IEEE P1735 电子标准描述了加密电子设计知识产权（IP）的方法，以及如何管理 IP 的访问权限；规定了用于电子设备硬件与软件的加密设计知识产权方法和技术建议，以及互操作性模型的工具和流程，其中包括选择加密和编码算法以及加密密钥管理。与此同时，它还保护了电子设备硬件与软件免于逆向工程和 IP 盗窃。 研究人员表示，由于 IEEE P1735 电子标准允许不同制造厂商的代码在硬件组件中运行以及安全交互，意味着解密过程极其复杂。因此，几乎所有的供应商都采用 IEEE P1735 电子标准保护他们的知识产权。不过，佛罗里达大学的研究人员近期在审查 IEEE P1735 电子标准时发现多处漏洞，或将允许黑客绕过安全防御体系后以明文方式访问企业知识产权。以下是研究人员发现的主要漏洞列表： ο CVE-2017-13091：在 CBC 模式下，填充的错误指定允许使用 EDA 工具破解 oracle； ο CVE-2017-13092：HDL 语法的错误指定允许使用 EDA 工具作为破解 oracle； ο CVE-2017-13093：可修改任何加密的 IP 密码，以插入硬件木马； ο CVE-2017-13094：可修改加密密钥并在任何 IP 中插入硬件木马； ο CVE-2017-13095：可修改许可证的拒绝回应； ο CVE-2017-13096：可修改权限模块以摆脱或放松访问控制； ο CVE-2017-13097：可修改权限模块以解除或放松访问控制。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

当地时间 11 月 5 日，一份被称为 “天堂文件” （Paradise Papers）的财务报告遭曝光，揭露了数以百计知名公司和个人的离岸利益。这批泄密文件不但曝光了特朗普内阁成员的大量海外交易，还揭露了英国女王伊丽莎白二世以私有财产在被称为 “避税天堂” 的开曼群岛（Cayman Islands）一基金投资数百万英镑。 据英国广播公司 BBC 报道，兰卡斯特公爵领地（Duchy of Lancaster）在开曼群岛和百慕大群岛投入资金，为女王提供了收入，并为她 500 亿英镑的私人财产进行投资。但目前没有证据显示女王涉嫌逃税，但她从事离岸投资却引起外界质疑。据英国《金融时报》报道，女王在 2005 年通过私有财产——向 Dover Street VI Cayman Fund LP 基金投资 750 万英镑。 据《卫报》报道，该基金之后投资于私人股本投资工具 Vision Capital Partners，后者进而买入两家英国零售商的股权——外卖酒连锁商店 Threshers 和零售商 BrightHouse。据悉，这次爆料是近百家媒体长期调查的结果，BBC 和《卫报》是这近百家调查媒体团体的成员，他们调查了专业服务公司和离岸公司注册机构的 1340 万份文件。大部分数据来自一家名为阿普尔比（Appleby）的百慕大群岛海洋产业高端法律服务提供商，该公司的主要业务是帮助客户提供低或零税率的海外司法管辖区方面的服务。而这份文件的消息来源并未透露。 文件揭露了各国众多政客、名人、企业巨头和商业领袖的金融交易。1340 万记录被传递到德国报纸南德意志报，然后随着调查记者国际联盟（ICIJ）共享。泄密文件中披露特朗普政府的商务部长被指与一家美国制裁的俄国企业有利害关系。该文件中还揭露了加拿大首相的一名重要助手与海外计划联系在一起，而这些计划可能使加拿大损失数百万美元的税款，而加拿大总理贾斯廷·特鲁一直在致力于关闭避税天堂。 调查的媒体表示，这项调查符合公众的利益，因为海外数据泄露一再暴露出不法行为。而在应对泄漏方面，阿普尔比方面表示，“文件内容没有任何非法证据，公司和客户都表示满意”，并补充道：“我们不会容忍非法行为。” 稿源：cnBeta、海外网，封面源自网络；

