彭博商业周刊指责中国用间谍芯片渗透美国大厂

Bloomberg Businessweek(彭博商业周刊)近期发布一份报告称, 由于在设备制造过程中嵌入间谍芯片,亚马逊网络服务和苹果公司的数据中心设备可能受到中国政府的监视。

他们以“The Big Hack”为主题,称中方通过供应商将间谍芯片嵌入为美国制造的Supermicro主板,对美国顶尖企业进行渗透,受害者包括大型银行和美国政府合同商。

该报告称,测试人员在服务器主板上发现了一个比笔尖大不了多少的微型芯片,但这不是主板最初设计的一部分。根据彭博商业周刊的描述,该芯片的攻击过程如下:

彭博称美国政府早在2015年就启动了这项秘密调查,调查人员怀疑这些芯片被一家中国服务器公司组装后,被亚马逊和苹果部署在数据中心,用于收集美国公司的知识产权和商业机密。

不过,苹果和亚马逊AWS、Supermicro都否定了彭博的说法。

而有些电子发烧友则认为,那可能只是个普通滤波器,并不具备那些夸张的“间谍芯片”功能。

注:Supermicro(美国超微电脑股份有限公司)创立于 1993 年,总部设于美国加州圣何塞(San Jose),主要致力于为全球的企业IT、数据中心、云计算、高性能计算与嵌入式系统提供端到端计算解决方案。是世界上规模较大的服务器主板供应商之一。

加州首个“物联网安全法案”被批肤浅

加州首个“物联网安全法案”已经被放到了州长办公桌上等待签字,但其本身遭到了安全研究人员的大量批评。

专家指出,该法案明显是基于对此类问题的肤浅理解。该法案(SB-327)于 2017 年 2 月推出,比向美国参议院提出的《物联网网络安全改进法案》还要早半年。虽然后者已经蒙尘,但加州仍在积极推进,并于 8 月 28-29 日两天通过了州会和议院的批准。

如果没有公众或私营企业对其表示强烈反对,那在州长签署通过后,新法案将于 2020 年 1 月 1 日起生效。该法案主要规定了“连接设备的制造商们,应该为设备附上合理的安全功能”。

与大多数立法工作一样,该法案对于“合理安全性”的定义相当模糊,但在认证程序方面给出了详细说明。其写到 ——“若设备配备了局域网外的认证手段”,就必须满足两个标准之一:

(1)如果设备使用默认密码,则密码必须对每个设备是唯一的;

(2)当首次配置设备时,都必须提示用户设置自己的密码。

显然,法案为避免制造商对所有设备使用相同的默认凭证,而给出了硬性的规定。

不过信息安全研究专家罗伯特·格雷厄姆指出:

新法案的初衷是好的,但在当前的物联网市场下,它并不是特别有用、也无法解决困扰物联网设备的任何问题。

这是基于对‘增强安全功能’的误解,就像节食一样 —— 人们要求你坚持多吃蔬菜,但无力解决你正在吃薯片的问题!

格雷厄姆在昨日的《法案分析》一文中写到:

节食的关键不是多吃,而是少吃一点,网络安全也是如此。其重点不在于增加‘安全特性’,而是移除‘不安全的功能’。

对物联网设备来说,这意味着在网络管理中删除侦听端口和跨站点/注入问题。

我们不希望在这些产品中增加防火墙和防病毒等任意功能,那样只会增加攻击面,是情况变得更加糟糕。

总而言之:“这项法律基于对问题明显肤浅的理解。它不会解决真正的威胁,反而会给消费者带来巨大的‘创新’成本”。

[编译自:ZDNet]

IoT前哨站:大家怎么看待这个问题?

