黑客窃取俄罗斯银行近百万美元
黑客组织 MoneyTaker 本月初从俄罗斯 PIR Bank 窃取了大约 91 万美元。黑客对 PIR Bank 的攻击始于五月,他们首先入侵了银行分支的一个路由器,将其作为入口访问了银行的本地网络。当 MoneyTaker 入侵了 PIR Bank 主网络之后他们设法获得了 Automated Work Station Client of the Russian Central Bank(AWS CBR) 访问权限,生成了付款单,将钱转到提前准备好的钱骡子账号。7 月 4 日晚上,当银行雇员发现大笔未经授权的交易之后,他们要求监管机构屏蔽 AWS CBR 数字签名密钥,但他们未能及时阻止资金转移。大部分钱当天被转到了银行卡内并被钱骡子立即取出。攻击者使用了多种恶意程序,其中一种是 MoneyTaker v5.0,大部分恶意程序只存在内存里不会保存到硬盘内。Media
https://www.solidot.org/story?sid=57273
黑客组织 MoneyTaker 本月初从俄罗斯 PIR Bank 窃取了大约 91 万美元。黑客对 PIR Bank 的攻击始于五月,他们首先入侵了银行分支的一个路由器,将其作为入口访问了银行的本地网络。当 MoneyTaker 入侵了 PIR Bank 主网络之后他们设法获得了 Automated Work Station Client of the Russian Central Bank(AWS CBR) 访问权限,生成了付款单,将钱转到提前准备好的钱骡子账号。7 月 4 日晚上,当银行雇员发现大笔未经授权的交易之后,他们要求监管机构屏蔽 AWS CBR 数字签名密钥,但他们未能及时阻止资金转移。大部分钱当天被转到了银行卡内并被钱骡子立即取出。攻击者使用了多种恶意程序,其中一种是 MoneyTaker v5.0,大部分恶意程序只存在内存里不会保存到硬盘内。Media
https://www.solidot.org/story?sid=57273
Project Loon 与肯尼亚签署首个商业协议
Alphabet 的互联网气球项目 Project Loon 与肯尼亚签署首个商业协议 ,利用高空气球为偏远地区提供联网服务。Project Loon 将与肯尼亚电信合作,肯尼亚电信提供网络信号,Loon 将其传递到偏远地区。肯尼亚的大城市和城镇有超过 4500 万人口,已被运营商网络覆盖,但大部分农村地区仍然缺乏网络覆盖。肯尼亚信息、通信和科技部长 Joe Mucheru 称,连通性至关重要。如果你不在网上,你就被遗忘了。Project Loon 的高空气球工作在同温层, 每个气球安装了一个太阳能驱动的泵,通过释放或增加气体来上下移动。Media
https://www.solidot.org/story?sid=57274
Alphabet 的互联网气球项目 Project Loon 与肯尼亚签署首个商业协议 ,利用高空气球为偏远地区提供联网服务。Project Loon 将与肯尼亚电信合作,肯尼亚电信提供网络信号,Loon 将其传递到偏远地区。肯尼亚的大城市和城镇有超过 4500 万人口,已被运营商网络覆盖,但大部分农村地区仍然缺乏网络覆盖。肯尼亚信息、通信和科技部长 Joe Mucheru 称,连通性至关重要。如果你不在网上,你就被遗忘了。Project Loon 的高空气球工作在同温层, 每个气球安装了一个太阳能驱动的泵,通过释放或增加气体来上下移动。Media
https://www.solidot.org/story?sid=57274
微软披露针对美国中期选举的钓鱼攻击
微软负责安全的副总裁 Tom Burt 透露,该公司发现并帮助组织了针对三名参加今年美国国会中期选举的候选人的网络攻击尝试。这是中期选举首个公开的网络干预案例。Burt 在 Aspen 安全论坛上称,他们发现一个假的微软域名被用于发动钓鱼攻击,元数据显示攻击针对的是三名候选人,他们都参加今年的中期选举。Burt 拒绝透露拒绝攻击目标的姓名,只是表示从间谍和中期选举的角度看他们可能是感兴趣的目标。微软关闭了假的域名并与联邦政府合作屏蔽了钓鱼信息。Media
https://www.solidot.org/story?sid=57275
微软负责安全的副总裁 Tom Burt 透露,该公司发现并帮助组织了针对三名参加今年美国国会中期选举的候选人的网络攻击尝试。这是中期选举首个公开的网络干预案例。Burt 在 Aspen 安全论坛上称,他们发现一个假的微软域名被用于发动钓鱼攻击,元数据显示攻击针对的是三名候选人,他们都参加今年的中期选举。Burt 拒绝透露拒绝攻击目标的姓名,只是表示从间谍和中期选举的角度看他们可能是感兴趣的目标。微软关闭了假的域名并与联邦政府合作屏蔽了钓鱼信息。Media