据外媒 macrumors 报道，当地时间 11 月 4 日，Apple Watch 出现了一个奇怪的漏洞，即当用户通过 Siri 询问诸如 “现在温度是多少”、“现在下雨了吗”等天气问题时手表则会出现崩溃的情况。已经有多名用户在苹果相关论坛上反映了这一问题。 经证实，受该漏洞影响的设备包括了 LTE 版 Apple Watch Series 3 和 GPS 版 Apple Watch Series 3 以及老款运行 watchOS 4.1 的 Apple Watch。不过并不是所有国家的用户都受到了影响，获悉，该问题似乎仅出现在了美国、加拿大、欧洲。目前，尚不清楚导致这一问题出现的原因，而天气软件运行则一切良好，重启或重置手表都无法解决问题。 奇怪的是，当通过 Siri 询问明天或下周的天气时并不会出现以上这种问题–也就是说，只有询问当下天气的时候才有。对此，一位 reddit 用户认为，这很有可能跟即将到来的时令变化有关。也许苹果很快就能解决掉这个问题，但对于受影响的用户来说现在最好的办法就是避免通过 Siri 询问天气。 稿源：cnBeta，封面源自网络；

据中证报、澎湃新闻、证券时报、21世纪经济报道等多家媒体，央行金融研究所所长孙国峰称，任何金融业务都要有牌照，Fintech（金融科技）带来的风险不容忽视，尤其是流动性风险。有可能对金融体系产生重大影响的，不一定只是传统意义上的系统重要性金融机构，也有可能是一些大型 Fintech 公司。 假如其行为可能对金融体系产生重大影响,就应视为系统重要性机构而纳入到宏观审慎政策框架中管理。孙国峰认为，过去几年中国的 Fintech 发展很快，其中一个比较重要的原因就是在发展过程中，很多互联网应用场景相关数据和金融平台数据是打通的。这客观上有利于 Fintech 快速发展，但目前有必要反思在这个过程中关于个人隐私、数据隐私保护是否到位。 孙国峰称，金融科技巨头掌握大量数据，包括交易数据、社交数据和金融数据等。这些数据因为量很巨大，已具备准公共品特征。对一些非公共品数据允许进行交易，但必须在合法合规前提下进行。此外，加强监管很重要的一点就是要有牌照，任何金融业务都要有牌照。任何金融业务都要持牌不因为使用某种技术而改变，使用任何技术都要有牌照；也不因金融业务的目的不同而有所改变，普惠金融也要牌照。不能说因为目的很善良，就可以在金融牌照上有豁免。目前，已成立了金融稳定发展委员会，在这个框架下，我想应当没有什么金融的领域是没有被监管所覆盖到的，要实现这种全方位的监管。 对于备受关注的金融风险问题，孙国峰表示，中国的金融市场确实比较复杂，多个市场之间相互传染，很多的金融创新跨行业、跨领域。所以，Fintech 带来的风险也不容忽视，要防范系统性金融风险。他指出，十九大报告提出货币政策和宏观审慎政策双支柱的调控框架，宏观审慎政策应对系统性金融风险。早在 9 月中旬，孙国峰在接受中国央行旗下媒体《金融时报》采访时就表示，金融科技存在造成金融体系金融风险加大的因素。 一方面，金融科技使得金融风险更加具有隐蔽性、传播速度更快、影响范围更广，增加了金融系统性风险。比如 “ e 租宝” 事件。过去金融风险很多都是局限在某一地域，现在金融科技、互联网技术容易使得风险可能影响的个体范围非常广、传染速度更快；另一方面，金融科技使金融业“脱媒风险”加大。对于银行资金的流动有着完善的金融监管框架，但现在有很多资金流动通过金融科技公司，这其中一些资金的流动受监管的程度相对比较弱，可能会带来风险。还有就是存在监管套利风险。由于金融科技行业很多业务处在相对模糊的地带，界限不明确，可能存在监管套利问题，具体表现为不同监管机构之间的监管套利和跨国的监管套利。 稿源：cnBeta、华尔街见闻，封面源自网络；

