分类: 推荐阅读

对一些服务在海外的同学提个中肯的建议 | 知道创宇云安全

*海外CN2专线防护上线啦* 在拓展海外业务的征途中,您是否有过这些烦恼? · 国外云防护服务商家太多,不知道选哪家才靠谱? · 好不容易选中一家,付款太麻烦? · 恶意攻击不断,消耗服务器资源影响运转还泄露信息? · 服务器部署在海外,国内老用户访问太慢还掉线,一不小心就流失了?   不用担心了,知道创宇海外CN2专线防护现已上线! 什么是CN2? CN2(CNCN),即互联网第二平面(俗称二平面),是相关网络运营商的下一代多业务的承载网,主要用于海外地区。CN2采用的核心技术是IP/MPLS,海底光缆直连大陆,省去跳转国际网络的延迟,具有高弹性、高冗余性和低延迟的特性,属于专线通道,速度更快更稳定。  产品简介 又快 China Telecom Global等大陆运营商合作,多条海外CN2专线直连大陆,PING值低至30ms,几乎等同于国内服务器的访问速度。 又安全 通过CN2线路接入抗D保、创宇盾和加速乐三大王牌安全产品,保障业务快速稳定、安全无忧。  为什么选择我们? 1. 网络结构完善,传输速度更快 海外CN2线路在IP层,实现平均小于500ms的快速路由收敛;在MPLS层,核心节点之间50条链路部署了FRR,实现50ms的保护切换。知道创宇在国内PING值低至30ms,欧美PING值约为100~200ms之间,极大缩短网络访问延迟。   2. 多地域节点 知道创宇在海外拥有多条CN2线路直连大陆,自2013年起便开始在香港部署数据中心,在台湾、日本、韩国、新加坡各地均有CN2节点,实力满足海外各地域与大陆间的业务稳定开展。   3. 带宽升级,满足多业务需求 CN2承载的是网络运营商具有QoS保证的SLA业务,可同时支持语音、数据、视频、专线、国际互联等多业务,知道创宇提供CN2带宽升级服务,保障充足的带宽资源,满足多业务的需求。   4. 全球Anycast抗DDoS服务 若CN2线路遭受到DDoS攻击,知道创宇将会及时调Anycast进行抗D,完美防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood、CC(ChallengeCollapsar)攻击,确保线路连接正常。     所以, 不用再烦恼,不用再担心, 选择知道创宇海外CN2专线防护,为您的征途保驾护航! 详细了解:https://www.yunaq.com/cn2/  

卸载就完事儿了?App照样能追踪你的数据

新浪科技讯 北京时间10月23日下午消息,要是你突然发现上周删除的应用突然又从其他地方冒了出来,那可能不是巧合。迎合应用开发商的公司最近在iOS和Android上发现一个新办法,可以找到最近删除了某个特定应用的用户——然后针对这些用户发布该应用的广告使他们回心转意。 提供卸载跟踪器的公司有Adjust、AppsFlyer、MoEngage、Localytics和CleverTap等。通常,卸载跟踪器只是作为更广泛的开发者工具中的一部分。这些公司的客户包括T-Mobile US、Spotify和Yelp。批评者认为,有鉴于此,我们更有必要重新评估在线隐私权并限制公司对用户数据的使用。“大多数科技公司其实在隐私选择上根本没有给用户多少选择,”电子前沿基金会的技术政策主管,也是隐私倡导者的杰里米·吉鲁拉(Jeremy Gillula)说道。 有些供应商表示,这些跟踪工具旨在评估用户对应用更新与其他更新的反应。波士顿的Localytics的首席执行官裘德·麦克考兰(Jude McColgan)表示,他还没有看到客户使用该技术向曾经的用户投放广告。位于旧金山的MoEngage的营销和销售副总裁艾伦·马爱吉(Ehren Maedge)说,要不要这么做完全在于应用开发商。“这是我们的客户与客户自己的终端用户之间的事情。如果他们打破了用户的信任,对他们自己来说并非好事。”另外几家公司并未作出评论,T-Mobile、Spotify以及Yelp也未回复评论请求。 卸载跟踪利用了苹果和谷歌移动操作系统中的核心元素:推送通知。例如,开发者总是可以使用所谓的静默推送通知定期向应用发送回显信息而无需打扰用户——以便当应用在后台运行时刷新收件箱或社交媒体源。但是如果应用未能成功向开发者发回信息,应用则会被登记为已经卸载,然后卸载跟踪工具将这些变化记录到文件中,文件与给定的移动设备唯一广告ID关联,这样就可以轻易识别手机用户然后不管到哪都可以向他们推送应用广告。 Branch Metrics是一家开发软件的公司,但拒绝提供卸载跟踪工具。公司首席执行官亚历克斯·奥斯汀(Alex Austin)表示,这些工具违反了苹果和谷歌的政策,这些政策规定不得将静默推送通知作为开发广告受众的工具。“人们在选择不再使用你的产品之后还在互联网上跟踪他们,这样的行为很草率,”他说,并补充希望苹果和谷歌能及时采取应对措施。苹果和谷歌暂未回应评论请求。 卸载跟踪工具原本是为了用于修复漏洞或以其他方式优化应用,而无需借用问卷调查或其他侵入式工具来打扰用户。但是吉鲁拉表示,在最初本意之外滥用该系统的能力体现了与现代互联网如影随形的束缚。要使用应用,用户通常不得不同意自由分享他们的数据,有时候这种分享可能是永久性的,但从来无法确切知道日后这些数据将被如何利用。“作为一名应用开发人员,我会希望知道有多少人卸载了我的应用,”他说,“但我不会说,你有这个权利知道谁安装或卸载了你的应用。”   稿源:新浪科技,封面源自网络;

