分类: 推荐阅读

“大型对撞机”攻击下的比特币钱包之困

Large Bitcoin Collider (“大型比特币对撞机”)组织声称已能够通过所谓的暴力攻击(将海量计算能力引至个体钱包的方式)猜测私钥、破解比特币钱包。该项目迄今已经进行数月,依赖类似于比特币本身的分布式计算机网络邀请对钱包破解收益具备潜在分享能力的任何人参与。 Collider(显然指代 Hadron Collider )主页“ 战利品清单 ”显示,该组织已成功破解十几个钱包,尽管其中三个不含任何比特币。目前尚不清楚该组织破解钱包的做法受经济收益还是加密挑战驱使。答案可能同时基于站点页面与外部观察者。 Collider 网站 Q&A 写着:“ 即便从 Internet Archive 等非营利机构抢夺一分一毛也会被视为不折不扣的混蛋。” 但同时也暗示其他钱包破解行为属于公平竞争,收益将在 Collider 参与者之间瓜分。与此同时,还有人认为破解钱包的做法着实可笑,Motherboard 就曾在 Large Bitcoin Collider 上率先发表此类言论。这种观点认为该项目不仅难度重重、收益寥寥,还经常得不偿失(如 Reddit 评论员所述)。但有些人推测该项目存在的意义并非为了抢夺大量钱包,而是从消失已久的早期比特币钱包入手找寻比特币发展脉络。 大约 10% 的比特币创建于 2012 年前,此后再无任何交易发生。如果有人找到早期消失的比特币私钥,就会获得高达十亿美元的巨额收入。根据 Hacker News 网站热帖推测,“ 中本聪 ”(无论真实身份到底是谁)或以此大赚一笔,或已尽数丢失早期比特币私钥。随着时间推移,第二种说法的可能性更大。 破解钱包的过程包含创建私钥(这些私钥长度往往达到几十个字符)以及对现有比特币地址进行尝试的艰巨工作。研究人员向 Motherboard 透露,Collider 目前已创建并校验了 3,000 万亿个私钥。截至目前,所有事件的合法性仍不明了。一方面,法律明确规定不得涉足抢夺钱财的阴谋活动。但从另一方面来看,如该组织网站宣称,“ 搜索私钥碰撞信息属合法行为。” 对于比特币所有者而言,Large Bitcoin Collider 眼下针对私人钱包做手脚的几率甚小。但如果该过程还导致创建比特币通用哈希算法碰撞(长期使用的加密标准 SHA-1 就发生过类似问题,曾于今年被谷歌破解),将会造成不小的麻烦,尽管有读者指出比特币加密算法可进行升级。 原作者:Jeff John Roberts,译者:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

中移动称发现“ 彩信推广 ”病毒,数万用户已中招

17 日,中国移动对外宣布,近日发现数万名安卓手机客户感染了一种“ 彩信推广 ”类手机恶意软件,造成话费损失。据介绍,该软件伪装成手机系统升级链接,诱导客户下载安装,用户下载后,将在手机应用列表增加“ Google 升级设置 ”或其他类似应用文件。 中国移动表示,用户一旦不小心安装该软件,手机就被会不法分子操控,连接恶意控制端地址获取不良内容和目标号码,并使用客户话费发送涉及淘宝代刷、赌博等不良内容的彩信。 中国移动称,中国移动手机恶意软件集中监控系统监测到该软件后,全网共拦截相关垃圾彩信近 10 万条,阻断恶意控制端地址访问次数达 200 万次,及时遏制了该类恶意软件的传播。 中国移动建议,广大客户进一步提高个人信息安全防护意识,不要点击短信中的可疑链接,即便是熟人发送的短信,也要先行确认;不随意接入陌生 WiFi,不轻易提供个人隐私信息;选择可信渠道下载手机应用。 稿源:cnBeta;封面源自网络