大家应该还记得，之前美国政府曾给出公告，他们要完全封杀杀软卡巴斯基，其怀疑后者盗取他们的机密信息，随着这一封杀令扩展企业、个人用户电脑上。据 CNET 报道称，对于这样的封杀，卡巴斯基显然是不能承受的，不过更让惊人的是，卡巴斯基软件的创始人 Eugene Kaspersky 日前承认，曾经在用户电脑上拷贝和病毒无关的文件，这样的做法十分罕见。 Eugene Kaspersky 没有透露更多细节，比如他们从用户电脑中拷贝的到底是什么文件，拷贝出文件后用它做了什么等等。很显然这样的做法，必须要征得用户的同意，但卡巴斯基强调，他们此举只是为了找到网络罪犯。在中国市场，有不少的卡巴斯基杀毒软件用户。此前，卡巴斯基曾推出了一定时间内免费使用的版本，进一步增加了用户规模。 稿源：cnBeta、快科技，封面源自网络；

二战时期的纳粹们非常清楚，要想赢得战争胜利，离不开保密的军事通讯。他们还专门为此研制的号称无法破解的“恩尼格玛”密码机。这种加密机器能够让德军部署在各地的装甲师团，外交机构甚至是海上的潜艇能够时刻保持与总部的通讯联络。德国人一直坚信他们的这套密码系统是不可破解的——直到一位名叫阿兰-图灵的年轻英国数学家意识到，如果能够使用机器来系统性的对每一位字符进行数以千计的组合尝试，直到破解出其意义，那么恩尼格码机器或许是可以被破译的。 今年 9 月 29 日，中国科学院的一个由密码学专家和物理学家组成的团队成功实现了持续半小时左右，在中科院与欧洲的奥地利科学院之间的量子加密视频通话。这样的通话是不可能被窃听的，因而也是无条件安全的。 人类首颗量子科学实验卫星——墨子号在轨运行示意图 这一尝试的结果便是世界上第一台计算机的诞生，由于英国情报部门从此能够破解德国军队的机密通信，这为日后盟军最终击败德国法西斯立下了汗马功劳。一度，军事专家们相当确定，绝对安全，完全保密的通讯是做不到的。但是这话或许并不正确。借助一种被称作“量子加密”的技术，无条件完全绝密通讯的梦想正在变成现实。这项技术一旦成熟，将在全球范围内根除网络欺诈、身份盗用、黑客攻击和电子窃听等行为。但这一技术也将让恐怖分子和罪犯之间的通话能够实现绝对保密，政府完全不可能窃听或拦截，另外，政府机构也将能够更加安全地隐藏他们的秘密，而不必担心有人会发现。 在一个拥有绝对加密技术的世界里，所有的人类电子通讯都将变得绝对隐秘，这究竟是好事还是坏事？ 世界首次洲际量子加密视频通话 就在今年的 9 月 29 日，我们的世界又向着这样的未来更加接近了一步。中国科学院的一个由密码学专家和物理学家组成的团队成功实现了持续半小时左右，在中科院与欧洲的奥地利科学院之间的量子加密视频通话。这样的通话是不可能被窃听的，因而也是无条件安全的。 对此，一位不愿意具名的英国情报系统人士表示：“在所有最新出现的技术中，这项技术是最让我感到兴奋的，但同时也是最让我感到忧心忡忡的。它将是一种能够改变世界的技术。”西方的专家们对于目前的情况感到担忧的不是他一个人。很多西方专家都看到了这样一个事实，那就是，尽管在美国和欧洲的一些大学，研究所和实验室里仍然在不断产生创新的量子技术，但在量子技术应用领域遥遥领先世界的，却是中国人。 9 月底的北京-维也纳量子视频通话是通过普通的 Skype 软件进行的，所有数据都经由公网传输。所不同的是，此次通话使用了量子加密，秘钥是由中国的量子实验卫星“墨子号”上搭载的量子器件产生的。最令人印象深刻的是，量子的物理特性决定了，一旦有任何人试图窃听这些信号，通话人会立即察觉到。英国牛津大学教授阿特·厄科特（Artur Ekert）说：“量子加密是你能够想象出来的，最接近无法破解的通讯技术。” 这就是量子纠缠效应现象：两个分别处于不同地点的光粒子，也就是光子，不管相隔多远，都能够实时复制对方的行为。虽然到目前为止这种近乎“心灵感应”的效应究竟是如何发生的还尚未明确，但早在 1984 年，科学家们就已经在实验室中确认了这种效应的确存在。