Google Chrome浏览器推出了安全DNS以提高用户隐私

Google的浏览器是目前最流行的浏览器之一,虽然很多国内用户都不知道chome的存在,但是国内目前大多数流行的浏览器都是基于chome的开源计划完成的,本质上都是加了马甲的chrome

近日,谷歌表示,Android系统中的Chrome浏览器将很快支持dns -over- https (DoH),该协议可加密和保护DNS查询以提高用户隐私。

其实,自Chrome 83发布以来,桌面版本的Chrome浏览器就已经提供了DoH支持。但是,该功能从未添加到Android和iOS版本中。

在今天的一篇简短的博客文章中,谷歌表示他们现在已经决定为Android用户启用DoH功能,在未来几周内将逐步在Chrome移动浏览器中启用DoH功能。

所有使用Chrome 85版本的用户,都将在浏览器的设置中看到一个名为“安全DNS”的新选项。

所有用户都将默认启用安全DNS选项,一旦打开,Chrome将尝试以加密的形式(通过DoH)进行DNS查询,并使用传统的纯文本DNS作为应急计划。

谷歌表示,该功能与Chrome的桌面版本具有相同的功能,这意味着用户不必修改Android的整体DNS设置。

取而代之的是,Chrome将使用内部具有DoH功能的DNS服务器的列表,并且如果用户已将其配置为操作系统范围的DNS设置,则Chrome将使用该服务器的DoH接口而不是默认的DoH接口,并用加密的明文DNS查询替换DoH即时查询

此外,如果用户不想将其Android设备的系统范围内的DNS服务器更改为支持DoH的DNS服务器,则Google还可让用户仅为其浏览器自定义Chrome的DoH服务器。

Chrome用户可以使用上面的屏幕快照中的第二个选项“ Choose another provider”,并添加他们要使用的DNS服务器的IP地址。由于此选项是在Chrome的设置中配置的,因此仅适用于Android版Chrome,不适用于整个Android操作系统。

此外,谷歌还表示,如果发现智能手机是托管环境的一部分,比如在企业网络中,针对Android的Chrome也会自动禁用DoH。在这类网络中,出于安全考虑,IT人员通常会部署企业范围的策略来控制公司的智能手机,而DoH有时可能会让用户受到攻击,因此谷歌不会在如此严格控制的环境中强制设置该设置。

另外,Google没有透露DoH何时进入iOS版Chrome。但是,这很可能还有很长的路要走,因为Apple最近才在iOS和macOS中增加了对DoH协议的支持。

再见,Eclipse…

刚刚看到了一篇文章,让我仿佛回到了10多年前,如果你对一下名称有感悟(Eclipse, IDEA, Java, jbuilder, netbean, myeclipse, Intellij, JetBrains, C++, python),请一起来吧……致 青春

来源:https://www.cnblogs.com/ouyida3/p/9901312.html

使用了eclipse10年之后,我终于投向了IDEA

最近,改用了idea,同事都说我投敌了。当然,这些同事都是和我一样的“老”程序员。不说毕业生,公司里的90后基本电脑都不会安装eclipse。

eclipse 的三足鼎立时期

开始我写Java程序,用的并不是eclipse,而是用的一款叫做jbuilder的工具。当时使用这个工具的时候,我已经觉得非常的好用,因为在此之前,我好像记得只是用个简单的文本工具来编辑。后来才发现,那些喜欢宣扬文本编辑器才能学会精通java的“高手”真的有点不敢恭维,至少于我,一个好的工具太重要了。

并没有过了多久,我发现一款叫做eclipse的工具,而且身边还越来越多,于是我决定试一试。尝试的最后,我发现实在是太好用了,他的界面变得更漂亮,而且里面的功能感觉就是为程序员量身定做的一样,最激动人心的功能是他竟然支持源源不断的插件,而且这个插件你还可以,自己来编写。

eclipse2001年由ibm创立,2003年就成立基金会,可惜国内嘛,在那个时代,总是要晚一些,而我更落后,直到07、08年才开始真正使用。《程序员》在06年还出了一起专题-Eclipse风暴。那时候,eclipse、jbuilder、netbean三足鼎立的局面,基本形成了。eclipse 称霸

再后来myeclipse出现了这个东西更加厉害,他集成了所有常用的插件,只要你一键安装完就啥也有了,基本上用它,你可以开发出java的任何东西。虽然他不是免费的。

慢慢的,jbuilder已经没什么人使用;而netbean不知道是不国内还是我圈子太窄,身边用的人总是很少,倒是在国外翻译的技术书里经常和eclipse一同出现。

重构的流行,让eclipse更受青睐。熊节在《重构》译本里推荐eclipse,后来我亲眼看了他使用eclipse纯键盘(基本不用鼠标)飞快的重构代码,有点傻了眼。后来背诵快捷键成了我的一项课题。

在接下来接近10年的日子里,就是他陪着我度过了漫长又有意思的编程生涯。虽然经常有人争论用简单版的eclipse好还是用丰富的myeclipse好,用丰富版的经常会嘲笑用简单的,什么都没有,什么插件都得重新来一遍,用简单版的又会鄙视使用丰富版的,什么插件都不会安装。我曾经见过有一个同事,使用的滚瓜烂熟,每一个插件在文件夹下叫什么名字应该删除哪些文件应该放在什么地方,应该增加哪些配置,怎么安装怎么卸载都倒背如流,随后我也慢慢学会了这招。再后来插件安装,已经不需要这么麻烦了,只需要在市场上搜索一下,点击一下安装就可以了。但是这些功能的改进并没有让他免除用户群慢慢转移的危机。

