黑客资讯

论坛程序套件vBulletin本周曝出高危零日漏洞,其概念性验证攻击程序仅为18行代码,据悉可能已有骇客针对该漏洞展开了攻击。vBulletin团队在获悉消息后,紧急在本周四对该漏洞进行了修复。vBulletin是一个可完全根据自身需要定制的论坛程序套件,宣称全球已有超过10万个网站采用。本周被公布的安全漏洞编号为CVE-2019-16759,骇客无需具备论坛帐号,只要传送一个特制的HTTPPOST请求至vBulletin就能执行命令,可执行的命令型态则视vBulletin服务所使用的用户帐号权限而定,可能允许骇客掌控整个系统。  安全专家认为这是个既严重又容易利用的高危漏洞,预期很快就会吸引到大量骇客使用,而据BadPackets的TroyMursch指出,其已经侦测到首批攻击。骇客不但通过公开的攻击程序利用到该漏洞,还变更了系统配置,后续传送命令得输入密码,来防堵其它骇客的利用行为,进而收编这些vBulletin服务器成为自己的僵尸网络。据悉大多数的攻击流量来自巴西、越南与印度。  CVE-2019-16759影响vBulletin5.0.0到5.5.4的版本,漏洞的严重性也让vBulletin团队紧急应对,并放出了修复vBulletin5.5.2、5.5.3及5.5.4的安全更新,同时建议使用5.5.2以前版本的用户尽快升级。  不过有安全专家指出,此高危漏洞至少在3年前就被发现了,甚至有许多研究人员对外销售CVE-2019-16759的攻击程序。

黑客资讯

TheNokia7.2continuesthetrendofHMDdeliveringsolidbudgetphones,andIndianuserscansoonseewhatallthefussisaboutwhenthephoneisreleasednextweek.Nokia’smid-rangedevicepacksaSnapdragon660processor,4GBor6GBofRAM,64GBofexpandablestorage,anda3,500mAhbatterywith10Wcharging.TheNokia7.2alsoservesupatriplerearcamerasetupasyou’dexpectthesedays,featuringa48MPprimarycamera,8MPultra-widesnapper,and5MPdepthsensor.Selfiesarehandledbya20MPcamerainawaterdropnotch.Othernoteworthydetailsincludea6.3-inchFHD+LCDscreen,rearfingerprintscanner,3.5mmport,USB-C,andadedicatedGoogleAssistantbutton.HMD’sphoneispartoftheAndroidOneinitiative,whichmeansastocktakeonAndroidandatleasttwoyearsofAndroidfeatureupdates(alongwiththreeyearsofsecuritypatches).Infact,thefirmsaysthephoneis“AndroidQready.”ThephonestartsatRs.18,599(~$261)forthe4GB/64GBvariantandRs.19,599(~$275)forthe6GB/64GBvariant.TheNokia7.2willbeavailablefromSeptember23viaNokia’swebsiteandFlipkartinCharcoalandCyanGreen.Thedeviceseemslikearathersolidphonefortheprice,butthelikesofRealmeandXiaomiarecominginevencheaperwiththeirphones.WesawtheRealme5ProandRealmeXTlaunchinIndiarecentlyatjust~$200and~$225respectively,offeringmorepowerfulchipsetandbiggerbatteries.TheXTalsoservesupa64MPmaincamera,uppingtheanteonpaper.Thenagain,ourownRyan-ThomasShawslammedtheRealme5Proforits“awfulsoftware”andbloatware,withfellowAndroidAuthorityreviewerDhruvBhutanialsocriticizingthebloatware.SothoseonthehuntforalightweighttakeonAndroidandadevicewithguaranteedupdatesshouldcertainlykeeptheNokia7.2inmind.

黑客资讯

根据美国一份法院文件,涉嫌窃取摩根大通8000多万客户财务数据的俄罗斯黑客将于本月晚些时候认罪。安德烈·秋林去年从格鲁吉亚共和国被引渡,他被指控执行关键任务,从摩根大通和其他公司的黑客攻击中获得数亿美元的非法收益。秋林已经与纽约的联邦检察官达成认罪协议,以解决指控,并将于下周出席认罪听证会。自从他第一次被带见纽约法官以来,秋林一案的听证一再被取消,此前的法庭文件显示检察官和辩护律师正在进行认罪协商。在周五晚些时候提交的一份文件中,曼哈顿美国检察官办公室的检察官试图将纽约的秋林案件与亚特兰大的一起案件合并,在一起案件中,秋林和其他人被指控入侵网上经纪公司电子交易。在黑客攻击时,漏洞如此之大,以至于美国当局怀疑这是一次国家支持的网络攻击,与俄罗斯情报机构有潜在联系。但他们最终得出结论,这是一个大规模犯罪企业的工作,窃取的资金助长了包括股票操纵、在线赌博和洗钱在内的其他计划。秋林的律师弗洛里安·米德尔没有立即回电话寻求置评。美国检察官办公室的发言人拒绝置评。秋林和其他共同被告于2015年被起诉。秋林多年来一直逍遥法外,即使他的同盟被逮捕,直到他在格鲁吉亚被捕。此次行动的头目格里·沙隆(GeryShalon)于2015年在特拉维夫被捕,并被引渡到美国。他的起诉尚未解决,知情人士称,他一直在与美国当局合作。他和其他同案被告同意与当局达成一系列交易,以返还瑞士、格鲁吉亚、塞浦路斯、卢森堡和拉脱维亚银行账户中的被盗资金。沙隆和秋林掌握的哪些信息可能对美国当局有价值尚不清楚,但这些人处于一个网络的中心,这个网络有可能揭示俄罗斯网络犯罪分子、间谍机构和国际洗钱网络之间的联系。

黑客资讯

在美国联邦贸易委员会已对入驻联邦隐私指控YouTube上。根据TheVerge的说法,虽然和解协议的条款含糊不清,但据报道谷歌将支付1.5亿至2亿美元的罚款。这些费用来自YouTube的数据收集和定位实践,消费者团体声称这些指控违反了儿童在线隐私保护法案。和解的细节在今天的投票中得出。周五,YouTube还发布了一个针对YouTubeKids的新门户网站,以及一系列更具辨别力的内容过滤器。最近几周,该平台改变了其政策,作为解决方案的答案,包括制定针对儿童推销的暴力或“成熟”视频的具体禁令。YouTube还禁止在儿童视频中投放有针对性的广告。对于YouTube评论家来说,罚款是一种失望,他们认为这是对视频服务受到严重侵犯隐私权的一记耳光。参议员EdMarkey(D-MA)表示,罚款是“党派解决方案”。“再一次,这个联邦贸易委员会似乎已经让一个强大的公司摆脱了名义罚款,因为他们违反了用户的在线隐私,”Markey在一份声明中表示,根据TheVerge。“我们应该让孩子们严厉打击那些侵犯儿童隐私权并违反联邦法律的公司。”其他隐私组织也有同感。消费者权益组织PublicCitizen说:“根据COPPA,儿童隐私法,FTC有权对谷歌处以数百亿美元的罚款。”“不超过2亿美元的罚款完全无法保护儿童的权利。它既没有充分惩罚谷歌,也没有阻止谷歌或其他公司未来的违法行为。“

黑客资讯

根据Verizon的移动安全指数2019,86%的企业高管表示移动威胁的增长速度超过任何其他企业,67%的企业高管对其移动设备的安全性与其他IT资产相比缺乏信心。据Statistica称,移动设备是黑客最喜欢的攻击平台,仅今年第一季就安装了超过905,000个恶意软件包,2018年安装了超过530万个恶意软件包。根据MobileIron的全球威胁报告,38%的移动设备根据隐私和安全设置分析为组织带来了不必要的风险。移动设备在您和他们选择参与的众多应用程序,数据和持续活动中反映您和您客户的身份。每个希望通过扩展数字业务战略来重塑自身的企业都将移动设备置于增长计划的中心,因为他们是每个人的身份。根据IDG最近与MobileIron联合完成的一项调查显示,89%的安全领导者认为移动设备将成为您在不久的将来访问企业服务和数据的数字身份证,名为SayGoodbyetoPasswords。您可以在此处下载该研究的副本。移动设备越来越多地成为企业在其组织中创建和扩展以移动为中心的零信任安全网络所依赖的ID。企业比以往任何时候都更依赖移动设备,为每个员工或员工个性化,以启动和扩展新的业务计划。这些因素加在一起导致移动设备的快速扩张和依赖,因为单个数字身份识别企业依靠这些设备来实现无边界边界。以下IDG调查结果反映了企业安全领导者对移动设备何时验证身份访问管理(IAM)的预测:密码不足以实现零信任世界最重要的是,密码是零信任世界中最薄弱的防御。在阻止特权基于凭据的违规行为时,由于内部人员共享最有特权的系统访问凭证并且有时会被转售,密码使黑客成为企业系统开门的关键。他们不再需要破解他们的方式;被盗或购买的密码以及DarkWeb上提供的特权访问凭证使黑客能够使用企业IT的前门。无论是IDG公布会同研究在iTunes上,告别密码和密码认证:跨越高安全性和低摩擦的身份管理之间的鸿沟由企业管理协会(EMA)验证密码有多弱处于零信任的世界,他们需要走的原因很多。以下是一些有利于超越密码的因素,以及以移动为中心的零信任安全框架:虽然95%的企业高管表示他们实施了多因素身份验证(MFA),但有一半以上的用户使用它。高级安全管理人员表示,他们怀疑安全利益(36%),费用(33%)以及用户无法访问敏感信息的决定(45%),这使得MFA毫无意义。如果可能的话,86%的高级安全管理人员会将密码使用作为身份验证方法。事实上,接受调查的人中有近一半的人认为消除密码是减少近一半违规行为的一种方法。感知到的安全缺陷是几乎四分之三的安全领导者表示他们正在积极寻找密码验证替代品的关键原因。62%的高级安全管理人员表示,密码锁定会对用户造成极大的刺激。在员工人数超过5,000人的公司中,报告密码锁定时极度用户受挫的受访者比例上升至67%。用户必须在IT帮助下更改密码,这会严重影响生产力和工作人员的时间。高级安全管理人员希望放弃密码,因为他们需要支持高维护,以及如何从任何组织中消耗时间和生产力。创建移动零信任网络任何企业的新现实都是移动设备身份是新的安全边界。从智能手机到平板电脑的移动设备正在以指数方式扩展企业需要保护的威胁表面,并且密码无法扩展以完成工作。安全访问不仅仅依赖于密码,还需要通过“永不信任,始终验证”的方法来确定,该方法需要在授予访问权限之前验证设备,用户,应用程序,网络以及威胁存在的评估。确保移动设备身份是新安全边界的无边界企业的巨大挑战需要以移动为中心的零信任网络才能取得成功。零信任在授予对任何设备或用户的安全访问权限之前,验证设备,建立用户上下文,检查应用程序授权,验证网络,检测并修复威胁。零信任平台建立在统一端点管理(UEM)系统及其支持技术之上,包括零登录(ZSO)用户和设备身份验证,多因素身份验证(MFA)和移动威胁检测(MTD)。下图反映了为移动零信任网络配置,授予访问权限,保护,实施和配置访问权限的最佳实践。公众号:一个黑客创业者