法律禁止默认密码 “admin”,“无意入侵”没那么容易了

据 techcrunch 报导,前几日,加州通过了一项法律,2020 年之后禁止在所有新的消费电子产品中使用 “admin”、“123456” 和经典的 “password” 这样的默认密码。 从路由器到智能家居技术在该州建造的每个新设备都必须具有开箱即用的“合理”安全功能,法律特别要求每个设备都带有“每个设备独有的”预编程密码。它还要求任何新设备“包含一个安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证方法”,在第一次打开是强制用户将其唯一密码更改为新的密码。 弱密码问题一直是黑客进行攻击利用的有效且低成本手段,多年来,僵尸网络利用了安全性较差的连接设备的强大功能,在网站上拥有大量的互联网流量,也就是所谓的分布式拒绝服务(DDoS)攻击。僵尸网络通常依赖于默认密码,这些密码在构建时被硬编码到设备中,用户以后不会对其进行更改。 恶意软件使用公开的默认密码侵入设备,劫持设备并诱使设备在用户不知情的情况下进行网络攻击。两年前,臭名昭着的 Mirai 僵尸网络将成千上万的设备拖到了目标 Dyn,这是一家为主要网站提供域名服务的网络公司。通过使 Dyn 无法正常解析域名,导致其它依赖其服务的网站也无法访问,造成在大面积的网络瘫痪。简单的 Mirai 能够造成大损失的很大原因就在于利用了设备默认的简单密码。 虽然新法可以防止这类僵尸网络,但却无法解决更广泛的安全问题,比如有些攻击是不需要猜测密码的,另一方面,该法律并未要求设备制造商在发现错误时更新其软件,像亚马逊、苹果和谷歌这样的大型设备制造商确实会更新他们的软件,但更多鲜为人知的品牌却不会这样做。 然而这毕竟是在为保证网络安全迈出的一小步,也许可以避免“腾讯员工因对酒店 Wi-Fi 服务器是否存在漏洞产生好奇并选择黑入,结果成功被捕”这样的事。你觉得怎么样?   稿源:开源中国,封面源自网络;