而 9 月底北京与维也纳之间的这场洲际视频通话的重要意义就在于，这一次科学家们能够利用量子纠缠效应生成一串数据秘钥并使其同时存在于地球上的不同角落。 中国人并没有止步于此，由中科院院士，中国科技大学物理学家潘建伟教授领衔的小组还在中国构建了现实世界中的量子加密通讯网络。他们现在已近将基站、卫星和数千公里场的光纤连接到一起，形成一张覆盖全国的巨大量子通讯网络。致力于发展远距离量子通讯技术的美国马里兰大学联合量子研究所副教授查尔斯·克拉克（Charles Clark）表示：“做到这一点并不需要去发现什么新的物理学定理。”但是中国人在实施规模和传输距离上表现出的领先性的确令人印象深刻。 革命性的量子加密技术 直到现在，密码学的核心思想其实很简单：构建出一种超级数学谜题，并确保要想解决这一数学谜题所需要的计算能力超出所有潜在敌人的技术能力。现今我们所使用的加密技术，也就是所谓的“公开密钥技术”——这是所有互联网认证和安全通讯的技术基础——其使用的加密技术要远远胜过当年纳粹德国使用的恩尼格码密码。但两者所依据的原理是相同的。解密用的密钥由计算机产生并分发给通讯双方。不过，只要拥有足够强大的计算能力，第三方是完全有可能通过暴力破解方式攻破这种密码的。而量子加密技术则从原理上就与之完全不同，这也使其具备了不论敌人拥有多么强大的计算能力都不可能攻破的超级加密体系。厄科特表示：“和数学系统不同，量子加密依赖于物理学原理，而原理是不能被打破的。” 量子密钥分发技术将有望彻底颠覆电子商务和数据保护行业，并彻底杜绝欺网络黑客或身份盗用行为。克拉克表示：“发展量子技术的最大动力——正如很多看上去很美好的事物一样，其实是军事和情报用途。”任何首先掌握这项技术的国家将在短期内取得相对战略优势地位。 中国很快发射了世界上第一颗量子通讯试验卫星——以中国古代哲学家墨子命名。这颗卫星运行在距离地面不到 500 公里的低地球轨道上，同时潘的小组还在青藏高原海拔超过 4500 米的地方建设地面基站，以便更好地接收卫星量子信号，尽最大限度消除大气层对信号的影响。基于多个这样的基站，再配合墨子号卫星，中国在境内构建起一条连接北京和上海，长度接近 2000 公里的量子通讯干线。 非凡的远见与战略眼光 墨子号卫星运行在低地球轨道，这就意味着没有连接到中国量子通讯网络的用户必须等待卫星飞行到头顶上空时才能接收到安全的量子秘钥，并借助这一秘钥与其他秘钥持有者之间开展保密量子通讯。而就在今年 8 月份，潘建伟教授曾经对媒体表示，在未来 5 年内，中国将发射运行高度超过 2 万公里的新型量子卫星，这将大大提升中国量子通讯卫星的地面覆盖范围。计划中于 2022 年升空的中国空间站预计也将携带实验性量子通讯载荷，宇航员将能够在轨道上对其不断进行技术升级和维护。最终，中国已经非常明确的表示，他们计划构建一个全球性的量子通讯卫星系统。 到目前为止，世界范围内还只有中国一家对量子通讯技术投入数十亿的巨额资金进行开发并开始投入实际应用。克拉克表示：“要想进入这一领域门槛相当高，基本上，这都需要国家层级的支持才行。”一位西方安全领域专家这样评价：“要想建成覆盖全球的量子通讯卫星难度极高，几乎就像曼哈顿工程。”（注：曼哈顿工程师当年美国动员全国力量研制原子弹的秘密工程代号）。他说：“可惜的是，今天在西方，没有任何政治家有那样的决心和远见去长期投入巨额资金以支持一项科学项目。这就会为什么中国人会遥遥领先的原因。” 当今世界，中国，美国和俄罗斯实际上正在进行一场静悄悄的隐形军备竞赛，战场是在互联网上，看看谁先掌握各种网路武器——从能够窃取手机和电子设备信息的黑客技术，到传统情报界的窃听技术。而平心而论，量子加密技术的出现也并不意味着现代间谍技术的终结。正如此前美国国家安全局前雇员斯诺登事件中所暴露出来的那样。