黑客资讯

为何人人都这么着急?信步走进任何一家书店,你会看到名为《如何在7天内学会Java》的书,还有各种各样类似的书:在几天内或几小时内学会VisualBasic,Windows,Internet等等,一眼望不到尽头。我在Amazon上做了如下的强力检索:pubdate:after1992andtitle:daysand(title:learnortitle:teachyourself)得到了248个结果。前78个都是计算机类书籍(第79个是LearnBengaliin30days)。我用"hours"替换"days",得到了类似的结果:更多的253书。前77本是计算机类书籍,第78本是TeachYourselfGrammarandStylein24Hours。在前200本书中,有96%是计算机类书籍。结论是:要么人们都在急急忙忙地学习计算机,要么计算机比其它任何东西都容易学。没有书籍教你在几天内学会古典音乐、量子物理,或者是养狗。让我们分析一下,像一本名为《三天内学会Pascal》的书意味着什么:学习:在三天里,你没有时间写一些重大的程序,并从成功或失败中得益。你没有时间与有经验的程序员合作,并理解在那样的环境下工作是怎么回事。一句话,你不会有时间学到太多东西。因此他们只能谈论一些肤浅的东西,而不是深入的理解。正如亚力山大教皇所说,浅尝辄止是危险的事情。Pascal:在三天时间里,你可能学会Pascal的语法(如果你已经学过类似的语言),但你学不到更多的如何使用这些语法的知识。也就是说,假如你曾是个BASIC程序员,你可以学着用Pascal语法写出BASIC风格的程序,但你不可能了解Pascal真正的好处(和坏处)。那么关键是什么?AlanPerlis说过:“一种不改变你编程的思维方式的语言,不值得去学。”一种可能的情况是:你必须学一点儿Pascal(或可能性更大的象VisualBasic或JavaScript之类),因为你为了完成某种特定的任务,需要与一个现存的工具建立接口。不过那不是学习如何编程,而是在学习如何完成那个任务。三天内:很不幸,这不够,原因由下一节告诉我们。在十年里学会编程研究表明(Hayes,Bloom)在任何一种领域内,象下棋、作曲、绘画、钢琴演奏、游泳、网球、以及原子物理学和拓扑学,等等,要达到专家水平大约都要花十年时间。没有真正的捷径:即使是莫扎特,4岁时就是音乐神童,13年后才开始写出世界级的作品。在另一方面,披头士似乎在1964年的EdSullivan表演上一炮走红。但他们从1957年就开始表演,在获得大众青睐后,他们的第一个重大成功,Sgt.Peppers,是1967年发行的。SamuelJohnson(塞缪尔·约翰逊,英国辞典编纂家及作家)认为要花比十年更长的时间:“在任何领域中出类拔萃都要用毕生的劳作来取得;它不可能用较低的代价获得。”而Chaucer(乔叟,英国诗人)感叹到:“人生短暂,学海无涯。”这是我为编程成功开出的方子:设法对编程感兴趣,并且因为它有趣而编一些程序。确保编程一直充满足够乐趣,这样你才愿意投入十年宝贵时间。与其他程序员交流;阅读其它程序。这比任何书本或训练课程都重要。写程序。最好的学习方式是从实践中学习。用更技术性的话说,“在一个给定的领域内,个人的最大能力不是自动地由扩展了的经验取得的,但即使是高度有经验的人也可以通过有意识的努力来提高自己的能力”(p.366)和“最有效的学习需要因人而异的适当难度,目标明确的任务,丰富的信息反馈,以及重复的机会和错误修正。”(p.20-21)此书CognitioninPractice:Mind,Mathematics,andCultureinEverydayLife是阐明此观点的令人感兴趣的参考文献。如果愿意,在大学里呆上4年或更长(在研究生院里)。你会接触到一些需要学历证明的工作,你会对此领域有更深的理解。如果你不喜欢学校,你可以(通过一些贡献)在工作中获得相似的经验。在任何情况下,光啃书本是不够的。EricRaymond,TheNewHacker'sDictionary一书的作者,说过,“计算机科学不能把任何人变成编程专家,就象光研究刷子和颜料不会使人变成画家一样。”我雇佣过的最好的程序员之一仅有高中程度;他做出了许多优秀的软件,有他自己的新闻组,而且通过股票期权,他无疑比我富有的多。和其他程序员一起做项目。在其中的一些项目中作为最好的程序员;而在另一些项目中是最差的。当你是最好的,你能测试领导项目的能力,用你的观点激发别人。当你是最差的,你学习杰出者是怎么做的,了解他们不喜欢做什么(因为他们吩咐你做事)。在其他程序员之后接手项目。使自己理解别人写的程序。当程序的原作者不在的时候,研究什么需要理解并且修改它。思考如何设计你的程序以便后来者的维护。学习至少半打的编程语言。包括一种支持类抽象的语言(象Java或C++),一种支持函数化抽象的语言(象Lisp或ML),一种支持语法抽象的语言(象Lisp),一种支持声明规格说明的语言(象Prolog或C++的模板),一种支持共行程序(coroutine)的语言(象Icon或Scheme),一种支持并行的语言(象Sisal)。请记住“计算机科学”中有“计算机”一词。了解你的计算机要花多长时间执行一条指令,从内存中取一个字(有cache),从磁盘中读取连续的字,和在磁盘中找到新的位置。(答案)参与一种语言标准化的工作。它可以是ANSIC++委员会,也可以是决定你周围小范围内的编程风格是应该两个还是四个空格缩进。通过任何一种方式,你了解到其他人在某种语言中的想法,他们的理解深度,甚至一些他们这样想的原因。找到适当的理由尽快地从语言标准化的努力中脱身。明白了这些,仅从书本中你能得到多少就成了一个问题。在我第一个孩子出生前,我读了所有的(关于育儿的)Howto书籍,仍然感觉是个手足无措的新手。30个月以后,我的第二个孩子快要出生了,我回头温习这些书了吗?没有。相反,我依靠我的个人经验,它比专家写的数千页书更有用和可靠。FredBrooks在他的随笔《没有银弹》中定出了一个寻找优秀软件设计者的三步计划:尽可能早地,有系统地识别顶级的设计人员。为设计人员指派一位职业导师,负责他们技术方面的成长,仔细地为他们规划职业生涯。为成长中的设计人员提供相互交流和学习的机会。此计划假设某些人已经具备了杰出设计者的必要才能;要做的只是如何恰当地诱导他们。AlanPerlis说得更简明扼要:“每个人都能被教会雕刻:对米开朗基罗而言,反倒是告诉他哪些事不要做。同样的道理也适用于优秀的程序员。”所以尽管买那本Java的书吧。你可能会从中学到点儿东西。但作为一个程序员,你不会在几天内或24小时内,哪怕是几个月内改变你的人生,或你实际的水平。

黑客资讯

为了保持其在超级计算方面的领先地位,美国已预算超过5亿美元,以便在2021年建造世界上第一台“亿亿次级”计算机。这个名为Aurora的新系统将能够完成至少一次exaflop,即每秒十亿次计算。这将使它比世界上目前领先的超级计算机峰会更强大五倍,该峰值也位于美国。周一,美国能源部宣布英特尔将帮助建设该项目,从而发布了有关该项目的更多细节。为了实现百亿美元的性能,Aurora超级计算机将采用英特尔数据中心业务的新芯片,包括Xeon可扩展处理器产品线和OptaneDC持久存储器技术。计划在三年内建立exascale计算机可能听起来雄心勃勃,但开发人员仍然相信这个目标可以在2021年之前实现。“ExascaleR&D已经持续了十多年,”伊利诺伊州Argonne国家实验室副主任RickStevens表示,该超级计算机将在那里建造。在一次新闻发布会上,史蒂文斯表示,他预计未来三年内Exascale计算的创新将继续,这将有助于为新机器铺平道路。目前,实验室和英特尔正在拒绝提供为即将推出的机器提供动力的流程背后的技术细节。然而,新系统将使用英特尔3D封装技术创建的组件,可以生产更精简,更节能的芯片。时间将证明美国是否真的是第一个实现亿亿次计算的人。该国最大的竞争对手是中国,目前中国拥有世界上第三和第四大超级计算机。并且据报道,中国政府已原型的百亿亿次的计算机,它可以在线最终在2020年。尽管奥罗拉的合同价值超过5亿美元,但美国能源部表示,预计该项投资将获得回报。即将推出的超级计算机将为研究人员打开大门,为研究人员创建更快的计算模型和模拟,旨在回答与物理,药物和工程相关的问题,例如新建筑材料可用于飞机和太阳能电池。“实现Exascale不仅是为了改善科学界,也是为了改善日常美国人的生活,”美国能源部长RickPerry在一份声明中说。“Aurora和下一代Exascale超级计算机将HPC(高性能计算)和AI技术应用于癌症研究,气候建模和退伍军人健康治疗等领域,”他补充说。

黑客资讯

当匿名社交媒体应用程序YOLO于2019年5月推出时,尽管缺乏重大的营销活动,它在仅仅一周之后就在iTunes下载榜上名列前茅。YOLO旨在与社交网络Snapchat一起使用,让用户邀请人们向他们发送匿名消息。它的病毒受欢迎程度与其他应用程序相似,例如现在臭名昭着的YikYak以及Whisper,Secret,Spout,Swiflie和Sarahah。所有这些都满足了在线匿名互动的需求。YOLO的爆炸性流行导致了同样问题的警告,导致YikYak关闭,即其匿名可能导致网络欺凌和仇恨言论。但在网络监控和自我审查的时代,支持者认为匿名是隐私和言论自由的重要组成部分。我们自己对英国和爱尔兰青少年之间匿名在线互动的研究揭示了更广泛的相互作用,这种相互作用超越了毒性,甚至是有益的。匿名应用程序的问题是网络欺凌,骚扰和威胁的报告,这些报告似乎比常规社交网络更具特色。专门研究在线行为的心理学家JohnSuler将这种现象描述为“在线去抑制效应”。这意味着当人们感觉自己的真实身份被删除时,他们会对自己的行为负责。匿名提供的面纱使人们变得粗鲁,批评,愤怒,仇恨和威胁彼此,而不必担心会产生反响。但这种不受约束的表达的机会也使得匿名应用程序既对那些想要以积极方式使用它们的人有吸引力又有益。摆脱社交媒体的暴政最近的研究表明,年轻人对Facebook,Instagram和Snapchat等网络中的自恋文化越来越不满意。由于其设计的性质,这些平台鼓励人们呈现自己的理想化版本。这不仅会带来情感上的负担,而且在这些理想化的演示中使用相机滤镜和其他图像增强工具意味着这个过程可能会带来很大的工作量。年轻人越来越觉得社交媒体会导致他们不断地将自己与其他人的不切实际的形象进行比较而产生的焦虑和不足感。鉴于这些压力,年轻人越来越多地转向各种形式的匿名互动,使他们无需提供完美的化身,这就不足为奇了。相反,匿名应用程序为年轻人提供了一个参与他们认为更真实的交互,表达和连接模式的论坛。这可以采取各种形式。对于一些人来说,匿名性为他们所遭受的问题提供了诚实的空间,并寻求支持带有耻辱的问题-例如焦虑,抑郁,自我伤害,成瘾和身体烦躁不安。它可以为宣泄提供重要的出路,有时也是舒适的。对于其他人来说,匿名让他们有机会在重要的社会问题上发表他们严厉的“真相”,而不必担心因违反同行的民意而受到报复。社交媒体理想化自我呈现的一个方面是支持某些观点,因为它们被视为在某一群人中流行,而不是因为它们是真正的信仰。这种所谓的“美德信号”是关于在线互动真实性的争论的一部分。虽然匿名并不一定会产生更多的智力讨论,但它确实提供了一个更开放的论坛,人们可以在这里代表他们的真实意见,而不必担心因为说错话而受到排斥或骚扰。禁令将是短视的匿名并不完美,并不总是好的,但同样并不总是坏事。网络欺凌无疑是一个需要解决的严重问题。然而,内容审核和确定在线可以或不可以说或不能分享什么是主观的。这是一个不完善的制度,但要求彻底禁止匿名可能是短视的。他们倾向于强调匿名的负面联想,而没有表现出对其积极潜力的认识。真正需要的是教育。当然,还需要做更多的工作来教育年轻人社交媒体消费的危险。学校,学院和大学的更新课程可以而且应该在这方面做得更多。但同样,应用程序设计人员和服务提供商需要更加了解其产品可能产生的负面影响。保护应该是硅谷公司的议事日程,特别是当他们针对年轻人并让人们随心所欲地说出他们喜欢的东西时,不必担心受到影响。