https://www.solidot.org/story?sid=57275
中国黑客在普京特朗普峰会期间攻击物联网设备
美国总统特朗普与俄罗斯总统普京在芬兰赫尔辛基举行峰会前四天,来自中国的黑客对物联网设备发动了一系列暴力攻击,试图获得能收集音频或视频情报的设备的控制权限。安全公司 F5 称,针对物联网设备的流量在 7 月 12 日出现大幅增长。中国通常是网络攻击流量的主要来源,今年五月,来自中国的攻击流量占了 29%。7 月 12 日中国的攻击流量增加到了 34%。中国黑客的目标主要是 SSH 端口 22。SSH 暴力攻击主要被用于利用联网系统和物联网设备的漏洞。物联网设备通常使用 SSH 进行安全的远程管理。Media
https://www.solidot.org/story?sid=57276
美国总统特朗普与俄罗斯总统普京在芬兰赫尔辛基举行峰会前四天,来自中国的黑客对物联网设备发动了一系列暴力攻击,试图获得能收集音频或视频情报的设备的控制权限。安全公司 F5 称,针对物联网设备的流量在 7 月 12 日出现大幅增长。中国通常是网络攻击流量的主要来源,今年五月,来自中国的攻击流量占了 29%。7 月 12 日中国的攻击流量增加到了 34%。中国黑客的目标主要是 SSH 端口 22。SSH 暴力攻击主要被用于利用联网系统和物联网设备的漏洞。物联网设备通常使用 SSH 进行安全的远程管理。Media
https://www.solidot.org/story?sid=57276
Google Ventures 利用算法帮助判断是否进行投资
在寻求批准新投资时,大多数风投家是去找合伙人。但 Google Ventures 或现在叫 GV 的风投家是去找 The Machine。GV 多年来一直使用算法来帮助判断是否允许或禁止新的和后续的投资。雇员将交易细节输入到使用各种市场数据编程的 The Machine 中,返回类似交通信号灯的输出结果:红色表示停止,绿色表示放行,黄色表示谨慎。知情人士称,黄色的意思通常与红色一样。The Machine 最初是作为尽职调查助理设计和使用的,其结果可以被推翻,但如今它已经变成了事实上一锤定音的投资委员会。GV 成立于 2009年,是最早雇佣工程师的风险投资公司之一,因为早期雇员没有多少投资经验,The Machine 利用工程上的优势来弥补投资上的弱点。Media
https://www.solidot.org/story?sid=57277
在寻求批准新投资时,大多数风投家是去找合伙人。但 Google Ventures 或现在叫 GV 的风投家是去找 The Machine。GV 多年来一直使用算法来帮助判断是否允许或禁止新的和后续的投资。雇员将交易细节输入到使用各种市场数据编程的 The Machine 中,返回类似交通信号灯的输出结果:红色表示停止,绿色表示放行,黄色表示谨慎。知情人士称,黄色的意思通常与红色一样。The Machine 最初是作为尽职调查助理设计和使用的,其结果可以被推翻,但如今它已经变成了事实上一锤定音的投资委员会。GV 成立于 2009年,是最早雇佣工程师的风险投资公司之一,因为早期雇员没有多少投资经验,The Machine 利用工程上的优势来弥补投资上的弱点。Media
https://www.solidot.org/story?sid=57277
新西兰试验显示每周工作四天提高了生产力
新西兰公司 Perpetual Guardian 今年三月和四月进行了一项试验,将每周工作时间从 40 小时减少至 32 小时,结果发现缩短工作时间实际上提升了 240 名员工的生产力;员工则表示他们有更多时间陪伴家人、锻炼、下厨,打理花园了。奥克兰理工大学人力资源教授哈尔 (Jarrod Haar) 表示,员工们报告他们的工作与生活之间的平衡提升了 24%,并且在放假后回来工作感到更加精力充沛。“主管们表示员工变得更有创意,出勤率变高,上班准时,而且不会早退和长时间休息了,” 哈尔表示。“尽管工作四天,而不是五天,但他们实际的工作表现并没有改变。”其他国家也有过类似的试验:瑞典哥德堡市的一项尝试要求人们一天工作六小时,结果官员们发现员工完成的工作量一样,甚至还要更多。但法国 2000 年的一项规定要求一周工作 35 小时,公司抱怨竞争力下降、雇佣成本升高。Media
https://www.solidot.org/story?sid=57278
