2014年4月27日星期日
PC-BSD开发自己的桌面环境 zz
PC-BSD项目正从头开始开发一个BSD授权的开源桌面环境 Lumina。Lumina将是基于 Qt工具箱,旨在取代KDE成为PC-BSD默认的桌面环境。现阶段 Lumina被认为尚处于早期alpha状态,但已被PC-BSD的软件包仓库收录,它的目标是成为一个轻量级的、稳定而快速的桌面环境。GNOME和KDE等重量级桌面环境已经有许多轻量级替代如 XFCE和LXDE, 现在这个长长的名单又多了Lumina一个。
标签: GNOME, kde, Lumina, PC-BSD, qt
微软Google思科宣布将资助OpenSSL等开源项目 zz
OpenSSL高危漏洞Heartbleed的曝光,终于促使受益于开源项目的科技巨头展开行动,提供资金资助这些已成为互联网基础设施一部分的开源项目的开发和维护。亚马逊、思科、戴尔、Facebook、富士通、Google、IBM、英特尔、微软、NetApp、高通、Rackspace和VMWare等成立了Core Infrastructure Initiative,识别和资助在核心计算设备和网络功能中广泛使用的开源项目,此举是为了回应Heartbleed危机,OpenSSL加密库将是首批获得资助的项目,其它重要的开源项目将会随后获得资助。资金将由Linux基金会和一个指导委员会管理,指导委员会成员包括了这些提供资金的企业、重要的开源开发者和行业利益攸关者。
标签: Amazon, Cisco, Dell, facebook, Fujitu, google, Heartbleed, ibm, Intel, microsoft, NetApp, OpenSSL, Qualcomm, Rackspace, vmware
匿名组织开发不需要手机和网络连接的通信工具 zz
松散的互联网黑客联盟匿名组织宣布正在开发不需要手机和网络连接的通信工具,名叫Airchat的新工具利用无线电波代替蜂窝网络或网络接入基础设施进行通信。匿名组织因几年前高调攻击索尼和CIA而广为人知。Airchat项目托管在Github上,依赖于现有的无线链路或能传输音频的设备。匿名组织称,虽然现阶段的Airchat过于复杂,他们已经用它让间隔180英里的人玩互动式棋类游戏,共享图片,甚至进行加密的低带宽数字语音聊天。使用Airchat需要用户有个手持无线电收发器,运行Windows、 Mac OS X或Linux的笔记本电脑,电脑需要安装和运行多个复杂软件。
标签: Airchat, Anonymous, CIA, Github
2014年4月23日星期三
华为E5776LTE无线终端联网状态
2014年4月20日星期日
GAE增加15个appid zz
某宅很久没有没有登录过 Google App Engine 的管理界面了,今天由于某软件软件故障,上传新的服务端。由于记错和账号的对应了,所以登录 GAE 管理界面,发现有个新的服务协议什么之类的,没有太理会直接接受,然后惊喜发现多出来 15 个 appid(总共有25个,以前是10个),瞬间对 google 产生极大的好感。登录了 3 个账户都是这样,简单看了一下配置信息感觉和之前的 appid 是一样的,不确定是否是所有用户都是这样。具体情况,请登录自行查看
标签: GAE
GCC 4.9.0 RC版发布 zz
GCC 4.9.0释出了预发布版(RC),正式版预计将在4月22日发布。新版的变化包括:Solaris 9架构被宣布废弃,如果无人活跃开发,下一个版本将彻底移除;ARM架构支持AddressSanitizer,改进链接时优化,过程间优化和反馈向优化;C和C++编译器支持 OpenMP 4.0规格;改进C++11和C++1y支持;完整支持Go 1.2.1;支持Power ISA 2.07及硬件事务性内存;支持英特尔AVX-512、Silvermont和 Broadwell架构,AMD Excavator架构等等。
Python 2.7支持时间延长到2020年 zz
Python语言作者Guido van Rossum宣布Python 2.7支持时间延长到2020年。Python 2.7是2.x系列的最后一个版本,它的继承者Python 3.0在2008年12月发布,但不兼容2.x系列,3.0的许多特性和语法向后移植到了2.6和2.7。Python 2.7的最新版本是2.7.6,2.7.7计划在2014年5月发布,2.7.8计划在2014年11月发布,2.7.9则是在2015年5月,之后将根据需要释出新版本,2.7的支持时间将最少为10年,2020年前会一直提供bug修正。
