月度归档: 2018 年 9 月

用上Micro:bit离线开发工具Windows 10版本

Micro:bit 是一款由英国广播电视公司(BBC)为青少年编程教育设计,并由微软,三星,ARM,英国兰卡斯特大学等合作伙伴共同完成开发的微型电脑。

为了降低门槛,早期只提供了Web版的在线开发工具(makecode.microbit.org)供大家创作。

可随着玩家数量的增多以及对调试效率的追求,离线开发工具成为了很多玩家追求的目标。

后来官方提供了Android、iOS……等需要借助蓝牙,借助Web的伪离线版本。但始终没有为广大Windows用户提供一个支持积木编程的“真”离线版本。

前几天逛Windows App Store,突然发现 Micro:bit 官方 IDE 支持Windows 10了。

虽然还在BETA,但总比在线版好用多了 —— 代码编译下载后还要手动写入程序,效率很低。

该版本同时支持“积木”和 JavaScript 两种编程方式。界面和Web在线版一样,但不用担心像Web版那样,经常刷不出来。

写入程序时也不用多余工序 —— 在 Micro:bit 硬件联机状态点击“下载”即可。

怎么样?还不赶紧试一下,为自己提高创作效率。

另外也欢迎Micro:bit的同好关注我们的公众号“IoT前哨站”,一起来为物联网学习添砖加瓦。

加州首个“物联网安全法案”被批肤浅

加州首个“物联网安全法案”已经被放到了州长办公桌上等待签字,但其本身遭到了安全研究人员的大量批评。

专家指出,该法案明显是基于对此类问题的肤浅理解。该法案(SB-327)于 2017 年 2 月推出,比向美国参议院提出的《物联网网络安全改进法案》还要早半年。虽然后者已经蒙尘,但加州仍在积极推进,并于 8 月 28-29 日两天通过了州会和议院的批准。

如果没有公众或私营企业对其表示强烈反对,那在州长签署通过后,新法案将于 2020 年 1 月 1 日起生效。该法案主要规定了“连接设备的制造商们,应该为设备附上合理的安全功能”。

与大多数立法工作一样,该法案对于“合理安全性”的定义相当模糊,但在认证程序方面给出了详细说明。其写到 ——“若设备配备了局域网外的认证手段”,就必须满足两个标准之一:

(1)如果设备使用默认密码,则密码必须对每个设备是唯一的;

(2)当首次配置设备时,都必须提示用户设置自己的密码。

显然,法案为避免制造商对所有设备使用相同的默认凭证,而给出了硬性的规定。

不过信息安全研究专家罗伯特·格雷厄姆指出:

新法案的初衷是好的,但在当前的物联网市场下,它并不是特别有用、也无法解决困扰物联网设备的任何问题。

这是基于对‘增强安全功能’的误解,就像节食一样 —— 人们要求你坚持多吃蔬菜,但无力解决你正在吃薯片的问题!

格雷厄姆在昨日的《法案分析》一文中写到:

节食的关键不是多吃,而是少吃一点,网络安全也是如此。其重点不在于增加‘安全特性’,而是移除‘不安全的功能’。

对物联网设备来说,这意味着在网络管理中删除侦听端口和跨站点/注入问题。

我们不希望在这些产品中增加防火墙和防病毒等任意功能,那样只会增加攻击面,是情况变得更加糟糕。

总而言之:“这项法律基于对问题明显肤浅的理解。它不会解决真正的威胁,反而会给消费者带来巨大的‘创新’成本”。

[编译自:ZDNet]

IoT前哨站:大家怎么看待这个问题?