新西兰公司 Perpetual Guardian 今年三月和四月进行了一项试验,将每周工作时间从 40 小时减少至 32 小时,结果发现缩短工作时间实际上提升了 240 名员工的生产力;员工则表示他们有更多时间陪伴家人、锻炼、下厨,打理花园了。奥克兰理工大学人力资源教授哈尔 (Jarrod Haar) 表示,员工们报告他们的工作与生活之间的平衡提升了 24%,并且在放假后回来工作感到更加精力充沛。“主管们表示员工变得更有创意,出勤率变高,上班准时,而且不会早退和长时间休息了,” 哈尔表示。“尽管工作四天,而不是五天,但他们实际的工作表现并没有改变。”其他国家也有过类似的试验:瑞典哥德堡市的一项尝试要求人们一天工作六小时,结果官员们发现员工完成的工作量一样,甚至还要更多。但法国 2000 年的一项规定要求一周工作 35 小时,公司抱怨竞争力下降、雇佣成本升高。Media
https://www.solidot.org/story?sid=57278
黑客利用华为路由器漏洞一天创造了包含上万路由器的僵尸网络
华为路由器产品 HG53 去年曝出了一个远程代码执行的高危漏洞 CVE-2017-17215,攻击者可以向路由器 37215 端口发送恶意包来利用该漏洞远程执行任意代码。黑客从 7 月 18 日开始扫描路由器寻找存在漏洞的目标。NewSky Security 的研究人员称,在短短 24 小时内,黑客就利用该漏洞创建了一个包含 1.8 万华为路由器的僵尸网络。奇虎 360 的研究人员则认为数量没有 1.8 万,但至少超过 1 万。Media
https://www.solidot.org/story?sid=57279
华为路由器产品 HG53 去年曝出了一个远程代码执行的高危漏洞 CVE-2017-17215,攻击者可以向路由器 37215 端口发送恶意包来利用该漏洞远程执行任意代码。黑客从 7 月 18 日开始扫描路由器寻找存在漏洞的目标。NewSky Security 的研究人员称,在短短 24 小时内,黑客就利用该漏洞创建了一个包含 1.8 万华为路由器的僵尸网络。奇虎 360 的研究人员则认为数量没有 1.8 万,但至少超过 1 万。Media
https://www.solidot.org/story?sid=57279
特朗普威胁对所有中国进口商品征税
美国总统特朗普在接受 CNBC 主持人 Joe Kernen 采访时表示,他准备好对进口自中国的 5000 亿美元商品征收关税。特朗普声称,这么做不是为了政治,而是做正确的事。这意味着 iPhone 这款美国设计中国组装被视为进口的畅销产品将面临关税惩罚,而此前特朗普在 5 月的一次会议上对苹果 CEO 库克表示,美国政府将不会对在中国组装的苹果 iPhone 手机加征关税。美国的关税惩罚开始对越来越多的美国公司造成影响。Media
https://www.solidot.org/story?sid=57280
美国总统特朗普在接受 CNBC 主持人 Joe Kernen 采访时表示,他准备好对进口自中国的 5000 亿美元商品征收关税。特朗普声称,这么做不是为了政治,而是做正确的事。这意味着 iPhone 这款美国设计中国组装被视为进口的畅销产品将面临关税惩罚,而此前特朗普在 5 月的一次会议上对苹果 CEO 库克表示,美国政府将不会对在中国组装的苹果 iPhone 手机加征关税。美国的关税惩罚开始对越来越多的美国公司造成影响。Media
https://www.solidot.org/story?sid=57280
黑客能利用缔奇扫地机器人监视屋主
Positive Technologies 的安全研究人员公布了缔奇智能扫地机器人的两个漏洞,允许攻击者使用超级用户权限执行恶意代码,完全控制设备。扫地机器人能变成物联网僵尸网络的一部分发动 DDoS 攻击,但更糟糕的是它能被用于监视屋主,因为它有 Wi-Fi 和夜视监控摄像头。安全研究人员称,所有的缔奇 360 摄像头智能扫地机器人都默认使用了一个管理密码 888888,而用户很少会修改默认密码。研究人员在五月份就通报了漏洞,但没有来自官方的回应,也不知道是否会有补丁。Media
https://www.solidot.org/story?sid=57281
Positive Technologies 的安全研究人员公布了缔奇智能扫地机器人的两个漏洞,允许攻击者使用超级用户权限执行恶意代码,完全控制设备。扫地机器人能变成物联网僵尸网络的一部分发动 DDoS 攻击,但更糟糕的是它能被用于监视屋主,因为它有 Wi-Fi 和夜视监控摄像头。安全研究人员称,所有的缔奇 360 摄像头智能扫地机器人都默认使用了一个管理密码 888888,而用户很少会修改默认密码。研究人员在五月份就通报了漏洞,但没有来自官方的回应,也不知道是否会有补丁。Media