Intellij IDEA 横空出世

其实很久之前我就听说idea非常好用,说只要使用过后就不会在使用eclipse了。还说JetBrains这家公司怎么怎么懂得java程序员。但是,我实在找不到什么改变的理由,所以一直没有尝试使用。况且,我还需要开发c++、python,这些语言,eclipse都有完善相应的版本插件支持。

其实中间,我也不断地询问已经转向使用的同事,我问他究竟别/好像哪里?但是没有一个同事能够清晰的回答我这个问题。大部分的同事只是说就是很好用,你如果细细地问他好在哪儿,他却说不出来。还有一些同事确实列举了一些,他认为更为好用的功能,然后告诉我,然后我听完之后告诉他,其实这些功能eclipse也有。还有一个同事更搞笑,用了两个月了,说非常的好用,然后我叫他调大一些,字体让我看看,他竟然说不知道怎么调。这些遭遇实在让我想不出来什么要改变的理由。

但是上个星期出现了一个契机,就是公司主持了几个培训,不约而同的这几位培训,是都使用IDEA来培训,其实,工具的不同并没有太大的影响及对培训知识的吸收,但是我实在忍受不了我明明花了一个小时听培训,但是只听了55分钟的知识,剩余的5分钟关于工具的使用技巧也应该吸收过来。加上早就听说Robert C Martin也许从一个eclipse转向了这个工具,于是我决定我要改变一下了。

上周一是我改变的第一天,安装过程非常顺利,官网提供免费版和试用版,我当然毫不犹豫地选择的试用版,至于30天以后,咱们心照不宣,再说。安装过后当然是黑糊糊的一个界面,上面的所有按钮实在是非常的陌生,我使用的10年的那些快捷键发现全部不好使了,我甚至连怎么导入一个现有的工程都不会了。

我有点受不了了,我受不了的不是对新知识的学习与掌握,而是效率迅速降低20倍,甚至一百倍。没办法,一个一个问题百度吧。大概过去了半天到一天,神奇的事情发生了,我竟然不再想继续用eclipse了,甚至有点没有了IDEA,感觉更麻烦了。于是家接下来的四天,我越来越顺畅地开始编写我的代码了。

对于只是使用了五天的,我来说,我说的什么,其实都只是一个新手的废话,但是我还是喜欢总结一下。

eclipse和idea,哪个更好?

idea,个人觉得,确实比eclipse要更好,但是它的好处并不主要是多了哪些功能,从功能的多少数量上来说,他们俩其实是差不多的, IDEA,更优秀的关键点在于他在细节上更为人性化,做得更优秀而已。

比如配置tomcat,我竟然不用百度,自己尝试点点,就成功跑起来了。感觉它真的懂我的心一样。

开始使用的一些注意事项

如果你是刚开始编程,那就没什么关系,但是像我一样是用的eclipse很多年的老程序员,那么对快捷键一定是一个障碍,但是idea已经做了很人性化的设置,默认的快捷键可以一键改成eclipse的快捷键,但是我尝试了,确实改变了大部分,但并不是百分之百,所以我放弃了。

还有就是对工程和模块要理解好,以前的eclipse都是做工程的概念并没有模块的概念,所以你可以把很多的工程都导入进去,但是IDEA完全不一样,他只能导入一个工程,如果你要在导入另外一个工程,你必须新开一个界面,当然你不用担心耗费内存的问题,已经。优化好了,但是在一个工程里面你可以导入多个模块,其实这个更适合我们平常的开发,因为maven 就是模块化的配置。

tomcat的设置也非常人性化,注意的是,可以通过勾选tomcat实例,就可以一个tomcat多个工程使用了。当然,端口要不同,才能同时启动。

三个很常用的设置按钮

• Preperences

• Project structure

• Run configuration

常用的快捷键(mac)

• cmd+shift+f 全project或模块等查找某个字符串

• cmd+shift+o 查找文件

• cmd+0 查找类

• cmd+f 本文件中查找字符串

• cmd+x 删除一行

• cmd+c 选中该行并且复制

• alt+enter 自动提示错误修复

• ctrl+alt+h 显示调用该方法的方法

• cmd+7 显示该类的全部方法

• cmd+alt+l 整理代码格式

• ctrl+alt+o 整理import

• shift+f6 重构rename 还有很多。。。基本都和eclipse不同,但是我必须一个个的“寻找”回来。

我喜欢的特色功能

• idea默认下面显示了teminal,很好用,现在我很少用mac自带的终端(虽然eclipse找找也有,但实在不好用)