黑客资讯

研究人员设计了一种新的攻击方式,允许在计算机上运行的非特权代码窃取存储在应受保护的内存区域中的秘密,例如加密密钥。这种攻击是可能的,因为现代DRAM芯片的一个已知设计问题是过去被利用来修改受保护的数据。被称为RAMBleed的新攻击是来自密歇根大学的研究人员AndrewKwong和DanielGenkin,来自格拉茨技术大学的DanielGruss和来自阿德莱德大学和Data61的YuvalYarom的工作。使用这项新技术,研究人员能够使用运行了用户级权限的代码从OpenSSH服务器中提取RSA2048位签名密钥。在Linux的安全模型和大多数现代操作系统的安全模型下,这是不可能的,因为OpenSSH作为系统服务运行,其内存与内核的内存隔离并受到保护,不受用户空间应用程序的影响。任何未经授权的违反安全边界的行为都是一个严重漏洞,因为许多应用程序依赖内核来保护其秘密,例如加密密钥和密码。RAMBleed:另一个硬件设计缺陷RAMBleed是另一种名为Rowhammer的攻击的变种,该攻击多年来一直为人所知,它利用了DDR3和DDR4SDRAM内存芯片中增加的单元密度。SDRAM芯片将信息作为电荷存储在按行排列的单元内。单元的充电或放电状态确定存储在内部的值是1还是0,表示位。其他研究人员在过去已经确定,对同一物理行存储器单元的重复读取操作-称为锤击-可能导致其电荷泄漏到相邻行中,从而改变这些行中的单元的值。这是可能的,因为在现代SDRAM芯片中,单元非常小并且紧密地封装在一起。如果以受控方式实现,则这种“划线”效果和由此产生的数据修改可能具有安全隐患。到目前为止所展示的Rowhammer攻击可用于实现权限升级,打破软件沙箱或崩溃系统。虽然基于相同的行概念,RAMBleed是不同的,因为它不是修改数据,而是使用侧通道从其他行提取数据。换句话说,RAMBleed是第一个影响存储在存储单元中的数据的机密性而非其完整性的Rowhammer型攻击。RAMBleed背后的研究团队证明,他们的攻击甚至可以对具有纠错码(ECC)功能的SDRAM芯片起作用。ECC内存通常用于服务器和高保证系统,直到现在才被认为是对Rowhammer攻击的防御。这是因为即使物理的Rowhammer效应仍然发生,校正位也不能可靠地用于安全漏洞,但这仅适用于数据修改。“值得注意的是,RAMBleed可以打破ECC内存的内存机密性,即使ECC机制成功纠正了所有位翻转,”研究人员在他们的论文中写道。“在分析了目标的内存之后,我们展示了RAMBleed如何泄漏存储在目标物理内存中的秘密,实现每秒大约三到四位的读取速度。”Kwong告诉CSO他们的攻击目前仅在DDR3SDRAM上进行了测试和确认,但正在计划对DDR4进行测试。该团队已向英特尔,AMD,OpenSSH,微软,苹果和红帽通报了他们的调查结果,并为该问题分配了CVE-2019-0174漏洞标识符。过去的Rowhammer攻击具有通过浏览器或网络数据包远程工作的变体,但RAMBleed攻击,至少在它的概念验证版本中,依赖于在本地机器上运行的代码。然而,这不是一个很大的限制,因为本地代码执行可以通过恶意软件感染或通过某些其他应用程序中的漏洞来实现,并且攻击无需提升特权。RAMBleed缓解根据Kwong的说法,现有的操作系统级漏洞利用缓解措施(如内核地址空间布局随机化(KASLR))无法阻止攻击。但是,OpenSSH等个别软件应用程序可以使用某些技术来保护内存中的秘密并使其更难窃取,例如在其周围添加缓冲区以使其更大。“RAMBleed可以绕过可能应用于目标的基于软件的完整性检查,例如使用消息认证码(MAC)来保护目标数据,”研究人员在他们的论文中说。“此外,旨在保护加密系统免受故障攻击(例如Shamir的对策)的技术也无效,因为它们再次保护加密计算的完整性而不是其机密性。其他软件防御,例如Brasser等人的内存分区方案不会减轻我们的攻击,因为我们不是试图从内核内存中读取内容。“英特尔发布了一份关于该漏洞的安全公告,并将其评为低影响-在CVSS规模上为3.8-至少与其处理器及其处理内存的方式有关。“对于英特尔所知的已发布漏洞,英特尔建议用户遵循现有的最佳实践,包括:使用耐受Rowhammer式攻击的DRAM模块,”该公司表示。RedHat在其有关Rowhammer的知识库文章中添加了此漏洞,并引用了几个基于硬件的建议解:目标行刷新(TRR),增加的DRAM刷新间隔(DRAM刷新率增加一倍)和ECC内存的使用。“这些策略实际上可以缓解问题的程度各不相同,而且是硬件平台特定的,”该公司表示。“供应商预计将提供适当的平台特定指导。”最终,完全缓解,就像最近在CPU中发现的漏洞一样,将需要硬件重新设计,因此它们将在未来的SDRAM芯片中可用。但是,无法保证将来不会发现此攻击的其他变化或改进。安全社区有一句俗语:攻击总是变得更好;永远不会更糟“我认为我们只看到冰山一角给出了多少硬件攻击仅在过去一年中出现,因此可能会有更多的事情发生,”Kwong说。“安全研究界已经对软件进行了长时间的探索,而且直到最近才对硬件产生了浓厚的兴趣,因此我们可以预期硬件安全性将会出现类似的变化。”

黑客资讯

以色列大学的学者证明,键盘上的CapsLock,NumLock和ScrollLockLED可用于从安全的气隙系统中泄露数据。他们命名为CTRL-ALT-LED的攻击并不是普通用户应该担心的,但是对于高度安全的环境是危险的,例如存储绝密文档的政府网络或专用于存储非公开专有信息的企业网络。CTRL-ALT-DEL的工作原理攻击需要一些先决条件,例如恶意行为者预先找到一种方法来感染带有恶意软件的气隙系统。CTRL-ALT-LED只是一种渗滤方法。但是,一旦满足这些先决条件,系统上运行的恶意软件就可以使USB连接键盘的LED以快速的速度闪烁,使用自定义传输协议和调制方案对传输的数据进行编码。附近的攻击者可以使用与编码它相同的调制方案记录这些微小的闪烁,它们可以在稍后解码。这种渗透方法背后的研究团队表示,它使用各种光学捕获设备测试了CTRL-ALT-LED技术,例如智能手机相机,智能手表相机,安全相机,极限运动相机,甚至高级光学/光传感器。一些攻击需要一个“邪恶的女仆”场景,攻击者需要亲自到场来记录LED闪烁-使用他的智能手机或智能手表。然而,其他情况更可行,攻击者接管了具有键盘LED视线的CCTV监视系统。当用户不在时,也可以在一天的特定间隔安排键盘LED传输。这也使攻击者更容易同步记录或仅在他们知道LED将传输被盗信息时将光学记录器或摄像机放置在气隙目标附近。在实验期间,来自以色列内盖夫Ben-Gurion大学的研究小组表示,当他们使用敏感的光传感器时,他们已经记录了每个LED高达3000bit/sec的渗透速度,大约120bit/sec使用普通智能手机相机时的速度。速度取决于相机的灵敏度和键盘距离。键盘模型在渗透速度方面没有发挥作用,没有供应商的键盘比其他键盘更容易受到这种渗透方法的影响。恢复被盗数据的误码率在可接受的3%速率到较大的8%值之间变化。之前的研究但BenGurion研究人员用现代硬件测试的技术实际上并不新鲜。2002年发表的一份研究报告首先警告说,通过键盘LED进行数据泄漏在技术上是可行的。此外,同样的BenGurion团队在过去也支持类似的研究。第一种是LED-it-GO,一种使用硬盘驱动器LED的渗透技术,第二种是xLED,这是一种使用状态指示灯从路由器和交换机中泄露数据的类似方法。正如本文在开头所说的那样,普通用户不必担心本文中描述的技术。恶意软件通常具有更好,更快的方法来窃取受感染计算机中的数据。这是气隙网络管理员需要考虑的问题。Ben-Gurion团队在他们的白皮书中列出了针对这种攻击的各种对策,标题为“CTRL-ALT-LED:通过键盘LED从气隙计算机泄漏数据”。研究小组将于7月18日在美国威斯康星州密尔沃基举行的COMPSAC会议上公布他们的研究结果。

黑客资讯

黑客已经破坏了PaleMoon浏览器项目的存档服务器,并使用恶意软件污染了较旧的浏览器版本。根据PaleMoon主要开发商MCStraver今天公布的违规通知,该黑客未被发现超过18个月。PaleMoon“存档服务器”用于托管旧版本的PaleMoon浏览器,以防用户想要从当前稳定版本降级。“恶意方获得了访问我们从Frantech/BuyVM租用的基于Windows的存档服务器(archive.palemoon.org)的权限,并运行了一个脚本来选择性地感染存储在其上的所有存档的PaleMoon.exe文件。它(安装程序和便携式自解压档案)具有Win32/ClipBanker.DY(ESET名称)的变体,“Straver今天说。PaleMoondev说他昨天7月9日得知了这一事件,并立即取消了受感染的存档服务器。HACK发生在2017年“根据受感染文件的日期/时间戳,[黑客]发生在2017年12月27日15:30左右,”Straver在随后的调查后说道。“这些日期/时间戳可能是伪造的,但考虑到从文件中获取的备份,很可能这是违规的实际日期和时间。”PaleMoondev表示所有PaleMoon27.6.2及更早版本都被感染了。奇怪的是,尽管托管在同一台服务器上,但已存档的旧版本的BasiliskWeb浏览器并未受到污染。具有讽刺意味的是,PaleMoon项目在今年5月错过了检测入侵的机会,当时原始存档服务器遇到了数据损坏问题并且发生了故障。“不幸的是,在导致服务器无法运行的事件发生后,传输到新系统的文件是从之前已经处于受感染状态的备份中获取的,因为时间已经过去,这个漏洞未被发现,因此被感染的二进制文件被转移到新的(CentOS)解决方案,“斯特拉弗说。追加加密货币用户建议从存档服务器下载文件的用户扫描其系统或擦除并重新安装其工作站,以确保安全。Win32/ClipBanker.DY木马是安全研究人员称之为剪贴板劫持者的。感染受害者后,它会处于操作系统的后台,查看操作系统剪贴板。这个特殊的变体会观察看起来像比特币地址的文本片段,并用预先配置的地址替换它们,希望将交易劫持到黑客自己的钱包。此特洛伊木马先前已在2018年3月的ESET报告中进行了分析。该同一恶意软件系列的其他版本也支持更换Monero地址。

