时尚

小时候,我们都曾写过一篇关于“梦想”的作文,有的同学长大了相当一名科学家,有的想成为一名教师,有的想当一名人民警察。当然我想,也一定有同学写道:“假如我是一名服装设计师,我会设计出许许多多具有时代风貌的服装,把人们的生活装点得五彩缤纷,使他们生活愉快。”“假如我是一名服装设计师,我会给辛勤工作的交警叔叔设计一套奇特的服装。制作这种服装的布料是给航天员叔叔做衣服的布料。它上面每一个细密的小孔都是一个吸尘器,能把汽车排放的尾气都吸到衣服里,交警叔叔就能免除肺病了。”“假如我是一名服装设计师,我会给残疾人设计一套奇特的服装。当残疾人穿上它就能免除疼痛,当残疾人穿上它一个星期后就能离开拐杖、轮椅等工具,他们就能像正常人一样行走。”“假如我是一名服装设计师,我想做一件能防洪水的衣服。当凶猛的洪水到来时,只要穿上它,就不怕被洪水冲走了。”那个曾经梦想当一名服装设计师的你是否实现了自己儿时的梦想呢?或许有人会说:“万一失败了呢”“现在也许还不是时候”“等条件成熟了”“感觉钱还不够”“等我赚够钱再说”······所以你的梦想也仅仅是个遥远的梦在尝试和改变面前,借口总是比梦想更有力量和说服力。在你由自己一天天懒下去的时候,别人也许早就拥有了你梦想的生活和成就。如果马云接触到互联网的时候没有大胆尝试,如今也就不会坐上中国首富的位置。24个小时1207个亿是个神话,但马云用他一贯的魄力和眼光创造了奇迹。也许你曾经也和别人站在同一起跑线上出发,奋力向前,生怕自己追赶不上别人的步伐。突然跑累了停下休息,却不愿意再迈开步子,甚至因为看不到终点,掉头又走回了点。还没看到路上的风景,就已经结束了。只能坐在原点,目送着那些远去的背影。当有一天,自己所有的梦想都被别人实现了。而自己在最美好的年纪,只是苟且而活。你甘心么?人生很短,如果有梦,现在就行动寻梦,敢问路在何方?不远,其实就在脚下。

创业

有的人思维很奇怪。你给他推荐一个项目,他会说:我不喜欢这个,我想学点实在的东西。其实我懂,他眼中所谓的实在的东西无非就是一些技术知识,譬如网站建设、PS技术等等。其实根本原因还是内心里被技术思维绑架了。也就是大家都在做的事情他才愿意去做,很少有人做的东西他不情愿去做。我说学会了商业思维,懂得了四两拨千斤,无论在任何地方,都不会缺钱花。但这种东西对于一般人而言感觉太虚,还是学到手里点技术实在,万一哪天创业失败了,还能找到工作。恩,理解,多少人早已习惯为自己留下后路,我懂。但事实是,太多人掌握的技术根本就不值钱,物以稀为贵,你学会了电焊技术、学会了绘图技术、学会了网站建设,去上班最多也就万把块钱。因为懂这些技术的人太多了,你要的工资高,老板可以换人,它处于一个供大于求的状态,所以你永远赚不到大钱。只是你学会了一些营销的知识,不用成为大师或者专家,只需要成为半个专家,稍微会点推广,收入就能轻轻松松是普通人的N倍。何故?因为这些技术学的人少,懂的人更少,处于一种供不应求的状态。所以我们要做的不是找到需要你的老板,然后告诉他:请让我为你工作吧。而是挖掘并引导出人们心里的需求点,然后等待他告诉你:请老师帮我解决问题吧。往往大家都在做什么,我偏偏不做,我知道就算了做了收获也不会太大,大家不注意或者很少人做的事情我才会去做。冒险是有,一旦成功,收获大大。或许这就是所谓的智慧与魄力吧。如果单纯的想学所谓的有用的东西,可以考虑去蓝翔,去上班,但最好不要出来创业,因为很多创业成功的人,他其实也没有学到什么技术类的东西,他得到的是一整套的思维体系:怎么驾驭别人,怎么利用信息差创造差价,怎么用最小的代价挖掘到最有用的资源,怎么......这些东西,普通人听了会感觉到头大,会感觉到虚无飘渺,但当我们穿透层层迷雾之时,便能探寻到财富真正的秘密,其实一点都不难,无非是原来的自己被传统的思维深深地绑架。