CoinHive挖矿劫持仍在肆虐 至少28万路由器被检出感染

最近几年,区块链领域闹出了许多幺蛾子。比如为了攫取不当的加密货币挖矿收益,某些人制作了能够窃取设备算力的恶意软件,有几个挖矿网络的受害者规模甚至相当庞大。就在过去几天,研究人员发现了另外 3700 台秘密运行恶意的加密货币挖矿软件的路由器。

截止目前,此类受感染设备的总数已经超过了 28 万台 —— 仅在 30 天的时间里,就增加了 8 万。

8 月初的时候,这波攻击就已经登上了媒体的头条。当时黑客利用此前未被发现的漏洞,入侵了巴西的 20 多万台路由器。

攻击者成功地对 MicroTik 路由器实施了“零日攻击”,为其注入了 CoinHive 的修改版本。CoinHive 的一小段代码,支持利用简易的浏览器来挖掘门罗币。

最近的研究表明,该加密货币僵尸网络,每月有超过 25 万美元的产出。不过安全人员指出,挖矿劫持不是 MicroTik 路由器面临的唯一威胁。

一款危险的、名叫 Android Banker 的特洛伊木马病毒,当前正在互联网上传播。继 1 月首次曝光后,已有近 200 个针对性的网银应用受害。

Android Banker 可以绕过双因素认证,来窃取用户名和密码。若不幸受到影响,还请将所有账号的用户名和密码都重置,比如流行的 Bitfinex 和 Blockfolio 。

安全研究人员 Lukas Stefanko 指出,因其能够动态改变、针对特定的受害者进行定制,所以是一个相当危险的威胁。

由于 Android Banker 主要通过虚假版本的 Adobe Flash Player 分发,因此普通人可以相对简单地避开大部分雷区 —— 确保未知来源的应用程序被阻止且无法运行。

如果你对本文所述的木马和恶意软件的细节感兴趣,并希望知晓如何制定让公司免受网络钓鱼攻击的安全策略,可移步至这里查看(传送门)。

[编译自:TNW]

研究员利用 AI 打击盗猎大象活动

美国 Cornell University 的 Elephant Listening Project 是利用录音数据来追踪非洲森林象的计划,他们通过研究动物的呼叫声来协助研究员追踪大象族群的数目,最终更希望借此保护大象免受偷猎者的伤害。可是这计划在每 3 个月就会获得 7TB 数据需要处理,通常都要 12 星期的时间才能分析完成,在忙于处理数据时就可能已经出现了新威胁,所以研究员就希望利用 AI 来加速分析追踪数据的过程。

Elephant Listening Project 是与一家专门开发分析音频数据的 AI 的新创公司 Conservation Metrics 合作,利用后者的 AI 来大大减少收集数据和分析的所需时间。据 Elephant Listening Project 的负责人 Peter Wrege 所道,这合作的重点为加速,让他们能更快地提供分析结果予国家公园的管理人员,让他们作出应对措施;如果要花逾年的时间才能知道大象在公园里的活动,那已经为时已晚。

目前预计有约 40,000 头森林象栖息于中非,数字已经比十年前大减 60%,其中盗猎活动是大象数目锐减的最大原因。科学家发现在加蓬(Gabon)就有 25,000 头森林象在 2004 年至 2014 年间被杀;刚刚过去的一星期,Elephants Without Borders 就在野生动物保护区附近发现有 90 头大象的尸体,全都因为盗猎活动而死亡。

目前 Conservation Metrics 已经能在 22 天内完成分析,并持续努力缩短需时。据指他们最近成功加入微软的 AI for Earth 计划并能利用 Azure 服务,这有望把分析时间缩短至一天。Wrege 表示,音频数据是会源源不绝地记录下来,但这方法能让我们定期从中获得有用信息。即使这挑战是令人生畏的,但是值得的,而且能够克服下去的,只要坚持到底就可以了。

经由: Engadget
来源: Cornell University

美军火商邀大众开发更迅捷的 AI 无人机导航系统

当前,自动驾驶的无人机很少能进行高速飞行,更别说挑战专业的竞速飞手了。

Lockheed Martin(洛克希德.马丁)与 Drone Racing League(无人机竞速联盟)想要逆转这现况,两者合作开展 AlphaPilot Innovation Challenge,鼓励大众开发高速飞行的无人机 AI 系统,并在DRL联盟的比赛中取得胜利。