• 右手边有个数据库连接,我现在也很少用Navicat和mysql workbench了

• 同样右边的maven也很好用,不像eclipse要右键,而且默认的还不齐全

JetBrains确实是伟大的公司,现在我弄js,也用了它的webstorm,弄python也用了他的pycharm而不是eclipse的pydev了。

再见,eclipse。

又断断续续用了一周,发现没有想象中完美。偶尔有些卡,毕竟太多东西放内存。而且也出现过闪退。快捷键实在有些还记不住,有个快捷键要按四个键太难记了。有些个别功能感觉还是有点不如eclipse方便比如改字符集(也可能我不熟悉)。断点调试也还不习惯。也有很多功能真的要把eclipse彻底忘记,比如重构rename,idea默认竟然把同名的都rename掉。我重构个我自己写的类的get方法,它把map.get的get也rename掉了,真的有点无语。不过习惯就好,总比漏了一些rename自己慢慢改好。

———-  END  ———-

Zoom泄露门:可以任意观看会议视频

由于COVID-19新冠状病毒的大流行,越来越多的用户将工作和社交生活转移到线上,会议应用程序Zoom的用户数量在成倍增长。但是,随着这种线上工作热潮,安全和隐私研究人员也对该应用进行了越来越多的审查,事实证明Zoom不断被发现许多问题。近日据外媒报道,成千上万的Zoom云记录视频在网络上曝光,这也揭露了软件本身的隐私安全性问题。

据悉,由于Zoom对其会议记录的命名方式存在问题,大量的Zoom会议视频被会议发起者上传到了不同的视频网站和视频云。目前,许多视频都被发布在未受保护的亚马逊云计算平台上,使得通过在线搜索找到它们成为可能。而且这些泄露的视频,被其他用户扫描后上传到了YouTube、Google、Vimeo等各大视频门户网站上。人们通过这些泄露的视频可以看到治疗会议、商务会议、小学上课等记录。事件发生后,Zoom已经被告知这个问题,但不清楚该公司是否会改变其视频的命名方式,或者是否会保护亚马逊托管的视频。

对此,安全研究员肯恩·怀特表示, 此次事件表明Zoom从未具有最核心的安全和私有服务,而且Zoom的系统中肯定存在一些关键漏洞。但是在许多情况下,为了线上会议,大多数公司和个人没有很多其他选择。

根据研究,即使在COVID-19新冠状病毒大流行发生之前,Zoom应用的开发团队也是优先考虑易用性而不是安全性和隐私性问题的。早在去年夏天,一位研究人员就发现了Zoom的一个漏洞,该漏洞主要关于Zoom如何无缝地将用户加入呼叫链接并共享其相机内容,对此Zoom无需进行任何初步检查就可以让用户启动该功能。这是非常不安全的,因为这意味着攻击者可以通过精心设计该功能链接,从而使他们可以一键立即访问用户的相机。

对于Zoom此次的隐私安全问题,Zoom创始人兼首席执行官Eric Yuan在公开声明中写道,公司正在暂停功能开发,以便其工程师专注于安全性和隐私保护方面的技术改进。Yuan表示,在接下来的90天之内,Zoom还将进行第三方安全审核和渗透测试,扩大其大赏金计划,并在公司层面预计从政府和执法机构等组织收到一份透明报告。

此次事件提醒我们每一个开发者,在任何软件的设计之初都要考虑两方面问题,一是功能,二是安全;作为消费者更是要了解一个软件的安全情况后再使用这个软件,不要因为免费好用就肆无忌惮的使用!

记得在刚刚工作期间,项目方只知道要求进度实现功能,从不关心软件的安全测试工作,随着网络时代的来临,那些未经过严格安全测试的软件终将造成不可挽回的损失!

而这些损失又要由谁来负责呢?

合作之苹果谷歌的合作,推出疫情追踪系统

人类的合作,显著推进了社会的进步?🤔

苹果和谷歌今天共同宣布,他们将使用蓝牙技术来帮助政府和卫生机构减少新冠病毒在全球范围内的传播。

苹果表示,用户隐私和安全性将是该项目设计的核心。参与将是自愿的,隐私,透明和同意是“这项工作中最重要的”。

由于 COVID-19 可以通过近距离传播给受影响的个体,因此公共卫生官员已将接触者追踪确定为有助于遏制其传播的宝贵工具。世界各地许多领先的公共卫生当局,大学和非政府组织都在开展重要工作,以选择加入接触者追踪技术。为了进一步解决这个问题,苹果和谷歌将推出一个全面的解决方案,其中包括应用程序编程接口(API)和操作系统级技术,以帮助实现联系人跟踪。鉴于紧急需求,计划将分两步实施此解决方案,同时围绕用户隐私实行强大的保护。

苹果和谷歌采取了一些防止隐私泄露的措施。比如,通过蓝牙定期发送信息时,会广播一个匿名密钥,这些密钥每 15 分钟循环一次以保护隐私。即使有人分享自己被感染的信息,该应用程序也只会分享他们具有传染性的特定时期的密钥。

从 5 月开始,苹果和谷歌将发布 API,使用公共卫生部门的应用来实现 Android 和 iOS 设备之间的互操作性。这些应用可供用户从 iOS App Store 和 Google Play 下载。

在未来的几个月中,谷歌和苹果将通过将其功能构建到其基础平台中,致力于建立更广泛的基于蓝牙的联系人跟踪平台。苹果公司表示,该解决方案比 API 更为强大,如果他们选择加入,则将允许更多的人参与,并且可以与更广泛的应用生态系统和政府卫生部门进行交互。

或许有限的披露隐私合理化的管理隐私,有助于人类社会的进步?😷

全球诈骗案件已屡次得逞之AI软件克隆你的声音

就在不久前于旧金山结束的RSA大会上,一家名为Pindrop的专门检测语音诈骗的初创公司再次向业内发出警告:网络诈骗份子已经开始借助AI软件克隆声音进行诈骗了!