https://www.solidot.org/story?sid=57281
新加坡 150 万人病例遭窃
新加坡媒体报道,该国遭受了至今最大规模的网络攻击,150 万名在 2015 年 5 月 1 日至今年 7 月 8 日之间, 到新加坡保健服务集团属下的医院和诊所看病的门诊病患个人资料遭黑客盗取。他们的姓名,生日,身份证号码和地址等泄露 。当中更有约 16 万人的门诊开药记录也被偷。相信黑客的目标是总理李显龙的医疗记录,他的个人资料及开药记录已遭盗窃。调查显示,黑客的攻击行动经过蓄意和精密筹划,先从新保集团的电脑侵入,植入恶意软件后,有目标地攻击新保集团数据库中的具体个人资料,直接和不断地试图盗取和复制李显龙的个人医疗记录并成功得逞。网络安全局局长许智贤称,"这不是业余黑客或犯罪团伙干的。"李显龙显示,新保集团将医疗记录数字化时,曾询问是否可将他的个人记录电脑化,或是基于安全理由以纸质版储存。他当时要求将他的医疗记录收录在内。“当然,我也知道数据库会遭受攻击,并且,即使我国尽了最大的努力,它有朝一日仍可能被破坏。很不幸的,这样的情况如今发生了。”Media
https://www.solidot.org/story?sid=57282
新加坡媒体报道,该国遭受了至今最大规模的网络攻击,150 万名在 2015 年 5 月 1 日至今年 7 月 8 日之间, 到新加坡保健服务集团属下的医院和诊所看病的门诊病患个人资料遭黑客盗取。他们的姓名,生日,身份证号码和地址等泄露 。当中更有约 16 万人的门诊开药记录也被偷。相信黑客的目标是总理李显龙的医疗记录,他的个人资料及开药记录已遭盗窃。调查显示,黑客的攻击行动经过蓄意和精密筹划,先从新保集团的电脑侵入,植入恶意软件后,有目标地攻击新保集团数据库中的具体个人资料,直接和不断地试图盗取和复制李显龙的个人医疗记录并成功得逞。网络安全局局长许智贤称,"这不是业余黑客或犯罪团伙干的。"李显龙显示,新保集团将医疗记录数字化时,曾询问是否可将他的个人记录电脑化,或是基于安全理由以纸质版储存。他当时要求将他的医疗记录收录在内。“当然,我也知道数据库会遭受攻击,并且,即使我国尽了最大的努力,它有朝一日仍可能被破坏。很不幸的,这样的情况如今发生了。”Media
https://www.solidot.org/story?sid=57282
去中心化 YouTube 项目 PeerTube 成功众筹
去中心化 YouTube 项目 PeerTube 在众筹网站 KissKissBankBank 筹集到 5.3 万欧元,超过了融资目标两倍多。PeerTube 的目标是打造一个去中心化版本的 YouTube,代码开源,视频在用户之间共享,不依赖于一个中心化系统。它在今年初发布了一个 beta 版本,众筹成功后项目预计将能得到更快发展。PeerTube 是基于联邦模式,没有更高的权威管理和审查内容,它是一个个“实例”构成的网络,每个“实例”由特定的原则管理,任何人都可以自由的观看视频,上传视频可以选择现有的“实例”,或创建一个新“实例”。目前 PeerTube 有 141 个“实例”和 1.1 万个视频,暂时没有商业化的方案,也没有计划吸引 YouTube 网红,开发者表示视频作者可以请求浏览者捐款。Media
https://www.solidot.org/story?sid=57283
去中心化 YouTube 项目 PeerTube 在众筹网站 KissKissBankBank 筹集到 5.3 万欧元,超过了融资目标两倍多。PeerTube 的目标是打造一个去中心化版本的 YouTube,代码开源,视频在用户之间共享,不依赖于一个中心化系统。它在今年初发布了一个 beta 版本,众筹成功后项目预计将能得到更快发展。PeerTube 是基于联邦模式,没有更高的权威管理和审查内容,它是一个个“实例”构成的网络,每个“实例”由特定的原则管理,任何人都可以自由的观看视频,上传视频可以选择现有的“实例”,或创建一个新“实例”。目前 PeerTube 有 141 个“实例”和 1.1 万个视频,暂时没有商业化的方案,也没有计划吸引 YouTube 网红,开发者表示视频作者可以请求浏览者捐款。Media
https://www.solidot.org/story?sid=57283
Microsoft PowerShell Core For Linux 发布 Snap 打包版本
Canonical 宣布微软的 PowerShell Core For Linux 以 Snap 打包格式发布到 Linux 平台。Snap 打包不再有依赖问题,它本身就包含了需要加载的不同库,因此 Snap 应用能安装在大部分 Linux 发行版上,被认为更安全和可靠,更容易维护和更新。但 Snap 应用也有显著的缺陷,启动更慢,占用更多磁盘空间和内存,Snap 打包的应用容量可能数十倍于其它包格式。感兴趣的 Linux 用户现在可以试用下预览版 PowerShell Core Preview。Media
