分类: 推荐阅读

法律禁止默认密码 “admin”,“无意入侵”没那么容易了

据 techcrunch 报导,前几日,加州通过了一项法律,2020 年之后禁止在所有新的消费电子产品中使用 “admin”、“123456” 和经典的 “password” 这样的默认密码。 从路由器到智能家居技术在该州建造的每个新设备都必须具有开箱即用的“合理”安全功能,法律特别要求每个设备都带有“每个设备独有的”预编程密码。它还要求任何新设备“包含一个安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证方法”,在第一次打开是强制用户将其唯一密码更改为新的密码。 弱密码问题一直是黑客进行攻击利用的有效且低成本手段,多年来,僵尸网络利用了安全性较差的连接设备的强大功能,在网站上拥有大量的互联网流量,也就是所谓的分布式拒绝服务(DDoS)攻击。僵尸网络通常依赖于默认密码,这些密码在构建时被硬编码到设备中,用户以后不会对其进行更改。 恶意软件使用公开的默认密码侵入设备,劫持设备并诱使设备在用户不知情的情况下进行网络攻击。两年前,臭名昭着的 Mirai 僵尸网络将成千上万的设备拖到了目标 Dyn,这是一家为主要网站提供域名服务的网络公司。通过使 Dyn 无法正常解析域名,导致其它依赖其服务的网站也无法访问,造成在大面积的网络瘫痪。简单的 Mirai 能够造成大损失的很大原因就在于利用了设备默认的简单密码。 虽然新法可以防止这类僵尸网络,但却无法解决更广泛的安全问题,比如有些攻击是不需要猜测密码的,另一方面,该法律并未要求设备制造商在发现错误时更新其软件,像亚马逊、苹果和谷歌这样的大型设备制造商确实会更新他们的软件,但更多鲜为人知的品牌却不会这样做。 然而这毕竟是在为保证网络安全迈出的一小步,也许可以避免“腾讯员工因对酒店 Wi-Fi 服务器是否存在漏洞产生好奇并选择黑入,结果成功被捕”这样的事。你觉得怎么样?   稿源:开源中国,封面源自网络;

Google 的 Tink 库让你丢掉手中成百上千页的密码学书籍

近日,谷歌在其安全博客中详细介绍了其开源的一款多语言、跨平台加密开发库Tink。一直以来,加密技术就是保护用户数据的有效手段,但是加密技术涉及到了非常艰深的密码学知识,开发者如果想要理解如何正确去实施密码学,这个过程将会花费他们大量时间去研究目前积累了数十年的学术文献。在当下高强度的开发工作下,显而易见,通常开发者都难有这样富足的时间。这样就给产品的安全带来了致命威胁,怎么办呢? Google 为此开发了一款多语言、跨平台的加密软件库,用以帮助内部开发人员提供安全的加密代码。谷歌介绍,在内部,Tink 已经被用于保护许多产品的数据,如 AdMob、Google Pay、Google Assistant、Firebase 与 Android Search App 等。Google 在两年前将 Tink 于 GitHub 上开源,此次借着其第一个支持云、Android 与 iOS 的 1.2.0 版本发布,谷歌为开发者介绍了它的特性、意义与使用示例等内容。 谷歌描述,Tink 旨在提供安全、易于正确使用且难以滥用的加密 API,它建立在现有安全相关的库之上,如 BoringSSL 和 Java Cryptography Architecture,但谷歌专门的团队 Project Wycheproof 发现了这些库中的一些弱点,Tink 进行了跟进,使之更加安全。 使用 Tink,许多常见的加密操作,如数据加密、数字签名等只需几行代码就可以完成,以下是使用 Java 中的 AEAD 接口加密和解密的 demo: import com.google.crypto.tink.Aead;    import com.google.crypto.tink.KeysetHandle;    import com.google.crypto.tink.aead.AeadFactory;    import com.google.crypto.tink.aead.AeadKeyTemplates;    // 1. Generate the key material.    KeysetHandle keysetHandle = KeysetHandle.generateNew(        AeadKeyTemplates.AES256_EAX);    // 2. Get the primitive.    Aead aead = AeadFactory.getPrimitive(keysetHandle);    // 3. Use the primitive.    byte[] plaintext = ...;    byte[] additionalData = ...;    byte[] ciphertext = aead.encrypt(plaintext, additionalData); Tink 希望消除尽可能多的潜在误用。例如,如果底层加密模式需要 nonce(密码学中只被使用一次的任意或非重复的随机数),但重用 nonce 的话会产生安全问题,那么这时 Tink 将不允许用户传递 nonce。 Tink 的功能很多,大概有如下几个方面: 可以安全抵御选择密文攻击,允许安全审计员和自动化工具快速发现那些与安全要求不匹配的代码。 隔离了用于潜在危险操作的 API,例如从磁盘加载明文密钥。 为密钥管理提供支持,包括密钥轮换和逐步淘汰已弃用的密码。 可以通过设计进行扩展:可以轻松添加自定义加密方案或内部密钥管理系统,以便与 Tink 的其它部分无缝协作。Tink 的任何部分都难以更换或移除,所有组件都是可组合的,并且可以以各种组合进行选择和组合。例如,如果只需要数字签名,则可以排除对称密钥加密组件,以最大限度地减少应用程序中的代码大小。 这个开发库为广大开发者带来了极大便利,如果你还没体验过,赶快去试试吧: https://github.com/google/tink       稿源:开源中国,封面源自网络;

