分类: 推荐阅读

美媒:中关村取代硅谷获评全球最大科技中心

美媒称,一份最新报告显示,北京被评为 2017 年度全球最大科技城市第一名,中关村已取代硅谷成为全球最大的科技中心。据美国《福布斯》双周刊网站 11 月 2 日报道称,美国商业资源企业 “专家市场” 公司公布了 2017 年度全球最大科技城市排名,这是第二次公布,北京位列第一。去年排名第一的柏林今年跌至第二位。旧金山第三。上海、班加罗尔、新加坡和悉尼也位列前 20 名。 报道称,“专家市场” 公司将北京的中关村科技园列为第一,因为它的早期融资氛围良好。研究人员通过 10 个数据点来决定排名,包括软件工程师工资、建立并运营一家企业需要多长时间、生活成本以及月租金、成长指数、初创企业产出等其他因素。“专家市场” 公司的贾里德·凯莱赫在新闻发布会上表示:“我们的报告展示了科技行业发展之快、国际竞争之强,特别是在吸引最有才华的新技术人才方面。尽管硅谷在一些关键领域依然具有优势,但国际竞争者已经赶超这个最初的技术中心城市,它们提供更低的生活成本以及迅速增加的资金。” 报道称,近几年来,北京越来越多地被拿来与硅谷比较。一名企业家在 “再编码” 新闻网站上撰文称,中国首都北京是硅谷“唯一真正的竞争者”,因为它有庞大的市场、快速的消费者采用率、迅速的企业发展时间以及对创新的渴望。2016 年,中国宣布投资 15 亿美元整修及开发中关村,这一地区是一些中国大企业以及谷歌和英特尔等美国企业中国总部的所在地。报道称,中国因一些科技公司的成功案例而自豪,最引人注目的是阿里巴巴和腾讯。 中国多个行业的科技企业都是全球首屈一指的,或至少是举足轻重的。中国在超级计算机方面引领全球,中国企业在安全产品、聊天应用、网约车服务和电动汽车,当然还有电子商务方面拥有重大市场影响力。报道引述“专家市场”公司首席研究员索菲娅·帕齐卡斯的话说,尽管中国的规模和市场条件给它建立科技优势地位以独特优势,但其初创企业迅速发展以及全球占有率不断增加表明其他亚洲经济体也有巨大潜力。她说:“中国的情况是独特的,但对于亚洲新兴市场中心来说,这意味着在数字经济方面的实力会给国内科技初创企业带来巨大机遇。” 稿源:cnBeta、参考消息,封面源自网络;

