分类: 黑客事件

洲际酒店遭遇黑客破坏性攻击

有黑客告诉BBC,他们对假日酒店(Holiday Inn)的所有者洲际酒店集团(IHG)进行了一次破坏性的网络攻击,目的则是“为了好玩”。他们自称来自越南,一开始他们尝试了勒索软件攻击,然后在被挫败后删除了大量的数据。 资料图 他们通过一个容易找到的弱密码Qwerty1234进入这家FTSE 100指数公司的数据库。 一位专家称,该案件突出了犯罪黑客的报复性一面。 总部位于英国的IHG在全球经营着6000家酒店,包括假日酒店、皇冠假日酒店和丽晶酒店等品牌。 上周一,客户报告了预订和入住方面的广泛问题。 IHG在事件发生后24小时内对社交媒体上的投诉作出回应,称公司正在进行系统维护。 然后在周二下午,它告诉投资者,它被黑客攻击了。 它在提交给伦敦证券交易所的一份正式通知中说道:“自昨天以来,预订渠道和其他应用程序已被严重破坏。” 自称TeaPea的黑客团伙在加密信息应用Telegram上跟BBC取得了联系,他们提供了截图以作为他们实施黑客攻击的证据。 IHG已经确认这些图片是真实的。据悉,这些图片显示了黑客获得对该公司内部Outlook电子邮件、Microsoft Teams聊天和服务器目录的访问。 “我们的攻击原本计划是一个勒索软件,但公司的IT团队在我们有机会部署它之前一直在隔离服务器,所以我们想来点有趣的,”其中一名黑客说道,“我们做了一个雨刷攻击(wiper attack)。” 雨刷攻击是一种网络攻击形式,其会不可逆地破坏数据、文件和文档。 网络安全专家、Forescout公司安全副总裁Rik Ferguson指出,这一事件是一个警示故事,因为尽管该公司的IT团队最初找到了抵御他们的方法,但黑客仍能找到造成破坏的方法。 “黑客们改变策略似乎是出于报复性的挫折感。他们赚不到钱,所以他们大打出手,这绝对暴露了一个事实,即我们在这里谈论的不是‘专业’网络犯罪分子,”Ferguson说道。 IHG表示,面向客户的系统正在恢复正常,但服务仍可能存在断断续续的情况。 黑客们对他们给公司及其客户造成的干扰没有表现出任何悔意。 “我们并不感到内疚,真的。我们更希望在越南有一份合法的工作,但工资是每月平均300美元。我相信我们的黑客攻击不会对公司造成很大的伤害,”他们说道。 黑客们说没有客户数据被盗,但他们确实有一些公司数据–包括电子邮件记录。 TeaPea称,他们通过诱骗一名员工通过诱杀的电子邮件附件下载了一个恶意软件进入了IHG的内部IT网络。另外,他们还必须绕过作为双因素认证系统的一部分而发送到工人设备的额外安全提示信息。 犯罪分子称,在找到公司内部密码库的登录信息后,他们进入了IHG计算机系统的最敏感部分。 “保险库的用户名和密码向所有员工开放,因此20万名员工可以看到,”他们告诉BBC,“密码非常弱。” 令人惊讶的是,这个密码是Qwerty1234,而它经常会出现在全球最常用的密码名单上。 Ferguson在看到截图后说道:“敏感数据应该只提供给需要访问该数据以完成其工作的员工,而且他们应该拥有使用该数据所需的最低级别的访问权限。即使是高度复杂的密码,如果它被暴露,也和简单的密码一样不安全。” IHG的一位女发言人对密码库细节不安全的说法提出异议,她指出,攻击者必须避开“多层安全”,不过她不愿透露有关额外安全的细节。此外,她还补充道:“IHG采用了深入防御的信息安全策略,进而可以利用许多现代安全解决方案。” 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1317511.htm 封面来源于网络,如有侵权请联系删除

