Python终于官配Android和iOS了

2024年十月份的时候,Python发布了一个新版本 —— 3.13.0。

在这次更新后,大家惊喜地发现,Python官方支持两大移动平台了。

虽然以前有开发者自行移植的版本,但或多或少不尽如人意。这次的官配,一下就把移动开发者的兴趣给挑动起来了。

下图是开发者针对 Python 3.12 和 3.13 的性能测试对比,可以看到 no-GIL 和 JIT 带来的性能提升。

此时默认启用自由线程(初期仍支持禁用),但此阶段确切的标准很难确定,目标是使开发者尽可能无缝且无痛地进行升级和兼容。而启用 JIT 的 Python 3.13 也比 Python 3.12 和常规的 Python 3.13 更快。

Python 3.13 在禁用 GIL 的自由线程模式下性能明显优于其他版本,这表明此版本的 Python 能够充分利用计算机上的所有内核。

DigitalOcean服务器:便宜可靠的云计算解决方案

在当今数字化时代,选择一个便宜又可靠的云计算服务提供商对于企业和开发者来说至关重要。DigitalOcean作为一家领先的云计算公司,以其高效、稳定和易用的服务赢得了广泛的赞誉。以下是推荐DigitalOcean服务器的几个理由:

高性能和稳定性
DigitalOcean的服务器采用最新的硬件技术,确保高性能和稳定性。无论是运行复杂的应用程序还是处理大量数据,DigitalOcean的服务器都能提供卓越的性能,保证业务的连续性和用户体验的流畅。

简单易用的界面
DigitalOcean提供了一个直观且用户友好的控制面板,使得服务器的管理变得简单。即使是没有太多技术背景的用户,也能轻松上手,快速部署和管理云服务器。

灵活的定价方案
DigitalOcean提供多种定价方案,满足不同用户的需求。最低的套餐6美元一个月。无论是个人开发者、小型企业还是大型企业,都能找到适合自己的方案。同时,DigitalOcean还提供按小时计费的灵活选项,帮助用户更好地控制成本。

丰富的功能和工具
DigitalOcean不仅提供基本的云服务器,还提供了丰富的附加功能和工具,如负载均衡、数据库托管、对象存储等。这些功能可以帮助用户更好地构建和管理自己的应用程序和服务。

强大的社区支持
DigitalOcean拥有一个活跃且热情的社区,用户可以在社区中找到大量的教程、指南和解决方案。而且他们的文档也是非常详细,很适合技术人员学习。此外,DigitalOcean的技术支持团队也非常专业,能够及时解决用户遇到的问题。

结论
总的来说,DigitalOcean以其高性能、易用性、灵活的定价方案和强大的社区支持,成为了云计算市场中的一股清流。无论你是开发者、企业主还是技术爱好者,DigitalOcean都能为你提供可靠的云计算解决方案,助力你的业务发展。

相关地址:

https://m.do.co/c/0a4e09145d2d

江浙沪猫窝设计概要

最近弄了一个室外的猫窝,理解了猫科动物对于卧室的要求。

猫的特点:敏感、警惕性高、爱干净、不喜潮湿、不喜光线直射、怕吵、怕冻、喜欢纸盒。

江浙沪特点:多雨潮湿、夏热冬冷、蛇虫鼠蚁多。

对应猫窝要点:结构简单牢固、防雨防晒、排水良好、透气性好、隐蔽性好、安全性高。

于是,我找了个餐厅用的304不锈钢大桶作为基础。灵感来自集装箱做的房子。

第一个版本的猫窝,没有特别布置,只在里面加上硬纸板。结果位置较低,下雨后里面进水,猫弹射跑路。(失败)

第二个版本,将大桶下方垫上两砖的高度,门口加矮墙。结果只能防小雨,雨一大,还是进水。猫坚持了五分钟,雨一大马上弹射跑路。(失败)

第三个版本,在桶内加垫料,增加床(大纸盒)的高度,床下留出排水通道。同时增加纵深,免得离门口太近。纸盒底部用透明塑料带加一隔水层。最后外面再挂一块布做门帘,遮阳加挡雨。(成功)

终于,大雨倾盆也不怕了。外面暴雨,它在里面踏实躺着梳理毛发。

Json文件的加解密

HTTPS可以防止传输过程中数据被偷看,但无法阻止客户端本地的攻击。比如Json之类的文件,如果完全明文,可能会让一些黑客看到敏感信息。

是否可以对其进行一层简单的加密?

