五角大楼发布最新禁令:不准工作人员使用健身手环等设备

五角大楼发布最新禁令:禁止工作人员使用健身追踪器、智能手机的GPS功能,以及获得地理位置权限功能的约会APP,以阻止泄露工作人员的地理位置信息。该禁令于上周五宣布,并由国防部副部长帕特里克·沙纳汉签署生效。在备忘录中写道:“该禁令立即生效。国防部工作人员在指定区域内禁止使用地理定位功能,禁止在政府配发、非政府配发的设备,应用和服务上使用该功能。”

据悉,众多美国士兵使用Fitbit、Jawbone等健身运动软件,并分享他们的成绩和位置,这有可能造成了失泄密。 美军部队对健身手环的推广, 世界各地的美国大兵对这类手环和软件非常热衷,也带来了泄露活动地点的问题。

运动手环可搭配手机等设备并记录运动轨迹,比如手环开发商Strava将使用者轨迹编成地图,在一些人口稠密地区显得十分璀璨,而像是伊朗或阿富汗等地战区或沙漠的少数光点,就显得格外醒目。 若结合已知的美军部署地点资料,就可能推测出美军作战基地位置。

五角大楼发言人Col. Rob Manning在接受记者采访时候表示:“这项禁令可以确保我们不会便宜了敌人,确保不会展示我们军队确切位置。”虽然设备本身不会被禁用,但会有服务人员确保地理定位功能处于禁用状态。

蓝牙加密漏洞曝光:可在未配对情况下访问设备

据外媒报道,最近曝出的一个加密错误(Crypto Bug),对苹果、博通、英特尔、高通等硬件供应商的蓝牙实施和操作系统程序都产生了较大的影响。其原因是支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。更准确的说法是,配对设备不能充分验证用在 Diffie-Hellman 密钥交换期间,生成公钥的椭圆曲线参数。

该 bug 导致了弱配对,使得远程攻击者有机会获得设备使用的加密密钥,并恢复在“安全”蓝牙连接中配对的两个设备之间发送的数据。

以色列理工学院的科学家 Lior Neumann 和 Eli Biham 发现了该漏洞:

其追溯编号为 CVE-2018-5383,可知蓝牙标准的‘安全简单配对’过程和低功耗蓝牙(Bluetooth LE)的‘安全连接’配对过程都受到了影响。

计算机应急响应小组(CERT / CC)昨晚发布了一份安全通报,其中包含了针对该漏洞的如下说明:

蓝牙利用基于椭圆曲线 Diffie-Hellman(ECDH)的密钥交换配对机制,实现设备之间的加密通信。ECDH 的密钥对,由私钥和公钥组成。且需交换公钥,以产生共享配对密钥。

此外,设备还必须统一所使用的椭圆曲线参数。然而之前涉及‘无效曲线攻击’的工作表明,ECDH 参数在用于计算结果和共享密钥之前,并不总会经过验证。

这样可以减少攻击者获取受攻击设备私钥的工作量 —— 如果在计算被分享的密钥前,并未部署验证所有参数的话。

在某些实施方法中,椭圆曲线参数并非全部由加密算法实现验证。

这使得无线范围内的远程攻击者们,可以通过注入无效的公钥,从而高概率地确定会话密钥。然后这些攻击者可以被动地拦截和解密所有设备信息,或者伪造和注入恶意消息。

苹果、博通、英特尔和高通公司,已经确认蓝牙实施和操作系统驱动程序层面都受到了影响。

万幸的是,前三家公司已经发布了针对该漏洞的修补程序。至于高通,该公司发言人在一封致 Bleeping Computer 的电子邮件中称,他们也已经部署了修复程序。

CERT / CC 专家尚未确定 Android / Google 设备、或者 Linux 内核是否也受到了影响。不过微软表示,自家设备并未受到本次 Crypto Bug 的影响。

负责监督蓝牙标准发展的 SIG 也发表了一份声明:

