在 WannaCry 和 Petya 等勒索软件肆虐之后，微软建议所有 Windows 10 用户从 PC 上移除漏洞多年的 SMBv1 文件分享协议。这些恶意软件通过网络进行复制、加密用户文件勒索赎金，而 SMBv1 扮演了帮凶的角色。 不过在近日举办的 DEF CON 黑客大会上，又曝出了另一个已经存在 20 年之久的漏洞！RiskSense 安全研究人员将它称作 “ SMBLoris ”，并解释其能够发动拒绝服务（Dos）攻击，感染 Windows 2000 及以上操作系统的任一版本 SMB 协议。 更糟糕的是，黑客只需一台树莓派和 20 行 Python 代码，即可让一台 Windows 服务器跪下。RiskSense 是在分析 EternalBlue 时发现该 SMB 漏洞的（它被认为是最近俄罗软件攻击的源头）。其在今年 6 月份将该漏洞详情告知微软，但该公司回应称不打算修复，一名发言人告诉 Threatpost：“该案例对安全性的影响并不严重，对于有所顾虑的企业客户来说，我们建议其禁用互联网 SMBv1 访问”。 稿源：cnBeta，封面源自网络；

据美国媒体 7 月 28 日报道，腾讯科恩实验室安全研究员今年 6 月再度破解特斯拉 Model X 系统，远程控制刹车、车门、后备箱，操纵车灯以及广播。 研究人员通过 Wi-Fi 与蜂窝连接两种情况下均实现了对车载系统的破解，通过汽车网络浏览器寻找计算机漏洞、发送恶意软件，实现黑客攻击。 科恩实验室总监吕一平说：“今年 6 月，安全研究员将发现的漏洞问题告知了特斯拉，而特斯拉方面也在两周内对其进行了修复 ”。特斯拉在一份声明中表示，该研究能够预防风险的发生，因此十分鼓励。目前，还没有顾客遭受此类攻击，而他们遭受攻击的风险也很低。 事实上，去年的时候科恩安全实验室就已经能够入侵特斯拉刹车系统。科恩实验室汽车黑客团队首席研究员聂森说：“我们把去年发现的安全漏洞告知了特斯拉，然后他们对此予以了修复。但今年，我们又发现了新的漏洞，并且我们依旧可以实现同样的远程攻击。” 他强调：“这是一项复杂的工作，不是简单的复制。而且，特斯拉的系统安全也不比其他车辆差。” 据称，聂森团队是世界上第三个成功攻破汽车系统的团队，隶属于腾讯集团。从 2016 年起，腾讯集团开始将业务拓展到咨询和安全研究领域。而聂森团队主要研究汽车安全，以便与中国汽车零件和汽车系统相关企业开展合作。吕一平表示：“许多厂商在网络安全方面的知识和技术都很欠缺。我们可以为他们提供咨询服务，帮助他们对车辆组件的连接安全进行评估。” 稿源：cnBeta、环球网，封面源自网络；

据外媒 7 月 31 日报道，面部识别软件现在越来越普及且被用于各种场合，但时刻被盯着同样让一部分人感觉隐私被侵犯。俄罗斯科技巨头 Yandex 技术总监 Grigory Bakunov 近期公开表示自己已在网络上和其他几个黑客一起开发出了一种 “ 反面部识别算法 ”。 Grigory Bakunov 表示他已经受够了这种被人监视的感觉，倒不是在质疑被监控的权力，而是质疑人们正在滥用面部识别技术。他在 Telegram 上写道: “ 面部识别系统被不同的人用于不同的目的，在莫斯科周围躲避摄像头是不可能的 ”。因此，他从日常工作中抽出时间开发一种算法，可以防止面部识别软件成功识别一个人。他的服务提供特殊的化妆，以隐藏人们的人工智能。 “一个简单但有效的算法开发得非常快，” Bakunov 写道，“ 这项服务能够提供未来化的妆容，可以用一些面部线条来欺骗智能相机。” Grigory Bakunov 号称这项技术非常有效，对于男女都适用。但为了避免技术被滥用，他并没有公开反人脸识别系统的详细算法和原理。Bakunov 意识到这种技术现在有可能欺骗银行和警察。他表示，不会把这些技术投放在市场，因为有人可能出于邪恶目的而使用它的可能性太高了。 稿源：cnBeta、TechWeb；封面源自网络；

俄罗斯总统普京此前签署禁止提供 VPN 和其它匿名技术访问被屏蔽网站的法律。据悉，该法律将于今年 11 月 1 日正式生效。俄罗斯议会下院国家杜马于 10 天前对该法案进行投票表决并获得一致通过，要求 ISP 屏蔽 VPN 和其它匿名网络技术。 国家杜马信息政策委员会负责人 Leonid Levin 称，法律无意对守法公民实施限制，只是想要屏蔽非法内容。暂时不清楚俄罗斯将会采取什么技术手段屏蔽匿名网络技术。 稿源：solidot奇客，封面来源网络；

