英特尔：未将芯片漏洞告知政府是因为它们并未被黑客利用
腾讯科技讯
据外媒报道，据英特尔等多家科技公司周四向国会提交的信函显示，在公众获悉关于Meltdown和Spectre芯片漏洞的信息之前，英特尔没有向美国政府官员通报这些漏洞，而Alphabet在6个月前就将这些问题通知了英特尔。也就是说，在公众获悉这些漏洞信息之前，美国政府也不知道这些漏洞的存在，美国政府的许多现任官员和前任官员都对此表示担忧，他们担心这些漏洞可能会对国家安全造成影响。但是英特尔表示，他们认为没有必要与美国政府分享这些漏洞信息，因为黑客并没有利用这些漏洞。技术网站TheRegister于1月3日报道了关于上述两个漏洞的消息，之后英特尔才向美国计算机紧急应变小组即US-CERT通报了关于Meltdown和Spectre漏洞的信息。美国计算机紧急应变小组负责向公众和私营部门发出有关各种网络安全问题的警报。该小组对此未予置评。英特尔、Alphabet和苹果周四发出信函，回复众议院能源和商务委员会主席、俄勒冈州共和党众议员格雷格-沃尔登（Greg
Walden）的提问。他们在信函中详细说明了他们披露芯片漏洞的细节。Alphabet在信函中表示，谷歌零项目（Google Project
Zero）的安全研究人员在去年6月份就通知了芯片厂商英特尔、AMD和软银集团旗下的ARM。它给芯片制造商们预留了90天的时间来解决这些问题，然后才公开披露了这些漏洞。这是网络安全行业的标准做法，目的是在黑客利用这些漏洞之前，让他们有时间来解决这些问题。Alphabet表示，它把是否将安全漏洞的信息通知政府官员的决定权留给了芯片厂商，这也是行业标准做法。英特尔表示，它没有通知政府官员，因为“没有迹象表明这些漏洞被恶意分子利用”。英特尔还说，它也没有对这些漏洞是否会损害关键基础设施进行分析，因为它认为这不会影响工业控制系统。但是英特尔表示，它把这些问题通知了其他科技公司。记者未能联系到英特尔、Alphabet和苹果置评。AMD、ARM、微软和亚马逊也回应了国会议员们的提问。微软表示，它确实在这些漏洞被公开披露的前几周将漏洞信息告知了几家杀毒软件厂商，让它们有时间来处理兼容性问题。AMD表示，Alphabet两度延长了披露漏洞信息的最后时间，先是延长到1月3日，然后又延长到1月9日。（编译/林靖东）
正文已结束，您可以按alt+4进行评论
责任编辑：yungzhu
扫一扫，用手机看新闻！
用微信扫描还可以
分享至好友和朋友圈
Copyright & 1998 - 2018 Tencent. All Rights Reserved如何和黑客打交道，我也了解过一些黑客，不过还没真正和他们打过交道，希望哪位帅哥美女告知_百度知道
如何和黑客打交道，我也了解过一些黑客，不过还没真正和他们打过交道，希望哪位帅哥美女告知
答题抽奖
首次认真答题后
即可获得3次抽奖机会，100%中奖。
承诺过后lock知道合伙人
承诺过后lock
采纳数：2968
获赞数：5365
对于刚入行不久的外贸新人来说，40万元绝对算是不小的订单了。这一单承载着Sham的诸多欣喜和寄托，然而，黑客的半途介入让Sham与这一单失之交臂。所幸，黑客的搅局并没有给客户和公司造成什么损失。入行一年的Jean则遭遇了一个离奇客户，疑似自导自演了一起“邮件诈骗”案，却迟迟不亮底牌。面对让人捉摸不透的客户，Jean将做出什么样的选择呢？
不知道，能够解释下吗
为你推荐：
其他类似问题
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。您的位置：
荒唐！澳团购网站遭黑客攻击3年后才告知用户！
　　[摘要]披露原因是担心黑客的破解技术已经发展到可以读取哈希密码明文的程度。
　　7月19日报道，澳大利亚最知名的团购网站Catch of the Day宣布，该网站遭遇了黑客攻击，其部分用户的密码和信用卡数据被盗。
　　令人震惊的是，这次黑客攻击发生在三年多以前，而Catch of the Day现在才披露这一事件。
　　根据Catch of the Day向一位用户发送的一封邮件，该公司在网站遭遇黑客攻击之后很快就发现了这件事，并向澳大利亚联邦警察局(Australian Federal Police)报了案。除了一些用户密码泄露之外，&&这些密码是采用哈希(hash)单向散列算法进行加密的，还有一些信用卡数据被盗。该公司在数据泄露之后立刻通知了有关用户，而其他用户则被蒙在鼓里。