百度推出 EZDL 没有编程经验也可训练AI

据美国科技博客 VentureBeat 报道,如果没有技术知识和正确的工具,训练机器学习算法是一项艰难的工作。本周,针对那些没有足够财力或精力学习专业知识的人,百度发布了一个名为 EZDL 的在线工具,使得任何人不用编写一行代码就可以轻松地构建、设计和部署人工智能(AI)模型。 百度 AI 技术生态部总经理喻友平表示,百度的 EZDL 在构建时以性能、易用性和安全性为基础,主要针对三大类机器学习:图像分类、物体检测和声音分类。它的目标受众是中小型企业,旨在“打破障碍”,使得每个人都能“以最方便、最公平的方式”使用人工智能。 为了训练模型,EZDL 需要为每个模型分配 20-100 个图像或超过 50 个音频文件,并且需要训练 15 分钟到一个小时。(百度声称,超过三分之二的模型准确率超过 90%。)生成的算法可以部署在云中,通过 API 访问,或者以支持 iOS、Android 和其他操作系统的软件开发工具包的形式下载。 喻友平称,家居装饰网站“家图网”使用 EZDL 训练模型,来自动识别房间的设计风格,准确度达到 90%。此外一家未透露名称的医疗机构利用 EZDL 建立了一个用于识别血液检测显微镜图像的模型,还有一家安全监控公司使用 EZDL 设计了声音检测模型,可以识别“异常”的音频模式,用来判断是否发生了入室盗窃。 喻友平表示:“作为人工智能领域的全球领导者之一,百度践行了通过技术让复杂世界变得更简单的使命。百度将继续领导和促进人工智能的发展和应用。我们通过公司的全球业务部门,致力于与全球社区共享百度的核心技术、能力和资源……我们很高兴看到来自全球的 AI 创新应用,我们希望通过开放平台来普及人工智能的应用,我们将帮助世界各地的开发者和企业取得更大的成功。” 在推出百度大脑之后的两年时间里,百度明确了自己在人工智能领域的雄心壮志。它表示,目前已有超过 600,000 名开发人员正在使用 Brain 3.0(百度大脑于 2018 年 7 月发布的最新版本),用于 20 个行业的 110 个 AI 服务项目。 同样在今年 7 月份,百度揭开了神秘昆仑芯片的面纱,这是一款百度自行研发专为进行设备边缘计算和数据中心处理模型而设计的 AI 芯片。百度声称该芯片能够实现260TOPS和512 GB /秒内存带宽。(谷歌的Tensor Processing Unit最高可达100 petaflops) 今年 8 月,百度公司宣布,其对话人工智能助手 DuerOS 已经达到了 1 亿台设备的安装量,比 6 个月前增加了 5000 万部。迄今为止,已有 200 多家合作企业推出了 110 款支持 DuerOS 驱动的设备,DuerOS 也汇集了超过 16000 名开发者。 喻友平称:“我们寻求为人工智能创建一个真正的生态系统,实现人工智能技术的民主化。技术没有国界。”     稿源:网易科技,封面源自网络;

