分类: 推荐阅读

研究显示超过 56% 的加密货币犯罪发生在美国

国际网络安全公司 Group-IB 研究表明,自 2017 年以来,加密货币用户被入侵帐户的数量增加了 369% 。与 Hard Fork 共享的数据显示,所有受害者中有三分之一位于美国。前 19 名交易所中的每一个都受到了冲击,共有 720 个用户名和密码被盗。 数据显示,被盗密码事件比 1 月份的月平均值高出 689% ,黑客攻击率甚至反映了市场高位。 19 个交易所中至少有 5 个遭受攻击,导致加密货币损失 8000 万美元。报告称,50 个活跃的僵尸网络也在不断攻击用户,超过一半的恶意流量来自美国,而来自于荷兰的恶意流量则为 21.5% 。 僵尸网络正在被特洛伊木马提供给新成员,特洛伊木马是一种经常伪装成无害文件或程序的恶意软件。当它与之交互时,病毒会迫使机器成为被奴役计算机网络的一部分 – 或僵尸网络。通常,计算机贡献他们的计算能力来完成任务,但是最近,对巴西 MicroTik 路由器用户的零日攻击,让它们成为挖矿僵尸网络的一部分。 虽然该报告承认网络钓鱼攻击仍然普遍存在,但黑客攻击工具正变得越来越复杂,它指出,攻击模式类似于高科技银行抢劫的模式,使用修改后的软件来定位交易所,这些交易所根本没有为最坏的情况做好准备。用户和交易所都没有使用双因素身份验证(2FA)。更令人吃惊的是,在 720 个被入侵的帐户中,五分之一的人使用了短于八个字符的密码。     稿源:cnBeta.COM,封面源自网络;

华为遭英国调查:使用过时软件 恐造成网络安全风险

新浪科技讯 北京时间 8 月 6 日早间消息,路透社援引消息人士的说法称,由于使用来自一家美国公司的过时软件,华为在英国正面临调查。调查者担心,这种软件可能会造成安全风险。 负责分析华为设备的英国政府监管委员会上月报告称,该委员会发现了技术和供应链“缺陷”,可能导致英国的电信网络面临新的安全风险。 消息人士称,其中的原因之一出在华为使用的 VxWorks 系统上面,该系统由总部位于美国加州的风河开发。根据消息人士的说法,华为正在使用的 VxWorks 版本将于 2020 年停止收到来自风河的安全补丁和更新,但届时仍会有包含这些系统的产品在使用中。这可能会导致英国的电信网络遭到攻击。 7 月份的报告显示:“包括关键安全部件在内的第三方软件将于 2020 年不再获得长期支持,但华为相关产品的生命周期要更长。” 不过消息人士均表示,没有迹象表明,出现这样的情况是华为有意为之,而这些软件本身也不会带来安全风险。 目前尚不清楚,华为的哪些产品受到影响,以及华为正在采取什么样的措施来解决问题。 英国的担忧表明了对贸易战和国家安全的担忧,将导致科技公司和各国政府更难保护产品和通信网络。 风河的发言人表示,不会就华为的这一情况置评,但风河通常会帮助客户升级至最新的软件版本。华为的发言人也拒绝对此置评,但表示会就英国相关部门的关切做出改进。   稿源:新浪科技,封面源自网络;