Uber 被黑,内部系统和机密文件均遭到破坏

据悉,Uber 再次遭到入侵,威胁行为者访问了其电子邮件和云系统、代码存储库、内部 Slack 帐户和 HackerOne 票据,攻击者渗透其内部网络并访问内部文件,包括漏洞报告。 据《纽约时报》报道,威胁者入侵了一名员工的 Slack 账户,并用它来通知内部人员该公司“遭受了数据泄露”,并提供了一份据称被黑客入侵的内部数据库列表。 “我宣布我是一名黑客,Uber遭到数据泄露。” 该公司被迫使其内部通信和工程系统离线,以减轻攻击并调查入侵。 据称,攻击者破坏了多个内部系统,并向《纽约时报》和一些网络安全研究人员提供了电子邮件、云存储和代码存储库的图像。“他们几乎可以完全访问 Uber,”Yuga Labs 的安全工程师 Sam Curry 说,他与声称对此次违规行为负责的人进行了通信。“从它的样子来看,这是一个彻底的妥协。” 攻击者还可以访问公司的 HackerOne 漏洞赏金计划,这意味着他们可以访问白帽黑客提交给公司的每个漏洞报告。这些信息非常重要,威胁者可以利用它发动进一步的攻击。目前无法排除报告包含有关公司尚未修复的一些缺陷的技术细节。 HackerOne 已立即禁用 Uber 漏洞赏金计划,阻止对报告问题列表的任何访问。公司发言人证实,Uber通知执法部门并开始对事件进行内部调查。 Uber首席信息安全官 Latha Maripuri 通过电子邮件告诉《纽约时报》:“我们目前无法估计何时恢复对工具的完全访问权限,因此感谢您对我们的支持。” 员工被指示不要使用内部消息服务 Slack,其中一些不愿透露姓名的员工告诉纽约时报,其他内部系统无法访问。 这名黑客自称18岁,并补充说优步的安全性很弱,在通过 Slack 发送的消息中,他还表示优步司机应该获得更高的工资。 据悉,这不是Uber第一次遭遇安全漏洞。2017 年,2016 年发生的另一起数据泄露事件成为头条新闻。 2017 年 11 月,Uber 首席执行官 Dara Khosrowshahi 宣布黑客侵入了公司数据库并访问了 5700 万用户的个人数据(姓名、电子邮件地址和手机号码),令人不安的发现是该公司掩盖了黑客行为一年多。攻击者还访问了其在美国大约 600,000 名司机的姓名和驾照号码。 黑客事件发生在 2016 年,根据彭博社发布的一份报告,黑客很容易  从公司开发团队使用的私人 GitHub 站点获取凭据。黑客试图勒索优步,并要求该公司支付 10 万美元,以换取避免公布被盗数据。 信息安全主管乔·沙利文(Joe Sullivan)没有按照加州数据安全违规通知法的要求向客户和执法部门通知数据泄露事件,而是下令支付赎金并掩盖破坏任何证据的故事。奖金被伪装 成漏洞赏金 ,并签署了保密协议。 如果Slack被判有罪,这将是第一次有安全专业人员因此类事件而被追究个人责任。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/WadncDZ4Qq79rq-uUKSIag 封面来源于网络,如有侵权请联系删除

有黑客在 Edge 浏览器“My Feed”页面投放技术诈骗广告

微软部署了多项措施以增强 Windows 11 系统的安全,并为 Edge 浏览器引入了诸如“Enhanced Security”等安全功能。不过近日反病毒解决方案提供商 Malwarebytes 发现了一个恶意活动,通过在 Edge 浏览器中“My Feed” 区域植入恶意广告来实现科技支持诈骗。 上图是恶意广告活动的屏幕截图,其中显示了一个虚假的浏览器储物柜页面以欺骗潜在的受害者。下图显示了解释活动如何运作的步骤。该广告软件的运行方式很聪明,因为 Malwarebytes 发现恶意广告横幅仅将潜在目标重定向到技术支持诈骗页面。 同时,机器人、VPN 和地理位置会显示在由 Taboola 广告网络提供支持的实际广告页面中。该公司指出,差异化是在 base64 编码的 JavaScript 字符串的帮助下实现的。 在短短 24 小时内,Malwarebytes 设法收集了 200 多个不同的主机名。其中一个相关域与一个似乎是在印度德里运营的软件公司的主管的个人相关联。您可以在 Malwarebytes 关于该主题的博客文章中找到有关此恶意广告活动的更多详细信息。   转自 CnBeta,原文链接:https://www.cnbeta.com/articles/tech/1316813.htm 封面来源于网络,如有侵权请联系删除