中超俱乐部诈骗案跨国追赃的反思:黑客分工行骗隐蔽性更高

据外媒 11 月 2 日报道,中超顶级俱乐部(以下简称S俱乐部)的代理律师与两位海外华人于 2017 年 10 月 20 日一起走进丹麦首都哥本哈根市中心的警察局,向哥本哈根警察局彼得·巴克警官与国家重大经济与国际犯罪部的耶珀警官递交了精心制作的感谢信与纪念物,感谢他们在办理一起国际诈骗跨国追赃案时的帮助,最终使俱乐部成功追回全额涉案资金,避免了国有资产的重大损失。 这三个人分别是从国内赶来的上海大成律师事务所的马忠臣律师、英国中英校园足球项目负责人郑少强和丹中友好协会秘书长魏德林,回忆起他们一年前与丹麦警方直接对接案件程序时的迫切心情,这一完美结局令他们异常欣喜。去年夏天,一巴西球星转会至中国 S 俱乐部,很快俱乐部收到中国足协转来的授权书,内容是巴西一律师代表这名球星以前效力的俱乐部主张球员联合机制补偿金。所谓的联合机制补偿金,是根据国际足联规定,职业球员在合同到期前转会时,新俱乐部需要将转会费的 5% 拿出来,在扣除培训补偿后分配给曾经参与培训和教育该球员的俱乐部。按照规定,新俱乐部应在球员注册后 30 天内向各培训俱乐部支付相应比例的补偿费。考虑到这名球星的转会费高达数千万欧元,补偿金也将是一笔巨大的数额。 S 俱乐部的工作人员与巴西律师声称的四家俱乐部确认了真实的代理关系,于是根据巴西律师电子邮件中提供的银行账号信息,向其中的三家俱乐部支付了联合机制补偿金,但其中一笔汇款因信息问题被银行退回。接下来,巴西律师发来邮件,告知俱乐部工作人员款项退回的原因是账户有误,希望 S 俱乐部将资金汇入他指定的两个新账户(开户人均为对应的俱乐部名称)。这两个账户,一个在瑞典马尔默的银行,一个在丹麦哥本哈根的银行,两个城市距离只有 40 公里。 S 俱乐部随后将两笔总额为 87 万欧元的款项汇到两个新的账户,但在发电子邮件确认收款信息时出现系统退信情况。此后,巴西律师向工作人员发来电子邮件催要两笔补偿费用。这时俱乐部意识到,要求修改账号的邮件,要不就是犯罪分子通过网络黑客技术假冒巴西律师发来的,因为当时的邮件中的发件人、抄送人、签名栏以及票据样本等信息与以前完全一致;要不就是律师本人参与了诈骗过程。马忠臣律师即刻做出“涉嫌跨国网络诈骗”的法律风险提示,并协助俱乐部在第一时间向当地公安部门报案。2016 年 9 月 27 日,汇款银行辖区的公安局在立案后立即将案件信息上报中国公安部,由公安部依国际刑事案件协作程序向国际刑警组织提出冻结犯罪资金银行账户的请求。国际刑警组织在收到中国警方的国际协助传真后,紧急发信通知瑞典和丹麦警方马上冻结涉案的两个银行账户。后来的案件调查证实,如果再迟五、六个小时,这笔巨款就将被犯罪团伙提走。 冻结资金后,俱乐部工作人员按照中国警方的要求没有打草惊蛇,依然通过电子邮件与再次上线的犯罪分子联系,希望对方尽快查收已经汇出的款项。两名犯罪分子来到马尔默的银行试图提取 37 万欧元时被抓获。瑞典警方对这两名犯罪嫌疑人调查后发现,他们同时涉嫌多项经济诈骗案件,检察官出具的案宗材料多达一千余页。涉案瑞典银行账户的真实持有人已被申请破产,两名罪犯是这家破产公司的股东,但无法查出他们背后谁是真正的犯罪主谋。依据国际反洗钱法及犯罪所在国的法律,“返还被害人财产”还需要经过一系列的法律程序,S 俱乐部为尽快追回被骗资金,委托马忠臣与欧洲相关司法机构联系并负责涉案资金的追赃工作。马忠臣与英国的郑少强联系,希望他能提供协助。郑少强还担任孙中山青少年基金会的理事长和华侨协会英国分会会长,具有在英国和欧洲等国从事不同行业工作长达三十年的资深经验与多层次的当地资源。郑少强立刻联系精通丹麦语的哥本哈根华人侨领魏德林,三人一起赶到哥本哈根研究确定跨国追赃的最佳解决方案。 在瑞典落网的两名犯罪嫌疑人当时已被正式起诉。有人提议马忠臣走刑事附带民事赔偿程序,但根据他们对欧洲法律的了解,这样的过程可能会因刑事审理、上诉和执行等陷入不确定的漫长等待。如聘请当地律师,也会因高额的律师费造成客户额外的支出损失。旅居丹麦 33 年的魏德林清楚记得:一位意外去世的华人留下 250 万美元的遗产,由于没有遗嘱要打官司,当事人的官司打到最后,被当地的委托律师扣掉百分之七十的金额作为律师费的案例。在魏德林的协助下,马忠臣和郑少强直接前往哥本哈根警察局约见了巴克警官,就案件的相关事实、证据以及返还涉案资金要求等进行了相关法律交流。丹麦警方高度重视该起涉及中国足球俱乐部的跨国网络犯罪案件,经过两个工作日核实了相关案情与法律文件,指派丹麦国家重大经济与国际犯罪部的耶珀警官负责。 最终,丹麦警方在跨国犯罪嫌疑人尚未在本国到案情况下,即快速启动相关司法程序,按照丹麦刑事法与国际反洗钱法的规定,指令冻结资金所在的丹麦银行向中国俱乐部全额返还了涉案资金。瑞典马尔默法院也分别判处两名犯罪嫌疑人有期徒刑,当地银行也以同样的方式返还了 37 万欧元。到今年 8 月 10 日,两笔巨款全部退回到 S 俱乐部的账户上,这场持续一年多的追赃也胜利结束。对于如何防止类似的诈骗案发生,巴克警官这样告诉新华社记者,新型网络犯罪手段变幻多样,他们了解到的诈骗方式也五花八门,任何人都不能掉以轻心。他说:“尽管我们经常接到中国游客在丹麦被盗的报案,但金额这么大的诈骗案我还是第一次碰到,我们只有加倍小心才行。” 稿源:网易新闻、澎湃新闻,封面源自网络;