为了使攻击成功,攻击设备需要处于两个易受攻击的蓝牙设备的无线范围内。如果只有一方设备存在漏洞,则攻击不会得逞。

此外攻击设备需要通过阻止每一次的传输、向发送设备确认,然后在窄时间窗口内将恶意数据包注入接收设备,才能拦截公钥交换。

SIG 表示,该组织已经更新了官方的蓝牙规范,要求所有配对设备验证用于基于密钥的加密蓝牙连接的所有参数,即便当前暂无野外攻击的报道。

至于 CVE-2018-5383 的补丁,将通过操作系统或驱动程序的更新(面向台式机、笔记本电脑、智能手机),或者通过固件来实现(面向物联网 / 智能设备)。

[编译自:Bleeping Computer ]

一些实用的Python开发资料

Python是一种广泛使用的高级编程语言,由Guido van Rossum创造,第一版发布于 1991 年。Python 的设计哲学强调了代码的可读性和简洁的语法。随着物联网、大数据的兴起,越来越多的人开始研究起这门语言。

【Kaggle的免费Python教程】

Python – Learn the most important language for Data Science

https://www.kaggle.com/learn/python

英文,免费,偏向于数据科学方向。

××××××××××××××××××××××××××××××××××

【廖雪峰的Python3教程】

https://www.liaoxuefeng.com/wiki

/0014316089557264a6b348958f449949df42a6d3a2e542c000

中文,免费,零起点,完整示例,基于最新的Python 3版本。

××××××××××××××××××××××××××××××××××

【Python轻量级Web框架Flask教程】

http://flask.pocoo.org/docs/1.0/

英文,官方,零起点。

××××××××××××××××××××××××××××××××××

【Python 资源大全中文版】

https://github.com/jobbole/awesome-python-cn

我想很多程序员应该记得 GitHub 上有一个 Awesome – XXX 系列的资源整理。awesome-python 是 vinta 发起维护的 Python 资源列表,内容包括:Web 框架、网络爬虫、网络内容提取、模板引擎、数据库、数据可视化、图片处理、文本处理、自然语言处理、机器学习、日志、代码分析等。由伯乐在线持续更新。

Awesome 系列虽然挺全,但基本只对收录的资源做了极为简要的介绍,如果有更详细的中文介绍,对相应开发者的帮助会更大。这也是我们发起这个开源项目的初衷。

溢价收购CA不务正业?半导体大厂博通股价暴跌

据MarketWatch北京时间7月12日报道,芯片巨头博通周三宣布,同意斥资189亿美元收购云软件和企业软件开发商CA Technologies。然而,这笔交易引发市场诸多质疑,导致博通股价在周四早盘暴跌了近18%。

根据两家公司的声明,博通将以每股44.50美元收购CA的全部流通股。以后者周三的收盘价计算,此交易的溢价幅度约为20%;较CA过去30个交易日的平均股价溢价约23%。

博通CA的交易如果能够获得美国、欧盟和日本反垄断监管部门的批准,能够帮助其多元化业务。博通与CA两家公司的董事会已批准了这一交易。

博通首席执行官兼总裁陈福阳(Hock Tan)在声明中表示:“这宗交易代表着我们创办全球领先的基础设施科技公司的重要基石。凭借其庞大的客户基数,CA独具特色地跨越了日益增长和支离破碎的基础设施软件市场,其中央处理器和企业软件产品将为我们的关键技术业务增光添色。”

和此前博通计划收购高通时的针锋相对不同,此次,CA方面也表达了欣然接受的意愿。该公司CEO在公开声明中说:“这宗交易组合将使得我们的软件专长与博通在半导体行业的领导地位维持一致。”

根据公开资料显示,CA是全球最大的IT管理软件公司之一,专注于为企业整合和简化IT管理。CA创建于1976年,总部位于美国纽约长岛,服务于全球140多个国家的客户。近来,公司的主要业务转向了主要以生产基于云的企业软件和传统软件。而且,公司此前的高速发展主要凭借一系列的兼并和并购交易实现,这与博通非常相似。

然而,对于博通的此次收购,华尔街存在诸多疑问。

首先的疑问是,在有博通收购高通被否的前车之鉴下,博通此次收购CA会不会再次被特朗普政府一票否决?