国外流行的同性恋 APP 被黑灰产们盯上了

据Bleeping Computer消息,同性恋应用程序Sniffies近日被黑灰产们盯上了。他们通过推销各类诈骗和不安全的谷歌Chrome扩展程序域名来诱导用户。在某些情况下,这些非法域名会启动 Apple Music 应用程序,提示用户购买订阅,这反过来又会为攻击者赚取佣金。 Sniffies是2018年面世的一款基于地图的现代聚会应用程序,适用于男同性恋、双性恋和对此感到好奇的用户。该APP的核心特色是创建了一个丰富的,可在地图上显示附件用户的界面,极大地方便人们寻找其他人,并迅速成为广受欢迎的热门工具,由此也引起了攻击者的注意。 Sniffies被用于黑灰产 近段时间以来,安全研究人员观察到,针对 Sniffies 网站和应用程序的黑灰产活动十分猖獗。白帽黑客Kody Kinzie表示自己至少发现了50多个域名是攻击者假冒的,其中大多数都是Sniffies 品牌名称的拼写变体。 攻击者创建这些假的域名,其目的就是为了引诱那些没有认真区分 Sniffies 网站的用户,而一旦用户登陆访问了这些虚假域名,那么很有可能会被执行以下操作: 诱骗用户安装可疑的 Chrome 扩展程序; 通过网络浏览器在Apple设备上启动“音乐”应用程序; 诱骗用户访问虚假的技术“支持”诈骗网站; 诱骗用户访问虚假招聘网站。 举个例子,当用户访问虚假域名后,会自动唤醒Apple Music 原生应用程序,提示用户按月付费订阅,而这将给黑灰产们带来不菲的会员佣金。 Sniffies 的域名仿冒域名试图启动 Apple Music 原生应用 此外还有不安全的Google Chrome 扩展程序,用户访问后网站就会推荐安装“ AdBlock Max – 删除侵入性广告”和“电影数据库”等,但实际上这类拓展程序的最终目的是将用户重定向至诈骗网站。 虚假的 Chrome 扩展程序 有意思的是,白帽黑客竟然在AdBlock Max中发现了一些广告拦截代码,但是想要依靠这些代码来防御“侵入性广告”无疑是徒劳的,反而给整个事件蒙极具“讽刺意味”。此外,不少扩展程序可能带有不需要的功能,例如跟踪功能等。 不仅仅是Sniffies 事实上,类似的黑灰产活动并非首次出现,相反这已经成为攻击者常用的手法,大量注册知名品牌的相关域名,并以此引诱那些粗心的用户。例如维珍航空的用户可能一时无法辨认virginatlantc.com域名,其表现出的行为与Sniffies活动中的欺诈行为有非常多的相似之处,只不过针对 Sniffies.com 用户的域数量更加庞大。 Kinzie 使用开源工具DNSTwist 被动生成 Sniffies.com 的排列,在该工具生成的 3531个域名列表中,有51个以Web应用程序命名的有效域,并指出虽然这些域名托管在随机平台上,但是很多域名注册在同一个 MX 服务器上。 虽然Google浏览器对于这些不安全的域名会弹出安全警告,以此提醒用户注意安全,但在实际过程中,还有很多Sniffies假冒域名并没有被警告。近年来,这样的假冒网站已呈现越来越的趋势,其模拟程度也越来越逼真,使得用户难以辨认真假。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344555.html 封面来源于网络,如有侵权请联系删除