标签: Python
Heartbleed测试网站在数小时内被窃走私钥 zz
OpenSSL Heartbleed漏洞的危险程度被安全专家称为是“灾难级”,攻击者能利用该漏洞窃走受影响网站的用户密码和私钥,此前的研究发现用户明文密码确实会暴露,但窃取私钥尚未有报道。云计算公司CloudFlare发起了一个 Heartbleed挑战赛,使用nginx Web服务器和存在漏洞的OpenSSL版本搭建了一个网站,邀请挑战者通过攻击窃取私钥。结果短短几小时私钥就被安全研究人员成功窃取,至今有4个人通过了挑战:软件工程师Fedor Indutny发送了至少250万次请求, Ilkka Mattila发送了约10万次请求,另外两位是剑桥大学博士生Rubin Xu和安全研究员 Ben Murphy。这项挑战赛显示,使用存在漏洞的OpenSSL版本的网站应该废除所有旧私钥和证书。
标签: CloudFlare, Heartbleed, OpenSSL
44%的Twitter用户没有发过推 zz
一家监视Twitter活动的第三方网站Twopcharts称,Twitter有9.47亿账户,但其中44%的用户从未发过推。而在发过推的5.5亿用户中,43%的用户的最后一推是在一年前,只有13.3%的用户过去一个月发过推。这些数据暗示,许多用户只是注册随后就将其忘在脑后,或者他们只是喜欢看其他人发的推。Twitter拒绝对第三方信息发表评论。此前香港大学的一位研究人员在新浪微博上发现了类似的现象,在总数约5亿的微博帐号中,大约3亿从未发布过信息,发过微博信息的2.087亿个帐号,5%发布的信息占所有微博信息的93.8%。
奥巴马以国家安全为由允许NSA使用0day漏洞 zz
《纽约时报》报导(中文),奥巴马以国家安全为由允许NSA使用部分0day漏洞。美国政府高级官员上周六表示,奥巴马总统介入了美国情报机构内部的激烈争论,并且决定,如果国家安全局(NSA)发现网络安全存在重要漏洞,大多数情况下就应该公开信息,确保漏洞获得修复,而不是保持沉默,以便利用这些漏洞开展间谍活动或网络攻击。奥巴马也允许例外情况发生,前提是“国家安全或执法行动存在明确需要”。这样的例外可能会允许NSA继续利用安全缺陷破解网络加密,设计网络武器。所谓的0day漏洞是此前未知也未修复的漏洞。NSA官员及军方的美国网络战司令部官员警告称,放弃利用0day漏洞的能力就等于“单边裁军”,“中国人绝不会因为我们放弃‘0day’而放弃‘0day’。”
《华盛顿邮报》和《卫报》因Snowden报道获得普利策公共服务奖 zz
《华盛顿邮报》与《卫报》美国版根据NSA前合同工Edward Snowden提供的机密文档曝光NSA大规模监听活动的报道获得了本年度的普利策公共服务奖。颁奖词称,两大媒体通过富有批评性的报道点燃了安全和隐私问题上有关政府和公众关系的争论。《华盛顿邮报》和《卫报》的报道曝光了NSA和英国政府通信总局大规模收集电话呼吁和电子邮件元数据的监控行动。
TrueCrypt审计初步显示没有后门或恶意代码 zz
iSEC公布了加密软件TrueCrypt第一阶段的安全审计报告,初步分析显示TrueCrypt没有发现含有后门或其它故意加入的恶意代码的证据。TrueCrypt是流行的加密软件,但从未进行过安全审计,在NSA大规模监控活动曝光之后安全研究人员发起了对TrueCrypt的完整安全审计,iSEC负责此次审计。研究人员在代码中发现了一些小的漏洞——例如TrueCrypt使用的迭代次数是1000或2000,不足以保护密码抵抗暴力破解攻击——但没有一个大到足以称之为后门。第一阶段的安全评估重点是TrueCrypt 引导程序和Windows内核驱动等。第二阶段的安全审计将调查TrueCrypt加密套件、随机数生成器和关键密钥算法是否正确实现。
Heartbleed漏洞披露时间表 zz