加拿大皇家银行分析师阿米特·德莱纳里(Amit Daryanani)周三在给客户的邮件里写道,博通对CA的收购案中,最需要关注的是,政策审批层面的问题,虽然博通的此项交易不需要通过中国的审批,另外,此前,博通已经在上次收购高通遇阻后,将总部从新加坡迁至了美国,也就是说,博通此次收购不再需要通过美国外国投资委员会的审批。但是这项交易仍需要通过美国反垄断机构的审核,在欧盟和日本也同样需要接受相关的审批,而CA股东也尚未批准这一交易。

其次,虽然CA未来可能会给博通带来充足的现金流,但是博通此次收购CA的举动仍然让很多投资者摸不清头脑。德莱纳里指出,博通的这笔交易还有很多疑点需要向投资者解释。

虽然我们理解博通想要从CA获得更充足的现金流的投资逻辑,但是,我们依旧想不通这笔交易是否会影响博通原本的战略计划,以及后市是否会对公司的资本配置造成较大影响。投资者仍需要弄清楚,博通为什么想买入一家软件公司?这笔交易跟公司的核心业务又有什么联系?

如果博通想好了要偏离原来的核心半导体业务来进行业务扩张,那么它的边际在哪里?而且,最让人担忧的是,博通此前承诺要通过股息派送归还投资者一半的年度现金流,但是此次现金收购以后,公司的这个承诺还会兑现吗?

新一代iPhone或支持eSIM 运营商控制权将被削弱

距离苹果 2018 年秋季发布会还有两个月时间,消费者对下一代 iPhone 的热情高涨,但是对于移动运营商来说,新款 iPhone 可能会让他们感到不快。

一份最新的报告显示,苹果可能会在下一代 iPhone 中加入一款 eSIM 芯片。传统的塑料 SIM 卡需要放在卡托盘上,然后推入卡槽中。如果没有它,手机就无法获得运营商服务。但是,eSIM 是一种芯片,它实际上是被焊接到手机的电路板上的。除了不需要 SIM 卡托盘之外,eSIM 甚至不需要消费者前往运营商营业厅更换 SIM 卡。

从消费者的角度来看,这将是一个令人消费的消息,当然,运营商除外。只要有了 eSIM,iPhone 用户就可以在运营商之间随意切换,更换手机 SIM 卡这部分麻烦将不复存在。消费者需要做的就是注册服务并等待运营商的自动激活。

如果苹果在今年秋天发布的新款 iPhone 中加入 eSIM 芯片,这可能标志着运营商和用户之间的关系的终结。消费者可能会倾向于先购买硬件,然后再决定选择哪家运营商。简单地说,运营商将开始失去控制,这必然会让他们感到担忧。

值得注意的是,苹果已经在 Apple Watch Series 3 中使用了 eSIM 技术,因此,将这种芯片应用到最新款 iPhone 手机上也不是不可能。

Polar旗下可穿戴设备App出现漏洞:泄露用户位置

据美国科技网站The Verge援引欧洲媒体报道,法国可穿戴智能设备公司Polar提供的App在隐私设置上存在漏洞,导致App中有一项功能会泄露用户的位置信息。目前该公司已停止相关服务。

Polar是一家法国公司,它生产多种智能设备,包括Polar Balance智能体重秤、M600智能手表、M430跑步手表,所有这些设备都可以连接到公司的健身App,也就是Polar Flow。

Explore是Polar Flow的一项功能,它相当于用户的活动地图,可以追踪全球许多用户的活动数据。如果用户决定通过Explore公开分享数据,其他人就能看到他的所有锻炼信息。用户也可以将信息设置为私有,这样一来,Polar服务就不会与第三方App分享信息。