俄罗斯主要电视台又一次播放“反战信息”:遭亲乌黑客劫持

安全内参9月14日消息,上周日(9月11日),亲乌克兰的恶意黑客入侵了俄罗斯电视频道并播放反战信息,还将俄罗斯对乌克兰的攻击与美国纽约遭遇9/11恐怖袭击相提并论。 亲乌黑客团伙“hdr0”的一名成员在Telegram上表示,Channel One Russia、Russia-24及Russia-1等多个俄罗斯电视频道均已受到攻击影响。该团伙没有披露攻击实施细节,也未提及具体有多少观众看到了他们发布的反战信息。 这不是黑客活动分子首次将矛头指向俄罗斯电视频道。今年5月,曾有黑客用反战信息替换了普京总统在莫斯科胜利日阅兵式(纪念二战纳粹德国的战败)上的广播,内容为“你的手上,沾满了成千上万乌克兰人与众多死难儿童的鲜血。” 圣彼得堡的电视节目遭到黑客入侵。所有数字频道开始播放以9/11纽约恐怖袭击开篇的剪辑片段,然后巧妙切换至普京部队在乌克兰各地的可怕攻击镜头。非常震撼。 @igorsushko 周末被黑的电视节目播放了俄罗斯攻击乌克兰城市的镜头,还播放了乌克兰总统泽连斯基及其他全球领导人对于俄对乌开战暴行的谴责。 “世界看到了恐怖主义的面貌,却没有认出它真正的主人。全世界在阿富汗和伊拉克寻找恐怖主义……但恐怖分子的源头却在莫斯科。” “他们(俄罗斯人)终于看到了真相,无论是否喜欢。” 广电媒体成俄乌冲突期间攻击重点 上周,该团伙还声称入侵了克里米亚一家俄罗斯电视台,并播放了泽连斯基的公开讲话。他们还呼吁当地民众采取行动,为乌克兰军方控制该地区做好准备。 今年8月,克里米亚的俄罗斯电视台同样遭遇类似袭击:黑客开篇提出“克里米亚是乌克兰领土”,随后播放了泽连斯基的演讲。 在对抗的另一端,亲俄派黑客也有类似的动作。今年7月,乌克兰最大广播公司的多个广播电台遭黑客入侵,开始放送泽连斯基住院并生命垂危的假消息。 6月,黑客攻击了乌克兰流媒体服务Oll.tv,用俄罗斯的宣传内容替换掉了乌克兰对威尔士的足球比赛转播。据乌克兰国家公共广播公司总制片人Dmytro Khorkin介绍,今年2月,该公司还遭遇过一次分布式拒绝服务(DDoS)攻击。 他在事后接受采访时表示,“自俄乌战争爆发以来,俄罗斯就一直在攻击我们。” 转自 安全内参,原文链接:https://www.secrss.com/articles/46918 封面来源于网络,如有侵权请联系删除

受欢迎的学校短信应用 Seesaw 遭黑客攻击,向家长发送露骨的图像

据NBC News报道,一款供家长和教师使用的短信应用的开发商周三表示,其应用遭到黑客攻击,因为一些家长说他们收到了带有一张在互联网上臭名昭著的露骨照片的信息。伊利诺伊州、纽约州、俄克拉荷马州和得克萨斯州的学区负责人周三都表示,这张照片是通过该应用程序Seesaw发给家长和教师的私人聊天记录。 Seesaw的网站显示,有1000万名教师、学生和家庭成员在使用其应用,它拒绝透露有多少用户受到影响。 Seesaw营销副总裁Sunniya Saleem在一份电子邮件声明中说:“特定的用户账户被外部行为者入侵”,“我们正在极其认真地对待此事”。 她说:“我们的团队继续监控这一情况,以确保我们防止这些图片进一步传播,使任何Seesaw用户无法看到。” 该公司在后续的电子邮件中表示,黑客没有获得对Seesaw的管理权限,而是通过所谓的凭证填充攻击攻破了个人用户账户。在这种攻击中,黑客通过以前的数据泄露事件来确定用户名和密码的组合。网络安全专家建议不要在多个网站上重复使用相同的密码,以避免凭证填充攻击。 照片以链接的形式发送给一些家长和老师,bitly是一种流行的链接缩短服务,可以掩盖实际的网络地址。对于一些用户来说,该应用程序在聊天中自动描绘了该图像。 Chris Krampert的孩子在佛罗里达州上小学,他向NBC News提供了一份截屏,显示他妻子的账户向惊恐的父母发送了自动显示在聊天中的图片。该图片是一张臭名昭著的模因照片,其中有一名男子正在进行露骨的行为。 一些学区发布公告,警告家长不要打开通过Seesaw发送的链接。伊利诺伊州汉诺威公园基尼维尔小学20区网站的访问者收到了弹出式警告。它说:“请不要打开今天早上在Seesaw消息中发给你的任何‘bitly’链接。它可能显示为从另一个学校家庭发给你的信息,但请立即删除该信息,不要打开,因为发送了不适当的内容。” 位于纽约哈德逊河畔卡斯尔顿的卡斯尔顿小学在其网站上宣布,它也看到了安全漏洞的证据。它说:“与此同时,如果你需要与你的学生的老师交谈,请向他们发送电子邮件。” 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1316433.htm 封面来源于网络,如有侵权请联系删除