用树莓派实现网站访客LED闪亮提醒

用树莓派实现网站访客LED闪亮提醒,每当有用户访问你博客时LED就会闪一下,闪得频率越快访问者越多。

以下是清单列表:

LED 1个、公/母杜邦线2条、220欧姆电阻1个、面包版1个。
首先我们先来安装WiringPi(通过它我们可以用php来控制GPIO)

sudo apt-get update
sudo apt-get upgrade
sudo apt-get install git-core
git clone git://git.drogon.net/wiringPi
cd wiringPi
git pull origin
./build

下面我们开始链接LED到GPIO,直接看图就好,你可以连接到任何一个绿色的借口,我们这里连接的是GPIO.0(LED正负极我就不讲了自己百度吧),PS,图不是我画的如果严谨点GND应该用黑线。

好了接下来我们来写点PHP代码,可以直接嵌入到网站的PHP页面内。

<? php
exec(“gpio mode 0 out”);/*mode 0就是蓝线插入的针脚,可以使用0-7*/
exec(“gpio write 0 1”);/*点亮led*/
exec(“gpio write 0 0”);/*关闭led*/
? >

到这里我们的游客提醒功能就完成了,各位还可以发挥想象力,比如用三(绿,黄,红)显示剩余内存,CPU使用率等等。

CoinHive挖矿劫持仍在肆虐 至少28万路由器被检出感染

最近几年,区块链领域闹出了许多幺蛾子。比如为了攫取不当的加密货币挖矿收益,某些人制作了能够窃取设备算力的恶意软件,有几个挖矿网络的受害者规模甚至相当庞大。就在过去几天,研究人员发现了另外 3700 台秘密运行恶意的加密货币挖矿软件的路由器。

截止目前,此类受感染设备的总数已经超过了 28 万台 —— 仅在 30 天的时间里,就增加了 8 万。

8 月初的时候,这波攻击就已经登上了媒体的头条。当时黑客利用此前未被发现的漏洞,入侵了巴西的 20 多万台路由器。

攻击者成功地对 MicroTik 路由器实施了“零日攻击”,为其注入了 CoinHive 的修改版本。CoinHive 的一小段代码,支持利用简易的浏览器来挖掘门罗币。

最近的研究表明,该加密货币僵尸网络,每月有超过 25 万美元的产出。不过安全人员指出,挖矿劫持不是 MicroTik 路由器面临的唯一威胁。

一款危险的、名叫 Android Banker 的特洛伊木马病毒,当前正在互联网上传播。继 1 月首次曝光后,已有近 200 个针对性的网银应用受害。

Android Banker 可以绕过双因素认证,来窃取用户名和密码。若不幸受到影响,还请将所有账号的用户名和密码都重置,比如流行的 Bitfinex 和 Blockfolio 。

安全研究人员 Lukas Stefanko 指出,因其能够动态改变、针对特定的受害者进行定制,所以是一个相当危险的威胁。

由于 Android Banker 主要通过虚假版本的 Adobe Flash Player 分发,因此普通人可以相对简单地避开大部分雷区 —— 确保未知来源的应用程序被阻止且无法运行。

如果你对本文所述的木马和恶意软件的细节感兴趣,并希望知晓如何制定让公司免受网络钓鱼攻击的安全策略,可移步至这里查看(传送门)。

[编译自:TNW]

研究员利用 AI 打击盗猎大象活动

美国 Cornell University 的 Elephant Listening Project 是利用录音数据来追踪非洲森林象的计划,他们通过研究动物的呼叫声来协助研究员追踪大象族群的数目,最终更希望借此保护大象免受偷猎者的伤害。可是这计划在每 3 个月就会获得 7TB 数据需要处理,通常都要 12 星期的时间才能分析完成,在忙于处理数据时就可能已经出现了新威胁,所以研究员就希望利用 AI 来加速分析追踪数据的过程。

Elephant Listening Project 是与一家专门开发分析音频数据的 AI 的新创公司 Conservation Metrics 合作,利用后者的 AI 来大大减少收集数据和分析的所需时间。据 Elephant Listening Project 的负责人 Peter Wrege 所道,这合作的重点为加速,让他们能更快地提供分析结果予国家公园的管理人员,让他们作出应对措施;如果要花逾年的时间才能知道大象在公园里的活动,那已经为时已晚。

目前预计有约 40,000 头森林象栖息于中非,数字已经比十年前大减 60%,其中盗猎活动是大象数目锐减的最大原因。科学家发现在加蓬(Gabon)就有 25,000 头森林象在 2004 年至 2014 年间被杀;刚刚过去的一星期,Elephants Without Borders 就在野生动物保护区附近发现有 90 头大象的尸体,全都因为盗猎活动而死亡。

