内容转载

= ̄ω ̄= 内容转载

美众议院通过《网络漏洞公开报告法案》

据外媒报道,本周,美国众议院通过了《网络漏洞公开报告法案 ( Cyber Vulnerability Disclosure Reporting Act ) 》。虽然这一法案的适用范围非常有限,但电子前沿基金会 ( EFF) 对此还是表示支持并希望参议院也能为其亮绿灯。 据悉,H.R.3202 是一个简短且简单的法案,由议员 Jackson Lee 发起,其将要求国土安全局 ( DHS ) 向国会提交关于政府如何处理公开漏洞的相关报告。具体点来说,报告内容分为两个部分:DHS 为协调网络漏洞公开而制定的政策和程序描述;可能为机密属性的 “ 附件 ”,包括一些特定实例的描述。 或许这一法案最好的地方就在于它能彰显政府确实如其长期以来所说的那样公开了大量漏洞。截止到目前,关于这方面的证据一直不多。所以假设政府有意公开报告和机密附件,那么公众对政府防御能力的信心极有可能会得到增强。 稿源:cnBeta,封面源自网络;

谷歌虚拟运营商服务 Project Fi 出问题,致多国用户无法联网

Project Fi 是谷歌在2015年推出虚拟运营商服务项目,但是目前,它貌似遇到了麻烦。来自 Reddit 传出的消息,这周末谷歌的 Project Fi 在世界上许多国家和地区无法联网,这些地方包括加拿大、德国、中国香港、印度和日本。 一些用户说当重启手机或者切换飞行模式的时候,Project Fi 可以暂时能用,但是不超过2分钟又无法上网了。谷歌的团队已经意识到这个问题的出现,但是故障已经持续一天没有解决了。如此规模的数据终端发生的机会很小,但是对正在旅行的用户影响非常大。 谷歌 Project Fi 能够在蜂窝网络和 WiFi 热点之间切换,从而控制数据使用,并降低话费。 它会选择最强信号,在 Sprint、T-Mobile 两大网络以及逾 100 万个免费开放的 WiFi 热点间切换。服务的包月费为 20 美元,外加每 10 美元/1GB 的数据使用费。 稿源:cnBeta、快科技,封面源自网络

iPhone 6/6S 升 iOS 11.2.2 后性能大幅缩水

苹果刚刚通过调低官换电池的价格,企图挽回 iPhone 降速门的负面影响,但随着 Spectre 和 Meltdown 两个超级漏洞席卷全球,iPhone/iPad/Mac 等受到波及。最新的 iOS 11.2.2 中添加了相关修复,不过就像 Intel 处理器打上补丁之后性能下降一样,iPhone 的 A 系列芯片也没有好到哪儿去。 1 月 13 日,GSMarena 对 iPhone 6S/7/8 升级修复更新前后的性能进行了对比,结果如下。 iPhone 8 Plus 升级前后 从 iOS 11.1.2 升级到 11.2.2 后,A11 芯片的跑分下降了 0.5% 左右。 iPhone 7 升级前后 A11 在安兔兔中的跑分居然在升级后上升了 3% iPhone 6s 升级前后 A9 芯片在安兔兔中性能下降了 12% 这个问题之所以引人注目是因为,此前荷兰网站 Melvin Mughal 测得,iPhone 6 的 A8 芯片在升级 iOS 11.2.2 后,性能跑分居然暴跌 41% 之多。 仅从这份测试来看,A10/A11 在修复漏洞后的性能损失可忽略,不过较老的 A9/A8 似乎是不容乐观。 相关阅读: 修复 CPU 漏洞后 i7 版 Surface Book 重伤:SSD 性能腰斩 稿源:cnBeta、快科技,封面源自网络;

