狐狸酱

(∩•̀ω•́)⊃-*⋆biubiubiu~ 这是一个帅气的狐狸~

卡巴斯基员工和两名 FSB 高级网络安全官员因叛国罪名被逮捕

俄罗斯当局逮捕了两名 FSB 高级网络安全官员以及一名卡巴斯基实验室的员工。他们都被指控做出有利于美国的叛国行为。参与案件审理的律师伊万·巴甫洛夫(Ivan Pavlov)指出,被指控的男子是卡巴斯基雇员 Ruslan Stoyanov、专门从事网络安全的俄罗斯联邦安全局(FSB) 官员 Sergei Mikhailov 和 Dmitry Dokuchayev。 在接受路透社采访时,巴甫洛夫表示:“我的客户和其他人被一起指控背叛国家、和美国情报机构进行合作。” Stoyanov 在卡巴斯基中负责一个团队,自 2013 年以来一直和 FSB 有着紧密合作。在 Stoyanov 被逮捕后,经过证实他在 2012 年加入卡巴斯基之前的费用都是由美国情报机构提供的。 稿源:cnBeta;封面:百度搜索

打印语言曝跨站漏洞,影响戴尔惠普等 20 款热门打印机

鲁尔大学研究人员发现了一种使用旧 PostScript 和 PJL 语言的跨站打印漏洞,允许攻击者从打印机中窃取关键信息甚至关闭设备。热门品牌如 Dell、Brother、Konica、Samsung、HP 和 Lexmark 等多款打印机型号受影响,而且多数为激光打印机。 “在打印机安全的学术研究上,网络打印机和数码复合机(MFP)的各种漏洞早已被发现”,网站“ Hacking Printers ”文章中曾指出,“只要是能连上打印机的任何人都可执行这种攻击,如通过 USB 或网络等,甚至可以组合 CORS 欺骗进行攻击”。 漏洞验证工具 研究人员已发布一款基于 Python 的概念验证代码,命名为 Printer Exploitation Toolkit(PRET),用于简化基于 PostScript 和 PJL 的打印机文件系统访问。该工具通过网络或 USB 连接到打印机,并从打印机中的 PostScript 或 PJL 语言中发现安全漏洞。 漏洞原理 研究人员公布了六份报告披露多个安全问题,包括缓冲区溢出、密码泄露以及打印作业捕获等,其中有一类能使攻击者访问打印机的文件系统,该方法利用 CORS 机制允许第三方域在打印时读取网页数据。 CORS 欺骗和跨站打印漏洞的组合可被黑客利用通过基于 web 的攻击来访问打印机,例如使用隐藏的 iframe 向受害者打印机端口 9100 / TCP 发送 HTTP POST 请求内部网络那样,通过操作打印语言输出命令便可通过打印机中将数据发回浏览器。 目前,专家们已向所有打印机厂商通报了该漏洞。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

美国土安全部长证实有意分析入境旅客的社交媒体等历史记录

刚刚接受美国第 58 届(第 45 任)总统 唐纳德·特朗普 任命的国土安全部长约翰·凯利(John Kelly),已经证实该机构有意分析申请入境访客的社交媒体等历史浏览记录。该政策明确涉及“他们访问的网站”,且会潜在收集“让我们知道其在与谁联络”的信息。显然,这类信息收集涵盖了社交媒体上的帖子、浏览历史记录、以及电话号码。 这场发布会的谈话要点备忘( TPM )如下: 当然,这涉及申请人访问的网站和可能的电话联系人,但这些仍处于早期发展阶段…我们必须给来访美国的人们一个期望中的合理解释,因为我们不知道他们是谁、来这里干什么、以及他们的身份背景。 此前,美国政府就已经要求旅客“选择性地”披露社交媒体信息(自 2016 年 12 月起)。 Politico 的报道称,免签项目的申请人‘有机会’披露他们对应的社交媒体账户名称,但最新的移民政策可能转为强制性的信息收集。其有意收集的社交网站包括 Facebook、Google+、Instagram、LinkedIn、以及 YouTube 等,然而许多科技公司都已经表达了对限制移民政策的忧虑和抗议。 稿源:cnBeta;封面:百度搜索

AI 又在扑克领域制霸,这次的胜利与 AlphaGo 有何不同?