黑客资讯

ZhilianZhaopin,oneofthetopjobrecruitmentsitesinChina,hasreleasedevidenceataBeijingtrialshowingthatasmanyas160,000personalresumesuploadedontoitssitewereallegedlystolenandleakedforaround5yuan(70UScents)apiece,accordingtoaSinareport.Followingtheevidencebeingheardatcourt,ZhiliansaidinastatementonTuesdaynightthatuserdataisthecompany's"lifeblood"andreaffirmedthatprotectionofuserinformationisitscoreresponsibility."Zhilianwillnottolerateillegalactivitiesofinformationfraudandpersonalinformationviolations,"theChinesecompanysaid,addingthatitwouldinvestigateandcrackdownontheseactivitiesresolutely.ThecompanyfirstreportedthecasetopoliceinJune2018asitfoundusers'informationhadbeentradedonTaobao,Alibaba'se-commercewebsite,Zhiliansaidinthestatement.TwostafffromtheZhilian'sShanghaibureauwerethenarrestedbypolicetwomonthslaterinAugust.ThetwoZhilianstaffallegedlyhelpedapersonsurnamedZhengobtaincorporatememberaccountsonthewebsite,inviolationofthecompany'srules,whichallowedthelattertogetaccesstoaround160,000users'dataandtradethemforprofitillegally.Seealso:Thesehackersbrokeinto10telecomscompaniestostealcustomers'phonerecords(ZDNetSpecialFeature)SinceJune2018,Zhilianhasaddedmoreresourcestoitscompliancedepartmentsandcarriedoutself-examinationandself-correctionactivitieswithinthecompany,accordingtoitsstatement.Zhilianalsoaddedthatithasmadeinformationsecurityupgrades,procuredathird-partyfraudinformationdatabase,createdanonlinecustomersecurityriskassessmentsystem,andauditedallcorporateaccountsthatpostedjobsonitswebsite,inabidtocatchanyabnormalbehaviourtostopanypotentialleakinitstracks.Zhilian,whosemonthlyactiveusersreached6.8millionattheendofJanuarythisyear,isthesecondlargestonlinerecruitingplatforminChina,trailingbehindonly51job.comwhosemonthlyactiveuserbasehasexceeded10million,accordingtoaniiMediaResearchnote.DataleaksareaseriousissueinChina,wherelocalcompaniesleakedawhopping590millionresumesinthefirstthreemonthsof2019.Lastmonth,anexposeddatabasebelongingtoShanghaiJiaoTongUniversityexposed8.4TBinemailmetadataafterfailingtoimplementbasicauthentication.Meanwhile,ChineseAIcompanySenseNetsleftitsfacialrecognitiondatabasesopenontheinternetformonths,whichwasusedbythegovernmenttotracktheUyghurMuslimpopulationintheXinjiangregion,accordingtoareportinFebruary.

黑客资讯

A23-year-oldmanfromUtahwassentencedthisweekto27monthsinprisonforaseriesofDDoSattacksthattookdownonlinegamingserviceproviderslikeSony'sPlayStationNetwork,Valve'sSteam,Microsoft'sXbox,EA,RiotGames,Nintendo,QuakeLive,DOTA2,andLeagueofLegendsservers,alongwithmanyothers.NamedAustinThompson,butknownonlineasDerpTrolling,themanisthefirsthackerwhostartedatrendamongotherhackersandhackingcrews--namelyoflaunchingDDoSattacksagainstgamingprovidersduringChristmas,whichtheylaterjustifiedusingridiculousreasonssuchas"tospoileveryone'sholiday,""tomakepeoplespendtimewiththeirfamilies,"or"forthelulz."Thehacker'sDDoSattackswereextremelysuccessfulatthetime,in2013,inatimewhenmostcompaniesdidn'tusestrongDDoSmitigationservices.Atthetime,Thompsonusedthe@DerpTrollingTwitteraccounttoannounceattacksandtakerequestsforservicesuserswantedhimtotakedown.Whilethehackerhadbeenactivesince2011,hismostfamousstretchofactivitywasbetweenDecember2013andJanuary2014,whenmostofhishigh-profileDDoSattackstookplace,beforetheaccountgoinginactive.Theattackscausedmanyonlinegamingservicestogooffline,andafterseeingDerpTrollingsuccessandthemediacoveragethehackergot,manyotherhackingcrewsfollowedsuitinsubsequentyears.HackergroupslikeLizardSquadlaunchedDDoSattacksonChristmasin2014,agroupcalledPhantomSquaddidthesamein2015,R.I.U.StarPatrolin2016,andseverallonehackerslastyear,in2017,butwithlesssuccessthanthepreviousyears.ThisannualtrendofDDoSattacksongamingservicesovertheChristmasholidaypromptedtheFBItoact.Theagency,togetherwithlawenforcementfromtheUKandtheNetherlandsseizedthedomainsof15DDoS-for-hireserviceslastyear,inDecember,inanattempttopreventanyDDoSattacks--whicheventuallyprovedsuccessful.Thompsonwasarrestedin2014aftergettingdoxed.HepleadedguiltyinNovember2018.AccordingtoThompson'ssentencingdocumentobtainedbyZDNet,thehackermustalsopay$95,000inrestitutiontoDaybreakGames,(formerlySonyOnlineEntertainment),andisscheduledtostarthis27monthsprisonsentenceonAugust27."Denial-of-serviceattackscostbusinessesandindividualsmillionsofdollarsannually,"saidUSAttorneyRobertBrewer."Wearecommittedtoprosecutinghackerswhointentionallydisruptinternetaccess."

黑客资讯

ZOOMHASGAINEDdevotees—andapost-IPOboom—thankstoitsdead-simplevideoconferencingtech.Joiningacallisparticularlyeasy;withtheclickofameetingURL,thepageautomaticallylaunchesthedesktopapp,andyou'rein.ButassecurityresearcherJonathanLeitschuhdiscovered,thatseamlessnesscomeswithastrikingsetofvulnerabilitiesforZoomusersonApplecomputers—includingonethatcouldletanattackerhijackyourwebcam.OnMonday,Leitschuhpubliclydiscloseddetailsofhowanattackercouldsetupamaliciouscall,trickusersintoclickingalinktojoinit,andinstantlyaddtheirvideofeed,lettingthemlookintoavictim'sroom,office,orwherevertheirwebcamispointing.Inaddition,LeitschuhfoundthatattackerscouldalsolaunchadenialofserviceattackagainstMacsbyusingthesamemechanismtooverwhelmthemwithjoinrequests.ZoompatchedthisDoSissueinaMayupdatebutfornowisonlyadjustingitsauto-joinvideosettings,givingusersamoreprominentwayofchoosingwhethertheirvideofeedautomaticallylauncheswhentheyclickaZoomcalllink.LeitschuhsaysthenewfixisnotenoughtoaddressuserprivacyconcernsortheunderlyinginsecurityoftheflowthatallowsZoomtolaunchcallsfrommeetingURLsso“Withouttheusergivinganyexplicitconsentnortakinganyexplicitaction,theywouldbeinstantlydroppedintoaZoommeeting,”LeitschuhsaysofamaliciousZoomcallattack."Bydefault,Zoomshowsvideobutdoesn'tsendaudio,thoughbothsettingsarechangeable.Sodependingontheirvideoandaudiosettings,victimswouldpotentiallybeimmediatelybroadcastingthemselves,perhapsevenwithouttheirknowledgeifthey'renotlookingattheirscreen."Todemonstratetheseverityofthevulnerability,Leitschuhpublishedsomeproof-of-conceptattacklinks;clickonthemandyou'llautomaticallyjoinacall.SinceZoomhasn'tissuedtheupdatemeanttoaddressthisyet,thedemostillverymuchworks.ThevulnerabilitystemsfromaconsciouschoiceonZoom'spart.Toreducefrictionfromthevideochatexperience,Zoomsetsupalocalwebserveroneveryuser’sMacthatallowscallURLstoautomaticallylaunchthedesktopapp.Zoomsaysthatthissetupisinplaceasa“workaround”toafeatureofSafari12thatwouldrequireuserstoapproveZoomlaunchingeverytimetheyclickacalllink.AndthoughtheworkaroundistheretodealwithaSafarifeature,thesamesetupappliesnomatterwhichbrowseryoulaunchaZoomlinkfrom.Zoomdoesn'tofferquitesuchafrictionlessexperienceonWindows,butthere'saboxyoucanchecktopermanentlydismissthepromptsandstartvideoautomatically,whichwouldputyouinasimilarsituation.“Thelocalwebserverenablesuserstoavoidthisextraclickbeforejoiningeverymeeting.Wefeelthatthisisalegitimatesolutiontoapooruser-experienceproblem,”ZoomsaidinastatementlateMondaynight.“Wearenotaloneamongvideoconferencingprovidersinimplementingthissolution.”TheSafarifeaturedoesaddanextrastepforusers.Butbycircumventingthatstep,Zoompotentiallyexposesitsuserstostrangersoglingthemonline—whichdemonstratestheneedforthatextralayerofpermissioninthefirstplace.Additionally,LeitschuhpointsoutthatZoom’slocalwebserverpersistsonyourMacevenifyouuninstalltheZoomdesktopapp.IfyoueverclickaZoomcalllinkagain,theprogramcanquicklydownloadandreinstallitselfautomaticallythroughthewebserver.“HavinganinstalledappthatisrunningawebserveronmylocalmachinewithatotallyundocumentedAPIfeelsincrediblysketchytome,”Leitschuhwroteinhisreport,notingthathecombedthewebfordetailsaboutZoom’sapplicationprogramminginterfaceforthisfeatureandcouldn’tfindanything.“ThefactthatanywebsitethatIvisitcaninteractwiththiswebserverrunningonmymachineisahugeredflagforme.”Zoomhasaddedacryptographicsigningmechanismforrequestsmadetothelocalwebservers,whichisanauthenticationimprovement,butLeitschuhhasalreadyproposedawaythatanattackercouldbypasstheprotection."Thisisaverydisturbingsetofbugs,butunsurprisinggivenotherZoomissuesI’veobservedandreportedinthepast.Thelocalwebserverishonestlythemostconcerningpart,andit'snotfixed,"saysThomasReed,aMacresearchspecialistatthesecurityfirmMalwarebytes."Thewebserverisconcerningbecauseofthepossibilitythatsomeonecouldfindawaytouseitremotelytotriggerremotecodeexecution."