https://www.solidot.org/story?sid=57284
Canonical 宣布微软的 PowerShell Core For Linux 以 Snap 打包格式发布到 Linux 平台。Snap 打包不再有依赖问题,它本身就包含了需要加载的不同库,因此 Snap 应用能安装在大部分 Linux 发行版上,被认为更安全和可靠,更容易维护和更新。但 Snap 应用也有显著的缺陷,启动更慢,占用更多磁盘空间和内存,Snap 打包的应用容量可能数十倍于其它包格式。感兴趣的 Linux 用户现在可以试用下预览版 PowerShell Core Preview。Media
https://www.solidot.org/story?sid=57284
DuckDuckGo 指责 Google 混淆其用户
在欧盟对 Google 开出了 43 亿欧元的罚单之后,匿名搜索引擎 DuckDuckGo 对欧盟的决定表示欢迎,称它有 Google 滥用垄断的第一手体验,它在移动搜索的市场份额因此不断减小。DuckDuckGo 在 Twitter 上发表声明称,去年之前,在 Chrome on Android 上添加 DuckDuckGo 是几乎不可能的,而至今在 Chrome on iOS 上仍然是不可能的。DuckDuckGo 没有包含在 Chrome 的搜索选项中,即使它在许多国家位居前列。大多数 Android 版本预装了 Google search widget,而改变搜索引擎提供商也是不可能的,除非安装一个新的启动程序。每次更新 DuckDuckGo 的 Chrome 扩展,用户都会面临一个对话框询问是否逆转搜索设置,禁用整个扩展。此外,Google 还拥有 http://duck.com 域名并将其指向 Google 搜索,让 DuckDuckGo 用户感到困惑。前 duck.com 资深雇员发表声明,否认 duck.com 重定向到 Google 是搜索巨人有意的行为,称是他在 2010 年 Google 收购 On2 Technologies/The Duck Corporation (on2.com 和 duck.com) 之后决定重定向 duck.com。Media
https://www.solidot.org/story?sid=57285
在欧盟对 Google 开出了 43 亿欧元的罚单之后,匿名搜索引擎 DuckDuckGo 对欧盟的决定表示欢迎,称它有 Google 滥用垄断的第一手体验,它在移动搜索的市场份额因此不断减小。DuckDuckGo 在 Twitter 上发表声明称,去年之前,在 Chrome on Android 上添加 DuckDuckGo 是几乎不可能的,而至今在 Chrome on iOS 上仍然是不可能的。DuckDuckGo 没有包含在 Chrome 的搜索选项中,即使它在许多国家位居前列。大多数 Android 版本预装了 Google search widget,而改变搜索引擎提供商也是不可能的,除非安装一个新的启动程序。每次更新 DuckDuckGo 的 Chrome 扩展,用户都会面临一个对话框询问是否逆转搜索设置,禁用整个扩展。此外,Google 还拥有 http://duck.com 域名并将其指向 Google 搜索,让 DuckDuckGo 用户感到困惑。前 duck.com 资深雇员发表声明,否认 duck.com 重定向到 Google 是搜索巨人有意的行为,称是他在 2010 年 Google 收购 On2 Technologies/The Duck Corporation (on2.com 和 duck.com) 之后决定重定向 duck.com。Media
https://www.solidot.org/story?sid=57285
在引发争议后游戏开发商移除数据收集跟踪软件
Steam 平台上的数十款游戏被发现使用了 Red Shell 跟踪软件,跟踪用户行为收集用户数据。这些游戏包括 Conan Exiles、The Elder Scrolls Online、Dead by Daylight、Civilization VI、多个 Total War 游戏和 Holy Potatoes! We’re in Space?! 等。玩家指责游戏开发商在其机器上安装间谍软件,在引发争议后游戏开发商开始移除跟踪软件,但仍然希望以后使用。Red Shell 开发商 Innervate CEO Adam Lieb 否认该公司收集了用户身份信息,称该公司遵守了欧盟数据保护法 GDPR 的规定。Lieb 坚称他们不关心用户是谁,否认 Red Shell 是间谍软件。开发商则表示他们只是想改进游戏的营销。Media
