,赚应用厂商那点推广费用,更多的是向用户的话费、用户信息甚至支付软件下手,“去年出了一款备忘录 APP,里面捆绑了一个程序,在用户通话的过程中会自动记录下通话录音,并且连同用户的通信记录一同发送给开发者。另外,还有一些伪装的不良社交 APP,在灰产操作下也是野草丛生,实现的功能也和这类似。最终用户信息会被高价售卖,因为里面包含了详细信息有用户名称甚至是常用昵称。”不过,这还不是最恐怖的。还有一种 APP 可以在用户联网的情况下,远程操控用户的手机。
安全
pigsrollaroundinthem(39396)
发表于2017年10月25日 13时03分 星期三
来自NSA 要求关闭
在安全研究人员找到方法关闭英特尔的 Management Engine(ME) 之后,笔记本电脑制造商 Purism 宣布其 Librem 笔记本电脑将默认完全关闭英特尔的 ME。Management Engine (ME)为英特尔 AMT 的一部分,从 2008 年起,英特尔处理器平台都内置了 ME,它包含了一个或多个处理器核心,内存,系统时钟,内部总线,保留的受保护内存,运行了一个修改版的 MINIX 操作系统,能访问系统主内存和网络。ME 能完全访问和控制 PC,能启动和关闭电脑,读取打开的文件,检查所有运行的程序,跟踪按键和鼠标移动,甚至能捕捉屏幕截图。Purism 宣布 Librem 13 和 Librem 15 现在默认关闭 ME。
安全
pigsrollaroundinthem(39396)
发表于2017年10月25日 11时56分 星期三
来自源自乌克兰发自俄罗斯
欧洲多国再次遭到了勒索软件攻击,被称为 Bad Rabbit 的勒索软件在加密用户文件之后勒索 0.05 BTC。攻击始于周二早晨,受害者包括俄罗斯的国际文传电讯社、乌克兰基辅的地铁系统、乌克兰敖德萨的国际机场以及乌克兰的基础设施部。攻击随后从欧洲扩大到了美国。此次攻击没有利用软件的漏洞,而是伪装成 Flash 更新。Adobe 发表声明称攻击与其产品的漏洞无关。
安全
pigsrollaroundinthem(39396)
发表于2017年10月24日 11时11分 星期二
来自360 来溜溜
俄罗斯安全公司卡巴斯基发表声明,宣布了全面透明度计划,将把其源代码提供给独立机构进行评估。在这之前,媒体报道称入侵卡巴斯基内网的以色列黑客发现俄罗斯政府黑客利用全世界用户安装的卡巴斯基软件搜索美国机密文件,以色列将这一信息透露给了美国情报机构,美国随后宣布在政府机构停止使用卡巴斯基软件。卡巴斯基则坚决否认与俄罗斯政府合作。卡巴斯基表示将会在美国、亚洲和欧洲设立三个评估代码的透明度中心,这一做法类似微软。卡巴斯基创始人 Eugene Kaspersky 在上周发表的一篇博文中指责媒体发表对卡巴斯基的错误指控。
安全
pigsrollaroundinthem(39396)
发表于2017年10月23日 15时32分 星期一
来自谷歌搞慈善
Google 的“Bug 悬赏计划”最近从自己开发的软件扩大到了 Play Store 里的第三方流行应用,此举可能是避免在流行应用发现严重漏洞后会影响到整个系统,在确保应用更安全的同时限制漏洞造成的破坏。新的 Bug 悬赏适用于 Google 开发的 Android 应用以及阿里巴巴、Dropbox、Duolingo、Headspace、Line、Mail.Ru、Snapchat 和 Tinder 等第三方应用,只限于远程代码执行漏洞,漏洞能允许攻击者在用户不知情或未经授权下执行任意的代码。
无线网络
pigsrollaroundinthem(39396)
发表于2017年10月19日 16时33分 星期四
来自在中国没用