黑客资讯

TheNationalMuseumoftheU.S.AirForceatWright-PattersonAirForceBasenearDayton,Ohio.ApotentiallysevereleakofAmericanintelligenceonforeignnations'militarycapabilityhasoccurredatthebase.APPHOTO/JOHNMINCHILLOTheFBIisinvestigatingaleakofmorethan1,000pagesofhighlysensitiveclassifieddocumentsfromacriticalAmericanairandspaceintelligenceunit,Forbeshaslearned.ThefilesweretakenhomebyacontractorattheU.S.AirForceNationalAirandSpaceIntelligenceCenter(NASIC)basedoutofOhio’sWright-PattersonAirForceBase,accordingtoasearchwarrantfiledJune21.NASICisaDepartmentofDefenseintelligenceunitthatanalysesintelligenceonforeignair,cyberandspacethreats.Thatincludesintelligenceonmilitarysystemsandequipmentofothernationstates.“Thiscaseisparticularlyconcerninggiventheintelligencemission,withimplicationsacrossU.S.securityapparatusnotjusthousedatthebase,”saidGrahamBrookie,aformerU.S.governmentadvisoronhomelandsecurityandcounterterrorism.Thefiles,manyofwhichweremarked‘TOPSECRET,’wereuncoveredbytheFairbornCityPoliceDepartmentonMay25,theFBIwroteinitssearchwarrantapplication.Officerscameuponthefilesastheywereinvestigatinganalleged“marijuanagrowingfacility”believedtohavebeenlocatedatthehomeofthesuspect,IzaakVincentKemp,accordingtothewarrant.Thepolicedidfindmarijuana,butthecasewasescalatedtotheFBIafterthediscoveryoftheclassifiedpapers,thewarrantrevealed.Thedocumentsshouldhavehadespeciallystrongsafeguardsfromleakingastheyweremarkedasbeingprotectedby“SpecialAccessPrograms.”Suchfilesaredeemedsosensitivetheyrequireadditionalsecuritybeyondwhat’snormallyprovidedforclassifiedfilesandshouldonlybestoredinsegregated,highlyprotectedenvironments.TheAirForcesaidthecontractorwasneverauthorizedtoremovetheclassifieddocumentsfromtheNASIC“andwouldhavehadtomakeaconcertedefforttobypasssecuritycheckpoints”whentakingthemhome,thesearchwarrantread.Thegovernmentdidnotrevealjustwhatwascontainedinthefiles.

黑客资讯

人们几乎不会争辩说,现代育儿与20-30年前的情况几乎没有什么共同之处。值得注意的是,这种变化是过去几十年爆炸性技术发展的结果。今天的孩子和青少年属于Z世代,如果没有万维网和智能手机,他们就无法了解世界。因此,父母面临的挑战是不仅要离线而且要在线保护他们的弹簧,因为当孩子们24/7全天候接触到多种数字危险时,他们不能一直在这里。Pumpic移动监控应用程序可以为父母提供识别威胁所需的信息,并采取必要的措施来避免它。什么是PumpicPumpic是合法的移动设备监控软件设计用于家长监测。它有24个跟踪选项;取决于目标设备的操作系统(iOS或Android)和所选的南瓜监控解决方案,可以用南瓜应用程序监视的列表可以包括:通信-呼叫,短信,彩信,流行即时信使(KIK,WhatsApp);互联网活动-浏览历史,书签,社交网络;多媒体-照片和视频,下载或拍摄与设备相机;位置数据-当前行踪,整个路线历史,地理位置;其他-联系,票据,日历等。Pumpic可用于两个移动平台——iOS和Android。监控解决方案和特点有3种监控方案。您可以在HTTP://DEMO.PopPIC.0演示模式下查看所有三种解决方案的功能。没有越狱的iOS(iCloud)解决方案这个解决方案的优点是它不需要在目标小工具上安装应用程序。因此,你不必越狱你要监视的苹果设备——iCloud(苹果ID)密码就足够了。不过,您可能需要对小工具进行物理访问,以检查或调整设置。iCloud解决方案兼容iOS版本高达10,并利用11个监控功能,即:呼叫历史SMS/IMISSAGE(includingdeletedmessages).几个即时信使(WhatsApp,KIK)。浏览历史和书签存储照片位置跟踪和路由历史接触,日历,票据令人印象深刻,我们可以说,但并不是没有一些缺点。例如,Skype、Notes和BooMotes监控仅适用于iOS84.1。尽管如此,该解决方案提供了监控洞察力和技术简单性之间的最佳平衡。凹陷的溶液与越狱顾名思义,这种方法需要越狱目标苹果设备(这意味着你需要对它的物理访问)。但是,你不需要知道iCloud密码。然后,在你要监视的小工具上安装泵。该应用程序是可见的,但密码保护:您的孩子不能改变设置,禁用或删除它没有PIN码。IOSJavaRead解决方案适用于iOS版本60.9-1,提供23个跟踪功能。与iCloud解决方案相比,扩展功能是通过添加:即时信使——脸谱网IM、维伯等。社交网络-脸谱网,Instagram。远程设备管理选项-SMS和网站阻塞,应用程序管理,SMS命令,地理信息等。视频监控被告知,越狱空洞苹果保修。然而,它是完全可恢复的:你只需要更新你的小工具到最新的iOS版本或还原到工厂设置。如果你的设备被更新到当前的iOS10版本,我们担心,这个解决方案不是为你,因为没有越狱是最新的iOS版本。因此,如果你准备通过深度监控暂时放弃苹果保质金来保护你孩子的利益,IOS越狱解决方案是选项。Android解决方案Android设备的用户可以采用与Android2.2-60.1兼容的PufficBasic或高级订阅。它们之间唯一的区别是监测特征的数量。对于基本订阅,它是15,对于溢价,它有26个特征。然而,这种区别对于遵循孩子的在线信息来说是至关重要的。有什么相似之处?通过这两种解决方案,您可以查看和/或阻止呼叫、SMS、访问网站、电子邮件、照片、联系人、日历。应用程序管理、位置跟踪、地理位置设置也是可用的。有什么不同吗?有了溢价,你可以跟踪Skype,WhatsApp,Vibe,Kik,Snapchat(短信),加上Instagram和脸谱网。您还应该注意,对于某些特性,基本和高级解决方案都需要。扎根目标Android设备在应用程序安装之前。然而,即使没有根,许多监测选项也是可用的。安装过程在安装任何泵送解决方案之前,您必须选择订阅计划并提交付款。之后,您将收到一个逐步安装安装指南,为您的电子邮件选择的解决方案。指令是非常简单的,每一个行为都被详细描述,并伴随着高质量的图片。当我们测试安装不同的解决方案时,我们得出一个结论:无压力安装的关键是严格遵守指南。支持万一遇到任何困难,不要犹豫联系客户支持团队——他们的代表训练有素,乐于助人。你可以通过电子邮件、现场聊天或电话来称呼他们。后两种选择每天上午10点至晚上10点EST(γ-EDT)可用。控制面板应用程序如上所述,可以通过基于Web的控制面板查看由泵浦提供的监控信息。然而,泵也开发了一个指定的免费控制面板应用程序(CPapp)。iOS和安卓.CP应用程序确实非常简单和方便,但功能有限。在那里你只能检查最重要的监控信息——通话日志、短信、浏览历史、联系人、位置和路线。另外,只有一个设备管理选项-锁定或重启设备远程,只有当目标设备在Android操作系统上时才可用。定价南瓜订阅的价格取决于它们的持续时间——你选择的时间越长,每月支付的费用就越少。最便宜的解决方案是一年Android基本订阅-$5,99/月($63,99/年)。其他三种解决方案(iCloud,iOSJavaRead和AndroidExcel)以相同的价格分别为699美元/月(83.99美元/年)。可以说,这是市场上最好的交易,比如综合监控应用。更短的订阅计划也可在南瓜店(1,3个月或6个月),但每月的价格显著增加。现在Pumpic为每秒钟的订阅计划提供40%的折扣。概要总体而言,南瓜是一个强大的家长监控应用程序,有这么多的监测选项,只有少数解决方案可以提供。尽管如此,它还是为长期订阅提供了合理的价格。预防网络欺凌、性骚扰、不适当或危险的在线行为,甚至用可靠的追踪软件诱拐是非常容易的。家长们认为,通过监测可以确保儿童的安全,并寻找有效的方法来做到这一点,一定要给他们一个尝试。

黑客资讯

几个月前,据透露,BetoO'Rourke是进入2020年美国总统竞选的最新候选人之一,曾是美国最古老的黑客组织之一-死牛崇拜者。该黑客组织以反对政府监督和审查制度而闻名,暴露了使用MicrosoftWindows的系统中的缺陷,并最终创造了“黑客主义”一词。美国下任总统可能成为前黑客的可能性是美国和黑客历史上的关键点。而且,这不是一件坏事。毕竟,在一次采访中,贝托自己甚至表示“黑客心态可能对社会非常有帮助。黑客描述世界的真实情况,而不是它应该如何。“几十年来,“黑客”这个词在流行文化中主要被描绘成好莱坞电影,科幻书籍和新闻头条中的恶意。然而,这个词并非源于负面含义。麻省理工学院(MIT)在20世纪50年代创造了“黑客攻击”一词,指的是使用机器进行试错法实验,其原始内涵并不坏。事实上,麻省理工学院拥有长期的黑客攻击传统,并接受“黑客攻击”作为其文化的一部分,并将该词与“好奇的探索”和“表现出独创性和聪明的创造性发明”同义。直到20世纪60年代的早期手机黑客和20世纪80年代的现代黑客流行,其中“黑客攻击”才开始形成糟糕的说唱。在20世纪80年代使用调制解调器闯入公司和政府机构导致最终通过了诸如1986年美国计算机欺诈和滥用法案之类的反黑客法律,对被判犯有此类活动(包括入狱时间)的个人造成了严重后果。从那以后,“黑客”一词被莫名其妙地用于识别从事使用计算机和技术进行恶意行为的罪犯。甚至大多数词典都将“黑客”定义为“熟练使用计算机系统的人,通常是非法获取私人计算机系统的人。“随着新的安全漏洞几乎每天出现,为什么世界缓慢地接受麻省理工学院的情绪是可以理解的。好消息是黑客的负面看法以及随之而来的流行误解最终会因道德黑客攻击或“白帽式”黑客行为的崛起而发生变化,其中大部分都是在过去十年中发生的。臭虫赏金的崛起越来越多的公司和政府组织意识到,为了在线保护自己,他们也需要高技能和创造性的个人。实现这一目标的一种方法是通过提供奖励来激励黑客这样做,以报告漏洞,这被称为“错误赏金”。虽然当时没有被称为“臭虫赏金”计划的第一个被启动1983年由操作系统公司Hunter&Ready负责谁奖励那些发现并报告大众甲壳虫(“虫子”)漏洞的人。在20世纪90年代,Netscape创造了“臭虫赏金”一词,并且是最早将预算置于致力于通过财务奖励黑客寻找漏洞的计划的公司之一。直到2000年代,虫子奖励开始变得越来越普遍。从21世纪初开始,MozillaFoundation为关键漏洞提供高达500美元的漏洞奖励。快进到2010年,Facebook,谷歌,微软等科技巨头也纷纷效仿。到2012年,HackerOne等商业平台的开发应运而生,使任何组织都能让道德黑客参与测试他们的系统并构建更安全的系统,这些系统长期以来一直只是早期技术先驱所使用的策略。反过来,黑客作为一种职业以前被视为20或30年前的刑事犯罪现在被视为合法职业。事实上,随着臭虫赏金的增加,黑客攻击可能是有利可图的,收入超过美国的医生和建筑师。医生平均收入195,000美元,建筑师平均收入115,000美元;与此同时,收入最高的黑客收入超过七位数。今年,第一位青少年获得超过100万美元的道德黑客攻击,获得了创纪录的赏金。欧盟委员会,英国国家网络安全中心,美国国防部和新加坡国防部等联邦政府机构以及通用汽车,星巴克,高盛和凯悦酒店等大公司也在与黑客发现安全漏洞之前发现安全漏洞犯罪分子呢。感知正在发生变化黑客被称为互联网的免疫系统,因为他们聚集在一起,以帮助满足我们日益互联的社会日益增长的安全需求。公众的看法终于迎头赶上。去年的一项研究显示,70%的IT专业人员希望剑桥词典对黑客的定义改变为向黑客展示有利的方式,例如MIT使用的更准确的定义。同样是对美国成年人的调查透露,近三分之二的美国人(64%)认为并非所有黑客都采取恶意行为;82%的美国人认为黑客可以帮助揭露系统弱点,以提高未来版本的安全性;千禧一代(18-34岁)最有可能认为黑客是一种合法职业(57%对35岁以上人群占31%)。黑客最近被问到他们如何定义“黑客”,这是他们不得不说的:“黑客是解决问题的人”“黑客是一个能以独特方式思考和解决难题的人”“黑客是一个对事物如何建立感到好奇的人”“黑客攻击是一种智力挑战,你找到别人无法找到的东西,思考别人不会思考的方式。”最近的一项研究表明,黑客的最大动机是学习,挑战和获得乐趣的机会。黑客入侵黑客的原因可能各不相同,但结果却一直给越来越多的组织带来黑客印象深刻-让我们比以前更加安全。美国总统候选人BetoO'Rourke甚至表示,“黑客寻找系统中的缺陷,无论是软件,媒体还是政府,目标是让它们变得更好。”也许很快,全世界将会看到它的第一位黑客总统。BenSadeghipour是HackerOne的黑客和黑客行动负责人。