Google 搜索再现诈骗:“苹果技术支持”可能是假的

新浪科技讯 北京时间 9 月 3 日早间消息,Alphabet 旗下谷歌正在采取行动,打击涉嫌诈骗的搜索页面广告投放。此前《华尔街日报》调查发现,诈骗者利用谷歌广告系统购买搜索广告,并伪装成苹果等公司的授权服务代理进行诈骗活动。 例如在谷歌上搜索关键词“苹果技术支持”时,第一个结果中包括指向 Apple.com 的链接、一个免费电话号码,并显示:“立即从我们的专家处得到帮助。”但《华尔街日报》发现,这个电话号码并不属于苹果,而是指向一个从事诈骗活动的呼叫中心。 伪装的苹果技术支持链接 上周早些时候,谷歌一名发言人回应称,谷歌致力于删除不良广告,去年因为违反该公司政策而被删除的广告超过每秒 100 个。 上周五,谷歌宣布对技术支持广告中的诈骗活动展开更严厉的打击。谷歌全球产品策略总监大卫·格拉夫(David Graff)在官方博客中表示:“我们已经看到,来自第三方技术支持提供商的误导性广告体验正在上升,我们决定开始在全球范围内限制这些广告。” 他同时表示,谷歌计划推出验证项目,“以确保只有合法的第三方技术支持服务提供商可以使用我们的平台触达消费者”。 知情人士表示,此前谷歌已经针对其它类型的广告设计了验证项目,包括本地的开锁服务和治疗中心,此外谷歌还禁止了保释金服务和发薪日贷款服务的广告。 政府和业内专家表示,技术诈骗导致不知情的美国人交出自己的支付信息,损失了数十亿美元。涉及远程技术支持的诈骗尤为猖獗。在这些骗局中,搜索计算机使用帮助的用户有时会看到欺骗性质的广告,以及提示有病毒感染的弹窗消息。 2018 年的一项研究发现,在主要搜索引擎,与技术支持查询相关的赞助商广告中,有 72% 指向欺诈网站。       稿源:新浪科技,封面源自网络;        

谷歌追踪位置记录做法 或将面临欧盟又一笔天价罚单

本周早些时候,美联社报道称,即使用户关闭位置记录,谷歌仍然会追踪用户位置。报道称,如果关闭这个设置,谷歌仍然会追踪用户的位置,只是不会在谷歌地图时间线上进行记录。如果用户希望完全关闭位置追踪,那么需要通过其他设置选项,即网页和应用活动。 而由于欧盟已经实施了严格的 GDPR 数据隐私法案,欧洲立法者对谷歌的做法不可能坐视不管。即使是在 GDPR 生效之前,谷歌对用户数据的收集使用做法一直遭到欧洲多项调查。最新曝光的在关闭位置记录后谷歌仍然会追踪用户位置的做法可能涉及误导用户,如果此做法在调查后确认违反了 GDPR 法规,欧盟立法者可对谷歌处以营业额 2%-4% 的出发,谷歌去年的营业额为 1096.5 亿美元,如果按照这一数额估算,谷歌或将面临 45 亿美元的天价罚单。当然谷歌 并不同意自己存在误导用户的行为,在一起声明中谷歌表示谷歌明确告知“位置记录”用户,当他们在关闭位置记录后,我们仍然可能使用位置信息来增强谷歌产品的体验,例如谷歌搜索或者导航。     稿源:cnBeta.COM,封面源自网络;

最新研究发现智能空调可能会拖垮电网

据外媒报道,你可能不会经常想起家里的空调,或许只有当你在炎热夏天到来的时候才会想到它。然而黑客们却可能时刻惦记着它,因为他们利用它来摧毁电网。据了解,来自普林斯顿大学的安全研究人员发现,由数千台联网但却可攻击的家电如空调、热水器能够形成一个僵尸网络,而这可能会导致电网供电量严重不足进而导致大面积停电的现象发生。 普林斯顿大学的研究小组在巴尔的摩举行的 Usenix 安全大会上展示了这一研究成果。 他们在研究报告中写道:“我们希望我们的工作能够提高人们对这些攻击对电网运营商、智能设备制造商以及系统安全专家的重要性的认识,进而使电网(以及其他相互依赖的网络)在对抗网络攻击上变得更加安全。在不久的将来,当更多联网智能设备被制造出来之后,这一点将尤为关键。” 这一发现颠覆了人们对黑客和电网的传统担忧。通常情况下,研究人员担心专业黑客会直接侵入关键的基础设施如电网,然后切断电源、制造混乱。 如果这样的攻击成功了,那么黑客们可能会发现在发电站职工恢复电力供应时摧毁电网这件事情变得更加容易。 很显然,大规模的停电可能会极其危险,因为像执法部门、医院等重要机构都将同时遭到断电的情况。 去年曾经有专家发出了网络攻击导致的停电可能会成为未来网络战模样的警告。 研究人员在报告中写道:“不安全的物联网设备可能会带来毁灭性后果,它将远远超过个人安全/隐私的损失。这就需要严格控制物联网设备的安全性,包括监管框架。”     稿源:cnBeta.COM,封面源自网络;