黑客组织 GhostSec 称入侵以色列 55 家 Berghof PLC

“巴以冲突”在网络上依然硝烟弥漫。当地时间9月12日消息,一个名为GhostSec的黑客组织声称入侵了以色列55台Berghof可编程逻辑控制器(PLC)。该网络攻击行为被视为“解放巴勒斯坦”运动的组成部分。 以色列工业网络安全公司OTORIO对此次事件进行了深入调查,该公司表示,PLC可以通过互联网访问,而且仅有简单的保护凭证,因此该漏洞才得以实现。 9月4日,GhostSec在其Telegram频道上分享了一段视频,展示了成功登录PLC管理面板的过程,以及从被入侵的控制器中转储数据,首次公开此次入侵的细节。 安全公司表示,系统转储文件和屏幕截图是在未经授权下,通过控制器的公共IP地址访问后直接从管理面板导出的。 巴勒斯坦黑客组织GhostSec GhostSec又名Ghost Security(幽灵安全),于2015年首次发现,具有亲巴勒斯坦背景,自称为治安组织,最初成立的目的是针对宣扬伊斯兰极端主义(ISIS)的网站。 今年2月初,俄乌战争爆发后,该组织立即集结起来支持乌克兰。自6月下旬以来,它还参加了一项针对以色列组织和企业的运动。 Cyberint在7月14日指出:“GhostSec转而针对多家以色列公司,可能获得了各种IoT接口和ICS/SCADA系统的访问权限。” 针对以色列目标的攻击活动被称为“#OpIsrael”(反抗以色列),据传始于2022年6月28日,理由是“以色列对巴勒斯坦人的持续攻击”。 在此期间,GhostSec进行了多次攻击,包括针对Bezeq国际公司互联网暴露接口攻击和对科学工业中心(Matam)的ELNet电能表攻击。 从这个角度来看,对Berghof PLC的入侵是GhostSec转向攻击SCADA/ICS领域的一种行动。 研究人员表示:“尽管这次事件的影响很低,但这是一个很好的例子,说明通过简单、适当的配置,可以轻松避免网络攻击,例如禁止向互联网公开资产,保持良好的密码策略,更改默认的登录凭证,可以很好地阻止黑客入侵。” 研究人员解释说,即使攻击并不复杂,OT基础设施的入侵也可能非常危险。GhostSec没有访问和控制HMI,也没有利用Modbus接口,这表明她们可能对OT领域不熟悉。 与此同时,GhostSec继续发布更多截图,声称已经获得了另一个控制面板的权限,可以用来改变水中的氯气和pH值。但其表示,出于为以色列公民安全考虑,不会攻击水厂的工控设备。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344476.html 封面来源于网络,如有侵权请联系删除