黑客资讯

随着“发布”进度条走到100%,重构的代码终于上线了。我露出了老母亲般的围笑……最近看了一篇文章,叫《史上最烂的开发项目长啥样:苦撑12年,600多万行代码》,讲的是法国的一个软件项目,因为各种奇葩的原因,导致代码质量惨不忍睹,项目多年无法交付,最终还有公司领导入狱。里面有一些细节让人哭笑不得:一个右键响应事件需要花45分钟;读取700MB的数据,需要花7天时间。足见这个软件的性能有多糟心。如果让笔者来接手这“坨”代码,内心早就飘过无数个敏感词。其实,笔者自己也维护着一套陈酿了将近7年的代码,随着后辈的添油加醋……哦不,添砖加瓦,功能逻辑日益复杂,代码也变得臃肿,维护起来步履维艰,性能也不尽如人意。终于有一天,我听见了内心的魔鬼在呼唤:“重构吧~~”重构是一件磨人的事情,轻易使不得。好在兄弟们齐心协力,各方资源也配合到位。我们小步迭代了大半年,最后一鼓作气,终于完成了。今天跟大家分享一下这次重构的经验和收益。挑战此次重构的对象是一个大型单页应用。它实现了云端文件管理功能,共有10个路由页面,涉及文件上传、音视频播放、图片预览、套餐购买等几十个功能。前端使用QWrap、jQuery、RequireJS搭建,HTML使用PHP模板引擎Smarty编写。我们选择了Vue.js、vue-router、vuex来改造代码,用webpack完成模块打包的工作。仿佛一下子从原始社会迈向了新世纪,是不是很完美?由于项目比较庞大,为了快速迭代,重构的过渡期允许新旧代码并存,开发完一部分就测试上线一部分,直到最终完全替代旧代码。然鹅,我们很快就意识到一个问题:重构部分跟新增需求无法保证一致。比如重构到一半,线上功能变了……产品不会等重构完再往前发展。难不成要在新老代码中并行迭代相同的需求?别慌,一定能想出更高效的解决办法。稍微分析一下,发现我们要处理三种情况:1.产品需要新增一个功能。比如一个活动弹窗或路由页面。解决方法:新功能用vue组件实现,然后手动加载到页面。比如:constwrap=document.createElement('div')document.body.appendChild(wrap)newVue({el:wrap,template:'<App/>',components:{App}})如果这个组件必须跟老代码交互,就将组件暴露给全局变量,然后由老代码调用全局变量的方法。比如://someApp.jswindow.someApp=newVue({...methods:{funcA(){//dosomthing}}})//老代码.js...window.someApp.funcA()注意:全局变量名需要人工协调,避免命名冲突。PS:这是过渡期的妥协,不是最终状态。新增一个路由页面时更棘手。聪明的读者一定会想到让新增的路由页面独立于已有的单页应用,单独分配一个URL,这样代码会更干净。假如新增的路由页面需要实现十几个功能,而这些功能已经存在于旧代码中呢?权衡了需求的紧急性和对代码整洁度的追求,我们再次妥协(PS:这也是过渡期,不是最终状态)。大家不要轻易模仿,如果条件允许,还是新起一个页面吧,心情会舒畅很多哦。2.产品需要修改老代码里的独立组件。解决方法:如果这个组件不是特别复杂,我们会以“夹带私货”的方式重构上线,这样还能顺便让测试童鞋帮忙验一下重构后有没有bug。具体实现参考第一种情况。3.产品需要修改整站的公共部分。我们的网站包含好几个页面,此次重构的单页应用只是其中之一。它们共用了顶部导航栏。在这些页面模板中通过Smarty的include语法加载:{%includefile="topPanel.inc"%}产品在一次界面改版中提出要给导航栏加上一些功能的快捷入口,比如导入文件,购买套餐等。而这些功能在单页应用中已经用vue实现了。所以还得将导航栏实现为vue组件。为了更快渲染导航栏,需要保留它原有的标签,而不是在JS里以组件的形式渲染。所以需要用到特殊手段:在topPanel.inc里写上自定义标签,对应到vue组件,比如下面代码里的<import-button>。当JS未加载时,会立即渲染导航栏的常规标签以及自定义标签。<divid="topPanelMountee"><divid="topPanel"><div>一些页面直出的内容</div>...<import-button><buttonclass="btn-import">导入</button></import-button>...</div></div>导航栏组件:topPanel.js,它包含了ImportButton等子组件(对应上面的<import-button>)。等JS加载后,ImportButton组件就会挂载到<import-button>上并为这个按钮绑定行为。另外,注意下面代码中的template并不是<App/>,而是一个ID选择器,这样topPanel组件就会以#topPanelMountee里的内容作为模板挂载到#topPanelMountee元素中,是不是很机智~//topPanel.jsnewVue({el:'#topPanelMountee',template:'#topPanelMountee',components:{...ImportButton}})彻底重构后,我们还做了进一步的性能优化。进一步优化1.HTML瘦身在采用组件化开发之前,HTML中预置了许多标签元素,比如:<buttondata-cn="del"class="del">删除</button><buttondata-cn="rename"class="rename">重命名</button>...当状态改变时,通过JS操作DOM来控制预置标签的内容或显示隐藏状态。这种做法不仅让HTML很臃肿,JS跟DOM的紧耦合也让人头大。改成组件化开发后,将这些元素统统删掉。之前还使用了很多全局变量存放服务端输出的数据。比如:<script>varSYS_CONF={userName:{%$userInfo.name%}...}</script>随着时间的推移,这些全局变量越来越多,管理起来很费劲。还有一些已经废弃的变量,对HTML的体积做出了“贡献”。所以重构时只保留了必需的变量。更多数据则在运行时加载。另外,在没有模板字面量的年代,HTML里大量使用了script标签存放运行时所需的模板元素。比如:<scripttype="text/template"id="sharePanel"><divclass="share">...</div></script>虽然上线时会把这些标签内的字符串提取成JS变量,以减小HTML的体积,但在开发时,这些script标签会增加代码阅读的难度,因为要不停地切换HTML和JS目录查找。所以重构后删掉了大量的<script>标签,使用vue的<template>以及ES6的模板字面量来管理模板字符串。2.渐进渲染首屏想要更快渲染,还要确保文档加载的CSS和JS尽量少,因为它们会阻塞文档加载。所以我们尽可能延迟加载非关键组件。比如:延迟非默认路由单页应用有很多路由组件。所以除了默认跳转的路由组件,将非默认路由组件打包成单独的chunk。使用import()的方式动态加载。只有命中该路由时,才加载组件。比如:constAsyncComp=()=>import(/*webpackChunkName:"AsyncCompName"*/'AsyncComp.vue')constroutes=[{path:'/some/path',meta:{type:'sharelink',isValid:true,listKey:'sharelink'},component:AsyncComp}]...延迟不重要的展示型组件这些组件其实可以延迟到主要内容渲染完毕再加载。将这些组件单独打包为一个chunk。比如:import(/*webpackChunkName:"lazy_load"*/'a.js')import(/*webpackChunkName:"lazy_load"*/'b.js')延迟低频的功能如果某些功能属于低频操作,或者不是所有用户都需要。则可以选择延迟到需要的时候再加载。比如:asynchandler(){awaitconst{someFunc}=import('someFuncModule')someFunc()}3.优化图片虽然代码做了很多优化,但是动辄几十到几百KB的图片瞬间碾压了辛苦重构带来的提升。所以图片的优化也是至关重要滴~1.PNG改成SVG由于项目曾经支持IE6-8,大量使用了PNG,JPEG等格式的图片。随着历史的车轮滚滚向前,IE6-8的用户占比已经大大降低,我们在去年放弃了对IE8-的支持。这样一来就能采取更优的解决方案啦~我们的页面上有各种大小的图标和不同种类的占位图。原先使用位图并不能很好的适配retina显示器。现在改成SVG,只需要一套图片即可。相比PNG,SVG有以下优点:压缩后体积小无限缩放,不失真retina显示器上清晰2.进一步“压榨”SVG虽然换成SVG,但是还远远不够,使用webpack的loader可以有效地压缩SVG体积。用svgo-loader去除无用属性SVG本身既是文本也是图片。设计师提供的SVG大多有冗余的内容,比如一些无用的defs,title等,删除后并不会降低图片质量,还能减小图片体积。我们使用svgo-loader对SVG做了一些优化,比如去掉无用属性,去掉空格换行等。这里就不细数它能提供的优化项目。大家可以对照svgo-loader的选项配置。用svg-sprite-loader合并多个SVG另外,SVG有多种用法,比如:img,background,inline,inline+<use>。如果某些图反复出现并且对页面渲染很关键,可以使用svg-sprite-loader将多个图合并成一个大的SVG,避免逐个发起图片请求。然后使用内联或者JS加载的方式将这个SVG引入页面,然后在需要的地方使用SVG的<use>标签引用该图标。合并后的大SVG如下图:使用时:<svg><usexlink:href="#icon-add"></use></svg>即可在使用的位置展现该图标。以上是一些优化手段,下面给大家分享一下重构后的收益。重构的收益以下是重构带来的收益:收益项重构前重构后组件化无100%模块化50%100%规范化无ESLint代码规范检查语法ES5ES6+首屏有效渲染时间1.59s1.28s(提升19%)首次交互时间2.56s1.54s(提升39%)组件化:从0到100%老代码没有组件的概念,都是指令式的编程模式以及对DOM的直接操作。重构后,改为组件化以后,可以充分利用组件的高复用性,以及虚拟DOM的性能优化,带来更愉悦的开发体验。模块化:从50%到100%老代码中也用RequireJS做了一定程度的模块化,但是仅限于业务模块,没有解决第三方依赖的安装和升级问题。重构后,借助webpack和npm,只需要npminstall安装第三方依赖,然后用import的方式加载。极大地提高了开发效率。规范化:从0到1老代码几乎没有代码规范,甚至连同一份文件里都有不同的代码缩进,强迫症根本无法忍受。重构后,使用ESLint对代码格式进行了统一,代码看起来更加赏心悦目。ES6+语法:从0到大量使用老代码所使用的库因为历史悠久,加上没有引入转译流程,只能使用ES5语法。重构后,能够尽情使用箭头函数、解构、async/await等语言新特性来简化代码,从而提升开发体验。性能提升根据上线前后Lighthouse的性能检测数据,首次有效渲染时间(FirstMeaningfulPaint,FMP)提升19%。该指标表示用户看到有用信息的时间(比如文件列表)。首次交互(FirstInteractive,FI)提升39%。该指标表示用户可以开始跟网页进行交互的时间。以上就是这次重构的总结。不要容忍代码里的坏味道,更不要容忍低效的开发模式。及时发现,勇敢改进吧~