亚马逊计划 2020 年初彻底抛弃甲骨文专有数据库

北京时间 8 月 2 日上午消息,亚马逊在数据中心技术提供商这条路上的发展日渐将不少自己长期以来的供应商变为了难以共融的竞争对手,甲骨文(Oracle)即其中之一。最近,亚马逊正在考虑对甲骨文的新一轮打击。据知情人士透露,这家电子商务巨头已经将公司大部分内部基础设施转移到亚马逊网络服务(AWS),并计划于 2020 第一季度彻底移除甲骨文的专有数据库软件。 这一转变亦标志着亚马逊在企业计算领域的快速崛起,并进一步显示了在企业不断将工作转至云平台并抛弃传统数据中心这一过程中甲骨文的艰难挣扎。得益于 AWS 的发展(第二季度该业务的营收增长高达 49%),亚马逊在今年初超越 Alphabet 成为全球价值第二大的上市公司。 与此同时,甲骨文的规模与四年前大致相同,股价稍高于 2014 年底时的价格。报道刚出时,甲骨文的股价小降 1%。 五年前,亚马逊就开始计划移除甲骨文,一名要求匿名的知情人称。亚马逊的部分核心购物业务目前仍依赖于甲骨文,整个迁移过程大概需要 14-20 个月。另外一位人士则称,转移开始的前几年,亚马逊就已经开始考虑放弃甲骨文,但当时的决定是过早行动可能会需要较多的工程工作而且收效甚微。 知情人士称,亚马逊使用甲骨文时面临的一个主要问题时,后者的数据库技术无法扩展以满足亚马逊的性能需求。另外一人表示,此举或将于 2019 年中旬完成,并补充说,依赖甲骨文数据库的新技术在相当长一段时间内没有任何开发。 亚马逊的基础设施显然也不是万无一失的。上个月的亚马逊 Prime Day 购物狂欢期间,公司对容量升级的持续需求差点造成一场危机,公司的系统被证实无法处理突发的流量激增。 购物者报告了许多试图访问该网站的错误,据悉这个问题跟内部程序 Sable 的崩溃有关,亚马逊使用 Sable 来为零售和数字业务提供存储和服务。 口水战 The Information 在一月份曾经报道了亚马逊正在努力减少对甲骨文的依赖。Drexel Hamilton 的分析师布莱恩·怀特(Brian White)则发表了一份声明来反驳该报道,并引用了甲骨文董事长拉里·埃里森(Larry Ellison)在公司去年 12 月的电话财报会议上的话。埃里森表示,“有一家公司在这个季度刚向我们支付了 5000 万美元购买甲骨文数据库和其他技术,这家公司正是亚马逊。” 亚马逊发言人拒绝对此作出评论。甲骨文的发言人亚马逊在甲骨文的技术上消费了数亿美元。 两家公司一直处于激烈的口水战中。去年,甲骨文高管夸耀了一番使用公司数据库软件的成本优势。AWS 的首席执行官安迪·约斯(Andy Jassy)回击称甲骨文“在云计算领域实力不足”。 2014 年,AWS 推出 Aurora 关旭数据库服务之后,竞争趋向白热化。这项服务直指甲骨文的核心市场。亚马逊同时还提供了一个工具帮助企业将数据库转移至云平台。 但在 2016 年,埃里森告诉分析师,亚马逊的云服务仍旧未准备好迎接黄金时段。“我们的数据库客户没办法在亚马逊上运行重要的机器工作。” 然而自此之后,甲骨文始终未能在云基础设施领域取得显著的市场份额。 AWS 在该市场上领先,微软、谷歌、阿里巴巴和 IBM 紧随其后。 公司自上个季度不再披露云服务的收益之后,投资者如今也已放弃对甲骨文云服务规模的猜测。   稿源:新浪科技,封面源自网络;