《悉尼先驱晨报》跟踪了OpenSSL高危漏洞Heartbleed的整个披露过程:在3月21日前后,Google安全团队的Neel Mehta发现了Heartbleed漏洞,Google的Bodo Moeller和Adam Langley递交了一个补丁,补丁逐步应用到Google在全球的服务器。3月31日,有人将该漏洞告诉了CDN服务商CloudFlare,CloudFlare给OpenSSL打上了补丁。4月1日, Google通知了OpenSSL。4月2日,芬兰安全测试公司Codenomicon 独立(是否真正独立存疑)发现了Heartbleed漏洞。4月3日,Codenomicon通知了芬兰国家网络安全中心。4月4日,另一个主要CDN供应商 Akamai开始给服务器打补丁。有关OpenSSL高危漏洞的流言开始在开源社区流传。4月5日,Codenomicon购买了Heartbleed.com域名。4月6日,Red Hat的一位OpenSSL开发者Mark Cox将Heartbleed漏洞通知了Red Hat。Red Hat的Huzaifa Sidhpurwala当天23点左右向SuSE、Debian、FreeBSD和AltLinux公布了漏洞细节,各大发行版开始忙着打补丁。Sidhpurwala睡觉,没有回应Ubuntu和Gentoo等在凌晨发出的请求。4月7日,漏洞正式对外公布。
标签: Akamai, CDN, CloudFare, Codenomicon, google, Heartbleed, OpenSSL
微软证实没有更新到Windows 8.1 Update 1的系统将无法获得支持 zz
微软上周二(4月8日)发布的Windows 8.1 Update 1是强制性更新,如果Windows 8.1没有安装该补丁,微软官方博客明确表示它将不会再支持你的系统,而 Windows 8和Windows 2012用户不受影响。另一方面,有许多用户在微软官方论坛抱怨Windows 8.1 Update 1安装失败和报错(错误码包括0x80070020、80073712、800F081F、800F0092和80070003等)。
标签: microsoft, Windows8.1 Update1
Edward Snowden使用的操作系统 zz
《连线》披露了Edward Snowden用于躲避NSA窥视的匿名操作系统Tails。Tails是一个Live操作系统,能安装在光盘、U盘和SD卡上,可以随身携带,需要时直接从光盘、U盘或SD卡启动上网冲浪。它是一个基于Tor的Linux操作系统,启动之后会自动运行Tor,它不向本地系统储存任何数据。Snowden、记者Glenn Greenwald和纪录片制作人Laura Poitras都使用这个操作系统。Poitras称,虽然安装和验证略有麻烦,但一旦设置好之后使用起来是很简单的。Tails由匿名开发者在五年前开发。Snowden泄漏的文件显示,NSA曾在一幻灯片中抱怨Tails。如果Tails对NSA不利,那么这意味着它对隐私保护是有用的,而且Tails所有代码都是开源的,任何人都可以检查。
百万Android手机面临安全风险 zz
安全研究人员发出警告,Heartbleed漏洞不仅仅影响Web服务器,还威胁到了数百万Android手机。Google安全博客称,只有Android 4.1.1受到影响,表示补丁信息正分发给合作伙伴。由于Android 系统更新的复杂性,许多Android 4.1.1用户可能永远不会更新修复Heartbleed漏洞的补丁。但即使没有更新,大部分Android 4.1.1用户也不会真的受到影响,因为Android 的沙盒机制会阻止恶意应用访问内存内容,而要窃取用户的敏感信息攻击者需要访问内存。不过,Android 4.1.1的安全风险并不能被完全排除。安全专家警告说,攻击者可能对网络连接发动中间人攻击或跨站伪造请求攻击等方法窃取用户的安全凭证,所以使用受影响设备的用户仍然要小心。
标签: android, Heartbleed
Deepin 2014 Alpha发布 zz
"Deepin2014 Alpha(Linux Deepin改名为Deepin)发布,携带全新的深度桌面环境2.0和深度安装器。主要变化是:桌面右键新增了”热区设置“功能,Dock和通知区合二为一;启动器新增了收藏界面和中文拼音搜索,右键增加“卸载软件 ”功能;系统设置更名为“控制中心”;全新的深度主题;默认搭载深度安装器;等等。"
标签: Deepin
Heartbleed漏洞撕破了开源安全的伪装? zz