Android 7.1.2 致 Pixel、Nexus 指纹解锁瘫痪:录入功能也挂了

昨天,欧美安卓垂直网站被一条新闻刷屏,升级 Android 7.1.2正式版后,一些 Pixel/Nexus 手机的指纹功能挂了。具体来说,Pixel/Pixel XL/Nexus 5X/Nexus 6P 用户都纷纷报告中招,不过,7.1.2 新增的指纹手势(如下滑打开通知栏)倒是可用,但无法解锁手机。 更糟的是,有用户尝试进入指纹功能删除旧指纹,添加新指纹,居然提示无法成功录入。看起来这像是一个软件 BUG,目前谷歌尚未回应。资料显示,谷歌于 4 月 3 日开始推送 Android 7.1.2 正式版,从此版本开始, Nexus 6/9 被谷歌正式放弃。 新功能方面,Nexus 6P 获得指纹手势支持(继 Pixel/XL、Nexus 5X 之后等到),Pixel C 平板正式启用 Pixel Launcher。 稿源:cnBeta;封面源自网络

卡巴斯基实验室扩展漏洞赏金计划,奖金提至 5000 美元

俄罗斯跨国网络安全公司和防病毒提供商卡巴斯基实验室已经宣布扩大漏洞奖金计划, 在新闻稿中,该公司指出,这项计划开始于 2016 年 8 月 1 日,卡巴斯基和平台提供商 HackerOne 合作,并持续六个月,目前已经在两个产品Kaspersky Internet Security 2017 和 Kaspersky Endpoint Security 10当中发现了 20 个漏洞。 扩展后的错误奖赏计划将发现远程代码执行漏洞的奖金从最高 2000 美元提升至最高 5000 美元,并且将另外一款产品 Kaspersky Password Manager 8 添加到目标产品的阵容当中。与第一阶段相反,现在“合格的个人和组织”可以提交关于三种 Kasperksy 产品的漏洞报告。 卡巴斯基正在招募测试者,在 Windows 8.1 或更新的微软桌面操作系统上测试这三种产品,具体意图是查找本地权限提升,用户数据泄密和远程代码执行方面的漏洞。平均来说,这些方面的漏洞奖金分别为 1000 美元,2000 美元和 5000 美元。 稿源:cnBeta,封面源自网络

一窥谷歌神经机器翻译模型真面貌,其底层框架开源

去年,谷歌发布了 Google Neural Machine Translation (GNMT),即谷歌神经机器翻译,一个 sequence-to-sequence (“ seq2seq ”) 的模型。现在,它已经用于谷歌翻译的产品系统。虽然消费者感受到的提升并不十分明显,谷歌宣称,GNMT 对翻译质量带来了巨大飞跃。 但谷歌想做的显然不止于此。其在官方博客表示:“由于外部研究人员无法获取训练这些模型的框架,GNMT 的影响力受到了束缚。” 如何把该技术的影响力最大化?答案只有一个——开源。因而,谷歌于昨晚发布了 tf-seq2seq —— 基于 TensorFlow 的 seq2seq 框架。谷歌表示,它使开发者试验 seq2seq 模型变得更方便,更容易达到一流的效果。另外,tf-seq2seq 的代码库很干净并且模块化,保留了全部的测试覆盖,并把所有功能写入文件。 该框架支持标准 seq2seq 模型的多种配置,比如编码器/解码器的深度、注意力机制(attention mechanism)、RNN 单元类型以及 beam size。这样的多功能性,能帮助研究人员找到最优的超参数,也使它超过了其他框架。 上图所示,是一个从中文到英文的 seq2seq 翻译模型。每一个时间步骤,编码器接收一个汉字以及它的上一个状态(黑色箭头),然后生成输出矢量(蓝色箭头)。下一步,解码器一个词一个词地生成英语翻译。在每一个时间步骤,解码器接收上一个字词、上一个状态、所有编码器的加权输出和,以生成下一个英语词汇。雷锋网提醒,在谷歌的执行中,他们使用 wordpieces 来处理生僻字词。 据有关媒体了解,除了机器翻译,tf-seq2seq 还能被应用到其他 sequence-to-sequence 任务上;即任何给定输入顺序、需要学习输出顺序的任务。这包括 machine summarization、图像抓取、语音识别、对话建模。谷歌自承,在设计该框架时可以说是十分地仔细,才能维持这个层次的广适性,并提供人性化的教程、预处理数据以及其他的机器翻译功能。 谷歌在博客表示:“我们希望,你会用 tf-seq2seq 来加速(或起步)你的深度学习研究。我们欢迎你对 GitHub 资源库的贡献。有一系列公开的问题需要你的帮助!” 稿源:cnBeta、凤凰网科技,封面源自网络