黑客资讯

OneofthehighlightsoftherecentWindows101903update,atleastforuserswhovaluetheirsecurity,hadtohavebeentheintroductionoftheWindowsSandbox.WhatashamethatMicrosoftjustbrokeit…Thisvirtualizeddesktopenvironment,whichrunsWindows10asabrand-newandcleaninstallationeverytime,allowsuserstoexecutepotentiallyharmfulfileswithoutanyimpacttoyoursystem.It’sareallycoolsecurityfeatureforanyonewhoeverworriesaboutrunningsoftwarethatmightmaliciously,orevenaccidentally,causeproblemstoyourcomputerandthedatauponit.AsSecurityresearcher,andOpenWebApplicationSecurityProject(OWASP)Scotlandchapterleader,SeanWrightwrites,“ThissandboxisnottypicallylikeaVM(virtualmachine.)Itactsmorelikeanapplication;youcanevenpinittoyourtaskbar!”What’smore,everythingyouneedisincludedinWindowssothere’snorequirementtoinstallthird-partyVMsoftware;itjustworksrightoutofthebox.Unlessyou’veinstalledaMay14Windowsupdatethatis…MicrosofthasconfirmedthatuserswhohaveinstalledtheKB4497936updatemayfindthattheWindowsSandboxwillfailtolaunch.AnumberofusersonTwitterhavecomplainedthatthisisthecaseandpostedscreenshotsofthe“WindowsSandboxfailedtostart”errormessage.Here’sthegood,orbad,newsdependinguponwhattypeofWindows10useryouare.Firstly,it’simportanttounderstandthattheWindowsSandboxisonlyincludedwithversion1903,theMayupdate,forWindowsProandWindowsEnterpriseonly.WindowsHomeusersnevergotthesecurityfeatureinthefirstplacesocanrelaxasnothinghasbeenbrokenforthem.DittoasfarasordinaryProorEnterpriseusersareconcerned;theKB4497936isanupdatethat’sjustforthoseusersontheWindowsInsiderprogramwhichallowsordinaryfolktogetpre-releasebuildsoftheoperatingsystemthatpreviouslyonlysoftwaredeveloperscouldaccess.TheInsiderprogramhasthree“rings”thatprovidedifferentlevelsofupdatefrequency,andusersofthefast,slowandpreviewringsareallimpactedbythisproblem.TheofficialMicrosoftconfirmationoftheproblemstatesthat:“WindowsSandboxmayfailtostartwith“ERROR_FILE_NOT_FOUND(0×80070002)”ondevicesinwhichtheoperatingsystemlanguageischangedduringtheupdateprocesswheninstallingWindows10,version1903.”ItdoesnotgointoanymoredetailthanthatbutdoessayMicrosoftis“workingonaresolution”withafixexpectedtobereleasedlatenextmonth.IgetfrustratedwhenthingsgowrongwiththeWindowsupdateprocess,whichmeansI’malwaysfeelingfrustratedtruthbetold.However,inthiscase,thatfrustrationistemperedbythefactthatthosewhohavebeenimpactedbytheborkingofWindowsSandboxhadsigneduptogetpre-releasebuildsoftheoperatingsystem.Inthosecircumstancesoneshouldalwaysbepreparedforthingsnotworkingasexpectedasyouaretestingsomethingthat’snotyetbeenapprovedforgeneralrelease.Thatsaid,giventhesheernumberofproblemsthatWindowsupdatescause,IhopethatMicrosoftcanowntheissuessoonorIfearpeoplewillsimplyfindwaystopreventupdatingatall.Thetroublewiththatifitain’tbrokescenariobeing,ofcourse,thatsystemswillmissoutonimportantsecurityfixesandsobeexposedtoaverydynamicthreatscape…

黑客资讯

美国司法部对维基解密创始人朱利安·阿桑奇提出了17起涉及非法获取,接收和披露与国防有关的机密信息的指控。他被控违反间谍法。4月份,当阿桑奇在国家庇护期间被撤出厄瓜多尔大使馆之后在伦敦被捕时,共犯了计算机侵入指控的阴谋,已被纳入这批指控中。美国政府与第一修正案?在与起诉书一同发布的声明中,弗吉尼亚州东区的美国检察官G.ZacharyTerwilliger表示,阿桑奇没有因被动获取或接收机密信息或发布机密文件而被起诉。“相反,美国只是指控阿桑奇出版了一套狭隘的机密文件,其中阿桑奇还据称公布了未经编辑的无辜人名,他们冒着安全和自由向美国及其盟国提供信息的风险。”国家安全助理检察长JohnC.Demers声称JulianAssange不是记者。“任何负责任的演员-记者或其他人-都不会故意公布他或她所知道的在战争地区作为机密人类来源的个人的名字,使他们面临最严重的危险。而这正是朱利安·阿桑奇(JulianAssange)所做的取代起诉书所指控的,“他补充道。但许多记者和新闻自由主张者认为这是对第一修正案的攻击。美国公民自由联盟指出,“在我国历史上,政府首次根据”间谍法“对出版商发布真实信息提起刑事指控。“这些指控是特朗普政府对新闻业的攻击的特别升级,建立了一个危险的先例,可以用来通过发布其秘密来瞄准所有让政府负起责任的新闻机构。”新闻自由记者委员会执行主任布鲁斯·布朗说,“任何政府使用”间谍法“将收到和发布机密信息定为犯罪行为都会对寻求为公共利益公布此类信息的记者构成严重威胁,无论其如何司法部声称阿桑奇不是记者。“维基解密主编KristinnHrafnsson指出,“在起诉书中,'自由世界的领导者'驳回了第一修正案-被誉为全世界新闻自由的典范-并在其境外发起了一场公然的域外攻击,攻击欧洲和世界其他国家的民主基本原则。“维基解密还指出了什么呢?阿桑奇仍然在英国被捕,因为他跳过保释而不是向英国法院投降。除了美国之外,瑞典还在寻求阿桑奇的引渡,因为他因性行为不端和强奸而受到调查。现在还有待观察哪个引渡请求将首先得到尊重。美国前军事分析家丹尼尔埃尔斯伯格于1971年发表了五角大楼的论文,他说他不希望阿桑奇很快进入美国,“除非英国人以他们特殊的友谊,很快就把他送走了,而不是到瑞典。““但目前的挑战仍在进行中。她告诉TheRealNewsNetwork,该国的每一位记者现在第一次都知道她或她因担任记者而受到起诉。“这消除了第一修正案的新闻自由,这是我们美国民主和这个共和国的基石。因此,不仅应该立即关注这里的记者和出版商,而且应该让所有希望这个国家成为民主共和国的人。“在本案中,切尔西曼宁拒绝在大陪审团面前作证。

黑客资讯

武侠世界之所以成为我们向往的江湖,因为有一群凭绝世武功快意恩仇、主持正义的侠客。时光穿梭流转至今,在虚拟的网络世界里,也有这样一群凭高超技术找出潜在威胁,维护网络安全的人,被称为白帽黑客。当这群白帽黑客齐聚一堂、高手过招,谁将登顶武林拿走百万奖金?GeekPwn2019将给出答案。4月24日,GeekPwn组委会宣布,2019国际安全极客大赛(GeekPwn2019)以500万的奖金池正式启动全球招募,并将在10月24日举行“巅峰对决”。值得关注的是,今年GeekPwn将首次发起全球首个模拟真实云环境的“云安全”挑战赛,升级CAAD对抗样本攻防赛至语音领域,以云安全、AI安全等产业互联网时代备受关注的安全攻防议题,开启全新白帽黑客高手对决。首届云安全挑战赛聚群雄决战云端据介绍,在比赛形式上,GeekPwn2019将分为设置挑战场景的命题专项赛和不设限制的非命题开放赛。其中,命题专项赛包括CAAD对抗样本攻防赛、隐私安全之反偷拍挑战赛、青少年机器特工挑战赛和云安全挑战赛;非命题开放赛则秉承GeekPwn“无所不PWN”的精神,分设基于漏洞PWN和非基于漏洞PWN。产业互联网时代的开启,“上云”已经成为各行各业数字化转型过程中的关键一步,“云载万物”是未来世界的写照。“万物上云”在推动社会潜能释放与提升生产力的同时,也将面临全新的安全挑战。GeekPwn以前瞻性的战略眼光,联合腾讯安全云鼎实验室发起云安全挑战赛,单项奖金池额度高达百万,向各路极客广发招募令,切磋探讨如何让云服务更安全。云安全挑战赛分为线上热身赛和开放赛两个赛段。线上热身赛阶段,主办方将采用主流云计算平台的架构和技术搭建比赛环境,赛题设置上将覆盖云操作系统、容器安全、虚拟化安全、云数据保护等层面,根据难度设置分值。选手通过线上解题的模式进行参赛,需寻找并破解主办方预设的赛题,获得对应题目的分数。开放赛阶段,主办方将提供开放的模拟云计算环境供参赛队伍研究,并将评选出5-8支超强战队登上“1024”的舞台进行终极对决。“声色”过招挑战“AI致盲AI”作为全球首个探索人工智能与专业安全的前沿平台,GeekPwn以敏锐的科技洞察力,先人一步发问人工智能:它真的是那么强大且安全的吗?从2016年将资深科学家围绕对抗深度学习的最新研究成果搬上极棒舞台,2017年特设“人工智能安全挑战专项”,到2018年首创CAAD可视化对抗现场展示,再到今年CAAD升级延展至语音识别领域,GeekPwn在探索AI安全的这条道路上从未止步。CAAD对抗样本攻防赛是由GeekPwn联合谷歌大脑的AlexeyKurakin、IanGoodfellow以及美国加州大学伯克利分校计算机系教授宋晓冬共同发起,赛事聚焦让机器学习分类器频频犯错的对抗样本,旨在预演AI领域可能存在的风险并不断完善,从而推动人工智能安全健康成长。值得一提的是,今年的CAAD攻防赛不仅聚焦图像识别领域,还将突破性地增设声音识别领域的对抗攻击与防御议题。2018年GeekPwn嘉年华CAADCTF比赛现场上,选手成功误导亚马逊名人识别系统,将主持人蒋昌建误认作施瓦辛格的场景还历历在目。那么,当语音识别遇到对抗干扰,将上演怎样的“闹剧”?我们拭目以待。嗅探隐秘偷拍摄像头破解真实安全难题如果说CAAD对抗样本攻防赛与云安全挑战赛是针对虚拟江湖里前沿命题的比试切磋,那么隐私安全之反偷拍挑战赛则是对大众日常生活中面临安全问题的直观演练。《诡异偷拍!出租房竟藏针孔摄像头》、《五星酒店房间惊现摄像头,当心这些东西正在偷偷盯着你》…这些现象不止出现在耸人听闻的社会新闻里,甚至可能潜伏在我们日常生活中。为了更加立体、直观地展示如何快速查找针孔摄像头,提升大众隐私保护意识,GeekPwn联合RC2反窃密实验室全新开设“隐私安全之反偷拍挑战赛”,将模拟真实的酒店环境,要求选手通过自制设备,变被动防御为主动侦探,快速嗅探出隐秘的偷拍摄像头。除通过各项破解预演潜在的危险之外,GeekPwn将继续打破固有思维,在青少年领域推动信息安全技术研究。今年的赛制中,“青少年机器特工赛”将为未来的社会栋梁——青少年们提供一个充分展示创造力与想象力的擂台。参赛选手可操控自制机器人挑战救援任务,去实现飒沓江湖行侠仗义的少年梦想。无所不PWN马上启程此外,2019年GeekPwn将继续秉承“无所不PWN”的态度,设置基于漏洞PWN和非基于漏洞PWN两大开放挑战项目,鼓励选手脑洞大开,尝试利用“从0到1”的全新手段突破安全限制,向所有的安全漏洞或安全缺陷发起挑战。女黑客tyy利用共享单车漏洞,成功实现了“花别人的钱,骑自己的车”;腾讯安全玄武实验室“X兴趣小组”操纵"手机僵尸"隔空窃密……在非命题开放赛上,曾经展示了一场场黑科技破解秀。2019年,来自全球的顶尖黑客们还将带来哪些令人惊叹的攻防表演,等你来揭晓。无论你是深谙对抗样本的攻击与防御,还是能够看穿漏洞一招制胜,亦或是有着突破想象的全新攻防技术,都欢迎带到GeekPwn擂台赛上一展身手。无论你是已在江湖名声显赫的名侠,还是暗藏功与名的“扫地僧”,也都欢迎你到GeekPwn舞台上一决高下。即刻通过GeekPwn官方网站(geekpwn.org)了解赛事详细信息,参与报名。