AlphaPilot Innovation Challenge既是一项合作,又是一项挑战赛,参与的开发者不仅需要将AI系统开发出来,更需要赢得这场比赛。据悉,参赛的开发者可以在NVIDIA Jetson的平台上开发AI,以便让开发好的AI系统能够转移到联盟的AIRR电路板上使用。

这挑战会在2018年 11 月正式开始,奖金总额达 200 万美元,而且还有额外 25 万美元的奖金来鼓励首个能击败专业 DRL 飞手的 AI 系统开发者。

这计划除了宣传无人机竞速联盟之外,对于洛马来说,更能借助通过 AlphaPilot 的技术来开发无人航机(民用或军用),带来更便宜、更具弹性的操作方案。

来源: Lockheed Martin

好消息 —— GCC 编译器已接纳 OpenRISC 的移植版本

近期,GCC 发布公告称 ,GCC 指导委员会已接受 OpenRISC 作为包含在 GCC 编译器的最新架构移植,并指派 Stafford Horne 为维护者。这个 OpenRISC 移植应该会在不久的将来落地使用,以便明年发布的 GCC 9 稳定版提供该功能。

与 RISC-V 指令集架构相比,虽然 OpenRISC 对 GCC 的支持时间比它更长,但 OpenRISC 移植遇到了复杂的问题 —— 关于代码版权方面的问题。负责 OpenRISC GCC 代码的原始开发者无法满足自由软件基金会代码所需的版权分配作为上游工作的要求。

因此,开发者最终为 GCC 重写了 OpenRISC 编译器代码。该代码已经发布,GCC 指导委员会也已确认其将会成为 GCC 最新的处理器目标。

OpenRISC 是 OpenCores 组织提供的基于 GPL 协议的开源 RISC(精简指令集计算机)处理器。有人认为其性能介于 ARM7 和 ARM9 之间,适合一般的嵌入式系统使用。最重要的一点是 OpenCores 组织提供了大量的开源 IP 核供研究人员使用,因此对于一般的开发单位具有很大的吸引力。

OpenRISC 具有以下特点:

1、采用免费开源的 32/64bit RISC/DSP 架构。

2、用 Verilog HDL(硬件描述语言) 实现了基于该 RISC/DSP 架构的 RTL(寄存器传输级) 描述。

3、具有完整的工具链,包括:开源的软件开发工具、C 语言实现的 CPU 仿真模型、操作系统,以及软件应用所需的函数库。

小米印度用户数据年底前全部迁移至印度本地服务器

据国外媒体报道,中国手机制造商小米正在把它的印度用户数据迁移到云服务提供商AWS(亚马逊网络服务)和微软Azure在印度的服务器上。迁移工作将于2018年年底完成。

该公司表示,自7月1日以来所有印度新用户的数据都已存储在当地服务器中,mi.com/in/上的所有现有用户数据将在2018年9月中旬之前,全部迁移到印度的服务器上。小米还表示,这种迁移将会带来访问速度的提升。

数据迁移将覆盖小米电子商务平台、MI社区(in.c.mi.com)、Mi Cloud、MIUI(Xiaomi Market、消息、Mi Video、广告、Mi Messaging、推送通知等),以及MI TV的所有印度用户数据。

在此之前,使用的所有印度用户数据,都存储在新加坡和美国的AWS服务器中。

小米副总裁兼小米印度公司总经理马努.贾恩(Manu Jain)表示,“小米把用户数据隐私和安全放在至关重要位置。我们在保护用户数据安全和隐私方面又迈出一步,我们将我们的云服务带到印度,满足所有本地数据需求。这是我们的团队一直在不懈努力的事情,我很高兴我们能够为我们的印度用户实现了这一转变。随着数据存储的本地化和端到端加密,用户将能够享受更快的访问速度。”