切断互联网访问的国家将被拒绝分配到新 IP 地址

非洲域名和 IP 地址分配组织 AFRINIC 考虑惩罚那些时不时断网的政府。 自 2011 年“阿拉伯之春”以来,非洲发生了多起长时间的断网事件。最新一起发生在喀麦隆,该国说英语地区的互联网已被切断将近三个月。非洲互联网络信息中心AFRINIC 将在今年 6 月肯尼亚举行的会议上讨论一项惩罚措施:如果一个国家命令关闭一次互联网,那么 AFRINIC 将会拒绝向该国分配新的 IP 地址段一年;如果在十年时间内一个国家执行了三次或三次以上的断网,所有已分配的资源将被取消,将拒绝分配新 IP 地址五年。 这一惩罚措施覆盖了政府、政府拥有的实体和与政府有直接关系的实体。批评者认为这项提议影响最大的不是政府而是政府治下的公民。 稿源:Solidot奇客,封面源自网络

指纹识别也不安全,“万能指纹”解锁成功竟率达 65%

据《每日邮报》 11 日报道,自苹果 iPhone 5s 发布以来,指纹识别一直都是最安全的手机卫士,但研究人员研究发现,他们开发的“ 万能指纹 ”很轻松就能骗过指纹传感器。利用 “万能指纹”,研究人员还可以轻松解锁,进入应用完成支付。 对指纹识别安全性提出疑问的是纽约大学和密歇根州立大学的研究人员,他们开发的“ 万能指纹 ”解锁成功率高达 65%。iPhone 5s 用上指纹识别后,这项技术逐渐普及,就连普通的千元机也全面指纹化了。苹果在宣传 Touch ID 时,也称指纹识别的出错率仅为五万分之一。 虽然眼下研究人员测试时用的是计算机模拟器,并非市面上销售的智能机,但他们警告称人工物理指纹的制造技术近期提高很快。手机上的指纹识别传感器好骗也是有原因的,研究人员认为此类传感器面积较小,它们只能扫描人手指的一部分指纹,但为了解锁准确率,手机需要存储手指多个部分的指纹。此外,许多用户为了解锁方便存了多个手指的指纹。这样一来,这些碎片化指纹出现匹配错误的几率就大大提高了。虽然人类指纹独一无二,但研究人员已经在不同的指纹中找到了相同点,利用这些相同点,他们就能做出“万能指纹”。 同时,由于手机在多次识别不成功后才需要输入密码,因此犯罪分子可以制作一种五个指头都使用“万能指纹”的特殊手套。带上这样的手套,顺利解锁全世界一半的 iPhone 根本不在话下。不过,一些厂商已经意识到了问题的严重性,虹膜识别开始成为新的手机保护神,未来相信这项技术也会逐渐在智能手机上得到普及。 稿源:cnBeta、凤凰网科技,封面源自网络

IPv6 安全隐患浮现,黑客可规避检测窃取数据

据外媒 10 日报道,IPv6 在满足更多用户及设备联网通信需求的同时也为黑客规避检测窃取数据提供便利。 就职于爱沙尼亚北约合作网络防御中心与塔林理工大学的网络安全研究人员发现,IPv6 基于隧道的过渡机制存在漏洞,允许攻击者绕开检测创建后门,实现悄无声息的信息窃取与远程目标系统控制。为此,研究人员建立了攻击概念验证,可在规避 Moloch、Snort、Bro与Suricata 等多种网络入侵检测系统的条件下发送与接收网络流量。 研究人员表示,现有 NIDS 很难实时检测出任何复杂的数据渗透方法,特别是在数据被分割成较小块且使用不同连接或协议的情况下(如 IPv4 与 IPv6 )。 据称,攻击者使用 IPv6 协议进行复杂攻击活动的频率将持续增加。由于 IPv6 安全问题主要通过 RFC 协议更新与过时转换机制弃用解决,安全解决方案开发者(厂商)与与实施者(消费者)层面需要对此类问题保持关注。 由于需要在跟踪、关联不同数据流语境的同时对网络流量解释与解析的方式进行根本性的改变,为安全设备增添 IPv6 支持的做法无法有效解决该问题。此外,虽然可以通过关联不同流量近实时检测信息的方式检测经 IPv6 隧道机制发送的恶意网络流量,但是这种方法会导致网络速率显著减缓、检测系统误报情况频发。 研究人员建议,用户需要了解如何正确配置、部署与监控安全解决方案,从最大程度上获取对计算机网络的正确感知。考虑到有效阻止黑客进行此类攻击的方法仍无从知晓,计划针对高级内部威胁检测展开深入研究、调查 IPv6 协议在 IoT 操作系统内核与通用型操作系统内核中的具体实现。 原作者:Mary-Ann Russon, 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