调查发现,恶意使用者可以利用Polar地图数据确定敏感军事基地的位置,而且还可以获取用户的名字、地址信息。在Explore地图中可以看到用户的活动,甚至包括士兵的活动,这些士兵在伊拉克打击ISIS。

周五时,Polar发表声明,对自己的疏忽表达歉意,它还说公司已经在Flow App中停用Explore功能,并说之前没有泄露过数据,公司称:“我们正在分析最佳选择,希望能让Polar客户继续使用Explore功能,同时还会采取其它措施提醒客户,让他们不要公开分享与敏感位置有关的GPS文件。”

微软正式开源 Azure IoT Edge 边缘计算服务

微软宣布,2017年底公开预览的 Azure IoT Edge 边缘计算服务已发布正式版,并通过 GitHub 将其开源。Azure IoT Edge 主要将基于云的分析和定制的业务逻辑转移到边缘设备,使企业能够专注于洞察商业机会而非数据管理。 微软表示,这些设备现在将能够立即采取实时数据行动。

借助开源的 Azure IoT Edge,开发人员可以更灵活地控制自己的边缘解决方案,以及运行时或调试问题。

此外,Azure IoT Edge 的正式版本也将支持 Docker 兼容的 Moby 容器管理系统。 微软还将扩展针对物联网的 Azure 认证,以开始针对边缘设备的软件和硬件认证,包括运行时,设备管理和安全性。

为了解决 Azure IoT Edge 大规模部署的安全问题,Azure IoT Edge 深入集成了设备调配服务,以安全地配置数以万计的设备和 Azure IoT Edge 安全管理员,这些管理员可以用来保护边缘设备及其组件。 自动设备管理(ADM)可以基于设备元数据将大型物联网边缘模块部署到设备。

Azure IoT Edge 支持 C#,C,Node.js,Python 和 Java 等编程语言。 它还提供 VSCode 模块开发,测试和部署工具,以及带 VSTS 的 CI/CD 管道。

部署 Azure IoT Edge 有三个必要组件,即 Azure IoT Edge Runtime,Azure IoT Hub 和 Edge 模块。 Azure IoT Edge Runtime 是免费且开源的,但客户必须使用付费的 Azure IoT Hub 实例进行扩展。 边缘设备的管理和部署也将基于 Azure 服务或客户使用的 Edge 模块。

需要下载微软开源的Azure IoT Edge 代码请访问:

https://github.com/Azure/iotedge

来自:开源中国

Fuchsia 操作系统将兼容Debian Linux 应用

Fuchsia是谷歌公司新推出的一款更适合物联网的操作系统。这款新操作系统和安卓以及Chrome OS都不同,因为它没有使用Linux内核。

正在人们为其兼容性担忧之时,谷歌最近宣布为 Fuchsia OS 增加了一个用于运行 Debian Linux 应用程序的模拟器。以使 Linux 应用程序能够在 Fuchsia 中作为虚拟机(VM)运行。和之前发布的模拟器不同,谷歌声称:其“Guest” App 与宿主 Fuchsia 的集成会更加紧密。

对于有些人来说,Linux 不仅是 Android 和 Chrome OS 的基础,也是谷歌企业平台的基础,所以 Fuchsia 似乎是一种“背叛”。

毫无疑问,谷歌有一些非常好的理由要避免使用 Linux。一个原因可能是 Linux“年纪太大”,太复杂了。如果从头开始做一个东西,谷歌就可以避开这些问题,使用更优雅的代码,给黑客留下最少的可乘之机。谷歌还将安全更新深植到操作系统中,通过隔离应用程序让它们无法直接访问系统内核,这点与 Linux 是不一样的。

早在 2016 年,我们认为谷歌可能会将 Fuchsia 作为一个私有操作系统,就像苹果公司将 iOS 的一切牢牢控制在手中一样。尽管不排除这个可能性,但至少现在 Fuchsia 仍然是一个开源项目。