“ 蒂克币 ”坑我钱能打官司讨回吗? 南京首次判决虚拟货币不受法律保护

投资 “ 蒂克币 ” 5 万多,最终只拿回来不到 2 万。日前,南京江宁区法院判决了这样一起新颖的虚拟货币引发的纠纷。法院审理后认为,虚拟货币是不合法物,不受法律保护,驳回了原告高女士要求朋友返还投资款的诉请,目前该案已生效。 记者采访获悉,这是南京首次以法律判决的形式否定虚拟货币的合法性,意义十分重大,将对此类纠纷的裁判产生深远影响。 听信同事介绍投资矿机挖 “ 蒂克币 ” 2016 年底 2017 年初,高女士听同事包女士说炒 “ 蒂克币 ” 收益大,就决定投资。2017 年 1 月 18 日、2 月 11 日,高女士两次在包女士男友曹先生公司的 POS 机上刷了  4.6 万元。随后,曹先生在某蒂克币平台注册购买 5 台矿机,用于生产所谓的蒂克币,并绑定了自己手机号码。 随后曹先生以 310 元/个价格出售了矿机生产的 110 个蒂克币。2017 年 3 月 10 日、11 日,曹先生在扣除手续费后,向高女士支付了其中 55 个蒂克币的收益款 7050元、1 万元。“ 这是上次投资的收益,以后每个月都有收益。 ”曹先生告诉高女士。 投了 4.6 万元,一个多月就回来将近两万,高女士觉得确实还蛮有赚头。2017 年 3 月 16 日,高女士又刷了一些钱给曹先生。但此后两个多月就再没看见过钱的影子。高女士觉得不对头,于 6 月初向包女士要到了那 5 台矿机的密码并进入账户,试图变卖矿机里面的蒂克币。但变卖蒂克币需要用绑定的手机接收验证码,高女士又试图将5 台矿机绑定的曹先生手机号码变更成自己的手机号码,但却无法修改。为此,高女士和包女士发生了矛盾。6月 12 日,曹先生联系蒂克币交易平台矿机账户安全人员,要求将 5 台矿机绑定的手机号码变更为高女士手机号,却仍被告知无法更改。 本钱拿不回来把同事告到法院 随后,高女士将包女士告上法庭。她认为,曹先生和包女士以投资经营蒂克币为由收取自己钱款 53040 元用于蒂克币投资,现仅退给自己 17050 元,剩余的 35990 元应予返还。 法庭上,包女士表示,高女士告自己是告错人了,和高女士构成理财合同关系的是蒂克币交易平台。而曹先生表示,自己系蒂克币平台的二级代理,通过介绍高女士投资,获得了 15 个蒂克币的奖励,另外 40 个蒂克币奖励,他给了自己的上一级代理。由于目前市场行情不好,蒂克币的价格已经跌至每个 10 元左右。对此,高女士不予认可,并怀疑曹先生并未用自己的投资款在蒂克币交易平台购买 5 台矿机。法院经核实,高女士通过曹先生在蒂克币平台上购买的 5 台矿机内尚有数额不等的蒂克币。 法院认为系非法债务不受法律保护 那么,包女士究竟是否应该向高女士返还购买蒂克币的 35990 元?高女士与包女士是否构成委托合同关系? 法院认为,高女士将投资款直接交由包女士的男朋友曹先生用于投资购买蒂克币平台上的矿机,曹先生以其手机号码注册购买矿机和向高女士支付蒂克币所谓的收益款,故高女士与曹先生而非包女士构成委托合同关系。 江宁法院审理后认为,根据中国人民银行等部门于 2013 年 12 月 3 日出具的《关于防范比特币风险的通知》和  2017 年 9 月 4 日中国人民银行等七部委发布《关于防范代币发行融资风险的公告》,虚拟货币不是货币当局发行,不具有法偿性和强制性等货币属性,并不是真正意义上的货币。从性质上看,蒂克币应当是一种特定的虚拟商品,公民投资和交易蒂克币这种不合法物的行为虽系个人自由,但不能受到法律的保护。 据此,高女士行为造成的后果应当由其自行承担,故判决驳回了高女士的诉请。高女士的朋友薛女士也因为轻信包女士的话投了 4 万多元,最后损失 3 万多,到法院起诉也同样被驳回。 追责难,五大问题导致无法追究平台责任 那么,高女士投资购买蒂克币的交易平台到底是个什么样的平台? 昨天,紫牛新闻记者登录后发现,号称蒂克币操作系统官网的 www.dkcqeve.com ,中文版首页用很大的字体写着对蒂克币的宣传语。 另一个网站 www.savinginvestment.biz 的首页看上去相当高大上,不停变换着 “ 数字货币新时尚 ” “ 数字金矿,约你一起共解财富密码 ” 等字样。 