黑客资讯

武侠世界之所以成为我们向往的江湖,因为有一群凭绝世武功快意恩仇、主持正义的侠客。时光穿梭流转至今,在虚拟的网络世界里,也有这样一群凭高超技术找出潜在威胁,维护网络安全的人,被称为白帽黑客。当这群白帽黑客齐聚一堂、高手过招,谁将登顶武林拿走百万奖金?GeekPwn2019将给出答案。4月24日,GeekPwn组委会宣布,2019国际安全极客大赛(GeekPwn2019)以500万的奖金池正式启动全球招募,并将在10月24日举行“巅峰对决”。值得关注的是,今年GeekPwn将首次发起全球首个模拟真实云环境的“云安全”挑战赛,升级CAAD对抗样本攻防赛至语音领域,以云安全、AI安全等产业互联网时代备受关注的安全攻防议题,开启全新白帽黑客高手对决。首届云安全挑战赛聚群雄决战云端据介绍,在比赛形式上,GeekPwn2019将分为设置挑战场景的命题专项赛和不设限制的非命题开放赛。其中,命题专项赛包括CAAD对抗样本攻防赛、隐私安全之反偷拍挑战赛、青少年机器特工挑战赛和云安全挑战赛;非命题开放赛则秉承GeekPwn“无所不PWN”的精神,分设基于漏洞PWN和非基于漏洞PWN。产业互联网时代的开启,“上云”已经成为各行各业数字化转型过程中的关键一步,“云载万物”是未来世界的写照。“万物上云”在推动社会潜能释放与提升生产力的同时,也将面临全新的安全挑战。GeekPwn以前瞻性的战略眼光,联合腾讯安全云鼎实验室发起云安全挑战赛,单项奖金池额度高达百万,向各路极客广发招募令,切磋探讨如何让云服务更安全。云安全挑战赛分为线上热身赛和开放赛两个赛段。线上热身赛阶段,主办方将采用主流云计算平台的架构和技术搭建比赛环境,赛题设置上将覆盖云操作系统、容器安全、虚拟化安全、云数据保护等层面,根据难度设置分值。选手通过线上解题的模式进行参赛,需寻找并破解主办方预设的赛题,获得对应题目的分数。开放赛阶段,主办方将提供开放的模拟云计算环境供参赛队伍研究,并将评选出5-8支超强战队登上“1024”的舞台进行终极对决。“声色”过招挑战“AI致盲AI”作为全球首个探索人工智能与专业安全的前沿平台,GeekPwn以敏锐的科技洞察力,先人一步发问人工智能:它真的是那么强大且安全的吗?从2016年将资深科学家围绕对抗深度学习的最新研究成果搬上极棒舞台,2017年特设“人工智能安全挑战专项”,到2018年首创CAAD可视化对抗现场展示,再到今年CAAD升级延展至语音识别领域,GeekPwn在探索AI安全的这条道路上从未止步。CAAD对抗样本攻防赛是由GeekPwn联合谷歌大脑的AlexeyKurakin、IanGoodfellow以及美国加州大学伯克利分校计算机系教授宋晓冬共同发起,赛事聚焦让机器学习分类器频频犯错的对抗样本,旨在预演AI领域可能存在的风险并不断完善,从而推动人工智能安全健康成长。值得一提的是,今年的CAAD攻防赛不仅聚焦图像识别领域,还将突破性地增设声音识别领域的对抗攻击与防御议题。2018年GeekPwn嘉年华CAADCTF比赛现场上,选手成功误导亚马逊名人识别系统,将主持人蒋昌建误认作施瓦辛格的场景还历历在目。那么,当语音识别遇到对抗干扰,将上演怎样的“闹剧”?我们拭目以待。嗅探隐秘偷拍摄像头破解真实安全难题如果说CAAD对抗样本攻防赛与云安全挑战赛是针对虚拟江湖里前沿命题的比试切磋,那么隐私安全之反偷拍挑战赛则是对大众日常生活中面临安全问题的直观演练。《诡异偷拍!出租房竟藏针孔摄像头》、《五星酒店房间惊现摄像头,当心这些东西正在偷偷盯着你》…这些现象不止出现在耸人听闻的社会新闻里,甚至可能潜伏在我们日常生活中。为了更加立体、直观地展示如何快速查找针孔摄像头,提升大众隐私保护意识,GeekPwn联合RC2反窃密实验室全新开设“隐私安全之反偷拍挑战赛”,将模拟真实的酒店环境,要求选手通过自制设备,变被动防御为主动侦探,快速嗅探出隐秘的偷拍摄像头。除通过各项破解预演潜在的危险之外,GeekPwn将继续打破固有思维,在青少年领域推动信息安全技术研究。今年的赛制中,“青少年机器特工赛”将为未来的社会栋梁——青少年们提供一个充分展示创造力与想象力的擂台。参赛选手可操控自制机器人挑战救援任务,去实现飒沓江湖行侠仗义的少年梦想。无所不PWN马上启程此外,2019年GeekPwn将继续秉承“无所不PWN”的态度,设置基于漏洞PWN和非基于漏洞PWN两大开放挑战项目,鼓励选手脑洞大开,尝试利用“从0到1”的全新手段突破安全限制,向所有的安全漏洞或安全缺陷发起挑战。女黑客tyy利用共享单车漏洞,成功实现了“花别人的钱,骑自己的车”;腾讯安全玄武实验室“X兴趣小组”操纵"手机僵尸"隔空窃密……在非命题开放赛上,曾经展示了一场场黑科技破解秀。2019年,来自全球的顶尖黑客们还将带来哪些令人惊叹的攻防表演,等你来揭晓。无论你是深谙对抗样本的攻击与防御,还是能够看穿漏洞一招制胜,亦或是有着突破想象的全新攻防技术,都欢迎带到GeekPwn擂台赛上一展身手。无论你是已在江湖名声显赫的名侠,还是暗藏功与名的“扫地僧”,也都欢迎你到GeekPwn舞台上一决高下。即刻通过GeekPwn官方网站(geekpwn.org)了解赛事详细信息,参与报名。