美媒测试:三胞胎 “骗过” iPhoneX 脸部识别技术

苹果公司 iPhone X 手机于 11 月 3 日开售,美国《华尔街日报》测试了其作为主要卖点之一的高科技脸部辨识系统。经测试发现,即使机主戴上帽子和眼镜,或身处黑暗环境,系统仍可辨出,但该识别系统却被三胞胎“考倒”。 据报道,iPhone X 的高科技脸部辨识系统是利用由相机及传感器组成的复杂系统,辨认机主脸部特征,确认后便可解锁。《华尔街日报》测试了该脸部识别功能,发现戴上帽子和眼镜,又或身处黑暗环境,系统仍可辨出,即使套上倒模硅胶面具,iPhone X 仍未被骗倒。据悉,测试者在专家协助下,用硅胶制作了一个倒模面具,但有不少破绽,例如面具缺乏真人皮肤的光滑度,脸颊轮廓和鼻子也不及真人般自然,因此也被 iPhone X 识破。 知情人士透露,iPhone X 配备了两部相机,以及透过红外线“点”出用家脸部的立体深度,因此能实时分辨出相片并非机主本人,手机上的上锁头像更会不停抖动,示意并未受骗。但据测试,iPhone X 的脸部识别功能也有漏洞,双胞胎或三胞胎能够成功“骗”过它。此前,苹果曾表示,陌生人成功利用脸部识别系统解开他人手机密码锁,机率是百万分之一。但有人指出,双胞胎或样貌相似的兄弟姐妹可成功解锁。 据美媒测试,8 岁的三胞胎兄弟中,其中一人在 iPhone X 登记面容后,另外 2 人仍能顺利解锁。据悉,苹果公司曾提醒,儿童脸部轮廓转变较快,系统或未能识别其明显变化的面容。此外,若让测试者黏上假胡子,系统也无法辨识。 稿源:cnBeta、中新网,封面源自网络;

移动 Pwn2Own 黑客大会:iPhone 7 等多台旗舰智能机被攻破

Trend Micro 的年度移动 Pwn2Own 黑客大会于 11 月 2 日在日本东京举行。第一天,安全研究人员研究了攻破 iPhone 7、三星 Galaxy S8、谷歌 Pixel 以及华为 Mate 9 Pro 的方法,最高奖金逾 50 万美元。苹果 iPhone 7,运行最新的 iOS 11.1 系统,被腾讯科恩安全实验室成功突破。腾讯科恩安全实验室首先利用 WiFi bug 攻破设备,并获得 11 万美元奖金和 11 个 Master of Pwn 点数。 随后,团队又使用 Safari 浏览器的 Bug,再次攻破 iPhone 7,并获得了 4.5 万美元奖金和 12 个 Master of Pwn 点数。安全研究人员 Richard Zhu 表示,他可以利用这两个 bug 突破 Safari 浏览器后退出沙盒模式,并在 iPhone 7 上成功运行代码。这个操作为他带来了 2.5 万美元奖金和 10 个 Master of Pwn 点数。 除了 iPhone 7,研究人员还找到了 Galaxy S8 以及华为 Mate 9 Pro 的漏洞,拿走了 35 万美元奖金。移动 Pwn2Own 大会明天继续,相信安全人员会找到更多的 Bug,拿走更多的奖金。 iPhone 7: Tencent Keen Security Lab got code execution through a WiFi bug and escalates privileges to persist through a reboot. ($110,000). Huawei Mate 9 Pro: Tencent Keen Security Lab uses a stack overflow in the Huawei baseband processor ($100,000). Samsung Galaxy S8:360 Security (@mj0011sec) demonstrated a bug in the Samsung Internet Browser to get code execution, then leveraged a privilege escalation in a Samsung application, which persisted through a reboot ($70,000). iPhone 7:Tencent Keen Security Lab used two bugs, one in the browser and one in a system service, to exploit Safari. ($45,000). iPhone 7:Richard Zhu (fluorescence) leveraged two bugs to exploit Safari and escape the sandbox – successfully running code of his choice ($25,000). 稿源:cnBeta、MacX,封面源自网络;