Google 的 Tink 库让你丢掉手中成百上千页的密码学书籍

近日,谷歌在其安全博客中详细介绍了其开源的一款多语言、跨平台加密开发库Tink。一直以来,加密技术就是保护用户数据的有效手段,但是加密技术涉及到了非常艰深的密码学知识,开发者如果想要理解如何正确去实施密码学,这个过程将会花费他们大量时间去研究目前积累了数十年的学术文献。在当下高强度的开发工作下,显而易见,通常开发者都难有这样富足的时间。这样就给产品的安全带来了致命威胁,怎么办呢? Google 为此开发了一款多语言、跨平台的加密软件库,用以帮助内部开发人员提供安全的加密代码。谷歌介绍,在内部,Tink 已经被用于保护许多产品的数据,如 AdMob、Google Pay、Google Assistant、Firebase 与 Android Search App 等。Google 在两年前将 Tink 于 GitHub 上开源,此次借着其第一个支持云、Android 与 iOS 的 1.2.0 版本发布,谷歌为开发者介绍了它的特性、意义与使用示例等内容。 谷歌描述,Tink 旨在提供安全、易于正确使用且难以滥用的加密 API,它建立在现有安全相关的库之上,如 BoringSSL 和 Java Cryptography Architecture,但谷歌专门的团队 Project Wycheproof 发现了这些库中的一些弱点,Tink 进行了跟进,使之更加安全。 使用 Tink,许多常见的加密操作,如数据加密、数字签名等只需几行代码就可以完成,以下是使用 Java 中的 AEAD 接口加密和解密的 demo: import com.google.crypto.tink.Aead;    import com.google.crypto.tink.KeysetHandle;    import com.google.crypto.tink.aead.AeadFactory;    import com.google.crypto.tink.aead.AeadKeyTemplates;    // 1. Generate the key material.    KeysetHandle keysetHandle = KeysetHandle.generateNew(        AeadKeyTemplates.AES256_EAX);    // 2. Get the primitive.    Aead aead = AeadFactory.getPrimitive(keysetHandle);    // 3. Use the primitive.    byte[] plaintext = ...;    byte[] additionalData = ...;    byte[] ciphertext = aead.encrypt(plaintext, additionalData); Tink 希望消除尽可能多的潜在误用。例如,如果底层加密模式需要 nonce(密码学中只被使用一次的任意或非重复的随机数),但重用 nonce 的话会产生安全问题,那么这时 Tink 将不允许用户传递 nonce。 Tink 的功能很多,大概有如下几个方面: 可以安全抵御选择密文攻击,允许安全审计员和自动化工具快速发现那些与安全要求不匹配的代码。 隔离了用于潜在危险操作的 API,例如从磁盘加载明文密钥。 为密钥管理提供支持,包括密钥轮换和逐步淘汰已弃用的密码。 可以通过设计进行扩展:可以轻松添加自定义加密方案或内部密钥管理系统,以便与 Tink 的其它部分无缝协作。Tink 的任何部分都难以更换或移除,所有组件都是可组合的,并且可以以各种组合进行选择和组合。例如,如果只需要数字签名,则可以排除对称密钥加密组件,以最大限度地减少应用程序中的代码大小。 这个开发库为广大开发者带来了极大便利,如果你还没体验过,赶快去试试吧: https://github.com/google/tink       稿源:开源中国,封面源自网络;

百度推出 EZDL 没有编程经验也可训练AI

据美国科技博客 VentureBeat 报道,如果没有技术知识和正确的工具,训练机器学习算法是一项艰难的工作。本周,针对那些没有足够财力或精力学习专业知识的人,百度发布了一个名为 EZDL 的在线工具,使得任何人不用编写一行代码就可以轻松地构建、设计和部署人工智能(AI)模型。 百度 AI 技术生态部总经理喻友平表示,百度的 EZDL 在构建时以性能、易用性和安全性为基础,主要针对三大类机器学习:图像分类、物体检测和声音分类。它的目标受众是中小型企业,旨在“打破障碍”,使得每个人都能“以最方便、最公平的方式”使用人工智能。 为了训练模型,EZDL 需要为每个模型分配 20-100 个图像或超过 50 个音频文件,并且需要训练 15 分钟到一个小时。(百度声称,超过三分之二的模型准确率超过 90%。)生成的算法可以部署在云中,通过 API 访问,或者以支持 iOS、Android 和其他操作系统的软件开发工具包的形式下载。 喻友平称,家居装饰网站“家图网”使用 EZDL 训练模型,来自动识别房间的设计风格,准确度达到 90%。此外一家未透露名称的医疗机构利用 EZDL 建立了一个用于识别血液检测显微镜图像的模型,还有一家安全监控公司使用 EZDL 设计了声音检测模型,可以识别“异常”的音频模式,用来判断是否发生了入室盗窃。 喻友平表示:“作为人工智能领域的全球领导者之一,百度践行了通过技术让复杂世界变得更简单的使命。百度将继续领导和促进人工智能的发展和应用。我们通过公司的全球业务部门,致力于与全球社区共享百度的核心技术、能力和资源……我们很高兴看到来自全球的 AI 创新应用,我们希望通过开放平台来普及人工智能的应用,我们将帮助世界各地的开发者和企业取得更大的成功。” 在推出百度大脑之后的两年时间里,百度明确了自己在人工智能领域的雄心壮志。它表示,目前已有超过 600,000 名开发人员正在使用 Brain 3.0(百度大脑于 2018 年 7 月发布的最新版本),用于 20 个行业的 110 个 AI 服务项目。 同样在今年 7 月份,百度揭开了神秘昆仑芯片的面纱,这是一款百度自行研发专为进行设备边缘计算和数据中心处理模型而设计的 AI 芯片。百度声称该芯片能够实现260TOPS和512 GB /秒内存带宽。(谷歌的Tensor Processing Unit最高可达100 petaflops) 今年 8 月,百度公司宣布,其对话人工智能助手 DuerOS 已经达到了 1 亿台设备的安装量,比 6 个月前增加了 5000 万部。迄今为止,已有 200 多家合作企业推出了 110 款支持 DuerOS 驱动的设备,DuerOS 也汇集了超过 16000 名开发者。 喻友平称:“我们寻求为人工智能创建一个真正的生态系统,实现人工智能技术的民主化。技术没有国界。”     稿源:网易科技,封面源自网络;