记者在权威的流量及 IP 地址查询网站 Alexa 对这两个网址进行了查询。两者的共同点是都没有我国的 ICP 备案信息,且 IP 地址和服务器全部在国外,注册者是个外国人。 高女士可不可以起诉蒂克币投资平台?该案主审法官叶斐告诉扬子晚报紫牛新闻记者,这个问题在法院内部也讨论过。高女士当然可以起诉,这是公民的权利。但首要的问题在于,高女士可能连该告谁都不知道。该平台注册地和服务器都在外国,完全不受国内监管机构控制,连其工商注册信息都查不到。 第二个问题,就算对方机构真的存在于某国,高女士也查出来了,她还将面临国际间司法衔接的巨大难题。传票送达可能就要一年半载,就算送到了对方可能根本不来开庭,后续的财产保全、查封、执行等,都面临重重困难。 第三个问题,高女士和平台间根本没有发生过任何法律关系,没有理由起诉人家,告了也得驳回。 第四个问题,就算高女士和平台构成委托理财关系,面临的结局也还是败诉,因为问题的根子不在于告谁,而在于交易的对象根本就是非法的。 第五个问题,对于缺乏法律知识的普通人,涉外官司肯定得请律师,那花费将远远大于其损失,结果必然是得不偿失。 维权中,蒂克币受害者自发组成了交流群 经过一番周折,记者加入了一个由蒂克币受害者组成的 QQ 群。群主 “ 八骨蚊 ” 告诉记者,他并没有投资过蒂克币,他的朋友是蒂克币受害者,他听了朋友的遭遇后建了这个群,很多群友都是轻信他人忽悠被坑了。 第一个群 1000 人很快加满了,然后又建了第二个群,也有大几百号人。记者从群友们七嘴八舌的讨论中发现,对于早期的投资者而言,蒂克币是 “ 摇钱树 ”,但对于投资较晚的人而言,那就是 “ 吸血鬼 ”,损失十几万几十万的大有人在,甚至有群友称有人损失一千多万。 很多群友认为,他们就是被人拉进来接盘 “ 填坑 ” 的。除了普遍的悲观失望情绪外,他们讨论最多的是如何让警方立案,如何挽回损失,有人寄望于有后来者接盘帮自己解套,甚至在群里兜售叫卖矿机和没卖掉的蒂克币。 “八骨蚊 ”说,不少群友也曾报警求助,但警方都认为他们这是投资行为,没有按刑事立案。很多群友发现挽回损失无望后,渐渐心灰意冷,话都不想说了。 警示,网警:“ 山寨比特币 ”已泛滥,市民最好别碰 蒂克币到底是否涉嫌传销等经济犯罪?在蒂克币受害者群友指引下,记者在陕西省宝鸡市金台区人民政府办公室的微信公号 “ 金台发布 ” 上看到,该办公室曾在 2017 年 2 月 21 日发布过 “ 金台区处理非法集资问题协调领导小组办公室 ” 的通告,提醒广大市民注意蒂克币等虚拟货币蕴含的巨大非法集资风险,避免遭受不必要的经济损失。 此外,2017 年 12 月 11 日,国家工商总局官网也发布了《警惕以传销为手段的新型互联网欺诈行为》一文,对以传销形式为手段、打着虚拟货币等旗号的新型互联网欺诈行为发出风险警示。 南京警方资深网警向紫牛新闻记者介绍,现在网络上以 “ 挖矿 ” 为名的虚拟货币泛滥成灾,不完全统计已经有三千多种,基本都是下载比特币源代码后,对数量、加密方式等稍加修改,可以说都是 “ 山寨比特币 ”。这种打着云矿机旗号的所谓虚拟货币全都是圈钱的,其产生的虚拟货币也根本不是去中心化的虚拟货币,没有长远投资价值,一旦卖矿机的机构破产,就将一文不值。 专家:数字货币门槛很高,不是普通人玩的 那么,对于时下名目繁多的虚拟货币,金融学者有何观点?对数字货币颇有研究的厦门大学金融系副教授陈善昂告诉紫牛新闻记者,区块链概念现在在网上被炒得非常热,实际上区块链技术还远远没有成熟。在区块链技术成熟之前,所谓的数字货币、虚拟货币,全都没有实际的价值。“ 数字货币就是一串代码加上一段密码,普通人根本不理解其中的内涵。” 陈善昂表示,数字货币的门槛是很高的,想玩转这个需要相当的知识储备,对于严重缺乏专业知识的普通人而言,千万不要参与这种疯狂的游戏,否则就很容易像当年的互联网泡沫破裂一样,参与者众,活下来的凤毛麟角,而真正活下来的,就成为通吃的大赢家。“ 很多虚拟货币深浅难测,存在传销和非法集资的可能性,前面的人赚到大钱全身而退了,后面再进来的人全都是接棒的。奉劝广大老百姓,一定要谨慎,不要做这种击鼓传花游戏的牺牲品。” 稿源:cnBeta、扬子晚报,封面源自网络;