全球流行的开源密码恢复工具 Hashcat 推出 4.0.0 版本,可支持 256 位密码的破解

据外媒报道,开发人员近期推出密码恢复工具最新版本 Hashcat 4.0.0,可用于支持 256 位密码的破解。 Hashcat 是当前最流行的密码恢复工具,被标为全球最快的密码破解软件,其适用于 Windows、Linux 与 OS X 系统,并分布在 CPU 或基于 GPU 的应用程序中。 调查显示,该版本的实现耗时数月,几乎每个 OpenCL 内核程序都经过了重新编写。除支持 256 位密码破解外,Hashcat 4.0.0 还包括一项自检功能,用于启动时检测断开的 OpenCL 运行时间,这是第一次在 Hashcat 工具中添加此类特性。 知情人士透露,在这个版本中,Hashcat 尝试在启动时使用已知的密码破解已知的哈希排列。如果未能破解一个简单哈希值话,那就可用来测试系统是否正确设置。另外,Hashcat 4.0.0 添加的 Hash-mode 2501 = WPA/WPA2 PMK 模式,允许研究人员针对 hccapx 运行 PMK 列表。 然而,为了预先计算 PMK 列表,开发团队建议使用来自 hcxtools 的 wlanhcx2psk,因为它是捕获 WLAN 流量并将其转换为 hashcat 格式的一种解决方案。此外,Hashcat 4.0.0 还改进了 macOS 系统的支持,以便加速破解系统的密码与 Salt 哈希值。 新版本的工具还添加了以下算法的实现: ○ Added hash-mode 2500 = WPA/WPA2 (SHA256-AES-CMAC) ○ Added hash-mode 2501 = WPA/WPA2 PMK 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑莓 CEO 表示:如果政府有法庭合法命令,黑莓愿意尝试破解加密

科技公司是否在破解加密通信上帮助政府目前是一个受争议的话题,执法部门对科技公司在其产品中使用的强加密表达了强烈不满,政府高官甚至以 “负责任的加密” 的名义建议科技公司使用弱加密。黑莓的通信也使用加密保护。 公司 CEO 程守宗在伦敦举行的黑莓安全峰会上表示,如果政府有合法的法庭命令,黑莓会尝试破解它使用的加密。程守宗说,今天的加密已经到达这样一个程度,即使他们自己去破解自己的加密也非常困难。破解加密并非易事,因此黑莓只会在法庭命令下尝试去破解。 稿源:solidot奇客,封面源自网络;

美国经济封锁行动或将致维基解密收入损失 97%

据俄罗斯卫星网报道,维基解密创始人朱利安•阿桑奇接受电视节目采访时表示,美国政府采取的封锁行动致使维基解密组织损失 97% 的收入。据悉,此次采访是在阿桑奇自 2012 年以来居留的厄瓜多尔驻伦敦大使馆内拍摄的。 阿桑奇说:“ 我们基本上由公众支持,由用户资助,没有基金,也没有财政补贴。由于我们公布了美国外交电文和关于伊拉克、阿富汗战争的文件资料,美国政府发起反击运动,封锁了我们的进账。这使我们损失 97% 的收入。” 阿桑奇指出:“人们开始通过比特币汇款,随之而来的是该货币的猛涨。目前,公司鼓励人们以这种形式汇款。即使总体上不是特别奏效,但我们还是采取鼓励措施吸引注意力。” 稿源:cnBeta、中新网,封面源自网络;