Google 搜索再现诈骗:“苹果技术支持”可能是假的

新浪科技讯 北京时间 9 月 3 日早间消息,Alphabet 旗下谷歌正在采取行动,打击涉嫌诈骗的搜索页面广告投放。此前《华尔街日报》调查发现,诈骗者利用谷歌广告系统购买搜索广告,并伪装成苹果等公司的授权服务代理进行诈骗活动。 例如在谷歌上搜索关键词“苹果技术支持”时,第一个结果中包括指向 Apple.com 的链接、一个免费电话号码,并显示:“立即从我们的专家处得到帮助。”但《华尔街日报》发现,这个电话号码并不属于苹果,而是指向一个从事诈骗活动的呼叫中心。 伪装的苹果技术支持链接 上周早些时候,谷歌一名发言人回应称,谷歌致力于删除不良广告,去年因为违反该公司政策而被删除的广告超过每秒 100 个。 上周五,谷歌宣布对技术支持广告中的诈骗活动展开更严厉的打击。谷歌全球产品策略总监大卫·格拉夫(David Graff)在官方博客中表示:“我们已经看到,来自第三方技术支持提供商的误导性广告体验正在上升,我们决定开始在全球范围内限制这些广告。” 他同时表示,谷歌计划推出验证项目,“以确保只有合法的第三方技术支持服务提供商可以使用我们的平台触达消费者”。 知情人士表示,此前谷歌已经针对其它类型的广告设计了验证项目,包括本地的开锁服务和治疗中心,此外谷歌还禁止了保释金服务和发薪日贷款服务的广告。 政府和业内专家表示,技术诈骗导致不知情的美国人交出自己的支付信息,损失了数十亿美元。涉及远程技术支持的诈骗尤为猖獗。在这些骗局中,搜索计算机使用帮助的用户有时会看到欺骗性质的广告,以及提示有病毒感染的弹窗消息。 2018 年的一项研究发现,在主要搜索引擎,与技术支持查询相关的赞助商广告中,有 72% 指向欺诈网站。       稿源:新浪科技,封面源自网络;        

谷歌追踪位置记录做法 或将面临欧盟又一笔天价罚单

本周早些时候,美联社报道称,即使用户关闭位置记录,谷歌仍然会追踪用户位置。报道称,如果关闭这个设置,谷歌仍然会追踪用户的位置,只是不会在谷歌地图时间线上进行记录。如果用户希望完全关闭位置追踪,那么需要通过其他设置选项,即网页和应用活动。 而由于欧盟已经实施了严格的 GDPR 数据隐私法案,欧洲立法者对谷歌的做法不可能坐视不管。即使是在 GDPR 生效之前,谷歌对用户数据的收集使用做法一直遭到欧洲多项调查。最新曝光的在关闭位置记录后谷歌仍然会追踪用户位置的做法可能涉及误导用户,如果此做法在调查后确认违反了 GDPR 法规,欧盟立法者可对谷歌处以营业额 2%-4% 的出发,谷歌去年的营业额为 1096.5 亿美元,如果按照这一数额估算,谷歌或将面临 45 亿美元的天价罚单。当然谷歌 并不同意自己存在误导用户的行为,在一起声明中谷歌表示谷歌明确告知“位置记录”用户,当他们在关闭位置记录后,我们仍然可能使用位置信息来增强谷歌产品的体验,例如谷歌搜索或者导航。     稿源:cnBeta.COM,封面源自网络;