开源软件OpenSSL高危漏洞Heartbleed的曝光打击了自由开源软件安全的自封神话:当源代码公开并且每天都与之打交道,像Heartbleed这样的严重bug是不应该发生的。ESR(Eric Raymond)有一个著名的名言:有足够的人盯着,所有的bug都能很快发现。但Heartbleed bug存在了超过两年时间。私有软件的用户现在认为,Heartbleed撕破了开源安全的伪装。自由软件基金会此前曾为之辩护,认为漏洞会在任何代码上发生,而开源的一大优势是在发现问题时能及时修正,不需要无助的等待私有软件开发商发布补丁。
标签: Heartbleed, OpenSSL
Google更新服务条款明确所有电子邮件将会被分析 zz
Google更新了服务条款,明确告诉用户它用自动分析工具分析了Gmail中的所有邮件,以提供更具针对性的广告和更相关的搜索结果。上月,美国一名法官裁定Gmail扫描隐私案集体诉讼无效。Gmail邮件服务的用户指控Google扫描用户邮件,侵犯了联邦和国家隐私权,违反窃听法。Google则辩称用户默许公司的做法,视扫描为邮件传输过程的一部分。Google发言人Matt Kallman在声明中表示,这些改变“将为用户带来更大的透明度,而且基于过去几个月内我们所收到的反馈。”
开源闭源项目代码质量对比 zz
开源项目OpenSSL漏洞Heartbleed的曝光引发了开源闭源项目安全的争论。Coverity每年都会扫描大量开源和闭源项目的代码,评估其质量发现其缺陷。最新的报告显示,开源项目的代码质量(以缺陷密度这一数据进行衡量)优于闭源项目。Coverity扫描分析了超过700个开源C/C++项目和闭源企业软件项目的样本,发现开源C/C++项目的平均缺陷密度为0.59(缺陷密度1代表每一千行代码发现一个缺陷),企业闭源项目的平均缺陷密度为0.72。报告称,Linux平均修复一个新发现缺陷的时间仅仅只需要6天,它的850多万行代码的缺陷密度为0.61;被扫描的Java项目开发者只修复13%的已识别资源泄漏bug,而 C/C++项目开发者修复了46%。
标签: Heartbleed, OpenSSL
Tor屏蔽存在Heartbleed漏洞的出口节点 zz
Tor项目开始将易于受到OpenSSL的Heartbleed漏洞影响的出口节点加入到黑名单。东北大学系统安全实验室的研究员Collin Mulliner利用公开的Heartbleed概念验证攻击代码扫描了5000个Tor中继节点,发现1045个节点存在Heartbleed漏洞。Mulliner称,只有出口节点才会泄漏用户的明文流量。Tor项目负责人Roger Dingledine随后在邮件列表上宣布屏蔽380个受漏洞影响的出口节点。
标签: Heartbleed, OpenSSL, Tor
Mozilla实验引擎Servo通过Acid2测试 zz
Mozilla宣布,Mozilla Research开发的下一代浏览器引擎Servo达到了一个重要里程碑,通过了Acid2测试。Servo使用Mozilla的新语言Rust开发,Rust是一种注重安全、性能和并发性的编程语言,Servo设计能利用现代计算平台的多核架构并行执行任务,能充分利用所有处理器核心、GPU和矢量单元。它在2013年8月通过Acid2测试,今年3月通过Acid2。Acid是测试浏览器对Web标准的兼容性,而Acid2是测试浏览器对HTML、CSS 2.1样式及PNG图像标准的兼容性,Acid3则主要测试DOM和JavaScript等标准的兼容性。Mozilla声称,Rust编译器能自动阻止类似Heartbleed的安全漏洞。
标签: Acid2, Acid3, Mozilla, Rust, Servo
Ubuntu Linux 14.04 LTS Trusty Tahr发布 zz
Ubuntu Linux 14.04 LTS Trusty Tahr正式发布。主要变化包括:Linux kernel v3.13.0-24.46、Python 3.4、Xen 4.4、Libreoffice 4.2.3、MySQL 5.6/MariaDB 5.5、Apache 2.4、PHP 5.5;改进AppArmor,允许用户对应用程序有更多的细粒度控制。LTS版每两年发布一次,Canonical将提供五年的支持。除了桌面服务器版,Canonical还推出了Ubuntu for Tablets,支持安装到Nexus 10和Nexus 7(2013年版)。如果中国用户想尝试一下中国特色的软件,比如搜狗输入法、金山WPS和优客助手,可以选择下载Kylin。