目前 Conservation Metrics 已经能在 22 天内完成分析,并持续努力缩短需时。据指他们最近成功加入微软的 AI for Earth 计划并能利用 Azure 服务,这有望把分析时间缩短至一天。Wrege 表示,音频数据是会源源不绝地记录下来,但这方法能让我们定期从中获得有用信息。即使这挑战是令人生畏的,但是值得的,而且能够克服下去的,只要坚持到底就可以了。

经由: Engadget
来源: Cornell University

美军火商邀大众开发更迅捷的 AI 无人机导航系统

当前,自动驾驶的无人机很少能进行高速飞行,更别说挑战专业的竞速飞手了。

Lockheed Martin(洛克希德.马丁)与 Drone Racing League(无人机竞速联盟)想要逆转这现况,两者合作开展 AlphaPilot Innovation Challenge,鼓励大众开发高速飞行的无人机 AI 系统,并在DRL联盟的比赛中取得胜利。

AlphaPilot Innovation Challenge既是一项合作,又是一项挑战赛,参与的开发者不仅需要将AI系统开发出来,更需要赢得这场比赛。据悉,参赛的开发者可以在NVIDIA Jetson的平台上开发AI,以便让开发好的AI系统能够转移到联盟的AIRR电路板上使用。

这挑战会在2018年 11 月正式开始,奖金总额达 200 万美元,而且还有额外 25 万美元的奖金来鼓励首个能击败专业 DRL 飞手的 AI 系统开发者。

这计划除了宣传无人机竞速联盟之外,对于洛马来说,更能借助通过 AlphaPilot 的技术来开发无人航机(民用或军用),带来更便宜、更具弹性的操作方案。

来源: Lockheed Martin

好消息 —— GCC 编译器已接纳 OpenRISC 的移植版本

近期,GCC 发布公告称 ,GCC 指导委员会已接受 OpenRISC 作为包含在 GCC 编译器的最新架构移植,并指派 Stafford Horne 为维护者。这个 OpenRISC 移植应该会在不久的将来落地使用,以便明年发布的 GCC 9 稳定版提供该功能。

与 RISC-V 指令集架构相比,虽然 OpenRISC 对 GCC 的支持时间比它更长,但 OpenRISC 移植遇到了复杂的问题 —— 关于代码版权方面的问题。负责 OpenRISC GCC 代码的原始开发者无法满足自由软件基金会代码所需的版权分配作为上游工作的要求。

因此,开发者最终为 GCC 重写了 OpenRISC 编译器代码。该代码已经发布,GCC 指导委员会也已确认其将会成为 GCC 最新的处理器目标。

OpenRISC 是 OpenCores 组织提供的基于 GPL 协议的开源 RISC(精简指令集计算机)处理器。有人认为其性能介于 ARM7 和 ARM9 之间,适合一般的嵌入式系统使用。最重要的一点是 OpenCores 组织提供了大量的开源 IP 核供研究人员使用,因此对于一般的开发单位具有很大的吸引力。

OpenRISC 具有以下特点:

1、采用免费开源的 32/64bit RISC/DSP 架构。

2、用 Verilog HDL(硬件描述语言) 实现了基于该 RISC/DSP 架构的 RTL(寄存器传输级) 描述。

3、具有完整的工具链,包括:开源的软件开发工具、C 语言实现的 CPU 仿真模型、操作系统,以及软件应用所需的函数库。

小米印度用户数据年底前全部迁移至印度本地服务器

据国外媒体报道,中国手机制造商小米正在把它的印度用户数据迁移到云服务提供商AWS(亚马逊网络服务)和微软Azure在印度的服务器上。迁移工作将于2018年年底完成。

该公司表示,自7月1日以来所有印度新用户的数据都已存储在当地服务器中,mi.com/in/上的所有现有用户数据将在2018年9月中旬之前,全部迁移到印度的服务器上。小米还表示,这种迁移将会带来访问速度的提升。

数据迁移将覆盖小米电子商务平台、MI社区(in.c.mi.com)、Mi Cloud、MIUI(Xiaomi Market、消息、Mi Video、广告、Mi Messaging、推送通知等),以及MI TV的所有印度用户数据。