　　Catch of the Day表示，它最终决定披露这一数据泄露事件，原因是担心黑客的破解技术已经发展到可以读取哈希密码明文的程度。
　　可能是出于无知，Catch of the Day没有指出：多年以前，黑客就已经能够破解简单的密码，他们的密码破解技术只会越来越好。每一次密码泄露事件，都可以让黑客更深入地了解哈希算法的运算过程。考虑到从这次黑客攻击事件发生时到现在已经有三年多时间，黑客可能已经成功地读取了那些被盗密码的明文。
　　&他们事隔三年多才将数据泄露事件通知用户，这是一件荒唐的事情。在过去的三四年中，如果这些用户仍然在使用相同的密码，可能会出现更大的问题。&
(转载请保留)
置顶推荐热门话题
您刚刚看过
互联网的一些事，已超50万小伙伴关注！黑客窃取加密货币的六种工具：如何保护钱包
07-30 21:54:04
蜜蜂财经编译报道：7月初，据报道，Bleeping Computer发现了针对230万比特币钱包欺诈的可疑活动，他们发现这些比特币钱包面临被黑客攻击的威胁。攻击者使用的恶意软件被称为&剪贴板劫机者（clipboard hijackers,关于这款恶意程序，蜜蜂财经此前也有报道过）&，它在剪贴板中操作，并可能与攻击者之一替换复制的钱包地址。
卡巴斯基实验室（Kaspersky Lab）早在去年11月就预言了这类黑客攻击的威胁，而这些威胁很快就出现了。目前，这类攻击是目前窃取用户信息或金钱的最普遍的攻击类型之一，据估计，clipboard hijackers这款恶意软件攻击总体份额的20%是来自攻击个人账户和钱包。7月12日，Cointelegraph 发表了卡巴斯基实验室的报告指出，去年犯罪分子通过社会工程计划盗取了超过900万美元总值的以太坊。
Bleeping Computer是一个致力于提高用户计算机知识这个计算机门户网站，，它阐述了&遵循一些基本规则&对确保充分保护的重要性：
&大多数技术支持问题不在于计算机，而在于用户，他们不知道计算的一些基本概念。这些概念包括硬件、文件和文件夹、操作系统、网络和应用程序。&
许多加密货币专家也有同样的观点。其中一位加密货币专家（也是一个投资者和企业家）Ouriel Ohayen在Hackernoon博客中强调了用户的个人责任：
&是的，你控制着自己的资产，但你要负责自己的安全。由于大多数人都不是安全专家，他们经常将自己的资产暴露于不明的环境当中 。我也很惊讶，身边很多人竟然没有采取基本的安全措施，即使是精通技术的人也有些人这么做。&
根据Autonomous Research&的金融技术战略总监莱克斯索科林（Lex Sokolin）的说法，每年，成千上万的人成为这类克隆网站和网络钓鱼的受害者，自愿向欺诈者发送价值2亿美元的加密货币。
综上，我们可以得出什么？黑客攻击加密货币钱包主要是利用了系统中的主要漏洞----人类的疏忽和傲慢。让我们看看他们是如何做到的，以及如何保护他们的资金。
2.5亿潜在受害者
美国公司Foley＆Lardner进行的一项研究表明，71％的大型加密货币交易商和投资者将加密货币盗窃归为对市场产生负面影响的最强风险。31％的受访者认为黑客对全球加密货币行业的活动威胁非常高。
Hackernoon的专家分析了2017年黑客攻击的数据，这些条件可以分为三大段：
对区块链、加密货币交换和ICOS的攻击；
隐藏采矿软件的分发；
针对用户钱包的攻击；
令人惊讶的是，由Hackernoon发表的文章&智能黑客技巧（Smart hacking tricks&）&似乎没有得到广泛普及，但是这类主题如此明显的警告应该被一次又一次地重复，据RT预计，到2024年加密货币的持有者的数量将会上涨到2亿。
根据ING银行NV和IPSOS进行的研究（这项研究没有考虑东亚地区），大约9%的欧洲人和百分之八的美国居民拥有加密货币，25%的人口计划购买数字资产。
因此，近四分之一的潜在受害者可能很快就会进入黑客活动领域。
GooglePlay和App Store的App
不要在没有必要的情况下安装移动应用程序；
给智能手机上的所有应用程序添加双因素授权标识；
确保检查项目官方网站上的应用程序链接。