https://www.solidot.org/story?sid=57286
Steam 平台上的数十款游戏被发现使用了 Red Shell 跟踪软件,跟踪用户行为收集用户数据。这些游戏包括 Conan Exiles、The Elder Scrolls Online、Dead by Daylight、Civilization VI、多个 Total War 游戏和 Holy Potatoes! We’re in Space?! 等。玩家指责游戏开发商在其机器上安装间谍软件,在引发争议后游戏开发商开始移除跟踪软件,但仍然希望以后使用。Red Shell 开发商 Innervate CEO Adam Lieb 否认该公司收集了用户身份信息,称该公司遵守了欧盟数据保护法 GDPR 的规定。Lieb 坚称他们不关心用户是谁,否认 Red Shell 是间谍软件。开发商则表示他们只是想改进游戏的营销。Media
https://www.solidot.org/story?sid=57286
一窥监视之国
根据国家发改委 2015 年公布的全国公共安全视频监控系统计划:到 2020 年,要基本实现 “全域覆盖、全网共享、全时可用、全程可控” 的公共安全视频监控建设联网应用。中国正结合人脸识别和 AI 来快速推进这项计划。在批评者看来,这是奥威尔在 1984 里描述的时刻监视的老大哥;对支持者而言,这是乌托邦,罪犯将无处可逃。全国性的监控网络被称为“雪亮工程”,名字源于“人民的眼睛是雪亮的”这一共产党执政早期的口号。“人民的眼睛是雪亮的”是鼓励邻里互相监视,古代的保甲制度在今天以网格化系统的名义复活。据官媒报道,北京有 85 万线民在巡逻街道。为了深化监视,中国还引入了社会信用系统。虽然中国在扩大监控网络,但将监控推进到极致的地方是在新疆,一位已经离开中国的新疆电影制作人称,当地警方要求他们留下语音,指纹、DNA 样本、虹膜和高分辨率不同脸部表情的视频。他表示自己看过很多照相机,但从来没有看过拍摄面部表情的那种照相机。他说很多人花了一个小时才拍完脸部视频。新疆居民的手机还被强制性安装了监控软件。一家开发增强现实眼镜的公司 CEO 称,AI 有光明的一面也有黑暗的一面,最困难的是你正在做的事可能会将你带到一个错误的地方。Media
https://www.solidot.org/story?sid=57287
根据国家发改委 2015 年公布的全国公共安全视频监控系统计划:到 2020 年,要基本实现 “全域覆盖、全网共享、全时可用、全程可控” 的公共安全视频监控建设联网应用。中国正结合人脸识别和 AI 来快速推进这项计划。在批评者看来,这是奥威尔在 1984 里描述的时刻监视的老大哥;对支持者而言,这是乌托邦,罪犯将无处可逃。全国性的监控网络被称为“雪亮工程”,名字源于“人民的眼睛是雪亮的”这一共产党执政早期的口号。“人民的眼睛是雪亮的”是鼓励邻里互相监视,古代的保甲制度在今天以网格化系统的名义复活。据官媒报道,北京有 85 万线民在巡逻街道。为了深化监视,中国还引入了社会信用系统。虽然中国在扩大监控网络,但将监控推进到极致的地方是在新疆,一位已经离开中国的新疆电影制作人称,当地警方要求他们留下语音,指纹、DNA 样本、虹膜和高分辨率不同脸部表情的视频。他表示自己看过很多照相机,但从来没有看过拍摄面部表情的那种照相机。他说很多人花了一个小时才拍完脸部视频。新疆居民的手机还被强制性安装了监控软件。一家开发增强现实眼镜的公司 CEO 称,AI 有光明的一面也有黑暗的一面,最困难的是你正在做的事可能会将你带到一个错误的地方。Media
https://www.solidot.org/story?sid=57287
网民再次将被删除的文章保存到区块链
今年四月,在前北大中文系教授沈阳导致受害人死亡的性侵事件中,一名学生写的公开信在新浪微博和微信遭到全面封杀。为了对抗封杀,有中国用户将公开信嵌入到区块链中。区块链是一种分布式帐薄,记录了数字货币的所有交易,它的交易记录允许附带一些相关备注,于是有人就将公开信写入到备注里。这种记录难以删除,它将永远保留在区块链里。现在,长春长生疫苗事件也在社交网络引发了热议,有作者在微信写了一篇文章叫《疫苗之王》,讲述了三家中国疫苗公司的发家史。这篇文章已经被腾讯删除,多家转载的媒体还出具了致歉函、撤稿函。网民再次将这篇遭到封杀的文章嵌入到了以太坊的区块链里。Media