科技从来都是具有两面性的,中国古代的智者早已阐述过。

知识说明:

AI是什么?

人工智能(英語:Artificial Intelligence,縮寫為AI)亦稱智械、機器智能,指由人製造出來的機器所表現出來的智能。通常人工智能是指透過普通電腦程式來呈現人類智能的技術。該詞也指出研究這樣的智能系統是否能夠實現,以及如何實現。同時,通過醫學、神經科學、機器人學及統計學等的進步,常態預測則認為人類的無數職業也逐漸被其取代。

(Pindrop的CEO(右)和CTO(左),图片来自网络)

Pindrop的CEO Vijay Balasubramaniyan表示:“Pindrop在过去一年中调查了大约十二起类似的案件,都是欺诈者使用AI软件“克隆”某人的声音以进行诈骗。同时,我们还看到了Deepfake音频作为针对公众人物的工具出现。如果你是家公司的CEO或者你在YouTube上有很多视频,骗子就极有可能用它来合成你的声音。”

并且,虽然Pindrop只看到了少数这样的案件,但涉案金额很高。Pindrop估算涉及的诈骗金额可能高达1700万美元。

(图片来自网络)

来自硅谷的警告消息又一次将AI的安全性问题带到了舆论的风口浪尖。毫无疑问,自从AI成为全球技术发展的主流以来,DeepFake的问题就一直是人们关心的重点。而今天我们要讨论的AI语音合成的问题,则可能比人脸识别更加危险。

AI声音合成,一面“天使”一面“魔鬼”

语音合成技术现在已经非常成熟了。例如高德导航里的各种明星语音包,“林志玲为您导航祝您好心情”、“郭德纲前方有落石车碎人心碎”、“你镇定一下罗永浩要开始导航了”,基本上能够达到以假乱真的效果。大部分时候用户也分不出来到底是明星自己录的,还是合成的语音。当然这种场景中,语音合成只是为了提升用户体验做的一个小功能。不仅没有对用户造成损失,反而让用户开车的时候拥有更好的体验。

(高德地图的明星导航语音包,图片来自网络)

但是下面这个故事就不是这样了。2018年Charlie Warzel,Buzzfeed的科技记者,受了前密西根大学社交媒体责任中心CTO Aviv Ovadya言论的影响,做了一件想想都非常后怕的事情。他使用AI合成软件模仿了自己的声音,然后打电话给他妈妈,结果他妈妈愣是没听出来。世界上最熟悉你自己声音的人是谁?可能不是你自己,因为你自己听到的声音和别人听到的是有区别的。最熟悉你声音肯定是你的母亲。

(图片来自网络)

既然身边最熟悉的人都被这样“伪装”骗了,那只要使用这种软件不就拥有了“变身”的超能力了吗?

事实上,利用AI语音合成冒充熟人进行电信诈骗的案例这几年时常发生,并且涉及金额都非常的巨大。

根据《华尔街日报》2019年报道,英国某能源公司高管在一个小时之内通过匈牙利供应商向一诈骗犯转账24万美元,约175万元人民币,仅仅是因为诈骗犯通过AI技术仿造了其母公司CEO的声音。该高管表示,在整个通话过程中,老板轻微的德国口音都展现得淋漓尽致,该高管完全没有任何的怀疑,直到被要求再次转账时才发觉了事件异常。

在报案调查后,警方只能发现该笔转账流动到了墨西哥等地区,但是具体嫌疑犯的身份始终无法确定。这个案件带来的损失目前只能由保险公司承担。这位受害者后来在一封电子邮件中写道,虽然“老板”的要求相当奇怪,但声音如此逼真,他觉得自己别无选择,只能服从。

美国网络安全公司Symantec的研究人员表示,他们发现至少有三起公司高管的声音被人模仿以用于电信诈骗。虽然Symantec拒绝透露这些受害公司的名称,也不愿透露上述英国能源公司是否是其中之一,但它指出,其中一起案件的损失总计达数百万美元。

(Symabtec公司大楼,图片来自网络)

虽然有种种风险,但技术的发展一点也没有慢下来。目前,许多硅谷巨头和人工智能初创企业都在开发这种语音合成软件,用以模仿人的声音节奏和语调,并被用来制作令人信服的演讲。

(Lyrebird 官网)

几个月前,Resemble团队发布了一个名为Resemblyzer的开源工具,该工具使用人工智能和机器学习来通过获取语音样本的高级表示并预测它们是真实的还是生成的来检测深度伪造。而在AI语音合成届早已成名已久的Lyrebird,其开发出的AI合成软件更是可以在合成语音中模拟出说话人的感情。

AI技术被滥用,它的工作原理是什么?