时尚

近日,Adele离婚后首发长文:“Thisis31,thankfuckinggod30triedmesohardbutI’mowningitandtryingmyhardesttoleanintoitall.Nomatterhowlongwe’rehereforlifeisconstantandcomplicatedattimes.I’vechangeddrasticallyinthelastcoupleyearsandI’mstillchangingandthat’sokay.31isgoingtobeabigol’yearandI’mgoingtospenditallonmyself.ForthefirsttimeinadecadeI’mreadytofeeltheworldaroundmeandlookupforonce.Bekindtoyourselfpeoplewe’reonlyhuman,goslow,putyourphonedownandlaughoutloudateveryopportunity.LearningtoREALLYtrulyloveyourselfisit,andI’veonlyjustrealizedthatthatismorethanenough.I’lllearntoloveyouloteventually?Bunchoffuckingsavages,30willbeadrumnbassrecordtospiteyou.Chinupeh”(我31岁了,感恩上帝。我在30岁的时候很努力地生活,但我还是会尽我最大的努力去实现我的梦想。无论我的声明可以延续多久,有时候生命很复杂。在过去的几年里我经历了很多,但是没关系,我仍在改变。31岁对于我来说很重要,我将活出我自己。十年来我第一次感受到我周围世界的美好,并且我想认真活一次。请善待自己,把手机放下来,抓住每个机会大声笑出来。学会真正爱自己就是这样,我觉得这已经足够了。)阿黛尔在31岁生日之际宣布即将发布新专辑,新专辑名为《30》,还透露风格会是Drum’n’Bass(电子舞曲风格,有时也被称为丛林舞曲),让人很是惊喜。消息一经发出,网友们纷纷留言:“哇我醒了我要追星了”,“终于有新专辑了终于可以听新歌了感动”,“哪天出新歌啊我要看着时间等着”。一个黑客创业者

