BUF早餐鋪丨電腦科學家釋出不會被黑的加密程式碼;百變語音等35個鎖屏勒索類惡意程式變種被曝光;...
各位Buffer早上好,今天是2019年4月9日星期二。今天的早餐鋪內容主要有: 電腦科學家釋出不會被黑的加密程式碼;英特爾晶片新漏洞暴露計算機上所有資料;百變語音等35個鎖屏勒索類惡意程式變種被曝光;國家發改委將虛擬貨幣”挖礦”列為淘汰類產業;網約車平臺推新使用者獎勵機制遭薅羊毛,被騙80萬報警。
電腦科學家釋出不會被黑的加密程式碼
程式設計師都是凡人,但數學則是不朽的。通過讓程式設計變得更數學化,電腦科學家希望能消除向黑客敞開大門的程式設計錯誤。
研究人員在GitHub上釋出了加密工具EverCrypt,向這個目標邁出了一大步。
就像證明畢達哥拉斯定理那樣,他們能證明EverCrypt可完全避開多種黑客攻擊。EverCrypt沒有采用常見的程式設計方法編寫,而是利用了形式化驗證。他們首先明確程式碼能做什麼,然後證明只能這麼做,排除了程式碼在特殊情況下偏離的可能性。
EverCrypt始於2016年,是微軟研究院專案Project Everest的一部分,當時加密庫是許多軟體的薄弱環節,存在大量bug。[ solidot ]
英特爾晶片新漏洞暴露計算機上所有資料
安全研究人員報告稱,透過流經某些計算機系統主機板的訊號,黑客可利用英特爾VISA晶片漏洞窺探主機資料。
3月28日,研究人員在亞洲黑帽大會上披露了自己的發現,聲稱他們之前發現的可利用來自IME內執行未簽名程式碼的漏洞(INTEL-SA-00086),同樣可以用於訪問VISA硬體。商用計算機系統上VISA功能通常是禁用的,但 Positive Technologies團隊可利用IME來啟用VISA功能。一旦得以訪問,便能探知PCH細節,也就可以從計算機中找到那些資料,並可以讀取外圍裝置資料。
基本上,該漏洞能令黑客獲得對計算機的完全訪問權。
作為迴應,英特爾宣稱,2017年對IME的一次更新已經修復了該漏洞。但研究人員表示,如果將該韌體降級至早期版本,仍能訪問VISA硬體及其能讀取的資料。面對質疑,研究人員向媒體透露,該漏洞僅影響第6代及以後的英特爾處理器,包括Skylake和 Kaby Lake,且將來的英特爾處理器中仍將存在該漏洞。[ secrss ]
百變語音等35個鎖屏勒索類惡意程式變種被曝光
通過自主監測和樣本交換形式,國家網際網路應急中心近日發現35個鎖屏勒索類的惡意程式變種,該類病毒通過對使用者手機鎖屏,勒索使用者付費解鎖,對使用者財產安全造成了嚴重的威脅。
這35個被曝光的鎖屏勒索類的惡意程式變種包括拉圈圈神器、卡鑽助手、秒搶紅包、百變語音、吃雞輔助、刺激戰場輔助、酷跑刷鑽助手、絕地求生最新輔助等。為了索取贖金,惡意程式製造者還預留了聯絡方式、暱稱和頭像。
國家網際網路應急中心天津分中心安全專家介紹說,這些鎖屏勒索類病毒惡意行為包括,強制將自身介面置頂,致使使用者手機處於鎖屏狀態,無法正常使用;私自重置使用者手機鎖屏PIN密碼;監測開機自啟動廣播,觸發開機自啟動廣播後,便會啟動鎖屏程式碼;惡意程式預留聯絡方式,提示使用者付費解鎖。
安全專家提醒說,廣大手機使用者不要下載這些惡意程式,避免手機作業系統受到不必要的安全威脅。對於無緣無故出現的連結或檔案,尤其是陌生使用者通過簡訊、微信等傳送的連結或檔案,不要點選或接收。[ xinhuanet ]
國家發改委將虛擬貨幣”挖礦”列為淘汰類產業
近期比特幣價格漲回5000美元,讓2018年底經歷“礦機輪斤賣”和關機潮的礦圈稍微鬆了一口氣。不過,這口氣可能鬆不了多久,產業政策的“利劍”又來了。
4月8日,國家發改委釋出《產業結構調整指導目錄(2019年本,徵求意見稿)》,涉及鼓勵類、限制類、淘汰類三個類別的產業活動,,虛擬貨幣“挖礦”活動(比特幣等虛擬貨幣的生產過程)赫然出現在淘汰類之中。
該指導目錄還顯示,未標淘汰期限或淘汰計劃的條目為國家產業政策已明令淘汰或立即淘汰。而虛擬貨幣“挖礦”活動這一條沒有標上“淘汰期限或淘汰計劃”,側面反應出國家產業政策鮮明態度。
摩根士丹利曾在2018年初給出資料,挖比特幣成本大約三分之一來自電費,2018年比特幣乃至其他數字貨幣的挖礦用電需求將達到120-140萬億瓦時 (terawatt-hours),而全球電動車的能源消耗到2025年預計才不過125萬億瓦時。根據國際能源署2015年的資料,阿根廷全國一年的用電量也才不過125萬億瓦時。2018年10月發表在期刊Nature Climate Change上的一篇論文顯示,僅挖比特幣一項就將導致2033年全球氣溫上升2℃。
對於下一步的工作安排,互金整治辦提出兩點要求:一是積極引導轄內企業有序退出“挖礦”業務,並請積極協調轄內有關部門,多措並舉,綜合採取電價、土地、稅收和環保等措施,引導相關企業有序退出;並要求各地整治辦於1月10日前上報目前轄內“挖礦”企業基礎情況及引導退出情況。二是為及時掌握各地工作進展,要求各地整治辦每月10日前填報轄內“挖礦”企業有關情況。[ sina ]
網約車平臺推新使用者獎勵機制遭薅羊毛,被騙80萬報警
近日上海公安局浦東分局搗毀一個網路詐騙團伙,該團伙利用網路漏洞騙取網約車獎勵金,目前已逮捕4人,涉案金額80餘萬元。
許多網約車平臺為了吸引新使用者下載客戶端並進行使用,會推出一系列獎勵機制,如首次充值50元送50元等。這成了不法分子的“生財之道”。
2019年2月,某知名網約車公司工作人員報案稱:2018年8月至今,有多名司機利用網路漏洞騙取公司獎勵金,總價值累計80餘萬元。接報後,民警迅速展開調查。在相關部門的支援下,民警通過資料比對、人員分析、賬單查控,基本掌握了該案的主要證據。最後,民警先後在上海各地抓獲嫌疑人童某等人。
據童某等人交代,他們利用首衝獎勵機制,通過虛擬手機號註冊大量的乘客賬號,充值一次後進行下單。然後使用事先利用親戚、朋友等不同身份實名註冊的網約車司機賬戶進行接單,最後在手機上用虛擬定位軟體形成假的行程,足不出戶,完成刷單,騙取獎勵費。
警方表示,此類違法“薅羊毛”行為並不是偶發事件。隨著網際網路的不斷髮展,許多企業的日常業務都離不開網際網路運用。如果有人發現網路漏洞並加以利用,常常會造成公司重大損失。所以,相關企業應該經常通過安全部門進行資料檢查或進行內部資料自查,如發現有不法分子企圖利用漏洞進行犯罪,及時向公安機關報案。[ 澎湃新聞 ]