他还说,“小米致力于印度市场,保护数据和使用设在印度的云服务器,这是我们朝着那个方向迈出的又一步。我们将继续在这方面开展工作,并确保我们在印度的所有用户都能获得更好的用户体验。”

小米在市场获得了很好的业绩。据印度媒体本月中旬报道称,有三家市场研究公司对印度智能手机市场前五强品牌进行了排名,小米在排名榜上不是第一就是第二。

市场研究公司IDC数据显示,今年四至六月份的第二季度印度智能手机市场份额排名前五名分别是小米、三星电子公司、Vivo、Oppo和Transsion。其中,小米市场份额为29.7%,三星电子公司为23.9%,Vivo为12.6%,Oppo为7,6%,Transsion为5%。

市场研究公司Counterpoint的数据显示,今年第二季度印度智能手机市场份额排名前五名分别是三星电子公司、小米、Vivo、Oppo和华为荣耀,它们的市场份额依次为29%,28%、12%、10%和3%。

市场研究公司Canalys数据显示,今年第二季度印度智能手机市场份额排名前五名分别是小米、三星电子公司、Vivo、Oppo和华为荣耀,它们的市场份额依次为30.4%,30.2%、11%、10%和2.9%。

这下好了,家里的智能灯泡都会泄露数据了

前言

近日,来自国外的研究人员提出了一种新的技术,可以从智能灯泡获取用户的数据。举个例子,研究人员能够从远处记录智能灯泡的亮度模式来获取用户的偏好。

黑客不需要入侵用户的内部网络来提取信息,但需要满足以下条件才能行动:

使用的设备要能够直接观察到目标智能灯泡;智能灯泡需要支持多媒体可视化和红外等功能。

“看见”用户的音乐和视频

来自德克萨斯大学圣安东尼奥分校的Anindya Maiti和Murtuza Jadliwala研究了LIFX和飞利浦Hue智能灯泡如何接收指令来实现各种显示效果,并开发了一个模型来解释用户在听音乐或观看视频时,联动的智能灯泡发生的亮度和色彩调制。

在播放音频时产生的可视化效果,其亮度等级反映音源情况,而在播放视频时则可反映当前视频帧中的主要颜色和亮度级别。智能灯泡应用程序通过向灯泡发送特殊格式的数据包来控制显示效果。

两位研究人员创建了一个模型,只要输入歌曲个视频亮度模式的数据库,就可以通过捕获的目标智能灯泡信息得出参考结论。

与电影联动的LIFX可视化效果

个人设备数据泄露

在某些特定条件下,还可以从个人设备中提取信息,但此时对光线变化的简单观察是不够的,需要满足以下条件:

灯泡需要支持红外照明;无需授权即可通过本地网络控制它们;在本设备中植入恶意软件,对目标设备的私人数据进行编码并将其发送到智能灯泡。

室内和室外观察点

研究人员使用两个观察点来捕获数据:室内和室外。在音高发生变化时,振幅和波长也相应地发生了变化,如此一来智能灯泡(LIFX)发出的可见光和红外光谱就可以被设备捕获,进行解码。

为了测试通过红外发射获取数据的方法,研究人员选择发射源对图像进行编码,并在不同距离对智能灯泡进行观察并解码数据。

从下图可以看出,随着视距变远,解析得到的图像质量也相应变差,但是在50米的距离上仍能获取有效的信息。

总结

虽然两位研究人员的工作是实验性质的,但它表明使用红外线或可见光仍可从相对较远的距离上窃取有意义的信息。

防御这些攻击的方法比较简单,拉上窗帘或者选择透光率低的窗户玻璃也是一种充分的防御措施。

来源: Bleeping Computer
翻译:    FreeBuf.com

小米二季度IoT收入翻番 上市来股价振幅高达30%

8月22日,小米集团公布了2018年半年报,这也是小米集团上市以来的首份财报。财报显示,今年上半年,小米收入796.48亿元,同比增长75.4%;经调整利润38.16亿元,同比增长62.2%。

