分类: 国际动态

美国国家科学院警告称政府需准备迎接量子攻击

新浪科技讯 北京时间12月11日消息,据国外媒体报道,美国国家科学院(NAS)的一份新报告称,尽管量子计算机的建造还面临许多挑战,但随着这些计算机逐渐成为可能,政府应该优先考虑潜在的后果,为网络安全面临的威胁做好准备。 物理学家理查德·费曼在1982年首先提出了利用量子体系实现通用计算的想法,而当计算机科学家彼得·秀尔开发出了在量子计算机上应用的“秀尔算法”,并以此证明了计算机能做出对数计算,并且速度远胜传统计算机之后,这一领域吸引了更多科学家的兴趣。今天,量子计算正在走出物理实验领域,逐渐进入商业世界,得到了来自私人和公共部门的投资。真正的、具有功能(但还不成熟)的量子计算机已经问世。美国国家科学院近日发布的这份报告,对量子计算领域的“进展和前景”做了总结。 报告中写道:“委员会发现,没有根本性的理由能说明在原理上无法构建一台大型的容错量子计算机。”该报告的作者由众多美国物理学家和计算机学家组成。 量子计算机是可将问题转化为量子比特(qubit),而非“古典”比特的计算机处理器。古典比特只能在两种状态——0和1——之间转换,即“非0即1”;而量子比特的0和1则是量子态,意味着在计算过程中,它们可以“又0又1”,直到被观察到。可以想象下薛定谔的猫,同时处于活着和死亡两种状态,直到盒子被打开。量子比特的威力来自于它们不仅增加了复杂性,而且具有通过量子力学的数学计算进行纠缠和干涉的能力。 这样一台机器可以推动人类对物理学的理解迈向新的边界。但是,量子计算机还有其他潜在的应用,比如用于研制更先进的人工智能,或者在药物开发中对新分子建模。量子比特不仅在处理器中作用巨大,它们还能成为强大的传感器。近年来,量子计算机已经成为一个国家安全问题;一台能够运行“秀尔算法”的量子计算机能够破解大量数据存储时需要用到的公钥加密技术。 这份由美国量子计算领域众多知名科学家写成的报告,重点关注量子计算机开发中面临的挑战和潜在的益处,并设定了对量子计算机的期望。毕竟,量子计算机本身就容易出错,即由于内在的“噪音”,你不一定能从算法中得到预期的最终答案。纠错算法能够解决这些问题,但会增加计算时间,并且应该不会在短期内实现。如果没有量子随机存取存储器(RAM),我们很难将大量的古典数据集转换为量子态。设计这方面的算法很难,调试一台你看不到中间状态的计算机同样很难。 报告中指出,破解秀尔算法的量子计算机提出“已经过了十多年”,也许是几十年了。报告作者并不是通过时间,而是根据量子比特的数量以及它们出错的可能性来估算量子计算机的能力。而且,他们并不认为量子计算机将完全取代传统计算机,相反地,它们将增强传统计算机的功能。 尽管量子计算领域刚刚起步,但该报告警告称,为现有的还未成熟的量子计算机找到实际应用非常重要,这可以更快地实现突破。与此同时,他们写道,鉴于代码破解机器的潜在威胁,应该立即开始准备量子安全加密方法的工作。 IBM研究院量子安全加密技术主管迈克尔·奥斯本(Michael Osborne)并未参与撰写这份报告,他指出:“从汽车到飞机,再到发电厂——如果(量子计算机)能在15到30年后投入运行,他们就需要开始规划向(量子安全)加密系统的转变了。” 这份报告还对量子研究领域的资助情况提出了警告,特别是美国。在包括中国在内的其他国家,大量的资金和人力已经投入到量子技术的开发中。而在美国,大部分量子研究都是私人资助的——可能无法提供直接的商业利益。“如果量子计算机不能在短期内取得商业上的成功,那么政府资助对于避免量子计算研究和开发显著下滑是必不可少的,”报告中写道。 相关人士指出,这份报告应该得到认真对待。“在目前受关注的科学和技术领域,美国国家科学院因其可信和客观的报告而受到高度评价,这一次也是这样,”报告评审者之一、英特尔实验室量子应用和架构主管Anne Matsuura说道。 目前看来,美国政府也的确在认真对待这份报告。有一项向量子计算产业注资的法案已经在众议院通过,目前正提交给参议院。很明显,量子计算不会消失,持续的投资和研究将使具有纠错能力的量子计算机在下一个十年成为现实,而现在正是为可能面临的量子攻击做好准备的时候。   稿源:新浪科技,封面源自网络;