一文看懂:谷歌与欧盟“8年恩怨”大事件汇总

彭博社报道,谷歌短短一年内第二次遭到欧盟的反垄断罚款,这一次是被控使用Android手机软件阻碍竞争。欧盟委员会要求该公司支付约43亿欧元(50亿美元)罚款。而在此之前,他们曾在2017年6月要求其因为偏向自家比较购物服务而支付24亿欧元罚款。 欧盟似乎不会就此罢休——第三起调查仍在进行之中,这一次的目标是广告合同,欧盟认为谷歌制定的这类合同限制性太强。 究竟是如何发展到如今的地步?以下就是谷歌与欧盟自2010年以来的这场“8年恩怨”的时间表: 2010年2月:刚刚出任欧盟反垄断负责人的乔奎因·阿尔穆尼亚(Joaquin Almunia)告诉谷歌,他收到来自英国购物Foundem、微软旗下Ciao部门和法国搜索服务eJustice的投诉。 2010年11月30日:欧盟委员会宣布对谷歌涉嫌滥用其网络搜索市场主导地位一事展开调查。欧盟表示,他们怀疑谷歌降低竞争对手在比价服务等垂直搜索结果中的排名。欧盟还担心谷歌在广告合同中施加的限制措施。 2013年1月3日:在谷歌承诺改变部分行为后,美国联邦贸易委员会(FTC)完成了对谷歌搜索和广告行为的反垄断调查。 2013年2月1日:阿尔穆尼亚宣布谷歌提交完整的反垄断和解协议。 2013年4月9日:一个代表微软、Expedia和诺基亚的组织针对谷歌Android系统提交反垄断投诉。该组织表示,欧盟应该调查谷歌在移动市场“阻碍竞争的欺骗行为”。 2014年2月5日:阿尔穆尼亚表示,谷歌提出的和解协议承诺在其自己的专业搜索结果中展示竞争对手的结果。 2014年5月20日:德国和法国部长致信阿尔穆尼亚,批评他的和解计划。 2014年9月10日:阿尔穆尼亚表示,双方未能在两年既定时间内达成和解。 2014年11月1日:新的欧盟竞争专员玛格丽特·维斯塔格(Margrethe Vestager)上任。短短几周内,欧盟又开始对谷歌竞争对手展开问询。 2014年11月27日:欧洲议会投票通过一项决议:倘若欧盟无法解决针对谷歌的反垄断调查,就应该迫使谷歌分拆。但该投票不具有约束力。 2015年4月15日:欧盟升级搜索案,向谷歌发送正式的“异议声明”,指控该公司在通用搜索结果页面中系统性地偏向自家购物比较产品。维斯塔格也对Android手机和平板电脑展开新的调查。 2015年11月13日:Yandex刚刚在俄罗斯取得了与谷歌反垄断官司的胜利,该公司表示,他们将把这场斗争引入欧盟,希望迫使这家美国竞争对手不再把搜索捆绑在Android手机上。 2016年4月20日:欧洲升级Android调查,指控谷歌采取限制性合同,阻止平板电脑和手机厂商添加与之竞争的应用和网络浏览器。欧盟委员会称,该公司还向手机厂商和电信运营商支付费用,使之只能在手机上安装谷歌的搜索应用。 2016年7月14日:谷歌AdSense for Search成为第三项收到欧盟“异议声明”的谷歌服务。与此同时,欧盟也升级了搜索调查,对其发出了第二组异议声明。 2016年11月10日:谷歌表示,Android调查威胁到该公司向手机厂商提供免费软件的能力。他们之前还曾抨击欧盟此次调查“根本不适应多数人的网络上购物方式”。 2017年4月27日:谷歌与俄罗斯就Android反垄断案达成和解,同意放弃任何竞争性搜索引擎或应用的预装。该协议使得俄罗斯搜索公司Yandex也可以预装在Android设备中。 2017年6月27日:欧盟对谷歌开出24亿欧元的创纪录罚单,原因是该公司不公平地歧视与之竞争的比较购物服务。谷歌被要求在90天内停止非法行为,并寻找一种方式来平等对待竞争对手,否则就会面临更多罚款。 2017年9月11日:谷歌提交上诉。 2017年9月27日:谷歌改变欧洲的购物搜索结果显示方式,以避免欧盟的罚款威胁。该公司表示,他们将允许竞争对手竞拍其搜索结果顶部的广告位,而谷歌购物也必须在没有母公司财务帮助的情况下参与竞价。 2017年11月7日:Foundem表示,谷歌正在“自找”大约每天1200万美元的罚款,并指控该公司没有按照欧盟的要求公平对待竞争对手。 2018年5月22日:Yelp针对谷歌在本地搜索领域的行为发起新的反垄断投诉。 2018年6月18日:维斯塔格表示,谷歌展示的来自竞争对手的广告似乎有所增多。但她表示,目前就判断该公司是否采取了足够措施以避免更多罚款还为时尚早。 2018年7月18日:欧盟指控谷歌在Android应用领域采取的措施违法,对其罚款43亿欧元。该公司必须在90天内做出调整,否则会面临进一步罚款。   稿源:cnBeta,封面源自网络;