据外媒 7 月 30 日报道，数字安全公司 Econocom 研究人员 Damien Cauquil 近期在拉斯维加斯举行的 DEF CON 黑客大会上使用微型计算机 Micro:bit 劫持四轴无人机设备。 Micro:bit 是一款基于 ARM 的嵌入式系统设备，由英国广播公司 BBC 设计，用于国家计算机教学。Micro：bit 由 16MHz 的 32 位 ARM Cortex-M0 CPU 提供动力，内存仅占 16KB 且售价 15 美元。此外，Micro:bit 具备蓝牙连接功能，允许黑客写入 Python 编码，即可充当无线嗅探器使用。 据悉，研究人员在耗时数月后破解微型计算机 Micro：bit 系统固件，并将其变成一款强大的黑客工具，允许攻击者通过蓝牙窃取无线键盘信息，或在四轴无人机设备飞行期间劫持控制器。另外，由于该设备体积袖珍，使得黑客能够将其隐藏在桌角以窃取受害者输入的敏感信息，例如密码与登录凭据。 研究人员表示，他们还开发出多款工具，能够与任意 2.4GHz 无线技术进行交互。目前，研究人员已在会议期间发布设备固件与相关工具源代码。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 30 日报道，黑客 Plore 于近期在线演示如何利用廉价现成设备绕过德国 Armatix IP1 智能枪支的安全防御系统展开攻击活动。 Armatix IP1 智能枪支是一款军事武器，只能由拥有相关智能手表的所有者触发识别。由于该枪支与智能手表无法通过长距离无线电信号进行连接，因此当二者相距较远时，枪支不受智能手表操控。 Plore 近期发现三种方法可以侵入 Armatix IP1 智能枪支、扩展智能手表无线电信号范围并允许任何人在智能枪支与相关手表相距十英尺外开枪。 第一种方法： Plore 在枪口附近放置一枚价值 15 美元的磁铁，允许绕过智能枪支 Armatix IP1 安全防御系统，并无需智能手表验证即可开枪。 第二种方法： Plore 使用价值 20 美元的发射机设备干扰智能枪支十英尺以内的无线电波频段（ 916.5Mhz ），允许绕过安全防御系统，以便智能手表不受无线电信号范围影响。 第三种方法：Plore 通过定制射频放大器扩展智能手表控制范围，允许攻击者触发枪支开火时，拦截智能枪支发出检测手表是否存在的信号。此外，该定制设备还允许智能手表操控范围扩展至 12 英尺，以及绕过智能枪支的安全防御系统。 Plore 表示，德国 Armatix 智能枪支的安全系统显然存在多处漏洞，目前需要研究人员及时修复，以防网络犯罪分子恶意入侵。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据创宇盾( www.365cyd.com )安全舆情监控平台最新监测显示，美国网络安全公司 Mandiant 疑遭黑客入侵，其内部网络以及客户端数据或已暴露。 美国安全公司 Mandiant 成立于 2004 年，是具有军方背景的网络安全公司，主要提供安全服务及产品包括威胁侦测与响应、威胁情报分析以及安全咨询服务等。2013 年 2 月因发布一份揭秘“中国网络间谍部队”的报告逐渐引起国内安全界的关注。2013 年底 FireEye 以 10 亿美元收购 Mandiant 公司。 31 日下午自称 31337 的黑客组织在线发表声明称，自 2016 年起通过入侵 Mandiant 公司一位高级威胁情报分析工程师电脑获取了大量内部资料，其中包含内部邮件数据、网络拓扑结构、以色列国防军的威胁情报概况和公司工作表，还有 Mandiant、FireEye 的部分内部文件，该声明显示黑客组织控制这名工程师的电脑已长达一年，甚至对其进行 GPS 跟踪。 Mandiant 公司威胁情报工程师 Adi Peretz 的 Linkedin 账户被黑 黑客组织在声明中透露其手中可能还握有安全公司的“最高机密文件”、以及（可能是 FireEye 核心分析实验室的）网络拓扑图，并表示之后将单独公布 Mandiant 内部网络及其客户数据。 黑客组织通过 pastebin 发布的声明 HackerNews.cc 将为您持续关注并提供最新报道。

据外媒报道，SparkFun Electronics 黑客于近期在拉斯维加斯举行的 DEF CON 安全会议上利用廉价机器人在半小时内破解了 SentrySafe 保险箱密码。 研究人员表示，机器人能将保险箱的密码组合数从一百万减少到一千，然后自动快速尝试直至破解。据悉，黑客利用 3D 打印组件及 200 美元的机器人匹配多数品牌保险箱。 此外，黑客还利用保险箱数字表盘的凹槽大小和设计允许的误差范围大幅降低密码的可能组合数。 稿源：solidot奇客，封面源自网络；