近 6 年黑客企图入侵韩国政府网络近 56 万次

韩联社首尔9月13日电 韩国国会行政安全委员会所属共同民主党籍议员李海植13日公开的一份资料显示,近6年来黑客企图入侵韩国政府网络系统近56万次。 这份来自行政安全部的统计资料显示,近5年零7个月(2017年到2022年7月)期间,黑客共55.8674万次企图入侵政府网络系统。按年度看,2017年为6.2532万次,2018年为9.498万次,2019年为12.4754万次,2020年为10.881万次,2021年为10.1123万次,整体呈逐年递增趋势。今年1月至7月共6.6475万次。 追踪网络层协议(IP)地址的结果显示,来自中国的攻击试图最多,共有12.7908万次(22.9%),其次是来自美国的11.3086万次(20.2%),韩国的4.7725万次(8.5%),俄罗斯的2.6261万次(4.7%),德国的1.5539万次(2.8%),巴西的1.3591万次(2.4%)等。按攻击类型来看,泄露信息(40.9%)最多,其次是收集信息(16.5%)、篡改网页(15.7%)、获取系统权限(14.2%)等。 李海植表示,试图攻击政府网络的黑客逐年增加意味着国家安全和国民的个人信息受到威胁,有必要从政府层面制定全面的网络安全防范对策。 转自 安全内参,原文链接:https://www.secrss.com/articles/46841 封面来源于网络,如有侵权请联系删除

黑客利用伪造的弹出登录窗口窃取 Steam 帐户

据Bleeping Computer 9月12日消息,网络黑客正利用新型浏览器网络钓鱼技术——Browser In The Bopwser(BITB),在游戏平台Steam窃取用户账户。 BITB是一种正逐步流行的攻击手法,主要是在活动窗口中创建伪造的登录页面,通常为用户所要登录服务的弹出页。 今年3月,Bleeping Computer 曾报道过由安全研究员 mr.d0x创建的这种新网络钓鱼工具包,该工具包可以让攻击者为 Steam、Microsoft、Google 和任何其他服务创建虚假登录表单。该项目的初中主要是服务于攻防中的红底人员。 9月12日,由 Group-IB发布的关于此类攻击的研究报告中说明了BITB攻击针对Steam用户的钓鱼过程,并出售这些账户的访问权限。这些目标账户通常价值不菲,大多在 100000 美元到 300000 美元之间。 以锦标赛为诱饵 钓鱼的第一步,是在Steam上向受害目标发送加入英雄联盟、CS、Dota 2 或 PUBG 锦标赛团队的邀请,受害者若点击邀请中的链接,就会被带往一个赞助和举办电子竞技比赛组织的网站,该网站实质上是一个钓鱼站点,受害者会被要求使用Steam账号登录加入团队,但登录页面窗口并不是覆盖在现有网站上的实际浏览器窗口,而是在当前页面中创建的虚假窗口,因此很难将其识别为网络钓鱼攻击。 显示为游戏锦标赛平台的钓鱼页面 钓鱼登录页面甚至支持27个国家的语言,能自动从受害者的浏览器偏好中检测语言设置并加载相应的语言。一旦受害者输入他们的Steam账户凭证,一个新产生的表单会提示输入 2FA 代码,如果身份验证成功,用户将被重定向到 C2 指定的 URL,通常会是一个合法地址,以最大限度地减少受害者意识到这是网络钓鱼的可能性。 此时,受害者的凭证已被盗并已发送给攻击者。在类似的攻击中,攻击者为尽快控制窃取的 Steam 帐户,会立即更改密码和电子邮件地址,使受害者很难重新索回账户。 如何发现BITB攻击? 在所有BITB网络钓鱼案例中,网络钓鱼窗口中的 URL 都是合法的,其本质是一个渲染窗口,而非浏览器窗口。该窗口甚至允许用户拖动、将其最小化、最大化或者关闭,因此很难将其识别为这是一个在浏览器中生成的虚假浏览器窗口。 由于该技术需要 JavaScript,因此阻止 JS 脚本是有效的预防措施之一,但这一操作有时会妨碍许多正常网站的一些功能。最主要的是应当警惕在Steam等平台上收到的陌生消息,避免点击未知的链接。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344356.html 封面来源于网络,如有侵权请联系删除