FBI 安全级别!韩国研发全屏指纹扫描技术

环球网科技综合报道,据《每日邮报》7月3日报道,现代智能手机的设计逐渐都转向了全面屏,然而这种设计的问题就在于该如何在手机上安置指纹扫描器。在全屏幕的iPhone X上,苹果完全放弃了扫描器,转而使用它的面部识别解决方案,即FaceID。与此同时,竞争对手一加手机则是将指纹传感器移到了手机的背面。 研究人员现在手机制造商提供了一个理想的解决方案,这要归功于一项新技术,该技术将整个显示屏变成了一个巨大的传感器。他们表示,研究结果与FBI设定的指纹识别标准相吻合,而这项技术可能在未来12个月内给上线。 来自韩国蔚山国家科学技术研究所的专家们开发了一种透明传感器,可以同时检测触觉压力和皮肤温度。研究人员称,检测热量和压力的能力确保了系统更安全。 超薄设计的秘诀在于创造出新的透明电极,这种电极基于一种相互连接的超长银纳米纤维和细银纳米线的网络。这些组件非常小,一旦嵌入到显示器中,它们就几乎是隐形的,而且能够同时保持足够大的电力来扫描用户的指纹以进行认证。 参与这项研究的Jang-Ung Park博士在接受采访时表示:“我们开发了‘透明’指纹传感器,旨在检测手机显示屏上的指纹。我们的指纹传感器达到了FBI设定的分辨率标准。” 人类的指纹由独特的脊状和谷状结构组成,检测指纹的一种方法是感知电荷的变化,这是由山脊和山谷之间的空隙造成的。然而,传统的透明材料——用于使现代智能手机屏幕触敏的铟锡氧化物(ITO)却无法胜任这项任务。ITO的电阻太大,它无法检测到指纹传感器所需电荷的微小变化。 研究小组通过将细银纳米线结合在一起解决了这一问题,这种纳米线具有良好的透明性,而银中纤维具有较低电阻。研究人员称,这种配置对电荷变化的敏感度是ITO的17倍。 这种柔性阵列也非常耐弯曲,使其在智能手机和平板电脑等设备上的应用会变得非常耐磨。   稿源:环球网,封面源自网络;

新型技术利用 UPnP 协议避免 DDoS 缓解方案

据外媒 15 日报道,美国知名网络安全公司 Imperva 于本周一发布报告称攻击者正在尝试使用 UPnP 协议来屏蔽 DDoS 泛洪期间发送的网络数据包源端口,从而避免一些 DDoS 缓解方案。 根据 Imperva 的说法,他们已在野外发现了至少两起采用该技术的 DDoS 攻击,并且也通过其内部 POC 成功测试了其中之一。该 PoC 代码通过搜索暴露其 rootDesc.xml 文件的路由器(其中包含端口映射配置),添加了隐藏源端口的自定义端口映射规则,随后发起了 DDoS 放大攻击。 Imperva 认为,使用 UPnP 隐藏源端口和在 DDoS 泛洪期间利用 DNS 和 NTP 协议,将会意味着该种新技术在攻击者选择使用的 DDoS 放大技术的类型方面是不可知的,并且很有可能随着时间的推移,这项技术将变得越来越流行。因此出于安全考虑,Imperva 建议路由器用户在非必需要情况下禁用 UPnP 支持。 Imperva 完整分析报告: 《New DDoS Attack Method Demands a Fresh Approach to Amplification Assault Mitigation》 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