无数的研究表明,重现人们讲话的韵律只需要一个小的数据集。像Resemble和Lyrebird这样的商业系统仅需要几分钟的音频样本,而百度最新的Deep Voice实现等复杂的模型可以从3.7秒的样本中复制语音。

斯坦福大学网络政策中心研究员、曾任奥巴马和特朗普政府时期白宫网络安全政策高级主管的Andrew Grotto(安德鲁·格罗托)表示:“罪犯将使用任何能让他们以最低成本实现目标的工具。也许这是一项在10年前听起来很新奇的技术,但是现在任何有想法的非专业罪犯都可以使用。” 

(图片来自网络)

目前市面上的AI语音合成软件的工作原理是将一个人的声音分解成不同的组成部分,比如音轨或音节,然后将这些组成部分重新排列,形成具有相似语音模式、音调和音色的新语音。除了借助这种新技术,骗子们还依赖于最常见的诈骗技巧来提高他们的效率,利用时间压力,比如临近的截止日期,或者社会压力,比如安抚老板的愿望,来让受害人打消任何疑虑。在某些情况下,犯罪分子会瞄准公司会计或财务的负责人,因为他们知道这些人有能力立即汇款。

(Pindrop的CEO演示如何合成公众人物的视频截图)

视频链接https://www.youtube.com/watch?v=PDs8-Exx6kE&feature=youtu.be

除了进行诈骗,DeepFake音频还存在向公众传递负面信息的风险。RSA大会演讲现场,Pindrop的CEO向公众演示了一款合成公众人物声音的AI系统,这项技术通过在网上搜索特朗普之前的录音来模仿他的声音,耗时不到一分钟,并用美国总统特朗普的声音说了一些笑话。如果这项技术被用于仿造领导人物的声音,并用到犯罪事件中,无疑可能非常危险,甚至给国家安全带来危害。

AI声音合成如此猖獗,应该如何防范?

虽然风险重重,但语音模拟技术的发展势不可挡。例如,Google已经为自动识别DeepFake语音的研究项目提供了资金和资源的帮助。但Google也开发了一些世界上最具说服力的语音人工智能,包括它的Duplex服务,它可以用电脑生成的栩栩如生的声音,打电话给餐厅预定座位。

(Google语音助手,图片来自网络)

卡内基国际和平基金会(Carnegie Endowment for International Peace)硅谷办公室主任Charlotte Stanton则提醒业界:“在商业领域,人们有很强的的意愿想要制造出好的技术产品,但一定要平衡,避免它被用于非法途径。所以,研究人员在研发像AI语音合成技术这样强大的技术时需要更加谨慎,很明显,AI语音合成已经到了可以被滥用的地步。”

幸运的是,人工智能开发人员正在努力构建能够检测和打击Deepfake音频的解决方案。例如,Pindrop公司已经开发出一种人工智能算法,可以从DeepFake的音轨中辨别真实的语言。它是通过检查说话时单词的实际发音,以及这些发音是否与真实人类的说话模式相匹配,因为人类的声音无法像机器伪装那样标准和快速。

Pindrop还预测到,也许有一天音频安全服务会像数据安全服务一样有巨大的市场。该公司CEO表示:“会有一些公司建立检测这些安全漏洞的机制。如果网上出现了伪造的音频,那么这个机制就会开始保护你的声音数据。”

(Pindrop CEO Vijay Balasubramaniyan,图片来自网络)

除了Pindrop等小公司。硅谷科技巨头也积极的致力于寻找检测Deepfake音频的方案。例如,谷歌在去年年初与GNI合作,发布了一系列合成语音,其中包含由其深入学习的文本到语音(TTS)模型所说的数千个短语,来自英文报纸文章68种不同的合成语音,并涵盖了各种区域口音。该数据库提供给了2019 ASVspoof挑战的参与者使用,该竞赛旨在开发针对假语音的对策,特别是可以创建区分真实和计算机生成的语音的系统。

同时,DeepFake音频的潜在威胁也可能会改变用户的行为,使用户在向互联网上传声音时更加谨慎。Pindrop调查的诈骗案例中就有这样一位受害者,他几乎没有在任何社交平台上公开过自己的声音,仅仅是因为召集员工开会时的讲话被窃取,就成为了犯罪分子的目标。这样的案例不禁会让人联想:“既然这么谨慎的人都会存在被诈骗的风险,那么我们干脆就不要在公众平台上表露自己的任何生理特征,包括声音和长相。这实在太恐怖了!”

(图片来自网络)

不敢想象,如果我们的公众社交平台上面看不到任何超出文字以外的更生动的表达,那么几十年来的科技和信息发展不就白费了吗?这无疑是对多年来为人类科技文明进化做出贡献的科技工作者的侮辱。

参考链接:

https://www.pcmag.com/news/is-ai-enabled-voice-cloning-the-next-big-security-scam

Google releases synthetic speech database to help ‘deep fake’ audio detection research

https://www.washingtonpost.com/technology/2019/09/04/an-artificial-intelligence-first-voice-mimicking-software-reportedly-used-major-theft/

文章主要内容转自:硅谷洞察

VPN是安全网络的选择吗,全球大量黑客将VPN作为攻击入口

VPN在很多人眼里是翻墙的必备工具,在更专业的领域,VPN是安全通道,但它可未必安全!