为保 5G 订单华为接受英国要求:提升网络安全性

网易科技讯12月7日消息,据金融时报报道,英国安全官员曾要求华为解决在其设备和软件中发现的严重风险,为了避免被未来的英国5G电信网络拒之门外,华为宣称已经接受这些要求。 两名知情人士表示,在华为高管与英国政府通信总部(GCHQ)下属国家网络安全中心(NCSC)高级官员于本周举行的一次会议上,华为同意了英方提出的一系列技术要求,这些要求将改变华为在英国的操作业务。 华为还同意向NCSC发出正式信函,概述该公司同意紧急解决这些问题的协议。今年7月份,负责华为设备测试的一个监督委员会在批准该设备在英国网络中使用之前,提出了一份关键报告。 此前,出于对网络安全的担忧,美国政府加大压力,劝说西方盟友在升级至5G网络时避免使用华为的设备和服务。但英国高级安全官员一再强调,他们的担忧与华为的技术缺陷有关,而与该公司是否位于中国无关。 华为承诺安抚英国方面的担忧,这反映出在西方安全机构对其业务进行严密审查之际,华为有必要在力所能及的范围内解决人们的担忧。这对英国政府来说也是一场重大改变,因为这将要求华为大幅改变其商业行为。 最近几天,西方国家安全部门负责人直言不讳地强调对华为技术的担忧。英国情报机构军情六处(MI6)负责人亚历克斯·杨格(Alex Younger)表示,在是否允许华为为其5G网络提供技术方面,英国面临一个艰难的决定。 英国监督委员会在7月份的报告中称,华为对外界的担忧反应迟缓。报告强调,华为的工程流程存在“缺陷”,使英国电信网络面临风险。报告中还确定了减轻和管理这些风险方面的长期挑战。 报告中针对华为提出的问题包括,华为使用由第三方开发的过时开源软件,这些软件仍然保留着英国许多网络中使用的代码,非常容易受到网络攻击。 多名使用过华为工具包的人士表示,一个更大的问题与华为开发代码和设备的方式有关。华为将其设备开发分配给多个团队,以加快开发进程,并降低技术被盗的几率。 随着华为的发展,这一体系为其提供了良好的服务,但对于那些在审计设备时寻求更明确责任界限的政府来说,这已成为一个大问题。 市场研究机构IDC分析师约翰·德莱尼(John Delaney)表示,华为似乎已经对压力做出了回应。他表示:“华为现在已经成为英国的主导企业,它显然希望留在那里。对他们来说,至少口头上说些好话,或者采取切实的措施来缓解这些担忧,都是有意义的。他们不希望危机蔓延到其他国家。” 华为表示,英国监督委员会的报告“确定了我们工程流程中需要改进的某些领域。我们十分感谢这些反馈,并致力于解决这些问题。网络安全仍然是华为的首要任务,我们将继续积极改进我们的工程流程和风险管理系统。”NCSC拒绝置评。   稿源:网易科技,封面源自网络;