https://www.solidot.org/story?sid=57288
今年四月,在前北大中文系教授沈阳导致受害人死亡的性侵事件中,一名学生写的公开信在新浪微博和微信遭到全面封杀。为了对抗封杀,有中国用户将公开信嵌入到区块链中。区块链是一种分布式帐薄,记录了数字货币的所有交易,它的交易记录允许附带一些相关备注,于是有人就将公开信写入到备注里。这种记录难以删除,它将永远保留在区块链里。现在,长春长生疫苗事件也在社交网络引发了热议,有作者在微信写了一篇文章叫《疫苗之王》,讲述了三家中国疫苗公司的发家史。这篇文章已经被腾讯删除,多家转载的媒体还出具了致歉函、撤稿函。网民再次将这篇遭到封杀的文章嵌入到了以太坊的区块链里。Media
https://www.solidot.org/story?sid=57288
Facebook 开源 oomd
Facebook 的 Daniel Xu 宣布在 GPLv2 许可证下开源 oomd,源代码托管在 Github 上。oomd 是用户空间内存溢出杀手(OOM Killer)。当内存不足时内存溢出杀手会杀掉一些进程,它的主要任务是保护内核,因此应用程序可能会受到影响。相比传统的 Linux 内存溢出杀手,oomd 会全面监视系统,评估系统是否处于不可恢复的工作负荷下。在系统的 OOM Killer 作用前,oomd 会在用户空间采取纠正措施。Facebook 形容 oomd 是更可靠的内存溢出解决方案。Media
https://www.solidot.org/story?sid=57289
Facebook 的 Daniel Xu 宣布在 GPLv2 许可证下开源 oomd,源代码托管在 Github 上。oomd 是用户空间内存溢出杀手(OOM Killer)。当内存不足时内存溢出杀手会杀掉一些进程,它的主要任务是保护内核,因此应用程序可能会受到影响。相比传统的 Linux 内存溢出杀手,oomd 会全面监视系统,评估系统是否处于不可恢复的工作负荷下。在系统的 OOM Killer 作用前,oomd 会在用户空间采取纠正措施。Facebook 形容 oomd 是更可靠的内存溢出解决方案。Media
https://www.solidot.org/story?sid=57289
中国科技热的背后
“科技”如今风靡中国,在科技热的背后是各种热门技术的不成熟。机器人巡逻警察本身成了安全隐患,机器人服务员其实并不能真的上餐,人脸识别的精度也非常有限。科技热的背后是华而不实和资源的浪费,就像数字货币行业的热潮,很多人只是为了圈钱后退场。这一切让中国科技界的一些人感到尴尬。他们警告说,技术市场的过度繁荣是风险投资泡沫的一个迹象,这个泡沫可能将要破灭。他们认为,机器人跳舞和不管用的读心技术之类的表演,并不是中国新取得的技术威力的展示,而是掩盖了中国在其他领域缺乏进展的事实。官媒《科技日报》总编辑刘亚东警告说,中国人不应该无视现实。刘亚东在最近的一篇演讲中说,中国在科学技术上仍落后于美国,那些不承认差距的人 “忽悠了领导,忽悠了公众,甚至忽悠了自己”。Media
https://www.solidot.org/story?sid=57291
“科技”如今风靡中国,在科技热的背后是各种热门技术的不成熟。机器人巡逻警察本身成了安全隐患,机器人服务员其实并不能真的上餐,人脸识别的精度也非常有限。科技热的背后是华而不实和资源的浪费,就像数字货币行业的热潮,很多人只是为了圈钱后退场。这一切让中国科技界的一些人感到尴尬。他们警告说,技术市场的过度繁荣是风险投资泡沫的一个迹象,这个泡沫可能将要破灭。他们认为,机器人跳舞和不管用的读心技术之类的表演,并不是中国新取得的技术威力的展示,而是掩盖了中国在其他领域缺乏进展的事实。官媒《科技日报》总编辑刘亚东警告说,中国人不应该无视现实。刘亚东在最近的一篇演讲中说,中国在科学技术上仍落后于美国,那些不承认差距的人 “忽悠了领导,忽悠了公众,甚至忽悠了自己”。Media
https://www.solidot.org/story?sid=57291
英特尔修复新 ME 漏洞
英特尔本月修复了两个新的 Management Engine(ME)漏洞,两个漏洞分别编号为 CVE-2018-3627 和 CVE-2018-3628,其中 CVE-2018-362 是一个逻辑漏洞,允许执行任意代码,容易利用;缓冲溢出漏洞 CVE-2018-3628 更严重,它允许远程代码执行,而且不需要管理账号。自 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 ME,它包含了一个或多个处理器核心,内存,系统时钟,内部总线,保留的受保护内存,有自己的操作系统和程序,能访问系统主内存和网络。ME 能完全访问和控制 PC,能启动和关闭电脑,读取打开的文件,检查所有运行的程序,跟踪按键和鼠标移动,甚至能捕捉屏幕截图。英特尔称 Management Engine 是远程管理方案,而批评者认为它其实就是秘密后门。Media