黑客教程

本文介绍了建议密码建议规则中介绍的技术的替代工具。它使用Hashcat代替开源的JohntheRipper。Hashcat可以免费使用,但它的源代码不可用。首先查看上一篇文章。您需要它包含的四个示例哈希文件。然后返回此处使用Hashcat运行相同的蛮力。定义自定义字符集我们将使用三个Hashcat预定义的字符集来为我们的猜测构建字母数字种子。它们是小写(?l),大写(?u)和数字(?d)。我们只需要一个自定义字符集,我们将使用该-1选项指定(选项的长名称--custom-charset1)。确保用单引号括起charset字符串,否则shell可能会误解问号。此示例使用64位hashcat-cli64.app用于OSX;Linux或Windows二进制文件的选项相同。-1'?l?u?d'定义一个面具您可以通过命令行选项创建掩码。自定义字符集是第一个,即?1。(?l在这种情况下不要与小写混淆。)我们希望建立三元组。所以第一步是根据charset1创建一个包含三个字符的掩码,如下所示:‘?1?1?1’实际上,该掩码将产生长度为一,二和三个字符的猜测。我们只关心字母数字三元组,因此我们将使用该--pw-min选项指定最小密码长度为3。使用--stdout选项验证输出。$./hashcat-cli64.app--stdout-m0-a3-1'?l?u?d'--pw-min=3'?1?1?1'|lessaaabaacaadaaeaafaagaahaaiaa现在为完整格式创建一个掩码。它应该是由破折号分隔的四组字母数字三元组。使用?1占位符引用-1选项中定义的自定义字符集。'?1?1?1-?1?1?1-?1?1?1-?1?1?1'验证面具。$./hashcat-cli64.app--stdout-m0-a3-1'?l?u?d'--pw-min=15'?1?1?1-?1?1?1-?1?1?1-?1?1?1'|lessaaa-aaa-aaa-aaabaa-aaa-aaa-aaacaa-aaa-aaa-aaa开始猜测使用该-m选项选择散列算法。到目前为止,我们一直在使用类型0,它对应于MD5。$./hashcat-cli64.app-m0-a3-1'?l?u?d'--pw-min=15safari_md5.txt'?1?1?1-?1?1?1-?1?1?1-?1?1?1'Initializinghashcatv0.47byatomwith8threadsand32mbsegment-size...Addedhashesfromfilesafari_md5.txt:8(1salts)现在尝试使用SHA-256哈希函数,即模式1400。$./hashcat-cli64.app-m1400-a3-1'?l?u?d'--pw-min=15safari_sha256.txt‘?1?1?1-?1?1?1-?1?1?1-?1?1?1'Initializinghashcatv0.47byatomwith8threadsand32mbsegment-size...Addedhashesfromfilesafari_sha256.txt:8(1salts)注意由于目标散列方法导致的破解速度的差异。具体数字因系统而异,但您可能会看到单词/秒。从MD5切换到SHA-256时,降为一半。这种丢弃是理想的,因为它会影响攻击者迭代猜测所需的工作因素(在时间和计算资源上测量的工作量)。如果密码哈希列表被盗,您希望哈希算法具有较高的工作因子。还有其他方法,如盐析和像PBKDF2这样的算法,也可能会增加工作因素。散列算法的选择不能有效地保护弱密码,无论它们是短密码(squ!d),使用小字符集(8675309),还是基于常用单词或短语(221bBakerStreet)的较长密码。换句话说,最好的安全性是防止密码的散列版本首先被盗。

2019-5-5 58 0
创业

优速快递董事长余联兵因发生意外离世。5月4日,优速物流有限公司发布讣告称,该公司董事长兼总裁余联兵因发生意外,于北京时间2019年5月2日12时许,不幸离世,享年47岁。经优速董事会讨论,决定任命香港优速董事长莫浩强先生为优速总裁。据介绍,余联兵出生于四川省达州市一个普通农村家庭。1992年创业,从事过票务代理、国际快递代理等业务。2002年到2009年间,曾先后参与速尔、龙邦两家快递公司的创建。2009年起,创立优速公司,担任优速物流有限公司董事长,并成功将优速品牌打造成全国性快递品牌。优速物流称,在此意外事件发生后,公司主要管理层已在第一时间快速响应并妥善处置。在主要股东和全体董事会成员的支持下,公司运营秩序正常,网络状态稳定,各项工作和任务推进未受任何影响。公司现有投资方均在第一时间表态,将一如既往的支持优速发展,信任并看好以莫浩强总裁为首的管理团队能力,并将坚定的推动优速快递做大做强。优速物流还希望管理层、全国网点在莫浩强的带领下凝心聚力,做好做优本职工作,持续服务好网点,实现优速既定目标。官网资料显示,优速物流有限公司创立于2009年,总部位于上海青浦,是一家提供全国性快递服务的规模型快递企业。目前,优速已经在全国建立分拨中心97个,拥有营业网点超过6000家,员工70000余人,运输车辆20000余台。优速致力于成为性价比最优的大包裹快递公司,富士康、海尔、固特异、梦洁等一大批海内外知名企业成为了优速的战略合作伙伴。