不过,值得一提的是,在过去一个多月中,小米股价多次破发,最低时曾跌至15.52港元/股,较最高峰时的22.2港元/股,震荡幅度达30%。有中国香港券商人士对《证券日报》记者表示,破发是因为投资者仍然担心小米前景,所以沽出股份。截至8月22日收盘,小米报17.68港元/股,当日涨幅1.61%。

上半年收入796亿元 手机业务比重降低

半年报显示,2018年上半年,小米实现了收入、利润双增长。其中,今年二季度小米收入达452.36亿元,同比大涨68.3%,环比增长31.5%;经调整利润21.17亿元,同比增长25.1%,环比增长24.6%。2018年上半年小米收入达796.48亿元,同比增长75.4%;经调整利润38.16亿元,同比增长62.2%。

具体到各业务分部来看,手机业务在小米整体收入中的比重正在降低,收入结构有所优化。其中手机收入由2017年第二季度的192.19亿元增长58.7%至2018年第二季度的305.01亿元,但占总收入百分比由71.5%下降至67.4%。

小米表示,手机收入增长得益于销量和平均售价的双提升。2018年第二季度,小米手机销量达3200万部,同比增长43.9%。而受小米MIX2S、小米8系列等中高端旗舰机型在中国市场优异表现影响,中国大陆地区手机平均售价同比增长超25%。“小米抓住了中国手机市场消费者喜好的转变趋势,将优化产品组合、持续提升高端机型市场占比。”小米在财报中表示。

而与此同时,IoT与生活消费产品和互联网服务收入合计,所占百分比由27.9提升至31.7%。在小米各业务分部中,IoT及生活消费品的增长最为突出。2018年第二季度,该分部收入达103.79亿元,同比增长104.3%。其中,小米电视、小米笔记本电脑等主要IoT产品贡献最大,销售收入达41.78亿元,同比增长147.2%。

此外,2018年第二季度小米互联网服务收入为39.58亿元,同比大涨63.6%。其中,广告收入同比增长69.6%,互联网增值服务收入同比增长54.1%。同时,小米互联网服务的毛利率保持了一贯的高水平,2018年第二季度为62.8%,较上一季度略有提升。

海外市场蓬勃发展 西欧成新增长点

财报显示,小米海外市场收入已占总收入的36.3%,2018年第二季度收入达164亿元,同比增长151.7%。

截至2018年6月30日,小米在全球25个国家和地区跻身市场前五。其中,根据Canalys数据,2018年第二季度小米手机在印度市场同比增长106%,连续四个季度稳居市场份额第一。同一时期,在另一个市场容量极大的海外市场印尼,小米出货量位居该国第二。

此外,继2017年11月进入西班牙市场之后,小米在2018年5月扩展至法国及意大利,截至2018年第二季度,小米手机在西欧的出货量同比增长超过2700%。

来自:证券日报

微软水下数据中心可以看鱼了(附直播地址)

早先微软在苏格兰海岸附近部署了一个水下数据中心,有些网友表示担心这个项目会破坏海底生态环境。

但是微软在其海底数据中心旁边安装了两个网络摄像头,从公布的影像看,大量的鱼群在数据中心附近游动,生态环境未见被破坏。

原本微软打算利用摄像头观察数据中心附近的环境条件,直观地了解这个巨型金属容器的生锈情况,不料歪打正着提供景观用途了,如果你有兴趣,可以在微软的Project Natick网站上观看直播。

直播地址:https://natick.research.microsoft.com/

据报道称,这个数据中心由12个机架和864个服务器组成,其能源是可再生能源,主要用于研究使用可再生能源运作,然后向其附近的沿海城市提供更加快速的互联网服务。