自从冠状病毒(COVID-19)爆发以来,由于远程办公的必要需求,企业VPN使用量增加了33%,这也成为黑客发起攻击的一个突破口。据相关媒体报道,与韩国有联系的威胁组织利用零日漏洞攻击了某中国政府机构,该漏洞影响了境内VPN服务。数据显示,从3月开始,DarkHotel组织就已经锁定了许多中国机构。

据悉,攻击者利用深信服VPN服务中一个安全漏洞来传播后门恶意软件。对此,深信服表示,黑客利用VPN客户端更新过程中的漏洞,用后门取代了合法的更新,黑客大约攻击了200个VPN服务器并注入恶意软件。这些攻击主要针对的是中国的组织以及一些其他国家在中国设立的机构。事件发生后,深信服科技立刻发布了一则《关于境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动的说明》,说明了境外APT组织通过深信服VPN设备漏洞拿到权限后,进一步利用SSL VPN设备Windows客户端升级模块签名验证机制的缺陷植入后门的APT攻击活动过程。

其实,在过去的2019年是许多企业VPN服务器,例如Pulse Secure、Palo Alto Networks、Fortinet、Cisco和Citrix等VPN服务器,被披露有严重安全漏洞的一年。

早在去年九月份,英国国家网络安全中心(NCSC)就发表报告称,他们正在研究有高级持久威胁(APT)参与者利用已知漏洞入侵供应商Pulse Secure、Fortinet、Palo Alto和Citrix的虚拟专用网VPN产品。当时该活动也被认为是由某国政府主导的,攻击是针对英国和国际组织发起的,受影响的部门包括政府,军事,学术,商业和医疗保健。事件发生后,这些VPN漏洞已在开放源代码中得到了充分记录,通过行业数据表明,数百名英国主机可能会受到攻击。 据悉,当时攻击影响了:

• Pulse Connect Secure VPN两个漏洞是CVE-2019-11510和CVE-2019-11539;

• Fortinet的Fortigate设备中的三个漏洞CVE-2018-13379,CVE-2018-13382和CVE-2018-13383; 

• Palo Alto的GlobalProtect门户和GlobalProtect网关接口产品CVE-2019-1579中的严重远程执行代码错误。

• Citrix“ ADC” VPN中披露的漏洞CVE-2019-19781

也是在去年九月份,SafeBreach Labs的研究人员在Forcepoint VPN客户端中发现了一处特权升级漏洞。受影响的产品为Forcepoint VPN Client for Windows软件的6.6.0及更低版。该漏洞不仅可用于提升攻击者的特权,还将允许攻击者长期访问受感染系统。据了解,该VPN程序的可执行程序的路径和命令行中的参数之间缺少引号字符串当黑客在C:\Program.exe和C: \Program Files(x86)\Forcepoint \ VPN.exe 中植入恶意程序时,该VPN程序将自动执行恶意程序,并将黑客权限提升至系统级。

2019年的四月份,美国政府网络安全和基础架构安全局(CISA)发出警报,由四个供应商Cisco, F5 Networks, Palo Alto Networks和 Pulse Secure 构建的VPN应用存在严重漏洞。通过该漏洞,攻击者可以通过访问身份验证或会话令牌,重播数据信息以欺骗用户的VPN会话,并以用户身份获得VPN访问权限对系统进行入侵。

同时,随着世界各地实行国家隔离,大多数用户被困在家里,越来越多的用户在家中浏览Internet时也会使用VPN应用程序绕过地理保护。这也就造成消费者级VPN的使用量也出现了快速激增,在这样的环境下黑客会花费更多的时间来研究对VPN的攻击。

对于预防黑客的VPN攻击,Ramakrishna与Gartner的技术研究人员一起建议政府和企业组织应该考虑向VPN 添加软件定义的外围安全系统(SDP),以便系统可以扩展其整体安全体系结构,以实现公司内部网络可以直接到应用程序的访问,以降低受到黑客攻击的可能性。

IoT安全之一|你的网络安全吗之路由器

 

随着IoT(物联网)的发展,我们已经不知不觉的享受到它的便利,这其中的核心设备就是路由器,尤其是在这个特殊的日子里,全世界都暴露在IoT的控制之下。

那么什么是IoT呢?

以下定义来自维基百科

物联网(英语:Internet of Things[1],缩写IoT),又称IoT技术,是互联网、传统电信网等的信息承载体,让所有能行使独立功能的普通物体实现互联互通的网络[2]。物联网一般为无线网,而由于每个人周围的设备可以达到一千至五千个,所以物联网可能要包含500兆至一千兆个物体。在物联网上,每个人都可以应用电子标签将真实的物体上网联结,在物联网上都可以查出它们的具体位置。通过物联网可以用中心计算机机器设备人员进行集中管理控制,也可以对家庭设备、汽车进行遥控,以及搜索位置、防止物品被盗等,类似自动化操控系统,同时透过收集这些小事物的数据,最后可以汇聚成大数据,包含重新设计道路以减少车祸、都市更新、灾害预测与犯罪防治、流行病控制等等社会的重大改变,实现物和物相联。

题外话:

很长时间以来,我一直在想,我所了解的知识很有限,但是很专业,而且很多知识是很少人知道的,作为少数派,本来就很难让你明白我所说的是什么?我又是一个能说善辩的我,当我用真心对待你,你却因为其它身为之物忽略的时候,我也选择忽略。