游戏

如果严格按照问题来答,答案肯定是:可以!不过,这个问题其实是一个可大可小的问题。如果按我的理解,可能题主是想问,自己有一部电脑就可以制作游戏吗?那么,作为一个人制作游戏,那要制作什么样的游戏呢?我的朋友!你有什么基础呢?有没有意愿去学习某些相关的知识呢?比如程序,美术等等。PGMAKER与橙光制作工具如果说一个人,又不怎么会代码,最容易上手的就是RPG制作大师(RPGMaker)和橙光制作工具了吧。作为传统的日式RPG制作工具,RPG制作大师给予了玩家相当多的功能,就算你不会代码,也同样能利用素材制作出一款还算可以的RPG游戏了。同样,作为文字冒险游戏的工具,橙光同样可以让不怎么会程序的同学们制作出对应的游戏,并且也提供了不少的素材。这些工具,由于素材较多,用法较为简单,所以笔者认为对于新手来说,是非常合适的。如果你会程序或许Unity3D是个好选择作为游戏制作的核心技术,如果你能掌握,那么或许换一个好的游戏引擎是个非常不错的主意。Unity里给玩家提供了非常多的功能,你可以不受限制的进行游戏制作,另外Unity里面那超级多的插件也会最大限度的帮助制作者。从目前来看,不论是功能性插件还是场景素材类的插件,Unity在这方面发展的已经非常成熟了。也就是说,如果你有程序基础,想做出一个像模像样的游戏,不管是2D还是3D,选择Unity绝对是非常棒的。极限操作虚幻引擎!但效果也最震撼不知道大家是否了解国内独立游戏制作人飞燕群岛,他采用虚幻4引擎打造的FPS《光明记忆》赢得了一片好评。非常有势力的制作者,一个人同样也可以进行这个量级的游戏制作,但知识的储备可就又是一个新的高度了。当然如果你认为这就是你的目标,也没问题,但这就需要给自己制定一个长期的计划了。其实,除了大家比较熟悉的引擎之外,还是有很多比较小众的引擎,同样可以做出不错的游戏来。比如一些2D横版动作游戏引擎,战棋游戏引擎等等,这里就不多做介绍了。也就是说,一个人用一台电脑做游戏没问题,你要做什么样的游戏才是关键,其实这也是一个学习的过程,游戏并不是一个简单的东西,诸位道友可以成功!不要没有接触就觉得没可能!

游戏

《光明记忆:无限》是由FYQD-Studio团队开发的一款动作FPS游戏。已经购买《光明记忆:第一章》的玩家在抢先体验版结束后自动免费升级为《光明记忆:无限》,届时第一章的商店页将自动变为新作《光明记忆:无限》的商店页面。《光明记忆:无限》揭示预告欣赏:《光明记忆:无限》故事背景在2036年未来城市中,世界各地的天空上突然出现了奇怪的异象,科学家们无法解释这些现象。地球上的一个神秘的组织名为超自然科学研究组织(SRO),派遣了数名队员前往各地调查这一异象,这场事件背后牵连着“两个世界”的存亡,一段尘封的历史将被揭开。《光明记忆:第一章》由于起初无法预估游戏销量表现,是一个DEMO性质的游戏也是众筹的形式,目前时间和资金都具备的情况下我们打算重新规划这款游戏未来的走向,在保留动作为核心玩法的情况下重新设计全部的剧情和关卡玩法。此后第一章后续剧情将不会再开发,我们会定期加入一些实验性功能在第一章原有版本更新供玩家测试,最终《光明记忆:无限》开发完成后将作为完整版正式上线,游戏流程依然是3个小时左右,定价会略微上调,已经购买第一章的玩家无需重复购买。《光明记忆:无限》目前还在初期开发阶段,预计登陆XBOXONE,PlayStation平台,PC版支持RTX光线追踪,敬请期待!