最新研究发现智能空调可能会拖垮电网

据外媒报道,你可能不会经常想起家里的空调,或许只有当你在炎热夏天到来的时候才会想到它。然而黑客们却可能时刻惦记着它,因为他们利用它来摧毁电网。据了解,来自普林斯顿大学的安全研究人员发现,由数千台联网但却可攻击的家电如空调、热水器能够形成一个僵尸网络,而这可能会导致电网供电量严重不足进而导致大面积停电的现象发生。 普林斯顿大学的研究小组在巴尔的摩举行的 Usenix 安全大会上展示了这一研究成果。 他们在研究报告中写道:“我们希望我们的工作能够提高人们对这些攻击对电网运营商、智能设备制造商以及系统安全专家的重要性的认识,进而使电网(以及其他相互依赖的网络)在对抗网络攻击上变得更加安全。在不久的将来,当更多联网智能设备被制造出来之后,这一点将尤为关键。” 这一发现颠覆了人们对黑客和电网的传统担忧。通常情况下,研究人员担心专业黑客会直接侵入关键的基础设施如电网,然后切断电源、制造混乱。 如果这样的攻击成功了,那么黑客们可能会发现在发电站职工恢复电力供应时摧毁电网这件事情变得更加容易。 很显然,大规模的停电可能会极其危险,因为像执法部门、医院等重要机构都将同时遭到断电的情况。 去年曾经有专家发出了网络攻击导致的停电可能会成为未来网络战模样的警告。 研究人员在报告中写道:“不安全的物联网设备可能会带来毁灭性后果,它将远远超过个人安全/隐私的损失。这就需要严格控制物联网设备的安全性,包括监管框架。”     稿源:cnBeta.COM,封面源自网络;

英国安全专家采用改装后的 USB-C 苹果充电器来劫持设备

据外媒 Techspot 报道,MacBook Pro 等许多最新的笔记本电脑使用USB-C端口进行充电,这是一种方便快捷的为笔记本电池充电的方法,但似乎这种充电方法可能被黑客利用。BBC 近日报道了一位正在演示其最新“成就”的安全专家 – 能够采用 USB-C 苹果充电器来劫持设备。 这位 USB 安全漏洞方面的专家被称为 “MG” ,他开发了许多 USB 附件,这些附件危及设备安全,包括 Wi-Fi 摄像头到智能手机。 近日 “MG” 展示了插入 USB-C 端口的笔记本电脑充电器如何被用来劫持计算机。 “MG” 目前的项目涉及到一个相当熟悉的苹果充电器,并用他自己的硬件替换内部电源电路。这个充电器仍将正常运行,并且能在为计算机充电时部署恶意软件 – 无论是 Mac 还是 PC。据 “MG” 称,这可以“注入恶意软件,可能是恶意的 root 工具包和持续存在的感染类型”。虽然 “MG” 此次改装的是苹果充电器,但这适用于任何配备 USB-C 插孔的电源砖。只是苹果充电器是目前最常见的。 这个概念本身在手机专家中是众所周知的,并以“充电座盗取数据 ”(juice jacking) 的名字命名。       稿源:cnBeta.COM,封面源自网络;

研究显示超过 56% 的加密货币犯罪发生在美国

国际网络安全公司 Group-IB 研究表明,自 2017 年以来,加密货币用户被入侵帐户的数量增加了 369% 。与 Hard Fork 共享的数据显示,所有受害者中有三分之一位于美国。前 19 名交易所中的每一个都受到了冲击,共有 720 个用户名和密码被盗。 数据显示,被盗密码事件比 1 月份的月平均值高出 689% ,黑客攻击率甚至反映了市场高位。 19 个交易所中至少有 5 个遭受攻击,导致加密货币损失 8000 万美元。报告称,50 个活跃的僵尸网络也在不断攻击用户,超过一半的恶意流量来自美国,而来自于荷兰的恶意流量则为 21.5% 。 僵尸网络正在被特洛伊木马提供给新成员,特洛伊木马是一种经常伪装成无害文件或程序的恶意软件。当它与之交互时,病毒会迫使机器成为被奴役计算机网络的一部分 – 或僵尸网络。通常,计算机贡献他们的计算能力来完成任务,但是最近,对巴西 MicroTik 路由器用户的零日攻击,让它们成为挖矿僵尸网络的一部分。 虽然该报告承认网络钓鱼攻击仍然普遍存在,但黑客攻击工具正变得越来越复杂,它指出,攻击模式类似于高科技银行抢劫的模式,使用修改后的软件来定位交易所,这些交易所根本没有为最坏的情况做好准备。用户和交易所都没有使用双因素身份验证(2FA)。更令人吃惊的是,在 720 个被入侵的帐户中,五分之一的人使用了短于八个字符的密码。     稿源:cnBeta.COM,封面源自网络;