以Python为例子,用一个加密库就可以。

首先执行:pip install cryptography

然后开始编写如下代码。

from cryptography.fernet import Fernet
import json

# 生成密钥
key = Fernet.generate_key()
cipher_suite = Fernet(key)

# JSON 数据
data = {
    "name": "Alice",
    "age": 30,
    "city": "Wonderland"
}

# 将 JSON 数据转换为字符串
json_data = json.dumps(data)

# 加密 JSON 数据
encrypted_data = cipher_suite.encrypt(json_data.encode())

print("加密后的数据:", encrypted_data)
print("密钥:", key)

它会输出:

加密后的数据: b’gAAAAABmraTSlRWANyVFWRKm4CgjpoJEhyLID-ri64K3RP2yItbM-4POPid1dVh_1mWVItoSzZy-bPC_pObCCDUJ-ktuxWbi5zAcSn8VDrTiYiyqwXWvygLcBHmwToapDEDoqA6RjHQs_WeOCKAZqPnge5Q-J4xNpw==’
密钥: b’MvHuTCwAj3SNz93MZtI_1Ww_tHn9XVUFxyARGyGLTxQ=’

要解密的时候怎么办呢?

from cryptography.fernet import Fernet
import json
daa = b'gAAAAABmraTSlRWANyVFWRKm4CgjpoJEhyLID-ri64K3RP2yItbM-4POPid1dVh_1mWVItoSzZy-bPC_pObCCDUJ-ktuxWbi5zAcSn8VDrTiYiyqwXWvygLcBHmwToapDEDoqA6RjHQs_WeOCKAZqPnge5Q-J4xNpw=='
key = b'MvHuTCwAj3SNz93MZtI_1Ww_tHn9XVUFxyARGyGLTxQ='
decrypted_data = cipher_suite.decrypt(daa).decode()
json_data = json.loads(decrypted_data)
print(json_data)

它会输出:
{‘name’: ‘Alice’, ‘age’: 30, ‘city’: ‘Wonderland’}

以上代码使用了 Fernet 加密算法,这是对称加密的一种实现。Fernet 是一种基于 AES(高级加密标准) 的加密方案,具体来说,它使用 AES-128 在 CBC(密码分组链接)模式 下进行加密,并结合 PKCS7 填充 和 HMAC(基于哈希的消息认证码) 来确保数据的完整性和保密性。

大疆微型无人机DJI Neo曝光 仅169g可飞行15分钟

有爆料人士在X(推特)上曝光了大疆的新款消费级无人机——DJI Neo。据了解,这应该是一款紧凑的,可折叠的微型无人机。

爆料人士展示了美国联邦通信委员会(FCC)注册的DJI Neo标签照片,型号为DN1A0626。标签上透露了该无人机配备的电池容量为1435mAh或10.5Wh。

此外,另一名X用户分享了一段视频,展示了这款无人机的实际飞行画面,可以看到该无人机采用了紧凑的设计,并预装了螺旋桨保护罩。

可以估计DJI Neo的重量约为169克,飞行时间大约为15分钟。这一信息意味着该无人机不仅便于携带,而且具有足够的飞行时间来进行简单的航拍任务。从这些信息来看,DJI Neo的定位应该不高,专注于自拍和简单的飞行操作。

据报道,DJI Neo Fly More Combo套装已经在沃尔玛上市,该套装通常包括额外的电池、充电集线器和手提箱,售价为329美元。

值得一提的是,除了DJI Neo,有传闻称大疆正在开发DJI Air 3S和DJI Mavic系列新品,但官方暂未宣布相关消息。

朝鲜黑客入职美国知名网络安全公司

朝鲜的高水平国家级黑客也许还有另外一个身份:某知名美国网络安全公司的高薪员工。
Knowbe4是美国著名安全意识公司,但某朝鲜黑客却通过并不复杂的社会工程、深度伪造技术和笔记本电脑农场顺利通过了该公司的招聘程序,打入该公司内部并险些酿成大祸。该事件凸显了当今AI增强网络攻击的复杂性,以及混合办公时代加强企业人力资源部门网络安全意识和流程的重要性。