Chrome 和 Firefox 扩展 Copyfish 的开发人员发出安全警告，指出他们近期遭到针对性钓鱼攻击，即团队成员不小心在钓鱼页面输入密码。随后，攻击者劫持 Copyfish for Chrome 账号，将 Copyfish 转移到他们控制的账户，并在用户浏览的页面插入广告、释出恶意更新。 目前，Copyfish for Firefox 扩展并未受到影响。开发人员尝试联系 Google，但至今没有接触到任何能够提供帮助的研究人员。据悉，攻击者被认为来自俄罗斯圣彼得堡。 稿源：solidot奇客，封面源自网络；

对诗人而言，眼睛通向人的灵魂，而生物医学工程师正通过眼睛了解我们的肉体——他们正在研发内置电路的智能隐形眼镜。目前，这些智能隐形眼镜主要设计用来诊断、监控以及治疗一系列病症。而现在，欧洲市场上已出现两款帮助眼疾患者的智能眼镜产品。 早在 2014 年，谷歌就已涉足该领域。谷歌的生命科学子公司威利生命科学（Verily Life Sciences）和瑞士制药巨头诺华制药（Novartis）眼科部门阿尔康（Alcon）宣布将携手为糖尿病患者开发一款智能隐形眼镜。但是，就在 2016 年 11 月，诺华制药宣布放弃临床试验其产品的目标。不过，威利和阿尔康并不是唯一瞄准智能眼镜领域的公司。在全球各大实验室里，生物医学工程师们已经在使用智能眼镜诊断疾病，得益于新型柔性微型半透明电路的发展以及水凝胶制造镜片的可能，这几种智能隐形眼镜获得了巨大的进展，正走出实验室。 “ Triggerfish ” 智能隐形眼镜直径约 14 毫米，厚度仅为 100 到 200 微米，其小曲面上需要容纳传感器以及微电子电路，以便实现监测、能耗管理以及数据传送。“ Triggerfish ” 由瑞士洛桑的生物技术公司 Sensimed 制造。这个柔软的一次性隐形眼镜使用压阻应变传感器来测量眼压。传感器在液体压力的作用下延展，检测眼角膜周边的细微变化。 此款眼镜能够通过提供对眼压的连续监测，从而使得患者的个性化青光眼治疗成为可能：在 24 小时内，镜片会以 5 分钟一次的频率检测眼压，数据将被近场感应无线传输到接收器中。这个接收器在环绕用户眼睛的贴片上，通过数据线连接到病人挂在脖子上的记录器，随后数据将通过蓝牙被传送至医生的电脑。 另外，这种眼压测量技术已经经过临床和实践检验，能够提供可信赖的压力数据。目前它已可在 33 个国家买到，最近还获得了美国的监管许可。鉴于临床和实践检验有效，现在，经过培训的医生们已经开始使用 Sensimed 公司的产品通过周期性检查为青光眼患者诊断病情了。不过，Triggerfish 隐形眼镜的使用也就仅止于这一天 24 小时的检查。因为长期更换、佩戴设备实在太过麻烦。 Telltale Tears 则是另一种用途的智能隐形眼镜，能够通过使用者的眼睛分泌物来检测血糖水平。一旦研发成功，就能帮助糖尿病患者摆脱血糖仪。对于全球 4.22 亿糖尿病人来说，这个带有微传感器，能持续测量血糖水平的智能隐形眼镜将为他们的生活带来一场革命。因为大多数糖尿病患者需要每天多次刺破他们的手指来检测血糖。这种麻烦恐怕是难以避免的，因为血糖会随着吃饭、运动和其他日常活动而变化。即使将电极植入皮肤下的血糖持续监测也许要每天刺破手指多次来校准。 不过，在实现商业化之前，研究人员仍需解决一些问题。第一个问题就与基础泪液中葡萄糖的含量有关，眼泪中微量的葡萄糖可能不足以用来准确监测血糖。此外，科学家们也在讨论血糖和眼泪中葡萄糖的相关性。最后，用于滋润眼睛的基础泪液、由于眼睛受刺激产生的眼泪、由于情绪产生的眼泪，这三种眼泪中的葡萄糖含量是否会有显著不同？这些问题都需要被论证解决。 无论是治疗青光眼的 Triggerfish 还是检测血糖的 Telltale Tears，它们距离商业化都有一定的距离。全球第一个实现商业化的植入式智能镜片 是 Eye-Mate，它来自德国汉诺威的眼科公司 Implandata，在今年五月份获得了监管批准。 尽管这款需要手术植入的镜片看起来似乎没有一次性隐形眼镜方便，但这并不是很大的缺点。因为它的植入可以在进行白内障手术的时候完成，而白内障手术是一个每年有数百万人做过的小门诊手术。虽然智能隐形眼镜和植入式镜片遇到了很多困难，其远大前景会支持我们继续为之努力。在下一个十年，你可以预见到会有很多医疗用途的智能眼镜诞生。 稿源：cnBeta、深科技，封面源自网络；