英国安全专家采用改装后的 USB-C 苹果充电器来劫持设备

据外媒 Techspot 报道,MacBook Pro 等许多最新的笔记本电脑使用USB-C端口进行充电,这是一种方便快捷的为笔记本电池充电的方法,但似乎这种充电方法可能被黑客利用。BBC 近日报道了一位正在演示其最新“成就”的安全专家 – 能够采用 USB-C 苹果充电器来劫持设备。 这位 USB 安全漏洞方面的专家被称为 “MG” ,他开发了许多 USB 附件,这些附件危及设备安全,包括 Wi-Fi 摄像头到智能手机。 近日 “MG” 展示了插入 USB-C 端口的笔记本电脑充电器如何被用来劫持计算机。 “MG” 目前的项目涉及到一个相当熟悉的苹果充电器,并用他自己的硬件替换内部电源电路。这个充电器仍将正常运行,并且能在为计算机充电时部署恶意软件 – 无论是 Mac 还是 PC。据 “MG” 称,这可以“注入恶意软件,可能是恶意的 root 工具包和持续存在的感染类型”。虽然 “MG” 此次改装的是苹果充电器,但这适用于任何配备 USB-C 插孔的电源砖。只是苹果充电器是目前最常见的。 这个概念本身在手机专家中是众所周知的,并以“充电座盗取数据 ”(juice jacking) 的名字命名。       稿源:cnBeta.COM,封面源自网络;

研究显示超过 56% 的加密货币犯罪发生在美国

国际网络安全公司 Group-IB 研究表明,自 2017 年以来,加密货币用户被入侵帐户的数量增加了 369% 。与 Hard Fork 共享的数据显示,所有受害者中有三分之一位于美国。前 19 名交易所中的每一个都受到了冲击,共有 720 个用户名和密码被盗。 数据显示,被盗密码事件比 1 月份的月平均值高出 689% ,黑客攻击率甚至反映了市场高位。 19 个交易所中至少有 5 个遭受攻击,导致加密货币损失 8000 万美元。报告称,50 个活跃的僵尸网络也在不断攻击用户,超过一半的恶意流量来自美国,而来自于荷兰的恶意流量则为 21.5% 。 僵尸网络正在被特洛伊木马提供给新成员,特洛伊木马是一种经常伪装成无害文件或程序的恶意软件。当它与之交互时,病毒会迫使机器成为被奴役计算机网络的一部分 – 或僵尸网络。通常,计算机贡献他们的计算能力来完成任务,但是最近,对巴西 MicroTik 路由器用户的零日攻击,让它们成为挖矿僵尸网络的一部分。 虽然该报告承认网络钓鱼攻击仍然普遍存在,但黑客攻击工具正变得越来越复杂,它指出,攻击模式类似于高科技银行抢劫的模式,使用修改后的软件来定位交易所,这些交易所根本没有为最坏的情况做好准备。用户和交易所都没有使用双因素身份验证(2FA)。更令人吃惊的是,在 720 个被入侵的帐户中,五分之一的人使用了短于八个字符的密码。     稿源:cnBeta.COM,封面源自网络;

华为遭英国调查:使用过时软件 恐造成网络安全风险

新浪科技讯 北京时间 8 月 6 日早间消息,路透社援引消息人士的说法称,由于使用来自一家美国公司的过时软件,华为在英国正面临调查。调查者担心,这种软件可能会造成安全风险。 负责分析华为设备的英国政府监管委员会上月报告称,该委员会发现了技术和供应链“缺陷”,可能导致英国的电信网络面临新的安全风险。 消息人士称,其中的原因之一出在华为使用的 VxWorks 系统上面,该系统由总部位于美国加州的风河开发。根据消息人士的说法,华为正在使用的 VxWorks 版本将于 2020 年停止收到来自风河的安全补丁和更新,但届时仍会有包含这些系统的产品在使用中。这可能会导致英国的电信网络遭到攻击。 7 月份的报告显示:“包括关键安全部件在内的第三方软件将于 2020 年不再获得长期支持,但华为相关产品的生命周期要更长。” 不过消息人士均表示,没有迹象表明,出现这样的情况是华为有意为之,而这些软件本身也不会带来安全风险。 目前尚不清楚,华为的哪些产品受到影响,以及华为正在采取什么样的措施来解决问题。 英国的担忧表明了对贸易战和国家安全的担忧,将导致科技公司和各国政府更难保护产品和通信网络。 风河的发言人表示,不会就华为的这一情况置评,但风河通常会帮助客户升级至最新的软件版本。华为的发言人也拒绝对此置评,但表示会就英国相关部门的关切做出改进。   稿源:新浪科技,封面源自网络;