虽说位于匹兹堡的河流赌场与科技突破这一名词有些不搭,但本周二它确实见证了卡耐基梅隆大学的 AI 系统 Libratus 将四位德州扑克顶级选手斩落马下。Libratus 是卡耐基梅隆大学计算机科学教授尚德洪姆与博士生布朗共同打造的,在为期 20 天的赛程中,它们一共进行了 12 万手牌的比赛,最终 Libratus 战胜了四位人类顶尖高手, “这是 AI 开辟的新疆界,”尚德洪姆在赛后的新闻发布会上说道。“也是 AI 在游戏比赛中获得的里程碑式突破。” Libratus 的成功主要在于不断学习,每结束一天的比赛它都能学到人类牌手的技巧并有所提升。“每天比赛结束后,Libratus 内置的原算法就会分析对手的漏洞和技巧,并将其融入到Libratus未来的牌路之中。”尚德洪姆说道。不过,Libratus 的方式与此前人机扑克大赛的思路有所不同,此前研究人员主要寻找对手的破绽并针对相应破绽进行各个击破。Libratus 则正相反,它寻找破绽的目的是要补漏,防止自己也出现同样的破绽。 Libratus 的胜利是 AI 逐步统治棋牌类游戏的又一里程碑,1997 年时 IBM 的深蓝电脑在国际象棋比赛中击败世界冠军卡斯帕罗夫,去年 AlphaGo 则成功在围棋比赛中摘冠,而此前这项运动被认为是直觉的游戏。与深蓝电脑纯靠计算能力有所不同的是,AlphaGo 拥有强化学习的能力。Libratus 的胜利则象征着 AI 的另一个巨大突破,因为德州扑克与围棋预设的挑战不同,它信息缺失的特性是此前 AI 从未触碰过的。 值得注意的一点是,虽然 Libratus 用的依旧是传统的树形搜索、抽象和游戏战略分析等 AI 技术,但我们现在并未完全了解 Libratus 的工作方式。“AI 的进步可不止在深度学习上。”瓦尔斯补充道。同时,瓦尔斯认为我们不能高兴的太早,因为 AI 并未彻底统治扑克界,眼下的比赛还是一对一,如果有更多选手加入进来,德州扑克的难度将会成倍增加。想在多人比赛中获胜,AI 恐怕还得多历练几年。 此外,Libratus 与 AlphaGo 有相同的毛病,那就是它们只专精于一个领域。因此人类不必担心它们的觉醒,因为除了玩扑克和下围棋,它们什么都不会。 围棋和德州扑克之后,人工智能的下一站会是哪个游戏呢? 稿源:cnBeta 节选;封面:百度搜索

Kernel.org 宣布将关闭 FTP 服务器

Linux 内核官网 kernel.org 宣布 将在今年 3 月 1 日关闭 FTP 服务器 ftp.kernel.org,12 月 1 日关闭mirrors.kernel.org。 kernel.org 解释了关闭 FTP 服务器的理由: FTP 协议是低效的,需要向防火墙和负载均衡守护进程添加复杂的程序; FTP 服务器不支持缓存和加速器,严重影响性能; 绝大数 FTP 协议的软件实现已经陷入停滞,很少更新。 它因此决定在年底前关闭所有 FTP 服务器,但为了最小化潜在干扰而决定将关闭过程分成两个阶段完成。 稿源:solidot奇客;封面:百度搜索

特朗普取消签署网络安全行政令的计划

Networkworld 最新消息显示,特朗普昨日取消了签署网络安全行政令的计划。 此前据报道,美国总统特朗普原计划于当地时间周二签署网络安全行政命令,这将标志着特朗普政府为解决其头号任务所采取的第一项措施。另据熟悉行政令草案的知情人士透露,此项行政命令可能对政府的网络防御和攻击能力展开多项不同的评估。 稿源:Networkworld、新浪科技;封面:百度搜索