用深度伪造技术顺利通过多轮面试和背调

据知情人士透露,一名朝鲜黑客冒充美国本土的IT专业人士应聘并渗透美国网络安全公司KnowBe4,但在成功进入公司内网前被发现。

周二,KnowBe4的首席执行官兼总裁Stu Sjouwerman在一份事件报告中披露,该公司发现一名新聘用的高级软件工程师实际上是朝鲜国家级黑客,企图入侵这家安全意识培训公司的系统。Sjouwerman强调,这名假冒的IT员工在加入KnowBe4内部AI团队之前,已经顺利通过了背景调查和多轮面试。

然而,自7月15日起,KnowBe4检测到与这名新员工的工作站电脑的诸多可疑活动。
朝鲜黑客冒充IT员工渗透美国企业的做法并不新鲜。2022年,美国政府联合发布的警告中曾提醒各组织注意这一威胁。

Sjouwerman在报告中说:“我们发布了职位招聘信息,收到了简历,进行了面试,进行了背景调查,核实了推荐信并聘用了此人。我们将Mac工作站电脑寄给了“新员工”,但设备收到后立即开始加载恶意软件。”

随后,KnowBe4的终端检测和响应工具(EDR)检测到了恶意活动,并向信息安全运营中心(SOC)发出警报。SOC联系了这名新员工,并询问是否需要帮助。根据不充分的响应和可疑活动,KnowBe4判断该新员工是“内部威胁/国家级黑客”。

“攻击者进行了各种操作来操控会话历史文件、传输可能有害的文件并执行未经授权的软件,还使用树莓派下载了恶意软件。”Sjouwerman在报告中说。

与Mandiant和FBI共同进行的调查显示,黑客使用深度伪造技术获得了这份工作,并使用VPN篡改了位置。Sjouwerman写道:“我们的人力资源团队曾四次通过视频会议对该黑客进行面试,确认此人与其求职申请表上的照片相符。此外,背景调查和所有其他标准的招聘前检查都未发现问题,因为黑客使用的是被盗的(真实)身份,且照片经过AI‘增强’。”

通过“笔记本农场”冒充美国本地员工,薪水上交朝鲜政府

调查还揭示了这个骗局的更多细节。Sjouwerman表示,这名假员工的工作站被寄送到一个作为“IT骡子笔记本农场”的地址。

KnowBe4的首席信息安全官Brian Jack解释了IT骡子笔记本农场的工作原理。

“这些试图获得工作机会的人大多数本人并不在美国。他们需要一个美国地址来接收公司发给员工的设备,”Jack说:“所谓笔记本电脑农场就是用于接受(美国企业邮寄给远程办公员工的)办公电脑的小型网络,运营该农场的美国本地个人会启动收到的电脑并配置远程访问。远在万里之外的黑客或非法务工人员随后会连接到笔记本农场网络,从那里远程访问公司设备。该人的安全和访问日志会显示为来自美国并且使用正确的设备。”

接下来,黑客会操控VPN位置,并在其工作所在地的夜间工作,使其看起来像是在美国的白天工作的美国本地人。

Sjouwerman在报告中说:“黑客实际上取得了在美国(非法)工作的机会,得到高薪并将大量收入交给朝鲜以资助其非法项目。这对我们构成了严重的风险。”

在2022年的警告中,政府机构还指出,这些假员工的目标是为朝鲜民主主义人民共和国筹集资金,以资助政府的武器开发等项目。

Sjouwerman提供了检测和防止此类骗局的建议,包括进行视频面试和扫描内部远程设备。他警告企业不要过于依赖电子邮件推荐信,并进行更彻底的背景调查。

他强调,这一内部威胁突显了企业需要部署更严格的审查流程,以防止APT黑客进入组织内部。

Sjouwerman在报告中说:“这一事件展示了攻击者在伪造可信身份、利用招聘和背景调查流程中的漏洞以及试图在企业系统内建立立足点方面精妙而有效的攻击技术。”


参考链接:
https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us

“紫密”的前辈Enigma是怎么工作的

在密码学史中,恩尼格玛密码机(Enigma)是一种具有影响力的加密与解密文件密码机。该密码机采用了一系列相似的转子机械加解密机制,为对称加密算法的流加密奠定了基础。