创业

看到标题有人会说:怎么可能用!实际上20万确实不能买价值2000万水厂,但如果用20万通过杠杆模式运作到2000万,那有可能把水厂拿下!水厂背景:在X州国家自然保护区,环境非常优美。当地政府并没有重视旅游资源开发,导致很少有人去那里旅游,因为环境好水质特别,水中富含硒矿物质,据说硒可以防癌。但是,这个老板不懂包装,所以这么好的水资源都卖不掉,现在每年都在亏损。那么,20万怎么变成2000万呢?首先这个20万作为诚意金给水厂的老板,意思就是我要收购你的水厂。然后,如何生出2000万呢?这个钱哪里来?水厂有水啊,卖水不就有2000万了吗?对吧?正常来说,他们的一桶水是零售价是20块。但是,一桶水的成本加起来也要10块。正常的思维来说,要赚到2000万,一桶水赚10块,那么你就要卖200万捅啊!问题是怎么在短时间内卖出200万桶啊?水厂老板不可能让你这200万桶水卖几年啊,对吧?所以,重点来了,如何在短时间内卖出200万桶水?如果说是一桶一桶的卖,你要卖200万人,不说卖200万桶,你要数人数也要数很久啊!所以,他们是怎么卖的呢?他们是按年卖会员。他们经过测试,一个普通的家庭一个月需要4桶水,一年就是48桶水,48桶水就是960块。虽然说按年卖,可以获得大量的现金流,因为这个水不是一次性给的,是每个月给的。但是,用户为什么愿意掏960块成为你的会员呢?所以,按照常规的思维,卖是卖不掉的,所以改为送,总可以吧?但是,我也不可能无条件的送啊!如果像很多人搞免费送模式,见个人就送的话,那送多少就亏多少啊!所以,他们就设计了一个非常具有诱惑力的鱼饵,开头已经和大家说了,这个水是非常好的哦,含硒的矿泉水。所以,他们是如何设计的呢?就是充值600块成为他们的会员,然后一年送你48桶水,而且一年以后600块全额返还给你。这个诱惑大吧?相当于一年免费喝价值960块的矿泉水。那么,如果他们自己去送的话,是很难在短时间内送出这么多水的。所以,他们直接找物业合作,你帮我送水,送一个给你100块提成。所以,物业就很愿意帮他们办会员卡。那么,重点来了,水是送出去了,但是也有成本的啊!一桶10块,48桶就是480块,加上给物业的提成,一个用户就是580块。只要搞到3.5万个用户,在短时间内我就能搞到2000万,对吧?然后用这个钱把水厂给买了。但是,我收回来的600块是要还给用户的啊!相当于招一个会员就亏580块,那怎么赚钱呢?所以,他们就有一个要求,你要每年到象头山旅游两次,一年后我把600块还给你。如果你不来,不好意思,你违约了,600块不还。但是,对于用户来说,就算违约,600块得到960块钱的水不亏吧?而且,还赚到了;第二,现在很多人都有旅游的习惯,而象头山又是国家的自然保护区,所以去旅游两次也无所谓啊,对吧?去别的地方休假也是玩,来自然保护区过过农庄的生活也很好啊。那么,如果你来旅游了,你要不要吃?要不要住?你要不要买点农家菜?农家大米回去?这些可以赚钱吧?所以你来了,我就把你的钱赚了,你不来或者说少来一次,你就违约,我也不用把600块还你了。所以,最后他们还是赚钱的。有的人可能说,你3万多个用户搞到的2000多万把水厂买了,你还要现金流运作的啊!你傻啊,你要搞2000万,你怎么只搞3万多用户呢?你直接搞5到6万用户不就有现金流运作了吗?对吧?因为这个吸引力太大了,你搞得用户越多就越好啊。而且,你把这些用户搞到以后,通过这个水把用户锁定在你的平台上面,你是不是还有非常多的机会赚钱?农产品这个市场很大吧?所以,好的商业模式应该是前期设计一个让用户无法抗拒的产品,然后一定有一个赚钱的后端产品。只有这样,你的前端才能设计得更加有诱惑力,才能迅速吸引用户。严重警告方案虽然完整地给了你们,但是,建议你千万别照搬照抄,因为你不懂得财富背后的故事,更不懂得如何形成商业闭环!免费模式是一把双刃剑,会用的人,能一招至敌于死地;不会用的人,也许会伤到自己!!公众号:一个黑客创业者