哥伦比亚大学研究人员创建隐藏嵌入文本信息新方法

哥伦比亚工程计算机科学家发明了一种新的方法 FontCode,可以在不干扰文字的情况下将隐藏信息嵌入文本中。FontCode 创建使用字体扰动来编码信息,之后可以进行解码以恢复信息。与其它隐藏嵌入信息的文本和文档的方法不同,这个方法适用于大多数字体和文档类型,即使打印文档或转换为其他文件类型时也可以保留隐藏信息。这项研究报告将于8月12日-16日在温哥华的 SIGGRAPH 上展示。 此项研究的主要作者、计算机科学郑教授说: 尽管很明显可能会被用于间谍活动,但我们认为对于希望防止文档篡改或保护版权的公司,以及想要嵌入二维码和其它元数据而不改变文档外观和布局的商家和艺术家来说,FontCode 更为实用。 郑教授带领他的学生创建了这个文本隐写方法,无论是数字存储还是纸质打印,都可以将文本、元数据、URL或数字签名嵌入到文本文档或图像中。它适用于 Times Roman、Helvetica和Calibri 等常用字体系列,并且与大多数文字处理程序(包括 Word 和 FrameMaker )以及图像编辑和绘图程序(如 Photoshop 和 Illustrator )兼容。由于每个字母都可能受到干扰,所以秘密传达的信息量仅受正规文本长度的限制。信息使用微小的字体扰动编码——改变笔画宽度,调整上行和下行高度,或者调整例如字母 o、p 和 b 的曲线。 【研究演示视频】FontCode: Embedding Information in Text Documents using Glyph Perturbation 使用 FontCode 隐藏的数据可能非常难以检测到。即使攻击者检测到两个文本之间的字体变化,扫描公司内部每一个文件也是不切实际的。 “如果攻击者能够检测到使用字体变化来传达秘密信息,加密只是提供了一种备份级别的保护,”郑教授说,“因为很难看到这些变化,这使得 FontCode 成为一种非常强大的技术,可以通过现有的防御措施获取数据。” 研究作者已经向哥伦比亚科技风险投资公司提交了专利,计划将 FontCode 扩展到其他语言和字符集,包括中文。 “我们对FontCode的广泛应用感到非常兴奋,”郑教授说,“从文档管理软件到隐形QR码,保护法律文件,FontCode可能是一个改变游戏规则的游戏。” 该研究的题目是“FontCode: Embedding Information in Text Documents using Glyph Perturbation.”   消息来源:TechXplore,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

安全研究人员提醒AI助理需谨防人耳听不到的“海豚攻击”

中美研究人员已经验证了一种可向 Siri 等 AI 助理发出“隐藏式攻击命令”的方法,因其采用了人耳察觉不到的音频,从而强迫智能助理执行非机主下达的恶意命令。《纽约时报》指出,如果被别有用心的人得逞,这种攻击手段可用于拨打电话、打开网站、甚至更糟糕的事情。根据来自加州、伯克利、以及乔治城大学的学生团队在本月发表的一篇研究论文,他们甚至可以将恶意命令嵌入音乐录音或口述文本中。 当在亚马逊 Echo 或苹果 iPhone 附近播放时,普通人只能听到单纯的歌曲或语音。但智能设备能够捡拾起一条潜在的指令,比如向购物车中添加一些东西。 往更危险的层面去讲,恶意攻击者可以下达锁门、卷钱、或购买线上商品等操作 —— 尽管在通常情况下,为了不引起事主的注意,事情都是静悄悄地进行、涉及金额也不会太大。 然而论文作者之一、来自加州大学博客利分校的五年制计算机安全博士生 Nicholas Carlini 坚信,或许早已有恶意攻击者实施过类似的技术: 我们想要知道自己是否能够让它变得更加隐秘,虽然没有证据表明这些技术已经跑出了实验室,但它被人利用只是时间的问题。我的的猜测是,恶意攻击者早已雇人干过我提到的事情。 【视频】:Dolphin Attack_ Inaudible Voice Command 去年的时候,美国普林斯顿和中国浙江大学的研究人员们已经执行过类似的测试,证明了 AI 助理可以通过不被人耳所听到的音频给激活。 如上方的“海豚攻击”演示所示,研究人员打造了一台可以下达隐藏命令的发送器,并顺利地让手机执行了拨打特定电话的操作(另有拍照和发送短信等测试)。 当然,海豚攻击的范围是有限的,因为攻击者必须足够接近接受设备。   稿源:cnBeta,封面源自网络; 相关阅读:Alexa and Siri Can Hear This Hidden Command. You Can’t.