内部邮件披露:Facebook 开发者明知高风险仍收集用户隐私以吸纳新成员

今年3月,不少Android用户震惊地发现Facebook正在收集他们的电话、短信等历史记录;今天英国议会披露的Facebook内部邮件显示开发人员明知这些数据非常敏感,但他们仍倾向于将其收集起来以此帮助公司吸纳更多用户。 这些电子邮件显示,Facebook的增长团队希望调用这些日志数据来改善Facebook的算法,并通过“你可能知道的人”功能来吸纳更多用户。值得注意的是,项目经理认为“从公关角度来说,这是一个风险非常高的事情”,但这种高风险似乎已经被潜在的用户增长所忽视。 起初,通常以应用内弹出对话框的方式要求用户选择加入。不过在者尝试探索各种方式来让用户注册的过程中,很明显利用Android的数据权限来自动注册新用户。在另一个邮件链中,开发该功能的小组将Android权限屏幕的作为不必要的摩擦点,并尽可能的避免。当测试过程中发现调用日志可以在没有权限对话框的情况下进行,开发人员随后就大肆利用这种方式收集用户信息。 一位开发人员在邮件中写道:“基于我们的初步测试,在不会向用户发出Android权限对话框的情况下允许我们来升级用户。”在3月份爆发故事之后,Facebook坚称未经许可未收集任何通话记录,并且任何受影响的用户都选择加入该功能。这与许多Facebook用户的体验相矛盾,他们报告说,使用最少的权限安装Messenger,但仍然收集了日志。   稿源:cnBeta,封面源自网络;

澳大利亚有望通过立法要求谷歌、苹果等上交加密数据

新浪科技讯 北京时间12月6日上午消息,澳大利亚周四有望通过一项立法,要求谷歌、Facebook和苹果向警方提供与非法活动嫌疑人有关的隐私加密数据。 这部法律遭到科技巨头的激烈反对,因为其他国家也可能效仿类似的措施。按照这项法律的规定,倘若未能向执法部门提供这些数据,相关企业就将面临最多1000万澳元(730万美元)的罚款。 此项立法获得澳大利亚两大政党的支持,一个两党议会委员会推荐立刻通过该立法,为澳大利亚成为第一个出台这类规定的国家扫清障碍。 澳大利亚政府表示,他们需要通过这种立法来对抗恐怖袭击和有组织犯罪,以便执法部门获取相关个人数据。 该立法的最终草案尚未确定,但澳大利亚立法者有望在周四处理此事,这也是该国议会2018年最后的审议日。 这种针对用户数据开后门的做法一直以来都遭到科技公司的激烈反对。苹果甚至在2015年拒绝为美国联邦调查局解锁一名枪击案嫌疑人的iPhone。 Faceboook、谷歌、亚马逊和苹果均未对此置评。但苹果之前曾经表示,获取用户加密数据的做法必然削弱加密效果,还会提升系统遭黑客入侵的风险。   稿源:新浪科技,封面源自网络;

美共和党全国委员会确认在今年中期选举期间遭到网络攻击

据外媒报道,美国共和党全国国会委员会(NRCC)在今年美国中期选举期间遭到黑客攻击。Politico最新报道了这起攻击事件。NRCC发言人Ian Prior在一份声明中表示,他们可以确认此次攻击来自一个未知的组织。“委员会数据的网络安全是至关重要的,NRCC在得知此事后立即展开了内部调查并通过了FBI,后者现在正在调查此事。” 对此,FBI拒绝回应。 另外,NRCC还向负责调查了2016年民主党全国委员会网络攻击事件的网络安全公司CrowdStrike报告了这起黑客攻击事件。同样的,这家公司也没有立即作出回应。 据Politico披露,这些被黑客攻击的电子邮件并未对外公布,攻击者们也没有联系NRCC威胁将其发布到网上。 NRCC没有就此次攻击以及为何等到选举日之后才公开此事的做法作出解释。Prior表示:“为了保护调查的完整性,NRCC将不对该事件做进一步的评论。”   稿源:cnBeta,封面源自网络;

万豪事件后 多名参议员要求美国国会通过数据安全和隐私法案

在万豪国际连锁酒店数据泄露事件之后,美国民主党参议员Mark Warne,Ed Markey和Richard Blumenthal共同发表声明要求国会通过数据安全和消费者隐私法案。参议员Mark表示:“像万豪这样的违规行为可能导致严重的个人身份泄露和财务欺诈。它是笼罩美国经济的黑云。美国人民是时候采取行动了。” 他继续说道:“国会现在应该完善数据安全法规来妥善保护消费者隐私,并要求企业和公司必须遵守强有力的数据安全标准,指导他们只收集服务所需的数据,对于未达标的企业采取处罚措施。”他要求通过新立法来限制公司从客户中收集的数据量,以及强制要求企业删除已经不再使用的敏感数据。   稿源:cnBeta,封面源自网络;