美国政府并的大规模秘密监听计划，以及大部分西方间谍机构的工作，并非窃取具体的通话内容，而是进行大数据分析——掌握数一百万，乃至千万计的人口，他们谁在和谁通话，以及何时进行了通话。 谁将掌控未来？ 即便是在量子加密时代，这样的大数据仍然可以被获取。另外，尽管量子加密通讯技术无法被拦截，但是它仍然是一种端到端通讯技术。总部位于伦敦的战略研究所专家艾米丽·泰勒（Emily Taylor）指出：“这就是它的薄弱环节所在。”换句话说，不论量子加密通讯技术多么无懈可击，但它仍然是两个人在进行通讯，仍然会有两个人之间的信息交换，只要是这样，就仍然存在窃听的可能。 不过，不能否认的是，量子加密技术的意义是深远的。如果全球通讯所依赖的通讯基础设施是安全的，那么全球性的系统性风险很多都能被避免。当然这并非意味着我们将进入一个彻底安全的网络时代，但一些常见风险，比如信用卡交易，数据库，以及电子通讯等一些关键领域的安全漏洞都将在量子加密技术下得到极大提升。泰勒表示：“每个人都希望自己的通讯是安全的，但是如果真的每个人都使用了不可破解的加密技术，那情报机关的工作难度就会加大很多。” 中国目前取得的成就不仅清楚的表明量子秘钥分发技术在现实中是可行的，并且也表明任何想要认真获得绝对安全通讯技术的国家，都必须在这一领域投入巨额资金。厄科特指出：“谁控制了信息，谁就控制了世界。”那么按照这种逻辑，未来将是属于北京的。 稿源：cnBeta、，稿件以及封面源自网络；

HackerNews.cc 11 月 4 日消息，网络安全公司 We Are Segment 研究人员 Filippo Cavallarin 近期在 FireFox 浏览器中发现一处关键漏洞 TorMoil，能够导致用户真实 IP 地址在线泄漏。该漏洞最终也将影响 Tor 浏览器，因为 Tor 服务的隐私保护核心允许用户在线匿名使用 FireFox 浏览器访问网页。据称，Linux 和 MacOS 系统的 Tor 浏览器普遍受到影响。不过，目前 Tor Project 已将 Tor 浏览器升级至 7.0.9 版本进行补丁修复。 调查显示，TorMoil 漏洞是用户在 Firefox 浏览器中处理 “file://url” 链接时发现的。据悉，当用户点击以 file://url 为开头的链接后，系统会自动触发 TorMoil 漏洞。一旦受影响用户运行的是 MacOS 或 Linux 系统，它就会重定向至另一恶意网页，从而允许攻击者远程操作用户主机系统。目前，考虑到 Tor 用户的安全与隐私问题，其研究人员并未在线公布漏洞相关细节。 Tor Project 表示，虽然现在并没有证据表明该漏洞未被国家赞助的黑客或技术高超的网络犯罪分子利用，但由于暗网市场对于 Tor 的零日漏洞需求很大，因此 Tor 代理商 Zerodium 极其担心用户遭受网络攻击。另一方面，为了保护用户的隐私问题，Tor Project 近期发布 Tor 0.3.2.1-alpha 版本，集成了最新加密技术，其中还包括对于下一代 Tor 服务的支持。 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 Reddit 于 11 月 4 日报道，安全研究人员 Dexter Genius 近期发现黑客利用官方 Google Play 商店作为恶意软件存储仓库、部署冒牌 WhatsApp 应用。目前，已有超过 100 万的安卓用户下载使用。研究人员表示，这似乎又是谷歌自动检测系统失败的一次例证。 左边是冒牌的 WhatsApp 应用，右边是合法的 WhatsApp 应用 据悉，研究人员在对该款冒牌的恶意应用进行反编译后发现它是一个广告加载的包装器，其中包括了下载另一安卓应用程序包（apk）的代码。值得注意的是，第二款相关联的恶意应用试图隐藏自己，因此它不仅没有名称，而且还使用了一个空白的图标进行伪装。 