31 款 Netgear 路由器曝新漏洞、上万台设备受影响

据外媒报道,安全研究公司 Trustwave 已经在 31 款网件(Netgear)路由器上发现了新漏洞,预计至少有上万台设备受到影响或面临风险。Trustwave 披露道:新漏洞使得攻击者可以发现或完全绕过一台 Netgear 路由器上的任意密码并完全控制该设备,包括变更配置、将受感染路由器转为僵尸网络的一部分、甚至上载新固件。 如果路由器开放了(默认并未开启的)互联网访问权限,那么一名远程攻击者就能够轻易得逞。尽管如此,任何可物理接触到该网络的人,还是可以轻松通过本地途径利用缺陷设备上的该漏洞,包括咖啡馆、图书馆等公共 Wi-Fi 场所。 鉴于用户会惯性地在很多地方使用相同的密码,在取得了设备的管理员密码之后,攻击者相当于建立了最初始的立足点,然后遍历整个网络上的设备。万幸的是,Netgear 方面已经意识到了这些漏洞,当前正在为受影响的路由机型推送新固件(包括使用了 Netgear 固件的联想 R3220 路由器)。 此外,该公司还重申了其 Bugcrowd 信息披露项目,旨在让以后的 Bug 汇报工作变得更加方便,从而让自家产品变得更加安全。 稿源:cnBeta;封面:百度搜索

美国政府考虑让游客提交社交网络信息,不同意或被拒绝入境

据美国媒体 CNN 报道,知情人士透露,白宫正讨论让进入美国的国外游客公布其社交网络帐号和手机联系人信息。据透露,特朗普政府的官员正在讨论要求外国游客披露他们访问的所有网站和社交媒体站点,以及要求其分享联系人的可能性。若游客不同意分享此类信息,则有可能被拒绝入境。不过消息人士指出,目前这个想法只是在初步讨论层面。 目前,白宫新闻秘书尚未回应该传闻。 特朗普上台后加大了对难民和非法移民的打击力度。本周五,特朗普签署命令,90 天内禁止 7 个穆斯林国家的公民进入美国。在该时间段内,伊朗、伊拉克、利比亚、苏丹、索马里、叙利亚、也门公民禁止进入美国。 该禁令遭到美国多家科技公司的抵制,因为谷歌、微软等公司内拥有大量的移民员工,特朗普的新政或将影响这些公司的正常运营。 稿源:cnBeta,有删改,封面来源:百度搜索

特朗普就职前,华盛顿近 70% 监控设备曾被黑客控制

据 华盛顿邮报 27 日报道,就在特朗普就职前八天,华盛顿地区 70% 监控摄像数据存储设备遭到黑客攻击、感染勒索软件,全市迫使重新安装监控设备。 勒索软件是目前最常用的黑客攻击手段之一。黑客会诱使用户点击链接或打开电子邮件附件(如 PDF )使计算机感染恶意软件。感染勒索软件的计算机文件会被加密或锁定,直到用户支付赎金(通常是比特币)为止。 市政府官员上周五表示,勒索软件使监控设备丢失 1 月 12 日至 15 日之间的数据。1 月 12 日华盛顿警方注意到 4 个网络监控摄像头无法正常工作并上报相关部门, 技术人员在录音设备中发现了两种勒索软件,随后发起了全市范围内的网络扫描从而发现更多受感染设备。警方透露网络攻击影响了整个城市闭路电视系统中 187 部录像机中的 123 部,由于发现及时勒索软件并未大规模扩散。 据悉,华盛顿政府方面此次没有选择支付赎金,而是通过使设备脱机、删除所有软件且在每个站点重新启动系统解决问题。 近几年来,公共设备遭遇网络攻击事件屡见不鲜,去年 11 月就曾发生过旧金山公共交通系统 感染勒索软件导致整个地铁售票系统停止工作的情况。此前早有多位安全专家感叹:物联网设备目前抵御网络攻击的水平实在堪忧。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Uber 竟为合作公司的漏洞支付了 9,000 美元赏金?

安全公司 Positive Technologies 曾发现反勒索备份服务 Code42 存在 XML 外部实体漏洞,近日据外媒报道,研究员将此漏洞上报后,由 Uber 为合作公司支付了漏洞赏金 9,000 美元。 安全公司 Positive Technologies 的渗透测试员 Vladimir Ivanov 发现,反勒索软件备份服务 Code42 存在的 XML 外部实体漏洞能够获得所有用户的备份访问权限、窃取使用该服务的组织(含 Uber、Adobe 和 Lockheed Martin 等)的数据。 由于检测结果显示漏洞涉及 Uber 且 Code42 并无漏洞赏金计划,Ivanov 选择通过 HackerOne 向 Uber 报告了这一漏洞,后者核实后确认它是一个 0day 随后也通知了 Code42 及时修复。Code42 方面则要求 Ivanov 等待所有客户更新完毕后方可披露漏洞细节。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。