黑客攻击的受害者通常是拥有Android操作系统的智能手机用户，他们不使用双因素认证(2FA)。双因素认证不仅需要密码和用户名，还需要用户拥有的信息，即只有他们能够立即知道或掌握的信息，例如物理代币。据&福布斯&报道，由于谷歌Android是开放系统，因此它对病毒也是开放的，相对IPhone则更不安全。黑客伪装为某些加密货币资源向GooglePlay商店添加应用程序。当应用程序启动时，用户输入敏感数据以访问其帐户，从而允许黑客访问该帐户。
被黑客攻击的目标中，最著名的是美国加密货币交易所Poloniex。Poloniex下载黑客在谷歌Play上发布的移动应用程序，这个应用程序假装是流行加密货币交换的移动门户。Poloniex团队没有开发Android应用程序，它的网站没有任何移动应用程序的链接。据ESET的恶意软件分析师 Lukas Stefanko称，在该软件从Google Play中删除之前，已有5500名交易员受到该恶意软件的影响。
iOS设备的用户更经常下载隐匿矿工的App Store应用程序。苹果甚至被迫抓严应用程序进入其商店的规定，以便以某种方式暂停这类软件的分发。但并不是对症下药，由于矿工只会减慢计算机的操作速度，对钱包的破坏是无法比拟的。
Slack中的bot
报告Slackbots阻止异常程序;
忽视bot的活动;
保护Slack通道, 例如，使用Metacert或Webroot安全机器人，Avira防病毒软件甚至内置的Google安全浏览功能来保护Slack通道。
自2017年年中以来，旨在窃取密码货币的Slack-bots已成为增长最快的企业信使的祸患。更常见的情况是，黑客创建了一个bot，其目的是让用户点击链接并输入一个私钥。这样的bot出现后，用户立即将他们封锁了。尽管社区通常反应迅速，黑客不得不放弃这一计划，但他们还是再设法赚了一些钱。
黑客通过Slack进行的最大一次成功的攻击被认为是神秘集团的黑客攻击。黑客使用了Enigma的名字推出了一个Slack-bots，最终从警惕低的用户那里骗取了总计50万美元的资金。
加密货币交易的扩展程序
使用单独的浏览器进行加密货币操作；
选择匿名模式；
不要下载任何密码插件；
购买一台只供加密货币交易的个人电脑或智能手机；
下载防病毒软件并安装网络保护；
Internet浏览器提供扩展程序以供用户自定义用户，以便更轻松地使用交易所和钱包。问题不是这些扩展程序读取您在使用互联网时输入的所有内容，而是这些扩展程序在javascript上开发的，这使得它们极易受到黑客攻击。原因在于，近年来随着Web 2.0，Ajax和富Internet应用程序的普及，JavaScript及其随之而来的漏洞在组织中变得非常普遍，尤其是印度组织。此外，由于用户的计算资源，许多扩展程序可用于加密货币的挖掘。
通过短信认证
关闭呼叫转发，使攻击者无法访问您的数据；
在文本中发送密码时，通过短信放弃2FA，并使用双因素识别软件解决方案。
许多用户选择使用移动身份验证，因为他们习惯于使用移动身份验证，并且智能手机总是在手边。一家专门从事网络安全的公司Positive Technologies，它已经证明了通过信令系统7(SS7)协议在全球范围内截获具有密码确认的短信是多么容易。专家们能够利用他们自己的研究工具劫持短信，利用手机网络的弱点拦截传输中的短信。使用Coinbase帐户的例子进行了演示，使交易所的用户都感到震惊。Positive Technologies指出，乍一看，这看起来像是Coinbase漏洞，但真正的弱点在于蜂窝系统本身。这证明任何系统都可以通过SMS直接访问，即使使用2FA。
永远不要通过公共wifi来执行加密货币的交易，即使您使用的是VPN；
定期更新您自己路由器的固件，因为硬件制造商不断发布旨在防止密钥替换的更新。&
去年10月，在使用路由器的wi-fi保护访问(Wpa)协议中，发现了一个无法恢复的漏洞。用户的设备在执行基本的 KRACK 攻击(重新安装密钥的攻击)后，重新连接到同一个wi-fi网络的黑客。攻击者可以使用用户下载或通过网络发送的所有信息，包括密码钱包中的私钥。对于在火车站、机场、酒店和大型团体参观地方的公共Wi-Fi网络来说，这个问题是急需解决的。
克隆网站和钓鱼网站
在没有htpps协议的情况下，不要与加密货币相关的站点进行交互；
当使用谷歌浏览器时，自定义扩展。例如， Cryptonite-显示子菜单的地址；