量子密码学:让量子计算机背后的黑客无功而返

互联网上充满了高度敏感的数据。一般来说,复杂的加密技术可以保证这些材料无法被截获和读取。然而,在未来,高性能的量子计算机可以在几秒钟内破解这些密钥。而幸运的是,量子力学方法不仅提供了新的、快得多的算法,而且还提供了非常有效的可以与之对抗的密码学。 量子密钥分发 (QKD) 可以安全地抵御对通信通道的攻击,但不能抵御对设备本身的攻击或操纵。这是因为设备可能会输出一个制造商之前保存的密钥,并可能传递给黑客。与设备无关的QKD(缩写为DIQKD)则是一个不同的概念。加密协议不受设备的影响。这项技术自20世纪90年代起就在理论上为人所知,但它刚刚由慕尼黑路德维希-马克西米利安大学的物理学家哈拉尔德·温弗特和新加坡国立大学的查尔斯·林领导的一个国际研究小组在实验上实现。 交换量子力学密钥的方法有很多。发射器向接收器发送光信号,或者采用纠缠的量子系统。科学家们在目前的实验中采用了两个量子力学纠缠的铷原子,在LMU校园内相隔400米的两个实验室里。这两个设施由一条700米长的光缆连接,光缆从主楼前的Geschwister Scholl广场下穿过。 为了创造纠缠,科学家们首先用一个激光脉冲刺激每个原子。在这之后,原子自发地回到它们的基态,每个原子都释放出一个光子。由于角动量守恒,原子的自旋与它所发射的光子的偏振相纠缠。这两个光粒子通过光缆到达一个接收站,在那里对光子的综合测量显示了原子量子记忆纠缠。 为了交换密钥,Alice与Bob–这通常被密码学家称为两方测量他们各自原子的量子状态。在每种情况下,这是在两个或四个方向上随机进行的。如果方向一致,测量结果就会因纠缠而相同,并可用于生成密匙。对于其他测量结果,可以评估一个所谓的贝尔不等式。物理学家约翰·斯图尔特·贝尔最初提出这些不等式是为了测试自然界是否可以用隐藏的变量来描述。 “事实证明,它不能,”温弗特说。 在DIQKD中,该测试被用来”专门确保在设备上没有任何操作–也就是说,例如,隐藏的测量结果没有被事先保存在设备中,”温弗特解释说。 与早期的方法相比,由新加坡国立大学的研究人员开发的实施的协议使用两个测量设置来生成密钥,而不是一个。林说:”通过引入密钥生成的额外设置,截获信息变得更加困难,因此该协议可以容忍更多的噪音,甚至对于质量较差的纠缠状态也能生成密匙。” 相比之下,用传统的QKD方法,只有在所使用的量子设备被充分表征的情况下才能保证安全性。”因此,这种协议的用户必须依赖QKD供应商提供的规格,并相信设备在密钥分发期间不会切换到另一种工作模式,”Tim van Leent解释说,他是与Zhang Weo和Kai Redeker一起撰写该论文的四位主要作者之一。”至少十年前就已经知道,老式的QKD设备很容易从外部被入侵。” 温弗特解释说:”用我们的方法,我们现在可以用未定性的、可能不值得信赖的设备生成秘钥。” 事实上,他最初对该实验是否会成功也有怀疑。但他的团队证明了他的疑虑是没有根据的,并大大改善了实验的质量。除了LMU和NUS之间的合作项目,牛津大学的另一个研究小组也展示了独立于设备的密钥分配。为了做到这一点,研究人员在同一个实验室里使用了一个由两个纠缠的离子组成的系统。 “这两个项目为未来的量子网络奠定了基础,在这种网络中,远距离的通信是可能的,”查尔斯·林说。 研究人员下一个目标之一是扩大该系统,纳入几个纠缠的原子对。这将允许产生更多的纠缠状态,从而提高数据速率,最终提高密钥的安全性。 此外,研究人员还希望能增加范围。在目前的装置中,它受到实验室之间的光纤中大约一半的光子损失的限制。在其他实验中,研究人员能够将光子的波长转化为适合电信的低损耗区域。通过这种方式,只需一点额外的噪音,他们就能将量子网络的连接范围增加到33公里。 转自 CnBeta,原文链接:https://www.cnbeta.com/articles/tech/1315045.htm 封面来源于网络,如有侵权请联系删除