分类: 推荐阅读

Let’s Encrypt 公布 2018 年计划支持通配符证书

据外媒报道,非营利机构 Let’s Encrypt CA 近期发布了一份报告,总结了 2017 年的成绩并公布了 2018 年的计划。Let’s Encrypt 称 2017 年它服务的活跃非过期证书数量翻了一番多至 4600 万,独有域名数增长三倍至 6100 万。 根据 Mozilla 的统计,浏览器加载的加密网页比例从一年前的 46 % 增加到 67%。Let’s Encrypt 计划在 2018 年服务的活跃证书数量和独有域名数在 2017 年的基础上再翻一番,分别达到 9000 万和 1.2 亿。它计划在 2018 年引入 ACME v2 协议 API 端点,支持通配符证书,引入 ECDSA root 和中间证书。 Let’s Encrypt 原文报告《 Looking Forward to 2018 》 稿源:cnBeta,封面源自网络;编辑:青楚。

卡巴斯基关闭华盛顿办公室:继续向非联邦客户销售产品

据外媒 12 月 7 日报道,卡巴斯基副总裁安顿·辛加里夫(Anton Shingarev)在接受采访时表示,该公司将关闭负责向政府部门销售产品的华盛顿办公室,通过其余办公室继续向美国非联邦客户销售产品。卡巴斯基 10 月份承诺将向独立第三方开放其产品源代码,供它们进行评测,并计划明年在芝加哥、洛杉矶和多伦多设立新办公室。 辛加里夫说,“ 这使得独立专家能验证我们的软件没有隐藏的功能,不会向第三方发送用户文件,不会监视用户,完全遵守最终用户协议”。美国 9 月份禁止政府部门使用卡巴斯基软件,称该公司创始人尤金·卡巴斯基(Eugene Kaspersky)与俄罗斯情报机关有联系,其产品可能充当破坏联邦政府信息系统的“恶意参与者”。美国政府此举引起包括英国在内的市场对卡巴斯基产品的担忧。 辛加里夫表示,失去美国政府客户会使公司业务营收出现“ 1 位数 ”的下跌,在遭到美国政府封杀后,有客户向卡巴斯基询问其软件的安全性。此外,英国对卡巴斯基产品的限制不同于美国,英国全国网络安全中心只是建议英国政府部门不要选择卡巴斯基产品。他说,“ 我们在与英国全国网络安全中心沟通,尝试搞清楚它不推荐我们产品的原因。他们基本上支持开放我们源代码供独立审核的主意。我喜欢欧洲监管机构的一点是它们以事实为依据”。 卡巴斯基计划在美国、欧洲和亚洲设立透明中心,独立专家可以在其中对其软件源代码进行分析,卡巴斯基员工会随时回答他们的疑问。辛加里夫表示,卡巴斯基不希望俄罗斯政府因其产品在美国遭到封杀,而封杀美国公司的杀毒软件——例如赛门铁克和英特尔旗下 McAfee 的产品,“ 我反对任何封杀企业产品的行为,从长期来看,任何贸易保护措施都是非常危险的。在保护银行防止俄罗斯黑客方面,我们有很好的技术,如果美国禁止银行使用我们的产品,其结果只能是搬起石头砸自己的脚 ”。辛加里夫称,对俄罗斯也是如此,“ 过于激进的贸易保护主义将扼杀竞争 ”。 稿源:cnBeta、凤凰网科技,封面源自网络;