当接收来自任何加密货币相关资源的消息时，将链接复制到浏览器地址字段，并将其与原始站点的地址进行比较；
如果有什么可疑的地方，请关闭窗口，从收件箱中删除这封信。&
自从&网络革命&以来，这些过时的黑客手段已经被人们所熟知，但看起来他们仍然在继续运转着。在第一种情况下，攻击者只需一个字母就可以在域上创建原始站点的完整副本。这种伎俩的目的（包括在浏览器地址字段中替换地址）是为了吸引用户到站点克隆并强迫他们输入帐户的密码或密钥。在第二种情况下，他们发送一封电子邮件（复制官方项目的信件），但实际上目的是强迫你点击链接并输入你的个人资料。根据链分析，使用这种方法的骗子已经盗取了价值2.25亿美元的加密货币。
Cryptojacking，隐藏挖矿和常识
好消息是，由于加密货币服务日益遭到反对以及用户自身的知识不断提升，黑客们正逐渐对钱包的野蛮攻击失去兴趣。黑客们现在的焦点是隐藏挖掘。（黑客放弃&病毒勒索者&，选择挖矿病毒。）
根据McAfee实验室的数据，2018年第一季度，全球就注册了290万个用于隐藏挖矿的病毒软件样本。这比2017年第四季度增长了625%。这种方法被称为&Cryptojacking&，它以其简单性吸引了黑客，以至于他们大量地着手实施，放弃了传统的敲诈程序。坏消息是黑客活动丝毫没有减少。致力于网络安全的公司专家透露，截至2018年7月，黑暗网络上约有1.2万个交易平台，为黑客提供约3.4万份服务。在这种平台上销售的恶意攻击软件的平均价格约为224美元。
但是它是怎么在我们的电脑上出现的呢？让我们回到我们开始的新闻。6月27日，用户开始在 Malwarebytes论坛上发表评论，讨论一个名为&All-Radio 4.27 Portable &的程序，该程序是在不知不觉中安装在他们的设备上的。由于不可能将其移除，情况变得复杂起来。这个软件的原始形式，看起来似乎是一个无害和流行的内容查看器，它的版本被黑客修改成一个令人不快的&手提包&。
这个包中包含一个隐藏的矿工，但它只会减慢计算机的速度。通过监控剪贴板的程序，它在用户复制和粘贴密码时更换了地址，它已经收集了潜在受害者的2，343，286个比特币钱包。这是到目前为止黑客首次展示如此庞大的密码货币所有者数据库，这些程序包含了一组数量有限的可替换地址。
替换数据后，用户的资金自动将转移到攻击者的钱包地址。保护资金的唯一方法是在访问网站时，仔细检查输入的地址，这虽然很麻烦，但可靠，用户需要养成这种有用的习惯。
在对All-Radio 4.27 Portable受害者进行询问后，发现恶意软件是由于不合理的行为而在他们的计算机上出现的。正如来自Malwarebytes和Bleeping Computer的专家发现，人们会成为受害者是因为使用的应用程序又游戏中存在漏洞，如kmspico之类的windows激活器。因此，黑客选择那些有意识地违反版权和安全规则的人作为受害者。
著名的Mac恶意软件专家PatrickWardle经常在他的博客中写道，许多针对普通用户的病毒是极其简单的，成为这种受害者的人也很愚蠢。因此，最后，我们想提醒大家谷歌小企业顾问布赖恩&华莱士（Bryan Wallace）的建议：
&加密、防病毒软件和多因素识别只会使你的资产安全到一定程度；它们的关键是预防措施和简单的常识。&
来源：cointelegraph& 作者： Julia Magas& 编译：蜜蜂财经
本文有蜜蜂财经编译作品，如需转载，请注明出处，违者必究
声明：本文由入驻混序财经的作者撰写，观点仅代表作者本人，不代表混序财经赞同其观点或证实其描述。若涉及作品版权问题烦请告知，我们会及时处理。
24小时热门新闻 上传我的文档
 上传文档
 下载
 收藏
粉丝量：832
所发布文档来源于互联网和个人收集，仅用于分享交流和学习使用，请下载后于24小时内删除，版权为原作者所有，请支持购买原版。因上传文档受大小限制,部分文档拆分上传，请浏览确认后下载。如有侵犯您的版权,请通过站内信息告知，将立即删除相关资料.如有其它问题也欢迎联系，谢谢！
 求助此文档
黑客攻防入门
下载积分：0
内容提示：黑客攻防入门
文档格式：PDF|
浏览次数：25|
上传日期： 09:37:17|
文档星级：
此文档不支持下载，登录后可阅读更多内容
发布找文档任务
该用户还上传了这些文档
黑客攻防入门
关注微信公众号}