Google Chrome 66稳定版更新:修复四大严重安全漏洞

本周四Google发布了Chrome 66稳定版维护更新,最新版本号为v66.0.3359.170,目前已经面向Linux、Mac和Windows三大平台开放,重点修复了一些非常严重的安全问题。Google Chrome 66.0.3359.170版本目前共修复了4个安全漏洞,包含能够从沙盒中逃逸的高危漏洞、一个在扩展程序的提权漏洞、一个在V8 JavaScript引擎中类型混乱问题以及PDF查看器PDFium中的堆缓冲区溢出问题。 目前Google并未对外披露具体有多少用户受到这些漏洞影响,官方日志中写道:“在大部分用户安装修复补丁之后我们会公布BUG的细节和链接信息。如果这些BUG依然存在于其他项目所依赖的第三方库中我们也会选择保留。” 除了上文提及的安全漏洞之外,Chrome 66.0.3359.170同时还包含了其他大量修复,因此推荐Chrome用户尽快完成升级,避免被黑客有机可乘。 Stable 稳定版 32位 最新版本:66.0.3359.170,文件大小:46.457MB,查询时间:2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1:D41B3356256A232D6891CC86C1C616557BD4AE59, SHA256:35BAF449DC70849EEB6B0DF3F933429422527A5844B7F1F3DFAFD5B1EABF2CD1 Stable 稳定版 64位 最新版本:66.0.3359.170,文件大小:46.879MB,查询时间:2018-05-11 04:28 [链接1] [链接2] [链接3] [链接4] SHA1:D49EE37219DF6972C8B98A2233D3C5DA617F17E1 SHA256:8E0F91236CDC5E8A4EEB529551806890E96D745DA451556BEC8DEE6803D268DE   稿源:cnBeta,封面源自网络;

微软披露细节:重复进入UEFI导致英特尔SSD升Windows 10失败

微软上周已经承认:使用英特尔固态硬盘的计算机无法升级至Windows 10 April 2018 Update;今天公司再次提供为何不允许升级的更多细节。在累积更新KB4103721的已知问题中表示,英特尔SSD 600p系列和SSD Pro 6000p系列证实受到影响,如果使用这两个系列的SSD,推荐用户不要升级至最新版本。而且也不推荐用户手动升级,因为可能会影响系统稳定性和性能。 微软解释道:“在尝试升级Windows 10 April 2018 Update过程中,使用英特尔SSD 600p Series和英特尔SSD Pro 6000p Series的磁盘可能会重复进入UEFI屏幕导致设备重启或者无法正常工作。” 目前相关的解决方案仍在处理中,在此之前微软解释道受影响用户重新安装此前版本是唯一解决方案。公司表示:“我们已经和OEM合作商以及英特尔进行合作解决。如果你遭遇到这个问题,那么推荐重新安装此前版本(Windows 10 Version 1709),并等到补丁出炉重新进行升级。”   稿源:cnBeta,封面源自网络;