https://www.solidot.org/story?sid=57292
英特尔本月修复了两个新的 Management Engine(ME)漏洞,两个漏洞分别编号为 CVE-2018-3627 和 CVE-2018-3628,其中 CVE-2018-362 是一个逻辑漏洞,允许执行任意代码,容易利用;缓冲溢出漏洞 CVE-2018-3628 更严重,它允许远程代码执行,而且不需要管理账号。自 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 ME,它包含了一个或多个处理器核心,内存,系统时钟,内部总线,保留的受保护内存,有自己的操作系统和程序,能访问系统主内存和网络。ME 能完全访问和控制 PC,能启动和关闭电脑,读取打开的文件,检查所有运行的程序,跟踪按键和鼠标移动,甚至能捕捉屏幕截图。英特尔称 Management Engine 是远程管理方案,而批评者认为它其实就是秘密后门。Media
https://www.solidot.org/story?sid=57292
第五个思科后门账号被发现
思科上周修复了 25 个漏洞,其中一个补丁是移除 Cisco Policy Suite 中的后门账号 root。该漏洞允许攻击者使用 root 权限执行恶意操作。这是思科过去五个月曝光的第五个没有文档记录的后门账号。其它四个后门账号分别是在 Prime Collaboration Provisioning (PCP)、IOS XE 操作系统、Digital Network Architecture (DNA) Center,和 Wide Area Application Services (WAAS) 流量优化程序中发现的。大多数漏洞是思科自己在内部代码审查中发现的,这些后门账号看起来都是作为调试功能无意中留在系统中的。Media
https://www.solidot.org/story?sid=57293
思科上周修复了 25 个漏洞,其中一个补丁是移除 Cisco Policy Suite 中的后门账号 root。该漏洞允许攻击者使用 root 权限执行恶意操作。这是思科过去五个月曝光的第五个没有文档记录的后门账号。其它四个后门账号分别是在 Prime Collaboration Provisioning (PCP)、IOS XE 操作系统、Digital Network Architecture (DNA) Center,和 Wide Area Application Services (WAAS) 流量优化程序中发现的。大多数漏洞是思科自己在内部代码审查中发现的,这些后门账号看起来都是作为调试功能无意中留在系统中的。Media
https://www.solidot.org/story?sid=57293
NetBSD 8.0 发布
NetBSD 项目释出了 NetBSD 6.0,NetBSD 历史上第十六个大版本。NetBSD 6.0 包含了 稳定性改进、bug 修复和大量新特性。主要变化和特性包括:USB 堆栈重写,加入 USB3 支持;In-kernel 音频混频器(audio_system(9),默认启用 PaX MPROTECT (W^X) 内存保护,默认启用 PaX ASLR;i386 和 amd64 CPU 的 Meltdown 和 SpectreV2 以及 V4 漏洞修正,对存在漏洞的英特尔 CPU 禁用 Lazy FPU saving,等等。Media
https://www.solidot.org/story?sid=57294
NetBSD 项目释出了 NetBSD 6.0,NetBSD 历史上第十六个大版本。NetBSD 6.0 包含了 稳定性改进、bug 修复和大量新特性。主要变化和特性包括:USB 堆栈重写,加入 USB3 支持;In-kernel 音频混频器(audio_system(9),默认启用 PaX MPROTECT (W^X) 内存保护,默认启用 PaX ASLR;i386 和 amd64 CPU 的 Meltdown 和 SpectreV2 以及 V4 漏洞修正,对存在漏洞的英特尔 CPU 禁用 Lazy FPU saving,等等。Media
https://www.solidot.org/story?sid=57294