300 万用户数据泄露 Uber 被英国和荷兰罚款 117 万美元

新浪科技讯 北京时间11月28日上午消息,据美媒CNBC报道,因2016年的数据泄露事件,周二英国和荷兰当局分别对Uber处以罚款,罚款总金额达117万美元。 2016年10月和11月,Uber遭到网络攻击致使用户数据泄露,泄露的信息包括用户完整姓名、电子邮箱地址和电话号码。据有关当局称,英国有270万Uber用户受到影响;而在荷兰,17.4万用户受影响。 对此,英国信息专员办公室(ICO)宣布对Uber处以38.5万英镑(约49.1万美元),理由是公司“未能在网络攻击期间保护消费者个人信息”。荷兰数据保护局也针对该次数据泄露事故对公司处以60万欧元(约67.9万美元)罚款。 隐瞒事故近一年后,Uber于2017年11月份承认,黑客窃取了全球5700万用户和司机的个人信息。并且,为了删除数据和隐瞒数据泄露事故,Uber还向黑客支付了10万美元。 由于网络攻击发生于2016年,该次数据泄露事件不受今年5月份生效的欧盟“通用数据保护条例”的管辖。 今年9月份,Uber同意向美国各州和华盛顿特区支付1.48亿美元以解决与2016年数据泄露有关的诉讼。 周二发布的声明中,一名Uber发言人表示公司“愿意合作以彻底解决2016年数据泄露事故”。 声明中写道:“数据泄露发生后,并这些年来,我们已经采取了一系列技术改进以提升我们系统的安全性。我们的领导层也发生了重大变化以确保未来与监管机构和消费者保持适当的透明度。”   稿源:新浪科技,封面源自网络;

Facebook 前安全主管:政府和媒体对 FB 丑闻也应担责

新浪科技讯 北京时间11月19日早间消息,Facebook前安全主管亚历克斯·斯塔莫斯(Alex Stamos)周日在《华盛顿邮报》发表文章,他认为,虽然Facebook在俄罗斯干扰大选一事上的处理很失败,但是美国国会、媒体和情报机构在这一问题上也没有做好。 此前《纽约时报》报道称,在美国大选期间,俄罗斯利用Facebook散布虚假言论,但Facebook CEO扎克伯格和COO桑德伯格有意掩盖此事,还将重要决策权分派给下属。 斯塔莫斯表示,Facebook此前在与公众沟通时确实在“坚持最小化+否认的公共交流原则”,这是不对的,Facebook“当时应该在面对威胁时及早响应,并且以更透明的方式公开信息”。不过斯塔莫斯强调:“在公司内,没有任何人告诉我应该无视俄罗斯活动,对于发现的问题,也没有人告诉我应该撒谎。” 他还表示,不只Facebook在这个事情上犯了错,其他人也一样,比如情报机构。“在大选之前,围绕俄罗斯信息战目标及能力问题,美国庞大的情报界并没有提供可操作情报,事后也没有提供足够的援助。” 而对于国会,斯塔莫斯认为议员在调查听证会上哗众取宠,忽视事实,未能对行政机构进行有效监督,也未能建立共同防御战线。 同时,斯塔莫斯还指责媒体推波助澜,发表大量关于民主党高层政要内部邮件的文章,从而“激励”俄罗斯黑客的行动。 斯塔莫斯认为,在面对未来的信息战时,各方应该团结一致,保护社会。他还警告说,2020年总统竞选黑客肯定会关注,各方应更加小心。   稿源:新浪科技,封面源自网络;