研究人员发现英特尔新 AMT 安全漏洞 数百万台笔记本受到影响

芬兰 F-Secure 公司安全研究人员 Harry Sintonen 发现了另一个可能影响数百万台笔记本电脑的英特尔安全漏洞。Harry Sintonen 表示,英特尔的主动管理技术(AMT)存在安全漏洞,黑客可以在几秒钟之内完全控制一个易受攻击的设备。 与 Meltdown 和 Spectre 不同的是,成功利用此漏洞(尚未命名)需要物理访问设备。Harry Sintonen指出,这仍然是一个严重的缺陷,因为黑客可以在不到一分钟的时间攻破一个系统,然后通过连接到同一个网络来远程控制它。 即使存在其他安全措施(包括 BIOS 密码,BitLocker,TPM Pin 或传统防病毒软件),也可以利用该漏洞。Sintonen 表示,虽然 BIOS 密码通常会阻止恶意行为,但英特尔的 AMT 却为另一种攻击打开了大门,最终攻击者可以远程访问系统。 通过选择英特尔的管理引擎 BIOS 扩展(MEBx),他们可以使用默认密码 “admin” 登录,因为用户不太可能更改这个密码。通过更改默认密码,一个敏捷的网络犯罪分子已经有效地破坏了机器。现在攻击者可以远程访问系统, 完全访问受损系统可以让黑客有权读取和修改数据,而且可以在设备上部署恶意软件,尽管可能启用了任何安全解决方案。这种攻击看似简单,但具有难以置信的破坏潜力。实际上,即使是最广泛的安全措施,它也可以让本地攻击者完全控制个人的工作笔记本电脑, 英特尔还没有回应这个新的漏洞,但安全公司建议用户始终随身携带笔记本电脑,为 AMT 设置强力密码,甚至完全禁用此功能。 稿源:cnBeta.com,封面源自网络。  

Google Play 34 款 APP 存安全漏洞,个别或影响工业安全

两名安全研究人员 Alexander Bolshev 和 Ivan Yushkevich 去年从 Google Play 里随机选择了 34 款企业应用进行研究,应用的开发商包括工业控制系统供应商西门子和施耐德电气。他们从应用里发现了 147 个安全漏洞。研究人员没有披露哪家公司的情况最严重,也没有披露存在漏洞的具体应用。 研究人员表示只有两个应用没有发现漏洞。他们发现的一些漏洞允许黑客干扰应用与机器或关联进程之间的数据流。举例来说,通过干扰数据,工程师可能会误以为实际已过热的机器仍然运行在安全温度阈值内。 另一个漏洞允许攻击者在移动设备上植入恶意代码,向控制机器的服务器发出恶意指令。严重的话可能会造成流水线的混乱或导致炼油厂发生爆炸。这只是极端的假设。研究人员表示他们已经联系了相关企业,其中一些已经修复漏洞,另一些则没有回应。 稿源:cnBeta、solidot,封面源自网络。

Mac 发现 DNS 恶意劫持软件:偷跑流量篡改网页地址

以苹果为中心的安全研究员Patrick Wardle发表了一篇博客文章,详细解析了他在Mac发现的一个隐形的称为“MaMi”的 DNS 劫持软件,会将流量转移到一些你不曾访问的恶意网站。Wardle还发现这个恶意软件还具有尚未激活的功能:可以窃取密码,截图,下载文件和程序,运行其他软件并注入虚假安全证书等等。 他推测这个恶意劫持软件和这几年发现的Mac恶意软件一样,是需要用户同意授权的,制作者往往会利用一些诱导性的按钮让用户在不知不觉中招,例如确认Flash Player更新等等,但是目前仅仅能猜测它的攻击方式,还不知道“MaMi”是如何感染Mac的。 目前尚不清楚“MaMi”究竟影响了多少Mac,如果你想要查看自己的Mac是否中毒,请打开系统偏好设置,点击网络,然后检查DNS服务器的IP地址。 如果它是“82.163.143.135”或“82.163.142.137”,那么你的Mac就有极有可能是被该软件感染后更改的,你需要将其改为良性的IP地址,比如Google的8.8.8.8或8.8.4.4或OpenDNS的208.67.2222.222或208.67.220.220来防止流量偷跑,然后使用杀毒软件彻底清查一遍电脑。 稿源:cnBeta、快科技,封面源自网络