Google Chrome 团队决定明年弃用 HPKP 公钥固定标准

早些年谷歌工程师为了提高互联网整体的安全性避免因证书颁发机构违规操作而设计了 HPKP 公钥固定标准,允许网站在服务器部署证书颁发机构的哈希值, 若网站使用的证书与固定的哈希不对应则拒绝连接。公钥固定的现实意义在于如果有 CA 证书颁发机构违规向某个域名私自签发证书,那么也无法实现对网站的劫持。但是现在谷歌浏览器已经决定弃用 HPKP 公钥固定标准,预计将会在 2018 年 5 月份到来的正式版里正式弃用。 HPKP 公钥固定所携带的是中级证书或者根证书的哈希值,并与终端浏览器约定此哈希通常会在 1 年左右失效。如果 1 年后网站不再使用 TrustAsia 签发的证书而换成其他,这会造成实际使用证书与固定的证书哈希不同。那么浏览器就会直接拦截用户与服务器之间的连接,浏览器会认为新更换的 CA 可能是想进行恶意劫持。 安全研究员斯科特称攻击者可劫持用户访问并返回恶意 HPKP 头,这种操作并不会造成用户的数据发生泄露。但恶意 HPKP 头在被浏览器接收后会阻止用户正常访问网站,因为浏览器校验到的 HPKP 头与真实服务器不同。因此恶意攻击者可以利用 HPKP 公钥固定策略无差别的对所有 HTTPS 网站发起这种有点另类的拒绝访问攻击。虽然网站所有者始终没有丢失对网站和服务器的控制权,但由于固定哈希已经被接收因此没有办法清除缓存。 参与撰写和制定该标准(RFC 7469)的谷歌工程师称公钥固定变得非常可怕,该标准会对生态造成严重危害。除了恶意攻击者可以伪造 HPKP 头进行拒绝访问攻击外,如果证书发生泄露需要进行吊销也会引发较大问题。因为吊销旧证书后再请求签发新证书只能选择此前固定的 CA 机构,你不能再选择新的 CA 机构为你签发证书。 基于此方面考虑 HPKP 标准在制定时已要求网站至少固定两份哈希,因此最终更换证书时只能继续选择由 TrustAsia 或 Comodo 签发的证书, 其他的证书浏览器则会拒绝接受。目前,已经支持 HPKP 公钥固定的浏览器有 Google Chrome 浏览器、Mozilla Firefox 浏览器以及 Opera 浏览器。既然作为标准参与制定的谷歌都决定放弃支持,Mozilla Firefox 和 Opera 势必也会在后续停止支持公钥固定。 谷歌去年 8 月的数据显示全球启用 HPKP 的站点仅只有 375 个,这个数字对于整个互联网来说真的是微不足道。同时由于很多网站使用 CDN 或者如 CloudFlare 类的 DDoS 防护,此类服务本身就没准备支持 HPKP 公钥固定。最终谷歌会在 2018 年 5 月份发布的 Chrome v67 版中正式弃用 HPKP,使用该标准的网站可以提前撤销固定了。 稿源:蓝点网,封面源自网络;

苹果 iOS 11.2 修复了计算器快速输入时会出错的 Bug

苹果于 10 月 31 日向开发者发布了 iOS 11.2 第一个测试版。据悉,iOS 11.2 修复了计算器应用在快速输入时,会导致运算结果出错的 Bug。计算器 Bug 在 iOS 11 测试阶段就存在,直到 iOS 11.2 发布前,一直没有被修复。当我们在计算器应用中快速输入一些数字和运算符号时,有一些字符会被忽略。我们可以尝试一下输入1+2+3,并快速点击等于,结果并不是6。 当然,如果你每个字符都停顿一下,还是可以得到正确的结果。这个问题主要是因为动画的延迟导致两个或更多个数字添加到一起,所以1+2+3在快速输入时会得到 24 这个结果。这个问题会影响很多计算,除非用户慢慢的输入每个字符。 研究人员表示,问题出现在按钮亮起的动画阻碍了触控操作,直到动画效果完成。iOS 的这种动画等待操作的机制也让整体应用体验更流畅。目前,在 iOS 11.2 中,苹果移除了计算器 app 的动画效果,从而彻底解决了这个问题。 稿源:cnBeta、MacX,封面源自网络;

模糊水印“打码”照片并不安全:法国黑客复原 QR 码后获 1000 美元比特币钱包

据外媒报道,比特币企业家 Roger Ver 在法国电台接受采访时发布了一份有关比特币钱包的私人密钥和 QR 码作为观众奖品,并表示节目在播出后第一位访问该账户的人员可以转账并保留这笔奖金。当时,Ver 并不知道法国法律禁止电台播放账户私钥和 QR 码。因此,电台在未获取法院权限播出时模糊了 QR 码相关细节。 但是,这一消息还是立即引发了法国黑客与比特币爱好者的兴趣,他们开始寻找各种途径还原账户 QR 码,以获取这项观众奖金。不久,两名法国研究人员 Michel Sassano 和 Clement Storck 在率先复原了这个模糊的 QR 码后转走了比特币钱包中的 1000 美元。Michel Sassano 表示,他们共计耗费了 16 个小时对这个模糊的图像进行了逆向工程,并试图将模糊的点与 QR 码的标准格式联系起来,从而恢复了这份模糊的 QR 码图像。 由此可见,在社交网络上发布模糊的二维码或条形码图片是不安全的,因此研究人员建议用户在分享数据时,应使用完全的颜色块处理敏感细节,从而防止网络犯罪分子利用黑客工具获取其敏感信息。 详细分析报告:传送门 原文作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。