有些人还推测,谷歌因为无法在微处理器(MCU)领域扩大规模而绕过了 Linux。然而,基于 MCU 的物联网似乎并不是目前 Fuchisa 关注的焦点。一些报道称,Fuchsia 旨在替代 Android 和 Chrome OS,最终的组合平台将被称为 Google Andromeda。

今年早些时候,9to5Google 报道说,Fuchsia 将包含独立的 UI——用于手机的 Armadillo UI 和用于桌面的 Capybara UI——以及 Android Things 和其他新的 Android 变体,将紧密集成谷歌智能助理语音技术。从本质上讲,这与微软未能为手机和笔记本电脑提供通用的 Windows 或 Canonical 已停用的“融合”版 Ubuntu 计划如出一辙。

无论 Fuchsia 的命运将如何,谷歌需要吸引到成熟的应用程序和开发者,而实现这一目标的最佳方式就是增加 Linux 应用程序兼容性。9to5Google 建议,为了实现该目标,新的 Guest App 最开始应该先支持包括 Debian 在内的 Linux 平台,通过调用 Machina 库实现比 QEMU(虚拟操作系统模拟器)更好的集成。

谷歌将 Fuchsia 的 Machina 描述为“一个建立在 Zircon 之上的库,提供与 Garnet 系统集成的虚拟外设。”Zircon 是基于 Little Kernel(LK)的 Fuchsia 微内核,之前叫作 Magenta。Garnet 是直接位于 Zircon 之上的层,提供设备驱动程序、Escher 图形渲染器、Fuchsia 的 Amber 更新程序以及用于 Xi 编辑器的 Xi Core 引擎。其他层包括用于应用设计的 Peridot,以及 Topaz,一个支持 Flutter 的应用层。

Machina 采用了 Virtio 虚拟化标准,基于 Linux 内核的虚拟机(KVM)也采用了该标准。Machina 使用了 Virtio 的 vsock 虚拟套接字,“它可以在宿主操作系统与客户应用之间打开直接通道,而这种便利性无法通过其他方式实现”。

这样可能可以实现快速的鼠标移动、自动调整屏幕分辨率,并支持多显示器、文件传输以及复制和粘贴。这看起来很像人们所期望的通过谷歌 Crostini 在 Chrome OS 上运行 Linux 应用程序的仿真度。早些时候有关 Guest App 的报道表示,谷歌正在将 Android 运行时构建到 Fuchsia 中,而不是单纯依靠模拟器来运行 Android 应用程序。

我们应该以客观的态度看待模拟器。大多数基于 Linux 的移动操作系统厂商都承诺具备 Android 应用兼容性,但通常都未能兑现他们的诺言。因此,通过在一开始就将模拟器深植到宿主操作系统中,而不是在后面才添加。Fuchsia 可能因为此举而为 Linux 开发者提供了一个更“真实的”模拟器。

超五百万次下载的17个暗藏挖矿程序镜像被Docker移除

Docker Hub 是一个分享预配置 Docker 镜像的仓库,预配置的镜像可以节省管理员的设置时间。Docker 公司近日从 Docker Hub 移除了 17 个含有挖扩程序或 Reverse Shell 后门的恶意 Docker 镜像,这些镜像在 Docker Hub 上已存在接近一年,估计已被下载超过 500 万次。

网络安全机构Kromtech Security Center 指出,去年 7 月,用户名为 docker123321 的人上传了 3 个公开访问的镜像,它们包含了挖矿代码,有用户后来报告其中一个有后门。然而相关账号和镜像并没有在接到举报后从 Docker Hub 移除。在之后的几个月里,该账号又上传了 14 个恶意镜像。Docker Hub 直到上个月才对这些恶意镜像采取行动。与挖矿代码相关联的钱包地址显示,这些恶意镜像挖出了价值约 9 万美元的门罗币。

本次事件的时间轴记录

Docker 用户不妨检查自己的系统是否下载了相关的恶意 Docker 镜像,以采取相对应的行动,这些镜像分别是:

docker123321/tomcat

docker123321/tomcat11

docker123321/tomcat22

docker123321/kk

docker123321/mysql

docker123321/data

docker123321/mysql0

docker123321/cron

docker123321/cronm

docker123321/cronnn

docker123321/t1

docker123321/t2

docker123321/mysql2

docker123321/mysql3

docker123321/mysql4

docker123321/mysql5

docker123321/mysql6

转载自:开源中国社区

入侵 50 多国的 VPNFilter 恶意软件是何来头?