“生物黑客”无视 FDA 基因疗法警告 网购编辑基因已成现实

美国食品药品监督管理局(FDA)将加大督查力度,打击生产与销售可以让用户在家自助制造基因疗法产品的公司。虽然美国政府对自助基因疗法产品给出了多次警告,还有两家公司表示,他们将继续向公众提供基因修改材料。这两家公司就是 The Odin 和 Ascendance Biomedical,互联网上最近上传了多个展示用户在家中使用他们所生产的基因产品的视频。 当这些食品在网上火了起来之后,美国食品药品监督管理局于上周发表了一份用词相当严厉的发言,警告正在考虑自助基因疗法产品的消费者,并表示厂商的销售是非法的:“ 这些产品的销售是非法的。FDA  非常担忧它们的安全性。” 在其发言中,FDA 并没有给出具体的产品名字。这两家公司的高管则表示,他们很有可能就是这则警告的对象,但是 FDA 并没有联系他们。FDA 在对《麻省理工科技评论》的一份声明中表示:“ 关于本部门检查和监视活动的信息,包括我们是否正在考虑行动,通常在决定并采取执法行动之前不会公开。” 在美国,一切制药商都需要获得 FDA 的允许才可以对新药进行试验。这个过程通常需要上亿美元的资金和多年的时间。但目前越来越火的自助基因疗法却可以绕过 FDA 的管理,因为没有任何法律能阻止人们在自己身上使用这些药物。事实上,科学家在自己身上进行试验算是一个悠久的传统了,就连不少赢得诺贝尔奖的科学家都这么干过。 上个月,The Odin 的 CEO Josia Zayner 上传了个他在加州的一次“ 生物黑客 ”大会上,在自己身上注射 CRISPR 的视频。至今,这个视频在 YouTube 上已经被观看 64,000 次了。自称是“ 生物黑客 ”的 Zayner 认为任何人都应该可以加入科学实验。 而这正是 FDA 声明直接针对的对象:销售以自我注射为用途的 CRISPR 材料的公司。对此,Zayner 表示:“ 我认为这完全是针对我的行为。” 未知的风险 对于自助制造的基因疗法,专家表示,由业余人士准备的药物几乎不会有足够强大的效果,但是却足以产生各种风险,比如对外部 DNA 的免疫反应。“ 我认为警告公众是正确的 ”,药物安全专家 David Gortler 说道,“ 问题在于这些东西没有任何的测验。” FDA 所面临的问题是,人们对生物黑客的兴趣越来越大,而在网上买到基因材料的难度却越来越小。此外,人们也可以轻易获得用 CRISPR 进行基因修改的教程。今年 10 月,Zayner 的公司开始在其网站上以 20 美元的价格出售一款含有 CRISPR 的基因分子。这款基因分子可以“暂停”人体内负责生产肌肉生长抑制素(Myostatin)的基因。从它的名字我们就能猜出它的作用:缺乏这个基因的动物会长出巨大的肌肉。所以,这款基因分子经常被生物黑客用来进行“自我提高”的实验。 Zayner 表示,销售基因材料并不违反法律,因为他无法控制买家将会如何使用这些材料。他的网站上明确的写出了“ 此产品并不可以对人体注射或其他使用方式 ” 的警告。“ 我们出售的基因是为了启发大众,也许有些人买了这些基因后在自己身上使用。我并不反对这一点 ”,Zayner 说道。他还表示,虽然 FDA 发表了声明,但是他并不计划停止出售他的产品。 The Odin 出售的基因材料并不能直接用来修改一个人的基因,而是需要进行培养提纯之后才能有足够的量进行使用。这个过程可能会使用病毒、化学物质和电击,对于许多普通消费者来说,这已经超出他们的能力范围。“ 我认为我们为我们的产品设计了一个进入堡垒,需要一个人知道他们到底在做什么,才能最终进行自我注射 ”,Zayner 说道。 自我实验 但是,并不是所有的公司都会设定进入堡垒。至少有一家公司会直接将准备好的基因疗法出售给消费者。今年 10 月,一名叫 Tristan Roberts 的 HIV(艾滋病毒)患者在 Facebook 上直播了对自己注射基因疗法。他认为他所使用的产品可以让他的身体产生抗体,摧毁被 HIV 病毒感染的细胞。而这一款基因材料来自于 Ascedance Biomedical。 Ascendance Biomedical 在此之前只是一个“促进分散式药物试验”的默默无闻的小初创公司。而在 FDA 发表警告声明的同一天,BBC 也对 Roberts 的自我实验进行了报道。Ascendance 的 CEO Aaron Traywick 认为他的公司也是 FDA 警告的对象之一,但表示,Roberts 的实验是合法的,因为 Ascendance 并没有收 Roberts 的钱。 “ FDA 认为我们正在做一些我们并没有做的事情 ”,Traywick 说道。“ 他们认为我们在提供一个物质,针对一种疾病而对一个物质进行营销,并且在卖这个物质。但我们并没有 ”。他表示,他的公司是为了研究而提供基因疗法的。在 FDA 的框架下,任何想在人体上进行新药测试的公司必须先提交一份研究性新药申请(IND)并获得允许。Traywick 表示,Ascendance 没有获得允许。该公司还在开发一款疱疹疫苗,以及一款可以提高肌肉量,减少脂肪量的基因疗法,并计划在明年年初让这两款产品上市。 稿源:cnBeta、深科技,封面源自网络;