黑客资讯

一个软件供应链攻击代表的黑客攻击最阴险的形式之一。通过打入开发人员的网络并在用户信任的应用程序和软件更新中隐藏恶意代码,供应链劫持者可以在一次操作中将他们的恶意软件偷运到数十万或数百万台计算机上,没有任何违规行为。现在似乎是一群黑客已经反复管理这个伎俩,进入一个破坏性的供应链黑客狂欢-并随着他们的进展变得更加先进和隐秘。在过去的三年中,利用至少六家不同公司的软件分销渠道的供应链攻击现在都被绑定到一群可能会说中文的黑客。它们被称为钡,或者有时候是ShadowHammer,ShadowPad或WickedPanda,取决于你问的安全公司。Barium似乎比任何其他已知的黑客团队更多地将供应链攻击作为其核心工具。他们的袭击都遵循类似的模式:将大量受害者的感染播种,然后对他们进行排序以找到间谍目标。该技术不仅因为它证明了Barium大规模破坏计算机的能力,而且因为它利用了最基本的信任模型中的漏洞来管理用户在其计算机上运行的代码。“他们正在毒害可信赖的机制,”安全公司卡巴斯基亚洲研究团队主任维塔利卡姆鲁克说。当谈到软件供应链攻击时,“他们是这方面的支持者。随着他们违反的公司数量的增加,我不认为任何其他团体可以与这些人相提并论。”在至少两个案例中-一个案例劫持了计算机制造商华硕的软件更新,另一个案例中,它玷污了一个版本的PC清理工具CCleaner-software被该组破坏,最终导致成千上万的不知情用户的计算机被盗。在这些案件和其他案件中,黑客可能很容易引发前所未有的混乱,字母拥有的安全创业公司Chronicle的研究员塞拉斯卡特勒说,他已经跟踪了钡黑客。他将这些案例的可能性与2017年用于启动NotPetya网络攻击的软件供应链攻击进行了比较;在这种情况下,一名俄罗斯黑客组织劫持了一块乌克兰会计软件的更新,以便播下破坏性的蠕虫病毒,并为全球公司造成破纪录的100亿美元损失。“如果[Barium]通过其中一次攻击部署了类似勒索软件的蠕虫,那将是一次比NotPetya更具破坏性的攻击,”卡特勒说。到目前为止,该组织似乎专注于间谍而非破坏。但卡巴斯基的Kamluk表示,其重复的供应链劫持具有更微妙的有害影响。“当他们滥用这种机制时,他们就会破坏对核心的信任,这种机制可以验证系统的完整性,”他说。“这比定期利用安全漏洞或网络钓鱼或其他类型的攻击更重要,影响更大。人们将不再信任合法的软件更新和软件供应商。”跟踪线索上游卡巴斯基于2017年7月首次发现了钡黑客的供应链攻击,当时Kamluk表示,一个合作伙伴组织要求其研究人员帮助他们了解其网络上的奇怪活动。某种未触发防病毒警报的恶意软件正在向远程服务器发送信号并将其通信隐藏在域名系统协议中。当卡巴斯基调查时,它发现该通信的来源是NetSarang的后门版本,NetSarang是一家由韩国公司发行的流行的企业远程管理工具。更令人费解的是,NetSarang产品的恶意版本带有公司的数字签名,这几乎是不可伪造的批准标记。卡巴斯基最终确定,NetSarang证实,攻击者违反了NetSarang的网络,并在应用程序加密签名之前在其产品中植入恶意代码,例如在应用防篡改密封之前将氰化物滑入一罐药丸。两个月后,反病毒公司Avast透露,其子公司Piriform同样遭到破坏,而Piriform的计算机清理工具CCleaner已经在另一个更大规模的供应链攻击中受到了挫折,导致70万台机器遭到破坏。尽管层层混淆,但卡巴斯基发现该后门的代码与NetSarang案例中使用的代码非常匹配。然后在2019年1月,卡巴斯基发现,台湾电脑制造商华硕已经推出了类似的后门软件更新,至少有六万台机器可以追溯至少五个月。虽然在这种情况下代码看起来不同,但它使用了与CCleaner攻击共享的唯一散列函数,并且恶意代码已经注入软件运行时函数中的类似位置。“有无限的方法来破坏二进制,但他们坚持使用这种方法,”Kamluk说。当卡巴斯基扫描其客户的机器以寻找类似于华硕攻击的代码时,它发现代码与由三家不同公司分发的后门版本的视频游戏相匹配,这些公司已经被安全公司ESET检测到:一个讽刺的僵尸游戏,具有讽刺意味的是Infestation,一个名叫PointBlank的韩国制造射击游戏,以及第三个卡巴斯基和ESET的名字。所有迹象都表明,四轮不同的供应链攻击与同样的黑客联系在一起。“就规模而言,现在这是最精通供应链攻击的群体,”ESET安全研究员Marc-EtienneLéveillé说。“我们之前从未见过这样的事情。这很吓人,因为他们可以控制很多机器。”“操作约束”然而,从各方面来看,该集团正在投入巨大的网络来监视其妥协的计算机中的一小部分。在华硕的情况下,它通过检查他们的MAC地址来过滤机器,寻求仅在其受到损害的600,000台中的600台计算机中。在早期的CCleaner事件中,它在其感染的700,000台计算机中仅安装了一台“第二阶段”间谍软件。Barium最终针对如此少的计算机,在大多数操作中,研究人员甚至从未接触到最终的恶意软件负载。仅在CCleaner案例中,Avast才发现第三阶段间谍软件样本的证据,该样本充当了键盘记录器和密码窃取器。这表明该集团一心想进行间谍活动,其严密的目标明确表明这不是一个以利润为重点的网络犯罪行动。“令人难以置信的是,他们将所有这些受害者留在了桌面上,只针对一小部分人,”Chronicle的Cutler说道。“他们必须携带的操作限制必须是最高质量的。”目前尚不清楚钡黑客究竟是如何违反他们劫持软件的所有公司。但卡巴斯基的Kamluk猜测,在某些情况下,一个供应链攻击可以实现另一个。例如,CCleaner攻击针对的是华硕,它可能为Barium提供了后来劫持公司更新所需的访问权限。这表明黑客可能会通过相互关联的供应链劫持来刷新他们庞大的受感染机器集合,同时为特定的间谍目标梳理该集合。简体中文,复杂的技巧尽管他们将自己区分为今天活跃的最多产和最具侵略性的黑客团体之一,但Barium的确切身份仍然是一个谜。但研究人员指出,其黑客似乎会说中文,可能住在中国大陆,他们的大多数目标似乎都是韩国,台湾和日本等亚洲国家的组织。卡巴斯基在其代码中发现了简体中文工件,并且在一个案例中,该组使用GoogleDocs作为命令和控制机制,让我们得到一个线索:该文档使用简历模板作为占位符-可能是为了使其看起来合法并阻止谷歌删除它-该表格是用中文编写的,默认电话号码包括国家代码+86,表示中国大陆。在最近的视频游戏供应链攻击中,黑客'更有说服力的是,Barium代码中的线索也将其与以前已知的中国黑客组织联系起来。它与中国国家赞助的间谍组织Axiom或APT17分享了一些代码指纹,该组织在政府和私营部门目标中进行了至少十年的广泛网络间谍活动。但它似乎也与卡巴斯基称之为Winnti的老组织共享工具,后者同样表现出从视频游戏公司窃取数字证书的模式。根据安全公司Crowdstrike的一项分析,令人困惑的是,Winnti集团长期以来被认为是自由职业者或犯罪黑客组织,似乎将其被盗的数字证书出售给其他在中国的黑客。。“他们可能是自由职业者,他们加入了一个现在专注于间谍活动的大集团,”Avast威胁情报负责人MichalSalat说。无论它的起源如何,Barium的未来都让卡巴斯基的Kamluk感到担忧。他指出该组织的恶意软件变得更加隐蔽-在华硕攻击中,该公司的污染代码包括一个目标MAC地址列表,因此它不必与命令和控制服务器通信,剥夺了防御者的那种网络信号,允许卡巴斯基在NetSarang攻击后找到该组。在视频游戏劫持案例中,Barium通过破坏游戏开发者正在使用的MicrosoftVisualStudio编译器的版本来制造其恶意软件-基本上将一个供应链攻击隐藏在另一个中。Kamluk说:“他们的方法不断发展,而且它的复杂程度也在不断提高。”“随着时间的推移,抓住这些人变得越来越难。”