恩尼格玛密码机外观看起来是一个装满了复杂而精致元件的盒子。然而,当我们打开它时,可以将其分解为相对简单的几个部分。最核心的部分包括键盘、显示器和三个转子。键盘用于输入明文,显示器则用于显示加密后的密文。三个转子负责将明文转换为密文的过程。

在恩尼格玛密码机中,当按下键盘上的某个键时,与该字母对应的密文会在显示器上亮起。这是因为转子内部集成了6条线路(在实物中是26条),可以将键盘的信号对应到显示器不同的小灯上去。例如,如果按下字母’a’键,灯’B’就会亮起,这意味着字母’a’被加密成了字母’B’。

为了提高加密的复杂性,恩尼格玛密码机还采用了三个转子的旋转机制。每个转子都可以独立旋转,并具有26个不同的位置。当输入一个字母时,转子会旋转一定的角度,使得相同的字母在加密时对应不同的密文。这种机制增加了破译的难度,使得恩尼格玛密码机在二战期间成为了一种难以破解的加密工具。

此外,为了使消息更难以破译,恩尼格玛密码机还采用了空格和标点符号的省略机制。这意味着在加密过程中,空格和标点符号不会被包括在内,从而使得密文更难以被解读。

总体而言,恩尼格玛密码机的工作原理是通过键盘输入明文,经过三个转子的转换和加密算法的处理,最终在显示器上显示密文。这种加密方式具有很高的复杂性和难以破解的特点,因此在密码学史上具有重要的地位。

然而,尽管恩尼格玛密码机在二战期间被广泛使用并被认为是安全的加密工具,但在二战末期,英国的密码学家通过不懈的努力成功地破解了恩尼格玛密码机。这一事件成为了密码学史上的一个重要里程碑,也为我们提供了一个宝贵的教训:随着技术的发展和进步,没有任何一种加密方式是绝对安全的。

下面用C语言来实现这个加密过程,代码比较简单,仅供参考。可自己完善。

先来一段明文:Send troops to Poland today(今日出兵波兰),中间空格要去掉。

#include <stdio.h>
#include <stdlib.h>
#include <time.h>
#include <string.h>

#define MAX_CHARS 26

// 交换两个字符
void swap(char *a, char *b) {
    char temp = *a;
    *a = *b;
    *b = temp;
}

// 随机打乱字符数组
void shuffle(char *arr, int n) {
    for (int i = n - 1; i > 0; i--) {
        int j = rand() % (i + 1);
        swap(&arr[i], &arr[j]);
    }
}

int main() {
    // 生成字母表
    char a[MAX_CHARS];
    for (int i = 0; i < MAX_CHARS; i++) {
        a[i] = 'a' + i;
    }

    // 复制并打乱字母表
    char b[MAX_CHARS];
    memcpy(b, a, MAX_CHARS);
    shuffle(b, MAX_CHARS);

    // 建立对应密码表 (这里使用数组代替字典,下标作为索引)
    char dict[MAX_CHARS][2];
    for (int i = 0; i < MAX_CHARS; i++) {
        dict[i][0] = a[i];
        dict[i][1] = b[i];
    }

    // 待加密字符串
    char word[] = "sendtroopstopolandtoday";
    char encrypted[MAX_CHARS];

    printf("加密前: %s\n", word);

    // 加密
    int j;
    for (int i = 0; i < strlen(word); i++) {
        for (j = 0; j < MAX_CHARS; j++) {
            if (word[i] == dict[j][0]) {
                encrypted[i] = dict[j][1];
                break;
            }
        }
    }
    encrypted[strlen(word)] = '\0';

    printf("加密后: %s\n", encrypted);

    return 0;
}

结果是:

加密前: sendtroopstopolandtoday
加密后: dgncsuffjdsfjfylncsfclr

先别高兴太早,这只是单张表,很容易被破解。

为了提升破解者的难度,下面用两张表来混合加密。

#include <stdio.h>
#include <stdlib.h>
#include <time.h>
#include <string.h>

#define MAX_CHARS 26

// 交换两个字符
void swap(char *a, char *b) {
    char temp = *a;
    *a = *b;
    *b = temp;
}

// 随机打乱字符数组
void shuffle(char *arr, int n) {
    for (int i = n - 1; i > 0; i--) {
        int j = rand() % (i + 1);
        swap(&arr[i], &arr[j]);
    }
}

int main() {
    // 初始化随机数种子
    srand(time(NULL));