真心不会对我有什么损伤,只是时光白白流失了,我很难让一个陌生人,真正了解,我所提出的方案是经过多少心血才能够完成的,算了,言归正传

 

以下文章来源于物联网IoT安全 ,作者lmnn

该文章可以让我们了解路由器的一些基础知识,同时它不是安全的,注意:这里并没有讨论信号问题。

路由器漏洞分类

在过去的几年里,针对嵌入式设备的黑客攻击陆续进入人们的视线。2012年,黑客攻击了巴西的450万台DSL路由器,植入了恶意软件DNS Changer用以恶意劫持。2013年,安全网站也报道了一种针对嵌入式设备的新型蠕虫。此外,针对嵌入式设备攻击的黑客工具也逐步完善。

0x00 路由器密码破解漏洞

很多家用路由器都具有无线功能,开启Wi-Fi功能以后,电脑、手机等支持无线功能的设备可以通过密码认证的方式连接到路由器上网。据报告显示,99.2%的家用路由器用于给自己的路由器设置了Wi-Fi密码,没有设置密码的用户占比仅为0.8%。虽然大多数用户给路由器设置了密码,但他们仍有很多不良习惯。常见的Wi-Fi密码设置不良习惯包括:简单的数字组合;电话号码;生日等容易暴力破解或猜测的密码。

目前Wi-Fi最常见的加密认证方式有3中,分别是WPA、WPA2、WEP。当用户使用WPE一键加密功能时,攻击者最多只需实验11000次即可登录Wi-Fi。

密码被破解后,攻击者可以接入破解的网络上网,占用带宽,并可以继续进行路由器管理页面登录密码的破解,获取路由器最高管理权限等。

0x01 路由器web漏洞

家用路由器一般都带有web管理服务,使用者可以通过web管理界面进行路由器的管理和配置,如图所示:

SQL注入、命令执行、CSRF、XSS等针对web方面的攻击,不仅可以用在针对网站的攻击中,同样可以用在针对路由器的攻击中。

几乎所有的SOHO路由器都容易收到CSRF攻击。无线路由器有两个重要的密码:一个是Wi-Fi密码,主要是为了防止他人“蹭网”;另一个是路由器管理密码,主要是对路由器上网账号、Wi-Fi密码、DNS、联网设备进行管理设置。用户修改或重设路由器管理账号和密码的概率相当低,而CSRF漏洞正是利用这一点,通过认证绕过漏洞、弱密码、或者默认路由器管理密码登录,使攻击者可以像正常用户一样访问和修改路由器的任何设置。

控制路由器管理权限后,攻击者可以将用户访问正常网站的请求导向恶意站点、劫持用户流量、推送广告,甚至可以制作一个和被攻击网站一模一样的站点进行“钓鱼”,诱使用户输入支付密码,获取用户的网银账号、密码等信息。

0x02 路由器后门漏洞

根据CNCERT发布的《2013年我国互联网网络安全态势综述》显示,经CNVD分析验证,D-Link、Cisco、Linksys、Netgear、Tenda等多家厂商的路由器产品存在后门,黑客可由此直接控制路由器,进一步发起DNS劫持、窃取信息、网络钓鱼等攻击,直接威胁用户网上交易和数据存储的安全。

这里所谓的后门,并不是指黑客攻击路由器以后为了实现长久控制而留下的后门,而是指开发软件的程序员为了日后调试和检测方便,在软件中设置的一个超级管理权限。一般情况下,这个超级管理权限不容易被发现,而一旦被安全研究人员发现并公布,就意味着攻击者可以直接对路由器进行远程控制。

路由器是所有上网流量的管控设备,是网络的公共出口。路由器被黑客控制,意味着与网络有关的所有应用都可能被黑客控制。路由器带有后门,最主要的原因在于路由器厂商对安全问题重视不够。

0x03 路由器溢出漏洞

缓冲区溢出是一种高级攻击手段,也是一种常见且危险的漏洞,存在于各种操作系统和应用软件中。缓冲区溢出的利用攻击,常见表现为程序运行失败、系统假死、重新启动等。而更为严重的是,黑客可以利用它执行非授权指令,进而取得系统特权,从而进行各种非法操作。

路由器是一种嵌入式设备,可以看作一台小型计算机,在路由器上运行的程序会因为存在缓冲区溢出漏洞而遭到黑客攻击。黑客可以通过分析路由器系统及其允许的服务程序,进行大量的分析及模糊测试,发现缓冲区溢出漏洞,并利用其实现对路由器的远程控制。一旦得到路由器的控制权限,黑客可以修改路由器的任何配置信息,进行流量拦截和篡改,推送广告,甚至盗取用户重要信息等。

本文摘选自:《揭秘家用路由器0day漏洞挖掘技术》

 