黑客资讯

一个软件供应链攻击代表的黑客攻击最阴险的形式之一。通过打入开发人员的网络并在用户信任的应用程序和软件更新中隐藏恶意代码,供应链劫持者可以在一次操作中将他们的恶意软件偷运到数十万或数百万台计算机上,没有任何违规行为。现在似乎是一群黑客已经反复管理这个伎俩,进入一个破坏性的供应链黑客狂欢-并随着他们的进展变得更加先进和隐秘。在过去的三年中,利用至少六家不同公司的软件分销渠道的供应链攻击现在都被绑定到一群可能会说中文的黑客。它们被称为钡,或者有时候是ShadowHammer,ShadowPad或WickedPanda,取决于你问的安全公司。Barium似乎比任何其他已知的黑客团队更多地将供应链攻击作为其核心工具。他们的袭击都遵循类似的模式:将大量受害者的感染播种,然后对他们进行排序以找到间谍目标。该技术不仅因为它证明了Barium大规模破坏计算机的能力,而且因为它利用了最基本的信任模型中的漏洞来管理用户在其计算机上运行的代码。“他们正在毒害可信赖的机制,”安全公司卡巴斯基亚洲研究团队主任维塔利卡姆鲁克说。当谈到软件供应链攻击时,“他们是这方面的支持者。随着他们违反的公司数量的增加,我不认为任何其他团体可以与这些人相提并论。”在至少两个案例中-一个案例劫持了计算机制造商华硕的软件更新,另一个案例中,它玷污了一个版本的PC清理工具CCleaner-software被该组破坏,最终导致成千上万的不知情用户的计算机被盗。在这些案件和其他案件中,黑客可能很容易引发前所未有的混乱,字母拥有的安全创业公司Chronicle的研究员塞拉斯卡特勒说,他已经跟踪了钡黑客。他将这些案例的可能性与2017年用于启动NotPetya网络攻击的软件供应链攻击进行了比较;在这种情况下,一名俄罗斯黑客组织劫持了一块乌克兰会计软件的更新,以便播下破坏性的蠕虫病毒,并为全球公司造成破纪录的100亿美元损失。“如果[Barium]通过其中一次攻击部署了类似勒索软件的蠕虫,那将是一次比NotPetya更具破坏性的攻击,”卡特勒说。到目前为止,该组织似乎专注于间谍而非破坏。但卡巴斯基的Kamluk表示,其重复的供应链劫持具有更微妙的有害影响。“当他们滥用这种机制时,他们就会破坏对核心的信任,这种机制可以验证系统的完整性,”他说。“这比定期利用安全漏洞或网络钓鱼或其他类型的攻击更重要,影响更大。人们将不再信任合法的软件更新和软件供应商。”跟踪线索上游卡巴斯基于2017年7月首次发现了钡黑客的供应链攻击,当时Kamluk表示,一个合作伙伴组织要求其研究人员帮助他们了解其网络上的奇怪活动。某种未触发防病毒警报的恶意软件正在向远程服务器发送信号并将其通信隐藏在域名系统协议中。当卡巴斯基调查时,它发现该通信的来源是NetSarang的后门版本,NetSarang是一家由韩国公司发行的流行的企业远程管理工具。更令人费解的是,NetSarang产品的恶意版本带有公司的数字签名,这几乎是不可伪造的批准标记。卡巴斯基最终确定,NetSarang证实,攻击者违反了NetSarang的网络,并在应用程序加密签名之前在其产品中植入恶意代码,例如在应用防篡改密封之前将氰化物滑入一罐药丸。两个月后,反病毒公司Avast透露,其子公司Piriform同样遭到破坏,而Piriform的计算机清理工具CCleaner已经在另一个更大规模的供应链攻击中受到了挫折,导致70万台机器遭到破坏。尽管层层混淆,但卡巴斯基发现该后门的代码与NetSarang案例中使用的代码非常匹配。然后在2019年1月,卡巴斯基发现,台湾电脑制造商华硕已经推出了类似的后门软件更新,至少有六万台机器可以追溯至少五个月。虽然在这种情况下代码看起来不同,但它使用了与CCleaner攻击共享的唯一散列函数,并且恶意代码已经注入软件运行时函数中的类似位置。“有无限的方法来破坏二进制,但他们坚持使用这种方法,”Kamluk说。