俄罗斯安全公司:iOS 11 加密备份更容易破解

俄罗斯电脑安全程序公司 ElcomSoft 表示iOS 11 加密备份比以前的 iOS 版本更容易破解。在一篇冗长的文章中,该公司表示,出于在发生紧急情况或其他任何可以想到的情况,苹果公司可迫让第三方更容易破解 iOS 加密备份。长话短说,最新的 iOS 11 软件更新使加密备份比以往任何时候都更容易被破解。 ElcomSoft 通常被执法机构用来解密包括 iPhone 在内的各种设备,最近他们用通俗语言解释了在安装了 iTunes 的电脑上创建 iPhone 或 iPad 设备的备份时,苹果公司 iOS 11 操作系统如何为备份进行加密。在以前的 iOS 版本中,使用密码创建加密备份时,该密码将成为相应 iPhone 或 iPad 设备的属性,而不是安装 iTunes 电脑的属性。即使您将设备连接到另一台电脑并进行了另一次备份,之前的备份仍受到最初设置的密码的保护。 根据 ElcomSoft 的说法,一些可以通过物理方式访问运行 iOS 11 的 iPhone 或 iPad 设备的黑客或者执法者如果他们重置设备上的密码,然后使用新密码创建新的加密备份,就可以使用新密码配合专门软件来访问存储在本地加密备份中的数据,例如 ElcomSoft Phone Breaker 等特定应用程序。毫无疑问,攻击者首先需要知道你的密码才能在创建新的备份之前访问你的 iOS 设备,但是比以前更容易解密加密的 iOS 备份,这使得苹果的 iOS 操作系统不太安全。 稿源:cnBeta,封面源自网络;

人工智能玩具或侵犯儿童隐私,安全性遭多国质疑

据外媒报道,法国信息与自由全国委员会警告,近年流行与孩子互动的人工智能玩具安全性不足,可能不利儿童的隐私。据报道,该委员会针对 i-Que 机器人和凯拉娃娃(Cayla)两款智慧玩具,要求业者加强安全,以免有心人借此搜集孩子和周边环境的个人信息,例如声音、孩子与玩具对话的内容等。 经过测试,法国信息与自由全国委员会发现,有心人在距离玩具 9 米远处,就可用手机与玩具联机,即使人在建筑物外面,也可听见或录下孩子与玩具的对话,甚至其他在房子里的声音。 法国《费加洛报》举出联机玩具可造成的危害,例如 2015 年,有人通过联机玩具取得数百万名父母及儿童的个人资料,包括孩子的照片;今年也发生过联机玩偶出问题,让有心人可能取得 20 万笔儿童的语音记录。 除了法国,有些国家也曾质疑联机玩具的安全性。挪威的消费者团体 Forbrukerradet 去年就对上述两款玩具提出异议,德国甚至禁售凯拉娃娃。此外,德国也中止销售儿童联机手表,因为这种手表能追踪佩戴者的位置。 在美国,联邦调查局(FBI)也针对联机玩具示警,因为这类玩具容易遭信息攻击。有些业者因此停止贩卖。 报道指出,智能联机玩具和其他联机装置一样,都有可能被盗用数据,父母尤其要留意配有麦克风或摄影机的玩具,以免孩子在不知情状况下被录音和录像。 稿源:cnBeta、中国新闻网,封面源自网络;