据外媒报道,美国联邦调查局(FBI)称,俄罗斯电脑黑客用 VPNFilter 恶意软件入侵了全球50多个国家数以十万计的家用和办公室路由器,可能借此收集用户资料或阻断网络流量。

美国司法部称,据信黑客来自一个名为“Sofacy”的组织,该组织受俄罗斯政府“指挥”,据信其主要目标是乌克兰。

因为“VPNFilter”恶意软件的代码与 BlackEnergy 恶意软件的代码相同,而BlackEnergy 曾多次对乌克兰发起大规模攻击。思科发布的分析报告也表明,VPNFilter 利用各国的命令和控制(C2)基础设施,以惊人的速度主动感染乌克兰境内及多个国家主机。

西方专家指出,俄罗斯对乌克兰企业展开的网络袭击已持续一年多,造成数以亿计美元的损失,以及至少一次停电事故。

不过,对于乌克兰政府指责莫斯科计划在26日的欧冠赛决赛前,对乌克兰国家机构和私营公司发动网络袭击的说法,克里姆林宫予以否认。

较早前,思科公司Talos安全团队曾透露,此次被黑客袭击的目标包括Linksys、MikroTik、NETGEAR 和 TP-Link 的路由器,以及 QNAP 网络附加存储(NAS)设备。

该团队研究分析结果显示, VPNFilter 破坏性较强,可通过烧坏用户的设备来掩盖踪迹,比简单地删除恶意软件痕迹更深入。
利用 VPNFilter 恶意软件,攻击者还可以达到多种其他目的,如监视网络流量并拦截敏感网络的凭证;窥探到 SCADA 设备的网络流量,并部署针对 ICS 基础设施的专用恶意软件;利用被感染设备组成的僵尸网络来隐藏其他恶意攻击的来源;导致路由器瘫痪并使受攻击的大部分互联网基础设施无法使用。

据悉,VPNFilter 属于高度模块化的框架,允许快速更改操作目标设备,同时能为情报收集和寻找攻击平台提供支撑。

其实施攻击的路径主要分为三个阶段:

第1阶段恶意软件会通过重新启动植入,该阶段主要目的是获得一个持久化存在的立足点,并使第2阶段的恶意软件得以部署。

第2阶段恶意软件拥有智能收集平台中所期望的功能,比如文件收集、命令执行、数据过滤和设备管理,某些版本也具有自毁功能,覆盖了设备固件的关键部分,并可重新引导设备,使其无法使用。

此外,还有多个阶段3的模块作为第2阶段恶意软件的插件,提供附加功能,当前思科Talos团队已发现了两个插件模块:一个数据包嗅探器来收集通过该设备的流量,包括盗窃网站凭证和监控 Modbus SCADA 协议,以及允许第2阶段与Tor通信的模块,据称仍然有其他几个插件模块但当前还没有发现。

目前Talos开发并部署了100多个Snort签名,用于与此威胁相关的设备的漏洞。这些规则已经部署在公共Snort集合中,大家可以使用这些规则来保护设备。也可对VPNFilter 涉及的域名/ip地址做黑名单,并将其与该威胁关联起来,进行检测拦截防御。

如果路由器和NAS设备已被感染,建议用户恢复出厂默认值,升级最新版本打上最新补丁并重新启动。

FBI的一名官员称,在黑客袭击中受影响的路由器是用户在电子展或网上购买的。但不排除互联网公司提供给客户的路由器也受影响。