调查显示，这个冒牌的应用似乎由合法的 WhatsApp 公司开发，但仔细观察后发现开发人员在名字的末尾添加了两个字节（0xC2 0xA0），使其最终形成一个隐藏空间。然而，最令人难以置信的是，该黑客所开发的这款应用竟能绕过谷歌安全检测感染超过一百万设备。 目前，该款冒牌应用已被谷歌官方应用商店删除。其相关人员透露，尽管 Google 已经付出很大的努力，但谷歌在其官方应用商店上部署的自动检测系统仍然无效。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美媒称，一份最新报告显示，北京被评为 2017 年度全球最大科技城市第一名，中关村已取代硅谷成为全球最大的科技中心。据美国《福布斯》双周刊网站 11 月 2 日报道称，美国商业资源企业 “专家市场” 公司公布了 2017 年度全球最大科技城市排名，这是第二次公布，北京位列第一。去年排名第一的柏林今年跌至第二位。旧金山第三。上海、班加罗尔、新加坡和悉尼也位列前 20 名。 报道称，“专家市场” 公司将北京的中关村科技园列为第一，因为它的早期融资氛围良好。研究人员通过 10 个数据点来决定排名，包括软件工程师工资、建立并运营一家企业需要多长时间、生活成本以及月租金、成长指数、初创企业产出等其他因素。“专家市场” 公司的贾里德·凯莱赫在新闻发布会上表示：“我们的报告展示了科技行业发展之快、国际竞争之强，特别是在吸引最有才华的新技术人才方面。尽管硅谷在一些关键领域依然具有优势，但国际竞争者已经赶超这个最初的技术中心城市，它们提供更低的生活成本以及迅速增加的资金。” 报道称，近几年来，北京越来越多地被拿来与硅谷比较。一名企业家在 “再编码” 新闻网站上撰文称，中国首都北京是硅谷“唯一真正的竞争者”，因为它有庞大的市场、快速的消费者采用率、迅速的企业发展时间以及对创新的渴望。2016 年，中国宣布投资 15 亿美元整修及开发中关村，这一地区是一些中国大企业以及谷歌和英特尔等美国企业中国总部的所在地。报道称，中国因一些科技公司的成功案例而自豪，最引人注目的是阿里巴巴和腾讯。 中国多个行业的科技企业都是全球首屈一指的，或至少是举足轻重的。中国在超级计算机方面引领全球，中国企业在安全产品、聊天应用、网约车服务和电动汽车，当然还有电子商务方面拥有重大市场影响力。报道引述“专家市场”公司首席研究员索菲娅·帕齐卡斯的话说，尽管中国的规模和市场条件给它建立科技优势地位以独特优势，但其初创企业迅速发展以及全球占有率不断增加表明其他亚洲经济体也有巨大潜力。她说：“中国的情况是独特的，但对于亚洲新兴市场中心来说，这意味着在数字经济方面的实力会给国内科技初创企业带来巨大机遇。” 稿源：cnBeta、参考消息，封面源自网络；

11 月 4 日下午，全国人大常委会表决通过了反不正当竞争法修订草案。根据新法，经营者采用刷单、炒信等方式，帮助自己或其他经营者进行虚假宣传或引人误解的商业宣传，情节严重的，最高可处 200 万元罚款，吊销营业执照。据悉，修订后的反不正当竞争法自 2018 年 1 月 1 日起施行。 新法第八条规定，经营者不得对其商品的性能、功能、质量、销售状况、用户评价、曾获荣誉等作虚假或者引人误解的商业宣传，欺骗、误导消费者；经营者不得通过组织虚假交易等方式，帮助其他经营者进行虚假或者引人误解的商业宣传。 根据新法，经营者违反第八条规定对其商品作虚假或者引人误解的商业宣传，或者通过组织虚假交易等方式帮助其他经营者进行虚假或者引人误解的商业宣传的，由监督检查部门责令停止违法行为，处二十万元以上一百万元以下的罚款；情节严重的，处一百万元以上二百万元以下的罚款，可以吊销营业执照。经营者违反第八条规定，属于发布虚假广告的，依照广告法的规定处罚。 稿源：cnBeta、澎湃新闻，封面源自网络；