在此之前,使用的所有印度用户数据,都存储在新加坡和美国的AWS服务器中。

小米副总裁兼小米印度公司总经理马努.贾恩(Manu Jain)表示,“小米把用户数据隐私和安全放在至关重要位置。我们在保护用户数据安全和隐私方面又迈出一步,我们将我们的云服务带到印度,满足所有本地数据需求。这是我们的团队一直在不懈努力的事情,我很高兴我们能够为我们的印度用户实现了这一转变。随着数据存储的本地化和端到端加密,用户将能够享受更快的访问速度。”

他还说,“小米致力于印度市场,保护数据和使用设在印度的云服务器,这是我们朝着那个方向迈出的又一步。我们将继续在这方面开展工作,并确保我们在印度的所有用户都能获得更好的用户体验。”

小米在市场获得了很好的业绩。据印度媒体本月中旬报道称,有三家市场研究公司对印度智能手机市场前五强品牌进行了排名,小米在排名榜上不是第一就是第二。

市场研究公司IDC数据显示,今年四至六月份的第二季度印度智能手机市场份额排名前五名分别是小米、三星电子公司、Vivo、Oppo和Transsion。其中,小米市场份额为29.7%,三星电子公司为23.9%,Vivo为12.6%,Oppo为7,6%,Transsion为5%。

市场研究公司Counterpoint的数据显示,今年第二季度印度智能手机市场份额排名前五名分别是三星电子公司、小米、Vivo、Oppo和华为荣耀,它们的市场份额依次为29%,28%、12%、10%和3%。

市场研究公司Canalys数据显示,今年第二季度印度智能手机市场份额排名前五名分别是小米、三星电子公司、Vivo、Oppo和华为荣耀,它们的市场份额依次为30.4%,30.2%、11%、10%和2.9%。

这下好了,家里的智能灯泡都会泄露数据了

前言

近日,来自国外的研究人员提出了一种新的技术,可以从智能灯泡获取用户的数据。举个例子,研究人员能够从远处记录智能灯泡的亮度模式来获取用户的偏好。

黑客不需要入侵用户的内部网络来提取信息,但需要满足以下条件才能行动:

使用的设备要能够直接观察到目标智能灯泡;智能灯泡需要支持多媒体可视化和红外等功能。

“看见”用户的音乐和视频

来自德克萨斯大学圣安东尼奥分校的Anindya Maiti和Murtuza Jadliwala研究了LIFX和飞利浦Hue智能灯泡如何接收指令来实现各种显示效果,并开发了一个模型来解释用户在听音乐或观看视频时,联动的智能灯泡发生的亮度和色彩调制。

在播放音频时产生的可视化效果,其亮度等级反映音源情况,而在播放视频时则可反映当前视频帧中的主要颜色和亮度级别。智能灯泡应用程序通过向灯泡发送特殊格式的数据包来控制显示效果。

两位研究人员创建了一个模型,只要输入歌曲个视频亮度模式的数据库,就可以通过捕获的目标智能灯泡信息得出参考结论。

与电影联动的LIFX可视化效果

个人设备数据泄露

在某些特定条件下,还可以从个人设备中提取信息,但此时对光线变化的简单观察是不够的,需要满足以下条件:

灯泡需要支持红外照明;无需授权即可通过本地网络控制它们;在本设备中植入恶意软件,对目标设备的私人数据进行编码并将其发送到智能灯泡。

室内和室外观察点

研究人员使用两个观察点来捕获数据:室内和室外。在音高发生变化时,振幅和波长也相应地发生了变化,如此一来智能灯泡(LIFX)发出的可见光和红外光谱就可以被设备捕获,进行解码。

为了测试通过红外发射获取数据的方法,研究人员选择发射源对图像进行编码,并在不同距离对智能灯泡进行观察并解码数据。

从下图可以看出,随着视距变远,解析得到的图像质量也相应变差,但是在50米的距离上仍能获取有效的信息。

总结

虽然两位研究人员的工作是实验性质的,但它表明使用红外线或可见光仍可从相对较远的距离上窃取有意义的信息。

防御这些攻击的方法比较简单,拉上窗帘或者选择透光率低的窗户玻璃也是一种充分的防御措施。

来源: Bleeping Computer
翻译:    FreeBuf.com