Google新算法破解自己的CAPTCHA zz
据 The Verge 报道(中文),本周谷歌的研究员们发表了一篇论文,文中指出谷歌已研发出一种新算法,破解CAPTCHA验证码的准确率高达99.8%。reCAPTCHA的产品经理Vinay Shet在Google Online Security 官博上发文(中文)称:“多亏这项研究,我们知道了仅仅依靠扭曲文字来生成验证码是不够的。” 该算法用在谷歌街景图像的分析准确度还不是很高(90%),不过识别门牌号的准确率已有 96%。
Snowden为参与普京的电视秀辩护 zz
前NSA合同工Edward Snowden出现在俄罗斯国家电视台,在普京的年度电视秀上询问俄罗斯是否有大规模监视系统,面无表情的前克格勃特工装模作样的说没有。Snowden参与普京的电视宣传招致了许多人的批评,认为现在的Snowden成了克里姆林宫的宠物。在俄罗斯政治避难的Snowden在《卫报》上发表文章强烈回应了批评:对外界对其动机的诠释非常吃惊,表示如果要测试官员说法的真实性,我们首先要给他们机会发表声明。Snowden说,普京在回答中否认了第一部分的提问,躲避了第二部分的问题,他的否认存在自相矛盾。Snowden对外界对其提问的误解表示遗憾,称许多人忽视了问题的实质和普京的逃避。他说,普京的回答实际上类似于奥巴马对NSA监视项目的最初反应。Snowden说,他冒着生命和自由的危险曝光了NSA的大规模监视,是因为他相信对无辜人的监视是对所有人的危险,如果早知道今天的人会有这样的反应,他不会选择牺牲自我。记者Glenn Greenwald认为,Snowden非常勇敢,因为他批评的是允许他避难的国家。
Debian 6.0将获得长期支持 zz
2011年2月发布的Debian GNU/Linux 6.0原计划将于2014年5月31日终止支持,现在Debian安全团队宣布延长支持时间两年至2016年2月,这意味着Debian 6.0的支持时间共有五年。安全团队称,延长支持是因为多个利益相关团体/企业需要更长的安全支持时间。开发者表示,Debian 6.0的长期支持仅限于i386 和amd64架构,使用其它架构的用户需要升级到Debian 7.0(2013年5月发布)。
标签: Debian
2014年4月17日星期四
Heartbleed漏洞会暴露OpenVPN私钥 zz
Heartbleed漏洞会影响运行OpenVPN的VPN供应商。OpenVPN是一种开源的VPN软件,开发者已经发出警告,OpenSSL的Heartbleed漏洞可能会暴露VPN的加密私钥,OpenVPN默认使用的加密库就是OpenSSL。一家瑞典VPN服务的管理员Fredrik Strömberg在一台测试服务器上演示了Heartbleed攻击。他指出,从 OpenVPN服务器上窃取私钥要比从Web服务器上窃取私钥难度更大,因为OpenVPN流量封装在OpenVPN特定容器的加密HTTPS流量中,要窃取私钥需要先将OpenVPN数据包中的TLS数据分离开来。
标签: Heartbleed, OpenSSL, OpenVPN
微软通过改变命名抛弃Service Packs的支持承诺 zz
微软只留给Windows 8.1用户30天时间升级到Windows 8.1 Update1。在客户强烈抗议之后,微软略作让步,将没有更新到Update1的企业用户安全支持时间延长到了120天。Update1包含了Windows 8.1的所有累积更新,它实际上就是以前的Service Packs。然而根据Service Packs支持政策,微软需要提供两年的安全更新,不使用Service Packs的名字意味着它不需要遵守这一政策。微软试图通过快节奏的操作系统更新策略努力跟上竞争对手。而延用Service Packs这一名字和生命周期支持政策将会给微软制造麻烦,产生巨大的、竞争对手不需要面临的开销。摆脱Service Packs这个名字帮助微软摆脱了支持承诺。
标签: Service Packs, windows
订阅 博文 [Atom]