下一代 HTTP 底层协议将弃用 TCP 协议 改用 QUIC 技术

新浪科技讯,据中国台湾地区iThome.com.tw报道,国际互联网工程任务组(Internet Engineering Task Force, IETF)将于近日商讨下一代HTTP底层协议,可能不再使用已经沿用多年的TCP协议,而有望改用以UDP协议发展出的QUIC技术,同时新一代HTTP将命名为HTTP/3。 目前,人们使用的HTTP (1.0、1.1及2)都是以TCP (Transmission Control Protocol)协议为基础实作出来。TCP作为一种传输控制协议,优点是安全、流量稳定、讲求封包的传输顺序,但缺点是效率低、连接耗时。为了提升数据在IP网络上的传输,Google提出了实验性网络层协议,称为QUIC。 QUIC并不使用TCP,而改用UDP (User Datagram Protocol)为底层,UDP虽然较不安全、可能有掉封包或封包后发先至的问题,但较简单、传输效率更高,能大幅减低延迟性。Google为QUIC提升安全性、并加入缓冲机制避免阻断服务攻击(DoS)。 虽然Google有意将QUIC提交到IETF,以便成为下一代网际网络规范,但IETF也提出了一个和Google QUIC分庭抗礼的QUIC。社区中称Google提出的QUIC为gQUIC,而IETF的为iQUIC。 另一方面,当IETF的QUIC工作小组将QUIC标准化时,它衍生出共两个协议,一个是网络传输协议,一个是HTTP层协议。网络传输层协议也可用于传输其他数据,不只为HTTP设定,但两者名称都使用了QUIC;而在iQUIC上传输的HTTP协议,长期以来就被称为HTTP-over-QUIC,或HTTP/QUIC。 为了解决种种混淆,让彼此之间更容易分别,IETF决定加以正名。HTTP工作小组暨QUIC工作小组主席Mark Nottingham倡议将HTTP-over-QUIC(HTTP/QUIC)重新命名为HTTP/3,并在上周举行的IETF HTTPBIS会议中提议,并且也广为接受。 Mozilla开发人员Daniel Stenberg日志列出了Nottigham在会中的简报,简报重申HTTP/3和之前协议之间的差异。HTTP/QUIC(HTTP/3)并非HTTP/1.1或HTTP/2的后代,也不是QUIC上的HTTP/2协议,因为它是在QUIC协议上新开发出的HTTP。下一代HTTP将是以QUIC为核心及网络传输协议的新协议。 Litespeed的工程师也宣布该公司和脸书已经完成HTTP/3实作的相容性测试。   稿源:新浪科技,封面源自网络;

英国隐私保护组织投诉甲骨文等企业违反欧盟 GDPR 政策

新浪科技讯 11月14日下午消息,据中国台湾地区iThome.com.tw报道,英国非营利隐私保护组织Privacy International(PI)上周投诉包括甲骨文(Oracle)在内的7家企业违反《欧盟通用数据保护条例》(EU General Data Protection Regulation,GDPR),并督促法国、英国及爱尔兰的数据保护组织展开调查。 据报道,受到投诉的7家企业全都握有大量消费者资料,包括从事数据分析的甲骨文与Acxiom,提供广告服务的Criteo、Quantcast、Tapad,以及信用报告企业Equifax与Experian。 该隐私保护组织认为,这些企业虽然都握有数百万名消费者资料,但并非是家喻户晓的品牌,因此极少受到挑战。然而,根据企业所公开的宣传文件或隐私政策,它们在利用这些个人数据时并未取得用户同意,也没有处理这些个人机密数据的依据,还缺乏GDPR所明列的透明、合法、目的限制、数据最小化及准确性等要求。 换句话说,该隐私保护组织挑战的是相关企业处理个人数据的深度,而且是GDPR对业者的基本要求。 该隐私保护组织指出,GDPR上线迄今已超过5个月了,该法令强化了个人保护自己数据的能力,对个人资料的处理有更严格的规定,理论上也提供更强大的执法权力,但GDPR真正的考验就在于执行,例如这些握有大量用户数据的企业即未曾被质疑。 GDPR祭出了高额罚金,让不少企业情愿选择撤出欧盟市场也不愿冒着触犯法律的风险,其最高罚款为2000万欧元或企业全球营收的4% ,且两者取其高者。 不过,尽管GDPR听起来非常吓人,但迄今尚未有业者受到处罚,这可能是因为每一家企业都受到了有效的指导,而在规定之内安全地运作,不过也有人认为只是还没有企业被逮到而已。   稿源:新浪科技,封面源自网络;