谷歌严打 Android 应用在未经同意情况下收集个人数据的行为

Google 表示应用程序处理个人用户数据,如电话号码和电子邮件地址,或有关设备的数据(如 IMEI 号码)必须提示用户许可收集信息。此外,修改后的规则还规定,如果应用程序收集和传输与其功能无关的个人数据,则必须在传输之前强调这一事实,并首先征求用户同意。这涵盖了应用程序功能,例如崩溃报告,其中设备上安装的应用程序列表未经许可不得发送。 如果开发者在 60 天内不遵守规定,Google 将通过 Google Play 或在通往这些应用的网站上向用户发出警告。谷歌长期以来一直在打击应用内的某些广告。那些被认为是欺骗性的,破坏性的,不恰当的或干扰其它应用程序或设备功能的应用程序定期从商店中移除。上周,Google Play 政策中心的更新显示,将广告引入锁定屏幕的应用已被Play商店禁止,唯一例外的是那些专门用作锁定屏幕的应用。 研究人员上个月底发现,他们分析 300 多种 Android 应用程序中的四分之三都包含嵌入式第三方跟踪器,其中包括 Uber,Spotify 和 Tinder 等等。 稿源:cnBeta,封面源自网络;

谷歌等公布“ 反恐 ”一年成绩:移除 4 万个极端视频和图片

据媒体 12 月 5 日报道,大型科技公司寻求让极端主义内容远离他们的平台,现在又在他们的共享数据库中增加了 4 万个恐怖主义视频和图片的数字标识。Facebook 公司、谷歌公司旗下 YouTube、微软公司以及 Twitter 在周一发布的联合博文中公布了这些数据。 这四大社交媒体公司属于全球互联网反恐论坛 (Global Internet Forum),该组织在一年前宣布建立,开始共享他们从其平台移除的恐怖主义视频的数字指纹。根据这一倡议,如果一家公司从其网络中移除了违反恐怖主义政策的内容,该公司就需要把这一内容登记在共享数据库中。这样一来,如果有人试图向其他公司网络发布相同内容,该内容就会自动被标记进行审核,可能会被移除。 上周,Facebook 表示,在公司目前移除的与极端组织伊斯兰国和基地组织相关的内容中,99% 是由公司的 AI 技术发现,早于任何用户的标记。Twitter 在 9 月份表示,公司在没有依靠用户申诉的情况下也移除了 99% 的恐怖主义帖子。YouTube 称,截至今年 11 月,在公司移除的恐怖主义相关内容中,大约 83% 由算法自动发现。此外,这四大科技公司称,Instagram、领英、Snap、Ask.fm 等公司也开始参与共享恐怖主义内容数据库的建设。 稿源:cnBeta、凤凰科技,封面源自网络;

FCC 主席:不会因抗议推迟网络中立法案投票

美国联邦通信委员会(FCC)主席 Ajit Pai 于 11 月 21 日表示,将于 12 月 14 日就巴马政府时期推出的“ 网络中立 ”规定进行表决。尽管这项决议遭到了诸多科技企业、互联网公司和美国网民的强烈反对,但是 Pai 办公室表示这些“ 抗议 ”并不会影响投票。 美国电信法将通信业务分成两大类,一类是采取宽松管制的“ 信息服务 ”(Title I 业务),另一类是需要进行严管的“ 电信服务 ”(Title II 业务)。奥巴马就任期间通过的网络中立法案中将宽带接入从“ 信息服务 ”划归为“ 电信服务 ”,接受更严格管制的。 而 Pai 认为应该将网络服务提供商重新划归为“ 信息服务 ”,FCC 并不需要对 ISP 进行严苛监管。支持网络中立的纽约城和多家非盈利机构联合向 FCC 发布公开信,要求推迟投票来进一步研究论证这个问题。 稿源:cnBeta,封面源自网络;

票代公司利用“爬虫”抢低价机票加价卖出:航企应如何应对?