    // 生成字母表
    char a[MAX_CHARS];
    for (int i = 0; i < MAX_CHARS; i++) {
        a[i] = 'a' + i;
    }

    // 复制并打乱字母表两次
    char b[MAX_CHARS], c[MAX_CHARS];
    memcpy(b, a, MAX_CHARS);
    memcpy(c, a, MAX_CHARS);
    shuffle(b, MAX_CHARS);
    shuffle(c, MAX_CHARS);

    // 建立对应密码表 (使用二维数组表示)
    char dict1[MAX_CHARS][2], dict2[MAX_CHARS][2];
    for (int i = 0; i < MAX_CHARS; i++) {
        dict1[i][0] = a[i];
        dict1[i][1] = b[i];
        dict2[i][0] = a[i];
        dict2[i][1] = c[i];
    }

    // 待加密字符串
    char word[] = "sendtroopstopolandtoday";
    char encrypted[100];  // 确保足够大

    printf("加密前: %s\n", word);

    // 加密
    int j;
    for (int i = 0; i < strlen(word); i++) {
        for (j = 0; j < MAX_CHARS; j++) {
            if (word[i] == dict1[j][0]) {
                encrypted[i] = i % 2 == 0 ? dict1[j][1] : dict2[j][1];
                break;
            }
        }
    }
    encrypted[strlen(word)] = '\0';

    printf("加密后: %s\n", encrypted);

    return 0;
}

结果是:

加密前: sendtroopstopolandtoday
加密后: yazkownmfuomfmiqzkomhqx

双表混合法,即第一个字符是使用第一个映射表加密,第二个字符使用第二张映射表来进行加密,这可以使加密的安全度提高很多,也比较接近Enigma机的工作原理。

下面来讲明文的还原方式。

根据前面获得的两张映射表,将它们全部反转。

第一张表:

{‘a’: ‘s’, ‘b’: ‘t’, ‘c’: ‘r’, ‘d’: ‘h’, ‘e’: ‘b’, ‘f’: ‘w’, ‘g’: ‘q’, ‘h’: ‘j’, ‘i’: ‘p’, ‘j’: ‘e’, ‘k’: ‘v’, ‘l’: ‘i’, ‘m’: ‘g’, ‘n’: ‘z’, ‘o’: ‘n’, ‘p’: ‘f’, ‘q’: ‘m’, ‘r’: ‘u’, ‘s’: ‘y’, ‘t’: ‘o’, ‘u’: ‘d’, ‘v’: ‘c’, ‘w’: ‘l’, ‘x’: ‘a’, ‘y’: ‘x’, ‘z’: ‘k’}

第二张表:

{‘a’: ‘q’, ‘b’: ‘l’, ‘c’: ‘g’, ‘d’: ‘k’, ‘e’: ‘a’, ‘f’: ‘v’, ‘g’: ‘j’, ‘h’: ‘y’, ‘i’: ‘p’, ‘j’: ‘z’, ‘k’: ‘x’, ‘l’: ‘n’, ‘m’: ‘c’, ‘n’: ‘d’, ‘o’: ‘m’, ‘p’: ‘t’, ‘q’: ‘s’, ‘r’: ‘w’, ‘s’: ‘u’, ‘t’: ‘h’, ‘u’: ‘o’, ‘v’: ‘f’, ‘w’: ‘b’, ‘x’: ‘e’, ‘y’: ‘r’, ‘z’: ‘i’}

反转第一张表:

{‘s’: ‘a’, ‘t’: ‘b’, ‘r’: ‘c’, ‘h’: ‘d’, ‘b’: ‘e’, ‘w’: ‘f’, ‘q’: ‘g’, ‘j’: ‘h’, ‘p’: ‘i’, ‘e’: ‘j’, ‘v’: ‘k’, ‘i’: ‘l’, ‘g’: ‘m’, ‘z’: ‘n’, ‘n’: ‘o’, ‘f’: ‘p’, ‘m’: ‘q’, ‘u’: ‘r’, ‘y’: ‘s’, ‘o’: ‘t’, ‘d’: ‘u’, ‘c’: ‘v’, ‘l’: ‘w’, ‘a’: ‘x’, ‘x’: ‘y’, ‘k’: ‘z’}

反转第二张表:

{‘q’: ‘a’, ‘l’: ‘b’, ‘g’: ‘c’, ‘k’: ‘d’, ‘a’: ‘e’, ‘v’: ‘f’, ‘j’: ‘g’, ‘y’: ‘h’, ‘p’: ‘i’, ‘z’: ‘j’, ‘x’: ‘k’, ‘n’: ‘l’, ‘c’: ‘m’, ‘d’: ‘n’, ‘m’: ‘o’, ‘t’: ‘p’, ‘s’: ‘q’, ‘w’: ‘r’, ‘u’: ‘s’, ‘h’: ‘t’, ‘o’: ‘u’, ‘f’: ‘v’, ‘b’: ‘w’, ‘e’: ‘x’, ‘r’: ‘y’, ‘i’: ‘z’}

然后把密文填进去,就可以出来明文了。

这里还是用代码来实现:

#include <stdio.h>
#include <string.h>

int main() {
    char mm[] = "yazkownmfuomfmiqzkomhqx";
    char dict3[26][2] = {
        {'s', 'a'}, {'t', 'b'}, {'r', 'c'}, {'h', 'd'}, {'b', 'e'}, {'w', 'f'}, {'q', 'g'}, {'j', 'h'}, {'p', 'i'}, {'e', 'j'},
        {'v', 'k'}, {'i', 'l'}, {'g', 'm'}, {'z', 'n'}, {'n', 'o'}, {'f', 'p'}, {'m', 'q'}, {'u', 'r'}, {'y', 's'}, {'o', 't'},
        {'d', 'u'}, {'c', 'v'}, {'l', 'w'}, {'a', 'x'}, {'x', 'y'}, {'k', 'z'}
    };
    char dict4[26][2] = {
        {'q', 'a'}, {'l', 'b'}, {'g', 'c'}, {'k', 'd'}, {'a', 'e'}, {'v', 'f'}, {'j', 'g'}, {'y', 'h'}, {'p', 'i'}, {'z', 'j'},
        {'x', 'k'}, {'n', 'l'}, {'c', 'm'}, {'d', 'n'}, {'m', 'o'}, {'t', 'p'}, {'s', 'q'}, {'w', 'r'}, {'u', 's'}, {'h', 't'},
        {'o', 'u'}, {'f', 'v'}, {'b', 'w'}, {'e', 'x'}, {'r', 'y'}, {'i', 'z'}
    };

    char word[strlen(mm) + 1];
    word[strlen(mm)] = '\0';

    for (int i = 0; i < strlen(mm); i++) {
        if (i % 2 == 0) {
            for (int j = 0; j < 26; j++) {
                if (mm[i] == dict3[j][0]) {
                    word[i] = dict3[j][1];
                    break;
                }
            }
        } else {
            for (int j = 0; j < 26; j++) {
                if (mm[i] == dict4[j][0]) {
                    word[i] = dict4[j][1];
                    break;
                }
            }
        }
    }

    printf("明文是:%s\n", word);

    return 0;
}

明文是:sendtroopstopolandtoday

实际的Enigma机工作起来要比这个复杂很多,但基本原理类似。有兴趣的朋友可以深入研究。

无法忍受 — 马斯克删除旗下所有系统中的CrowdStrike

SpaceX与特斯拉的掌门人埃隆·马斯克宣布,旗下企业已全面卸载了争议重重的网络安全工具CrowdStrike。此举紧随全球范围内Windows 10系统的重大故障之后,该故障被证实与CrowdStrike的一项更新有关,该更新与Microsoft系统产生了冲突,引发了连锁反应。

此次IT系统崩溃波及全球,Windows 10用户无一幸免,从繁忙的机场到金融机构,再到媒体行业,均遭受了严重影响。据航空数据分析公司Cirium统计,此次事件导致全球至少4,295个航班被迫取消。

此外,包括英国的天空新闻、澳大利亚的ABC、SBS、第七频道、第九频道及澳大利亚新闻集团在内的多家媒体机构也遭遇了服务中断。

马斯克在社交平台X(原Twitter)上回应相关讨论时透露:“我们刚刚从所有系统中彻底移除了CrowdStrike。”

Microsoft的执行董事长兼首席执行官萨蒂亚·纳德拉也在X上确认,CrowdStrike的更新正是导致周五全球性中断的元凶。他表示,Microsoft正积极为受影响的客户提供技术支持与指导,协助他们安全地恢复系统功能。