“全能车App被查”这背后的黑客事件值得思考

摩拜、哈罗、青桔、ofo……这么多共享单车品牌,即使您常用的只有两三个,也要逐一下载这些品牌的APP,并在其中每个APP上都充值上百元的押金,似乎还挺麻烦。

不过,一家名为全能车的软件则号称,只要在他们的APP上充值299块钱的押金,就能打开市面上所有品牌的共享单车,还能以低于这些品牌包月服务费的价格骑行。

全能车官网介绍,只要缴纳299元押金就能使用多种共享单车,而且用户在全能车软件内充值的余额对所有品牌的共享单车通用。据了解,市面上的共享单车品牌ofo、摩拜、哈罗等,都可以被解锁。一位全能车的使用者说,这样的软件的确能解决些问题。这个软件直击痛点,带走了很多客户,看似是个不错的软件,实则是黑客行为。

全能车与各大共享单车品牌没有任何合作关系,只是用别人的车赚自己的钱,用的手段正是盗用他人身份、破解软件。对于客户,只需要交一份钱就可以使用很多家的共享单车产品。

这里我们不想描述,黑客是如何盗取服务器数据,篡改并发数据,实现不签约就可以开锁;也不说,这款App的68台黑客服务器和涉案人员被抓,但多家app商城仍然可以下载的问题。

这背后有很多问题,值得我们去思考,这种事件在我们身边有很多,首先普通客户无法辨别他是否侵权,全能车为什么在不被授权的情况下持续经营这么久?app上架时有没有做过合法性检测?

在物联网时代的大背景下,监管方如果不能跟上科技的脚步,必将出现一场大灾难。

请重视你身边的技术人员吧,他们的力量可能是无限的…

“Hello world”

前天世界最大云服务商AWS遭到黑客攻击

欧洲时间,2019年10月23日,我接到几个朋友的信息,“网站怎么打不开了?帮我们看下”。我发现,很巧合的是所有服务器都来自亚马逊AWS。肯定是服务器遭受了黑客攻击。

直到下午有的网站开始可以打开了。

随后亚马逊发布了公告,此次事故发生在当地时间早上10点半至下午6点半之间。在此期间,黑客攻击了该公司的Router53 DNS Web服务,导致其DNS名称解析发生了间歇性错误,并使得包括弹性负载平衡(ELB)、关系数据库服务(RDS)和弹性计算云(EC2)在内的多种服务受到了影响。

而在大约同一时间,谷歌的云平台也遭到了类似攻击,波及了谷歌计算引擎、谷歌Kubernetes 引擎、Cloud Bigtable和谷歌云存储服务

同样苹果公司服务器也是黑客的囊中之物。

随着我们的生活越来越离不开网络物联网时代的来临,我们该如何防范呢?

对于这些业界的精英都不能避免何况我们身边的很多鸡肋应用不知何时会爆发更大规模的数字伤害。

Apple HomeKit的新专利UWB 超宽带技术

近日,美国专利局发布的名为「模块化墙体系统」的专利申请中,苹果打算通过利用室内的插座,固定装置和配件来做到这一点。

在专利中,电源插座内置处理器芯片,处理器控制两大模块,一个是电源模块,一个是通信模块。电源模块配置多个自主电源,可以根据远程命令打开或关闭。通信模块则可以与屋内的其他主机单元进行通信,从而在设备之间发送数据。

该插座还可以具有多个附件,例如使用多天线阵列与多个主机单元进行通信以计算通信数据的相位角,用作罗盘的磁力计以及用于检测方向的加速度计。

通过使用这些组件,它可以使建筑物的中央系统生成平面图,利用雷达,IEEE 802 通信协议,超声方法以及超宽频(UWB)无线电定位,就能确定每个插座相对的位置,并将它们分组到房间中以进行大规模控制。

UWB 超宽带技术,让插座自行判断附近智能手机,平板电脑和其他电子设备的位置,这样,未来的 HomeKit 可以根据用户所在的位置通过插口来控制物品。

HomeKit 需要所有设备都连接到中央网络,尽管它确实在设置中提供了一定程度的位置感知,但精细程度还不足以按房间来运行。

如果 HomeKit 能够更好地确定用户在建筑物内的位置,就能启用更多高级功能,例如当用户进入房间时打开房间中的灯或风扇。这是智能家居的发展目标之一。

利用UWBiPhone 11 iPhone 11 Pro 系列中的 U1 芯片可用来识别 AirDrop 接收者的精确位置,这只是应用场景的其中之一。 WiFi、蓝牙等传统室内定位技术路径相比,UWB 具备诸多优点,最主要的就是定位精度。UWB 能够将探测精度缩小至 10 厘米以内的范围,远超蓝牙 5.0 配合 Wi-Fi 所能达到的 1 米精度。

由于 UWB 采用的频率较高,频带也更宽,虽然传输距离有限,但它几乎不会对其它无线信号造成影响,且传输容量和速率更大,这也是为什么苹果会将 UWB 应用在 AirDrop 功能上。

同样,将 UWB 添加到插座不仅可以使插座相互通信并确定其在 3D 空间中的位置,还可以监测到附近 iPhone 的存在,从而实现精细的家庭定位功能。

当然,墙体单元不一定是电源插座。根据苹果的想法,嵌入墙体的元件还可以包括电灯开关、温度控制器以及其他具有相同传感器并固定在墙上的各种开关按钮。到那个时候,HomeKit 将掌握各个智能家居的分布图以及你在 HomeKit 分布系统中的位置,指挥各设备快速进入工作状态,成为家居系统的大脑,而 UWB 则是组成神经网络的重要一环。