新论文指出全世界核武计算机系统过时且具严重安全隐患

全世界核武战争爆发可能比设想中更容易发生,英国皇家战略查塔姆研究所(Chatham House,The Royal Institute of International Affairs)近日发表了一项最新研究论文显示,现在的核武器系统的开发基于前数字时代,对于如何防范恶意黑客攻击和各种形式的计算机入侵的设计考虑非常少,也就是说核武系统如果遭到入侵,将会被别有用心的黑客授权外发射造成严重的危害。 核武系统在现代军事战略地位中如此重要,但是却使用着过时的计算机系统设计,核武五大强国均在计算机普及前设计开发了核武操控系统,这些计算机通常能占据整个楼层,而且运行内存甚至少于一块智能手表。在冷战期间,东西方采用不同的安全措施来确保其控制系统安全,美国倾向于使用电子机械机制锁来装卸核武,而英国则依靠于为最忠心可靠的军事官员装配钥匙来操控,前苏联的安全措施目前仍未公开。而在此后接近三个世代,核武系统的指令、控制和交流设施逐渐实现数码化,同时缺乏未来考量的数码设计包含了海量的漏洞。许多安全漏洞非常明显,例如导弹基地使用的固网同性和局域网通信协议,以及日渐增多的战机数据连接都非常容易遭受黑客劫持。论文中重点指出了核潜艇的安全隐患非常严重。 稿源:cnBeta.com,封面源自网络

甲骨文应用服务器被入侵挖掘门罗币

安全研究人员报告,攻击者正利用一个 Web 应用服务器漏洞入侵 PeopleSoft 和 WebLogic 服务器,其意图不是偷窃数据而是挖掘门罗币。根据研究人员的分析,一名攻击者至少获得了 611 个门罗币,价值超过 22 万美元。 攻击者被认为利用了 360 研究人员上个月披露的一个漏洞利用 PoC。在 PoC 公布之后,世界不同地点托管的没有打上补丁的服务器就被入侵安装了挖掘脚本。 研究人员称,这不是一次针对性的攻击,当一个漏洞利用披露之后,任何具有有限脚本能力的人都能参与发动攻击。 稿源:cnBeta、solidot,封面源自网络;

AMD 芯片也不安全 受两种 Spectre 变体漏洞影响

据媒体 1 月 12 日消息,AMD 本周四表示,两种 Spectre 变体漏洞都会对公司处理器构成威胁,就在几天前,AMD 还说其中一种漏洞影响公司处理器的机率几乎为零。AMD 发表声明称,在芯片是否容易受到 Spectre 影响这件事情上,公司的立场并没有改变,尽管如此,AMD 刚一发表声明股价就下跌 4.0% 。 上周,安全专家披露一组漏洞,黑客可以利用漏洞从设备窃取敏感信息,几乎每一款安装英特尔、AMD、ARM 芯片的设备都受到影响。 不过投资者相信 AMD 芯片的风险比英特尔低一些。1月3日,漏洞消息公布之后 AMD 股价大涨近 20%,投资者认为 AMD 将会从英特尔手中夺回一些市场份额,英特尔芯片对三种变体漏洞都缺乏免疫力。AMD 没有受到 Meltdown 影响,这一点没有变。 周四公布消息之后,AMD 股价盘后下跌 4%,降至 11.65 美元;后来恢复到 11.80 美元,下跌 2.9%。 1 月 3 日,AMD 曾说公司的芯片会受到一种 Spectre 变体漏洞影响,至于第二种 Spectre 变体漏洞,影响 AMD 芯片的概率几乎为零。在周四的声明中,AMD 却说第二种 Spectre 同样对 AMD 有效,从本周开始,AMD 将会发布面向 Ryzen、EPYC 处理器的补丁,未来几周还会发布补丁修复更老的芯片。 AMD 首席技术官马克·裴波马斯特 ( Mark Papermaster ) 在周四的博文中表示:“虽然我们相信 AMD 处理器架构很安全,2 号变体漏洞难以发挥作用,我们还是与产业密切合作,应对威胁。” 稿源:cnBeta、新浪科技,封面源自网络;