对此,马斯克回应道:“这次事件给汽车供应链带来了不小的困扰。”他还对《金融时报》关于全球Windows 10中断的报道评论道,称这是“史上最大规模的IT系统失败”。

科技巨擘马斯克赞同X的安全工程主管、同时也是SpaceX首席安全工程师的克里斯托弗·斯坦利的观点。斯坦利将此次事件形容为“一个警钟,提醒我们不应在生产环境中运行与互联网相连且拥有高权限的二进制程序。”

“一次不良的更新就可能成为对手渗透的巨大后门。第三方供应商往往是系统中最脆弱的一环,”他告诫道。

CrowdStrike的首席执行官乔治·库尔茨在接受NBC采访时表达了歉意,他说道:“对于给客户、旅客以及所有受到此次系统中断影响的人带来的不便,我们深感抱歉。”

库尔茨解释称:“我们迅速发现了问题所在……系统在重启后能够恢复正常运行。”同时,他表示CrowdStrike正在与客户紧密合作,协助他们尽快恢复日常运营。这一系列事件再次凸显了网络安全领域中第三方风险管理和软件更新策略的重要性。

肇事者CrowdStrike到底是来头?

该事件的主要原因是网络安全服务公司CrowdStrike更新杀毒软件时,将Windows一个重要系统文件删除了。

据央视新闻报道,CrowdStrike首席执行官乔治·库尔茨19日在社交媒体X上和在接受美国电视媒体采访时致歉。这家公司说,此次故障涉及一款阻止网络攻击的软件的自动更新,公司已经部署修复程序,向用户发布了修复指南,其中一些系统需要进行手动修复。

微软公司副总裁兼副首席信息安全官安·约翰逊19日晚些时候说,客户正在或已经收到必要信息,并正在得到他们需要的支持,但无法估计需要多长时间让客户恢复使用微软系统。

国际分析机构福里斯特公司分析师阿莉·梅伦说,手动修复需要删除受损文件等,比较耗时,而CrowdStrike的一些大客户可能管理着数百万台计算机,他们可能需要几天或更长时间完成修复工作。

公开资料显示,CrowdStrike成立于2011年,总部位于美国得克萨斯州奥斯汀,业务遍及170多个国家,截至1月份,员工人数超过7900人。CrowdStrike为企业提供基于云的安全解决方案。它的Falcon工具(周五中断的原因之一)可识别异常行为和漏洞,以保护计算机系统免受恶意软件等威胁。公司报告称,截至4月的季度收入超过9亿美元,其中美国收入占近70%。

CrowdStrike提供的软件类型与较旧、功能较有限的安全软件类型截然不同。传统的防病毒软件在计算机和互联网的早期非常有用,因为它能够寻找已知恶意软件的迹象,但随着网络攻击变得越来越复杂,传统杀毒软件已经不再受欢迎。而CrowdStrike开发的被称为“终端检测和响应”软件的产品功能更加完善,可以不断扫描机器以查找任何可疑活动的迹象并自动做出响应。

但要做到这一点,这些程序必须获得访问权限,以检查计算机操作系统的核心是否存在安全缺陷。这种访问权限使它们能够破坏它们试图保护的系统。这就是微软的Windows系统在周五的宕机事件中发挥作用的原因,最终引发了全球“蓝屏死机”这一问题。CrowdStrike将该事件归咎于“在Windows主机的单个内容更新中发现的缺陷”。

据市场研究公司IDC称,CrowdStrike控制了价值86亿美元的全球“现代”端点检测和响应软件市场约18%的份额,略高于其主要竞争对手微软。其软件被认为是抵御各种新兴黑客威胁的最佳防御软件之一,使用人工智能和传统安全策略来跟上黑客攻击者的步伐。

CrowdStrike在全球拥有约29000名客户。Alphabet、谷歌、亚马逊和英特尔等一些全球最大的科技公司都是其客户。该公司的业务涉及多个行业,美国政府也是其客户之一。

知名嵌入式操作系统Mbed宣布停止更新

近日,Arm官方宣布,Mbed开发平台和操作系统将于2026年7月起终止使用,届时Mbed网站将被存档,将无法再利用在线工具中构建项目。

Mbed表示,Mbed OS软件是开源的,将保持公开可用,但Arm将不再积极维护。

同时,Mbed TLS项目不受此公告的影响,并将继续作为TrustedFirmware社区项目的一部分受到支持。

os.mbed.com中的原文如此表示:

Mbed自2009年以来一直是一个非常受欢迎的项目,它帮助专业开发人员、教育用户和创客社区在由Mbed合作伙伴和贡献者开发的基于Arm的硬件上创建、保护、部署和更新数千个应用程序。自推出以来,嵌入式和物联网开发已经发生了巨大的变化和扩展,在此发展过程中,Arm对CMSIS等行业标准以及一套用于专业和学术用途的嵌入式和物联网开发工具进行了大量投资。

与此同时,Arm支持的项目(如micro:bit、Arduino和Raspberry Pi)在教育环境和创客社区中发展势头强劲,使Mbed提供的许多功能变得更加普及和易于访问,无论是基于浏览器的IDE和硬件抽象到代码托管和远程构建服务。我们相信,这些需求现在可以通过更广泛的生态系统得到最好的满足,而无需Arm的直接支持。

Arm始终致力于投资物联网开发,专注于我们认为将最有效地服务于行业和学术界的标准、工具和教育内容,因为我们将继续支持每个人在Arm上构建计算的未来。

树莓派AI 套件上市,带NPU售价 70 美元

如果你曾经想在 Raspberry Pi 5 上尝试神经网络、人工智能和机器学习的世界,树莓派这次推出了官方AI 套件。该 AI 套件是与 Hailo 合作开发的,它可将本地高效的推理能力,集成到各种应用程序中。现已上架 Raspberry Pi 的经销商网络,价格 70 美元。

Raspberry Pi AI 套件拆解

Raspberry Pi AI 套件包括我们的 M.2 HAT+ 和 Hailo-8L AI 加速器模块。AI 套件安装在 Raspberry Pi 5 上,可让你快速构建复杂的 AI 视觉应用程序,实时运行。具有低延迟和低功耗要求。用于对象检测、语义和实例分割、姿态估计和面部识别(仅举几例)的先进神经网络完全在 Hailo-8L 协处理器上运行,使 Raspberry Pi 5 CPU 可以自由地执行其它任务。

Raspberry Pi AI 套件的主要功能包括:

  • 每秒 13 万亿次运算 (TOPS) 的推理性能
  • 以 8Gbps 运行的单通道 PCIe 3.0 连接
  • 与 Raspberry Pi 图像软件子系统完全集成
  • 与第一方或第三方相机的兼容性
  • 加速器硬件的高效调度:在单个摄像头上运行多个神经网络,或者同时在两个摄像头上运行单个 / 多个神经网络

搭载AI Kit的树莓派5

Hailo创建了一个庞大的模型库,用户可以在这里找到各种各样的预训练神经网络模型,可以在AI Kit上部署和优化。

地址:

https://github.com/hailo-ai/hailo_model_zoo/tree/master/docs/public_models/HAILO8L

软件方面

最新版本的 Raspberry Pi OS 会自动检测 Hailo 模块,因此操作系统和利用该模块的应用程序可以立即使用它。rpicam-apps 套件现在有一个后处理模板,用于在摄像头管道中集成实时运行的神经网络推理。

“通过使用预安装的 Hailo Tappas 后处理库,仅几百行 C++ 代码就能创建基于 AI 的高级应用程序。类似级别的集成到我们的 Picamera2 框架中很快就会实现。”

除了可以在 rpicam-apps 或 Picamera2 中使用 Hailo-8L 协处理器外。Raspberry Pi AI Kit 中还打包了集成在 GStreamer 框架和本地 Python 或 C/C++ 应用程序中的 API。包括非摄像机用例,例如在预先录制的视频文件上运行推理。

近看Hailo模块

软件安装步骤非常简单。通过apt安装几个软件包,重新启动,你就可以在几分钟内尝试我们的一些AI演示。完整的说明可以在我们的入门指南中找到。下面是我们的一些演示的预览,你可以通过rpicam-apps运行。

详细步骤:

https://www.raspberrypi.com/documentation/accessories/ai-kit.html#getting-started

有了树莓派AI Kit,你不但可以在picam-apps或Picamera2中使用Hailo-8L协处理器。树莓派还打包了一个集成在GStreamer框架和本地Python或C/C++应用程序中的API。这包括非相机用例,例如在预先录制的视频文件上运行推理。