当卡巴斯基扫描其客户的机器以寻找类似于华硕攻击的代码时,它发现代码与由三家不同公司分发的后门版本的视频游戏相匹配,这些公司已经被安全公司ESET检测到:一个讽刺的僵尸游戏,具有讽刺意味的是Infestation,一个名叫PointBlank的韩国制造射击游戏,以及第三个卡巴斯基和ESET的名字。所有迹象都表明,四轮不同的供应链攻击与同样的黑客联系在一起。“就规模而言,现在这是最精通供应链攻击的群体,”ESET安全研究员Marc-EtienneLéveillé说。“我们之前从未见过这样的事情。这很吓人,因为他们可以控制很多机器。”“操作约束”然而,从各方面来看,该集团正在投入巨大的网络来监视其妥协的计算机中的一小部分。在华硕的情况下,它通过检查他们的MAC地址来过滤机器,寻求仅在其受到损害的600,000台中的600台计算机中。在早期的CCleaner事件中,它在其感染的700,000台计算机中仅安装了一台“第二阶段”间谍软件。Barium最终针对如此少的计算机,在大多数操作中,研究人员甚至从未接触到最终的恶意软件负载。仅在CCleaner案例中,Avast才发现第三阶段间谍软件样本的证据,该样本充当了键盘记录器和密码窃取器。这表明该集团一心想进行间谍活动,其严密的目标明确表明这不是一个以利润为重点的网络犯罪行动。“令人难以置信的是,他们将所有这些受害者留在了桌面上,只针对一小部分人,”Chronicle的Cutler说道。“他们必须携带的操作限制必须是最高质量的。”目前尚不清楚钡黑客究竟是如何违反他们劫持软件的所有公司。但卡巴斯基的Kamluk猜测,在某些情况下,一个供应链攻击可以实现另一个。例如,CCleaner攻击针对的是华硕,它可能为Barium提供了后来劫持公司更新所需的访问权限。这表明黑客可能会通过相互关联的供应链劫持来刷新他们庞大的受感染机器集合,同时为特定的间谍目标梳理该集合。简体中文,复杂的技巧尽管他们将自己区分为今天活跃的最多产和最具侵略性的黑客团体之一,但Barium的确切身份仍然是一个谜。但研究人员指出,其黑客似乎会说中文,可能住在中国大陆,他们的大多数目标似乎都是韩国,台湾和日本等亚洲国家的组织。卡巴斯基在其代码中发现了简体中文工件,并且在一个案例中,该组使用GoogleDocs作为命令和控制机制,让我们得到一个线索:该文档使用简历模板作为占位符-可能是为了使其看起来合法并阻止谷歌删除它-该表格是用中文编写的,默认电话号码包括国家代码+86,表示中国大陆。在最近的视频游戏供应链攻击中,黑客'更有说服力的是,Barium代码中的线索也将其与以前已知的中国黑客组织联系起来。它与中国国家赞助的间谍组织Axiom或APT17分享了一些代码指纹,该组织在政府和私营部门目标中进行了至少十年的广泛网络间谍活动。但它似乎也与卡巴斯基称之为Winnti的老组织共享工具,后者同样表现出从视频游戏公司窃取数字证书的模式。根据安全公司Crowdstrike的一项分析,令人困惑的是,Winnti集团长期以来被认为是自由职业者或犯罪黑客组织,似乎将其被盗的数字证书出售给其他在中国的黑客。。“他们可能是自由职业者,他们加入了一个现在专注于间谍活动的大集团,”Avast威胁情报负责人MichalSalat说。无论它的起源如何,Barium的未来都让卡巴斯基的Kamluk感到担忧。他指出该组织的恶意软件变得更加隐蔽-在华硕攻击中,该公司的污染代码包括一个目标MAC地址列表,因此它不必与命令和控制服务器通信,剥夺了防御者的那种网络信号,允许卡巴斯基在NetSarang攻击后找到该组。在视频游戏劫持案例中,Barium通过破坏游戏开发者正在使用的MicrosoftVisualStudio编译器的版本来制造其恶意软件-基本上将一个供应链攻击隐藏在另一个中。Kamluk说:“他们的方法不断发展,而且它的复杂程度也在不断提高。”“随着时间的推移,抓住这些人变得越来越难。”