近期,“机票代理” 公司正利用“ 爬虫 ”技术抢占航企官网放出的低价机票,并通过航企允许的账期反复订票、退订,直至将票加价卖出。有专家指出,利用“ 爬虫 ”技术从虚占到变现过程不复杂,但是要形成暴利,就需要多次进行上述过程。对此,几家知名航企均拒绝透露低价票被抢走的数量,但均表示“ 反爬虫 ”大战已经硝烟四起。 从 2016 年 7 月 1 日起,国内一批航空公司推出“ 票代 ”下调机票代理佣金新政,南航、东航相继将机票代理商手续费下调至零。一部分机票代理转行改做旅游度假产品,也有少部分机票代理人动起了歪脑筋。近日,有自媒体曝出,“机票代理”行业很多小公司正在利用“爬虫”技术,抢占航企官网放出的低价票,利用航企允许的账期反复订票、退订,直至将票加价卖出,全程操作中“爬虫”可替代 95% 的人工操作量。 朋友圈里有人卖特便宜的机票 据悉,有部分机票代理人会雇用专业技术人员,利用“爬虫”技术长期到各家航企抢舱位。他们最青睐的舱位包括特价舱位、寒暑假或者黄金周等特殊时段热门航路的舱位等。 “ 我朋友在朋友圈卖票,北京往返大阪的往返机票只需 2599 元 ”,旅游达人彭小姐说,她在该航企的 App 上查同样的票已经涨到7150元。该朋友说她可以通过渠道抢到便宜的票。 据不愿透露姓名的业内人士透露,可能的操作手法是航企一旦放出票,“ 爬虫 ”即刻爬取到信息,并利用虚假身份暂时预订;机票代理人再通过自有渠道,如自有网站、App、微店、淘宝店或者朋友圈等方式转售加价卖出。利用因时间推移造成的舱位价格变化获利。 “ 爬虫 ”抢票变现过程并不复杂 “ 虚占座位 ”早期是为保障一些团队的机票冗余,当时现象也并不是很多;但现如今主要目标是为了囤积后伺机出售实现利益最大化。 “ 想获取 100 万行的数据,大约需忘寝废食重复工作两年。而爬虫可在一天内帮你完成”,有专家说,监测发现“ 爬虫 ”在航企官网通过大量下订单,在规定时间内(各航线不同)不支付,并把抢占的舱位放到OTA 、机票 B2B 上出售;规定时间内卖不出去,在被取消订单前,订单失效前马上再去追一个订单,继续把位置占住;如果出售成功,就可以把原来占位的机票取消,再用客户的身份信息订票并出票。虽然从虚占到变现过程不复杂,但是要形成暴利,就需要来回如上过程无数次。 航企已打起“ 反爬虫 ”大战 据了解,航企风控技术部门的“ 反爬虫 ”技术高手正在迎战。常规“ 反爬虫 ”技术包括访问频率控制、使用代理 IP 池、抓包、验证码的 OCR 处理等。其中,IP  来源单一、从未成交过订单且行动异常的 IP、点击频次过高等被识别出的“ 爬虫 ”,会被封掉 IP。对此,操作“ 爬虫 ”的技术人员会想办法利用购买或者租用的云机房、IDC 中的 IP 资源,改造路由器等方法来“ 伪装 ”。 针对航企低价票放出即被“ 爬虫 ”抢走的问题,几家知名航企均拒绝透露低价票被抢走的数量。但均表示“ 反爬虫 ”大战已经硝烟四起,由于涉及技术保密不便透露细节,不过确实形势严峻。 稿源:新浪科技,封面源自网络;

生物骇客引 FDA 担忧,警告基因编辑需谨慎

基因编辑技术 CRISPR 的发明让基因编辑的成本和门槛迅速下降,诞生了探寻生命奥秘的“生物骇客”。不过美国食品药品管理局(FDA)对此非常担忧,连发警告称基因编辑 DIY 工具不应流通,恐怕缺乏监管的“生物骇客”通过自助基因编辑引发生化灾害。 近日 FDA 的生物制品评价和研究中心 (CBER) 再度声明,擅自在线销售和购买基因编辑 DIY 工具是违法行为,FDA担心不受法规监管的基因治疗产品具有潜在“安全危害”,用户应该确保仅接受经 FDA 批准的基因治疗机构和方案,擅自进行基因编辑和治疗不宜提倡。 稿源:cnBeta,封面源自网络;