赛门铁克称 CIA 的黑客工具应对多起网络攻击负责

据路透社报道,赛门铁克( Symantec )的安全研究人员周一表示,“ 维基解密 ”最近曝光的绝密黑客工具曾与 16 个国家的 40 余次网络攻击有关。 调查表明,这些攻击可能与美国中央情报局( CIA )的特工组织 Longhorn 有关。Longhorn 组织自 2011 年以来一直处于活跃状态,使用木马后门和零日漏洞攻击目标。赛门铁克表示,除了攻击金融、电信、能源、航空航天、信息技术、教育和自然资源部门以外,该组织还渗透政府与国际运营机构,尽管他们没有透露任何信息。此外,除了欧洲,中东、亚洲和非洲也有目标受到攻击。据悉,一台美国电脑被病毒感染,而几个小时后病毒被清除,这看起来可能像是一次意外,但却是因为所有的程序都被用来打开后门、收集和删除文件的副本,而不是摧毁任何东西。 维基解密发布的文件隐约展示了中情局内部对入侵手机、电脑和其它电子设备的各种讨论,以及部分工具编程代码。多位知情人士向路透社透露,这些文件来自中情局或其承包商。目前,中情局并未承认维基解密披露文件的真实性,但中情局发言人霍尼亚克( Heather Fritz Horniak )表示,维基解密的任何披露均旨在打击美国情报组织,不仅危害了美国情报人员及其行动,还让对手获得了伤害他们的工具和信息。 霍尼亚克称:“ 中情局在法律上被禁止对美国国土的个人进行电子监控,其中包括美国人在内,而中情局也不会这样做。” 赛门铁克研究员 Eric Chien 此前表示,维基解密所披露的中情局工具不涉及对普通民众的监控,其所有攻击目标都是政府实体,或者由于其它原因具有合法的国家安全价值。 此外,上周六,一个名为“ 影子经纪人( The Shadow Brokers )”的黑客组织披露了另外一批窃取美国国家安全局( NSA )的黑客工具。该组织同时还发布了一篇博客,批评唐纳德·特朗普总统空袭叙利亚,摆脱保守政治立场。目前,还不清楚,“ 暗影经纪人 ” 背后谁在支持以及他们是如何获取这些文件。 本文由 HackerNews、cnBeta 翻译整理,封面来源于网络。

澳大利亚统计局停止统计拨号上网相关数据

随着固定宽带技术的兴起,如有线,DSL,光纤,以及 3G 和 4G 蜂窝连接等无线替代品,拨号互联网连接用户数量逐渐下降。事实上,多年来,像英国电信这样的大型企业已经停止提供拨号上网服务,迫使用户找到替代方案。 有趣的是,拨号上网用户数量大幅度下降,现在澳大利亚统计局( ABS )已经决定停止统计拨号上网相关数据。收集 2000 年第四季度数据之后,ABS 于 2001 年 3 月发布了第一个互联网活动报告,发现澳大利亚有 374.5 万拨号互联网用户。形成鲜明对比的是,截至 2016 年 6 月底,ABS 报告显示,澳大利亚互联网拨号用户仅剩下 9 万用户,占澳大利亚所有互联网连接的 0.7%。 澳大利亚统计局( ABS )“ 互联网活动 ”报告中的另一个有趣的统计数据是下载数据量。截至 2000 年九月的三个月内,只有超过 1TB 数据通过拨号和永久网路连线下载。相比之下,截至 2016 年 6 月底的六个月,拨号互联网用户共下载了28TB,每个用户平均下载量为 311MB。 稿源:cnBeta,封面源自网络