WPA2 协议发现的高危漏洞能允许攻击者解密传输的数据、发动中间人攻击。Wi-Fi 通常是通信链路上的第一环,而你使用的路由器有很大的可能性买到之后就没有再收到任何安全更新,甚至还可能使用默认密码。你可以假设你的无线网络不能被信任。通过不信任媒介安全通信的解决方案早就存在:使用 HTTPS 协议加密端对端的流量,Let’s Encrypt CA 免费提供 SSL 证书;DNS 也很容易被纂改,解决 DNS 安全问题的 DNSSEC 普及很慢;使用 VPN 解决最后一英里的安全问题。
安全
pigsrollaroundinthem(39396)
发表于2017年10月19日 16时02分 星期四
来自谷歌的检查
赛门铁克的安全研究人员发现了一种通过官方应用市场 Google Play 传播的恶意程序 Android.Sockbot。恶意程序冒充正规应用,随后将受感染设备添加到僵尸网络之中。研究人员发现了至少 8 个应用,其下载量在 60 万至 260 万。恶意软件主要针对美国用户,但俄罗斯、乌克兰、巴西和德国也有它的踪影出现。Google 已经将这些应用移除。对恶意应用的分析发现,应用程序通过 9001 端口与 CC 服务器相连,以接收相关命令。CC 服务器使用 SOCKS 请求该应用程序打开套接口,之后在指定端口等待一个来自指定 IP 地址的连接。在通过指定端口的 IP 地址给出连接后,CC 服务器将发出连接目标服务器的命令。之后,恶意应用程序将连接到所需目标服务器,并开始接收广告列表和相关元数据(广告类型、屏幕尺寸和名称)。该应用程序使用相同的 SOCKS 代理机制,在接收命令后与广告服务器相连并发出广告请求。但它并没有显示广告的功能。
安全
pigsrollaroundinthem(39396)
发表于2017年10月19日 13时03分 星期四
来自抢个几分钱
一开始出现利用访问者浏览器挖门罗币的 JS 脚本时,人们称赞它是一种替代侵入式广告的方式,能为网站带来新的收入。随着嵌入 JS 脚本的网站增加,提供类似服务的 JS 挖矿程序也越来越多,比如中国也出现了一个叫 ProjectPoi 的挖矿脚本。但多少嵌入挖矿脚本的网站放弃了广告?有多少网站通知了用户或者提供了方法让用户选择关闭挖矿程序?换句话说,很多情况下,这些挖矿脚本的行为就像恶意程序,未经许可侵入用户的计算机和利用计算机资源。广告屏蔽工具现在成了防止劫持 CPU 的安全工具了。
安全
pigsrollaroundinthem(39396)
发表于2017年10月18日 20时52分 星期三
来自没事
路透社援引五位前雇员透露的消息报道,微软跟踪 bug 的内部数据库曾在 2013 年遭到黑客组织的入侵。软件巨人没有对公众或对客户披露这起事件。数据库包含了微软广泛使用的软件的危险级和未修复的漏洞,其中包括 Windows 的漏洞。这些信息能被用于开发秘密的入侵工具。前雇员称,微软在入侵发生之后观察了之后发生的机构入侵事件,没有发现证据显示窃取的信息被用于在入侵中使用。微软随后加强了安全,访问数据库将需要二步认证。
安全
pigsrollaroundinthem(39396)
发表于2017年10月18日 12时39分 星期三
来自建朝鲜梦
BAE Systems Plc 表示,与朝鲜有关联的黑客组织 Lazarus 可能需要为台湾远东国际商业银行 6000 万美元的失窃案负责。该组织还被怀疑导致了去年孟加拉国央行的盗窃案,与 WannaCry 勒索病毒攻击以及 2014 年入侵索尼影业计算机网络相关。安全研究人员称用于攻击远东国际商业银行的工具包括该团伙过去使用的工具。斯里兰卡警方已经逮捕了与这起失窃案相关的两个人,5990 万美元已经被追回。研究人员表示,除了孟加拉国央行的失窃案,该团伙还一直瞄准比特币,同时还是墨西哥和波兰一些银行网络攻击的背后力量。