亚马逊计划 2020 年初彻底抛弃甲骨文专有数据库

北京时间 8 月 2 日上午消息,亚马逊在数据中心技术提供商这条路上的发展日渐将不少自己长期以来的供应商变为了难以共融的竞争对手,甲骨文(Oracle)即其中之一。最近,亚马逊正在考虑对甲骨文的新一轮打击。据知情人士透露,这家电子商务巨头已经将公司大部分内部基础设施转移到亚马逊网络服务(AWS),并计划于 2020 第一季度彻底移除甲骨文的专有数据库软件。 这一转变亦标志着亚马逊在企业计算领域的快速崛起,并进一步显示了在企业不断将工作转至云平台并抛弃传统数据中心这一过程中甲骨文的艰难挣扎。得益于 AWS 的发展(第二季度该业务的营收增长高达 49%),亚马逊在今年初超越 Alphabet 成为全球价值第二大的上市公司。 与此同时,甲骨文的规模与四年前大致相同,股价稍高于 2014 年底时的价格。报道刚出时,甲骨文的股价小降 1%。 五年前,亚马逊就开始计划移除甲骨文,一名要求匿名的知情人称。亚马逊的部分核心购物业务目前仍依赖于甲骨文,整个迁移过程大概需要 14-20 个月。另外一位人士则称,转移开始的前几年,亚马逊就已经开始考虑放弃甲骨文,但当时的决定是过早行动可能会需要较多的工程工作而且收效甚微。 知情人士称,亚马逊使用甲骨文时面临的一个主要问题时,后者的数据库技术无法扩展以满足亚马逊的性能需求。另外一人表示,此举或将于 2019 年中旬完成,并补充说,依赖甲骨文数据库的新技术在相当长一段时间内没有任何开发。 亚马逊的基础设施显然也不是万无一失的。上个月的亚马逊 Prime Day 购物狂欢期间,公司对容量升级的持续需求差点造成一场危机,公司的系统被证实无法处理突发的流量激增。 购物者报告了许多试图访问该网站的错误,据悉这个问题跟内部程序 Sable 的崩溃有关,亚马逊使用 Sable 来为零售和数字业务提供存储和服务。 口水战 The Information 在一月份曾经报道了亚马逊正在努力减少对甲骨文的依赖。Drexel Hamilton 的分析师布莱恩·怀特(Brian White)则发表了一份声明来反驳该报道,并引用了甲骨文董事长拉里·埃里森(Larry Ellison)在公司去年 12 月的电话财报会议上的话。埃里森表示,“有一家公司在这个季度刚向我们支付了 5000 万美元购买甲骨文数据库和其他技术,这家公司正是亚马逊。” 亚马逊发言人拒绝对此作出评论。甲骨文的发言人亚马逊在甲骨文的技术上消费了数亿美元。 两家公司一直处于激烈的口水战中。去年,甲骨文高管夸耀了一番使用公司数据库软件的成本优势。AWS 的首席执行官安迪·约斯(Andy Jassy)回击称甲骨文“在云计算领域实力不足”。 2014 年,AWS 推出 Aurora 关旭数据库服务之后,竞争趋向白热化。这项服务直指甲骨文的核心市场。亚马逊同时还提供了一个工具帮助企业将数据库转移至云平台。 但在 2016 年,埃里森告诉分析师,亚马逊的云服务仍旧未准备好迎接黄金时段。“我们的数据库客户没办法在亚马逊上运行重要的机器工作。” 然而自此之后,甲骨文始终未能在云基础设施领域取得显著的市场份额。 AWS 在该市场上领先,微软、谷歌、阿里巴巴和 IBM 紧随其后。 公司自上个季度不再披露云服务的收益之后,投资者如今也已放弃对甲骨文云服务规模的猜测。   稿源:新浪科技,封面源自网络;