余弦微信的“个性签名”栏对自己的身份有着明确定位：知道创宇、技术VP、互联网安全专家、Web2.0黑客、云云的老公。这基本上涵盖了他生活的全部。

　　先锋志（Vangzine）原本很傻很天真的以为余弦就是真名，姓余名弦，但见面交换过名片后才知道他的真名叫钟晨鸣，余弦只是行走黑客江湖的代号。“一个黑客怎么会用自己的真名呢，一点也不酷炫和傲娇。”余弦笑着对先锋志说。

　　为什么会用“余弦”这个代号呢？这是因为他对数学非常痴迷，余弦正是三角函数的三角函数的一种。

　　“余弦相对应的是正弦，正弦是很正的，而余弦则没那么正，我对自己的认识也非常透彻，在黑客的世界里不应该有一个太过于正直的角色，太正了就迂腐掉了，有一些专家就是，这里就不好点名了。”

　　和想象中不同，余弦在大学里念的并不是计算机的相关专业，而是生物工程材料。那个时候他的想法还比较单纯，以为生物这东西很好“解决”，但通过一段时间的学习后，他发现这个专业在国内的现状特别残酷。于是，他转身扑向了计算机的怀抱。

　　虽然说余弦对计算机的喜爱始于高中，但那个时候还是小打小闹，并没有认真的学习过相关知识。望着图书馆各种计算机的相关书籍，他决定沉下心来，一个一个自学。余弦经常和一群同学翻墙到校外网吧，只不过那些同学是打游戏，他是对书上的那些内容进行实操。

　　“你是因为感觉到了危机才下定决心开始认真学计算机的？”

　　“是的，但也有兴趣作为基础。”

　　余弦说他能进入黑客圈靠的是两样东西：《黑防》和学校机房。《黑防》是早期国内基本比较火的黑客杂志之一，里面有很多他不懂却想要弄懂的技术，其中的思维非常有意思；而大三期间，余弦开始在学校的仿真模拟实验室做 *** ，在各种病毒流行时为学校机房解决相关问题，也就是那个时候，他体会到了黑客世界的乐趣。

　　后来，不断积累经验的余弦在黑客界有了一些名气，他将自己的一些技术和经验在百度空间内分享出来，得到了知道创宇的关注。大四上学期尾声，刚刚创立的知道创宇找到了他，他也顺利进入了这家互联网安全公司，一晃就是六年。

　　余弦自信地表示他进入安全领域后做了很多有意义的事情，比如将安全和大数据结合，进行全国甚至全球的大规模安全检测。

　　“你的名字叫‘余弦’，也就是没有那么‘正’，但你现在做的又在做 *** 安全的事情，这矛盾吗？”

　　“不矛盾，我走的这条道是‘正’的，黑色产业链的东西我都不会碰，这是原则，但有些时候解决 *** 安全方面的问题必须要用一些‘邪’的手段，要不然根本无法快速解决一些问题，这叫做‘守正出奇’。

　　人们一般把黑客分为黑帽子、灰帽子、白帽子三种。黑帽子一般存在于黑色产业链中，他们干一些例如 *** 侦探这样的非法勾当，只认利益和金钱；灰帽子指对技术有研究，懂得如果防御和破坏的黑客；白帽子则是安全公司里的黑客。不过，余弦一直认为自己是灰帽子，并且觉得这世界上不应该存在纯的白帽子。他害怕别人把他当成一个顶天立地堂堂正正的好人了，只有保持邪邪的本性，才能让他舒心。

　　说完了线上的形象，就必须得说说线下。

　　先锋志接触过的黑客一般分为两类：之一类平时很孤僻，上网都是马甲，只信任少数人，不喜欢太智能的东西，因为他们深刻知道 *** 是太不安全了，一般生活在自己的小圈子里面，跟熟人聊天会比较放得开，基本上不会抛头露面，对技术疯狂痴迷；第二类比较大大咧咧，喜欢跟人称兄道弟，有江湖气，在接触的过程中似乎感觉不到他们的黑客气息。

　　但余弦是非典型的黑客，只能把他单独归为一类。

　　作为团队的领导者，他不活跃也不孤僻，适当时候说出的话语都很有凝聚力和号召力，该沟通的时候沟通，该沉默的时候沉默，从组织Kcon大会到技术研究，转换十分自然。

　　虽然说从事的是不正当行为，但当谈到黑客团队的故事，却能勾起人的无限兴趣。想象中的黑客团队，应该拥有一款“狂拽酷毙了”的名字。不过在互联网安全技术公司CrowdStrike近日发布的黑客名单表上，诸如Deep Panda （低调小熊猫）、Putter Panda （邋遢熊猫）、Flying Kitten（飞天猫咪）之类的名字赫然在列。即便听上去觉得“萌萌哒”，不过他们却是互联网世界，更具威胁性的黑客团队。

　　

　　CrowdStrike目前在全世界范围内监测70多个黑客团队，这些团队组织大多位于中国、俄罗斯和伊朗。其中的不少团队与民族主义活动组织有千丝万缕的联系，同时搜集某些美国公司的机密数据。现在就讲讲这几个名字很萌、势力恐怖的黑客团队。

　　CrowdStrike将Deep Pand称作是更先进的互联网入侵团队之一。Deep Panda的行动主要是入侵 *** 的国防工业、电信通讯系统，破坏国家安全研究机构。

　　在今年的六月初，CrowdStike报告称Deep Panda团队正在将关注点转移到与伊拉克、中东问题的有关的个人。

　　从2007年开始活跃的Putter Panda团队，侵入攻击的目标是美国和欧洲 *** 的国防、航空航天工业系统。某些证据表明团队的办公地点在隶属 *** 军方的某幢建筑物内，因此Putter Panda团队被怀疑与中国 *** 有联系。

　　五月份，美国 *** 对Putter Panda提出刑事控告，不过团队否认曾经从事 *** 窃取活动。不过据《IT News》报道称，CrowdStrike发布文件表明已有证据证明Putter Panda涉嫌非法黑客活动。

　　从今年的1月中旬，CrowdStrike已经开始监控位于伊朗的Flying Kitten团队。Flying Kitten之前被称为Ajax安全团队。《InformationWeek》报道称，团队的方向正在从黑客攻击，转变为有针对性的 *** 谍报窃取。现在Flying Kitten主要的入侵目标是美国国防承包商、伊朗异见分子。

　　CrowdStrike表示Flying Kitten团队通过在Microsoft Outlook Web Access 应用中使用钓鱼式攻击邮件，入侵目标账户。另外Flying Kitten还使用伪装成反审查工具的恶意软件，欺骗伊朗异见分子，从而窃取账户。

　　这些证据表明，Flying Kitten团队的真实身份要么是伊朗 *** 下属的官方组织，要么就是 *** 为打击民间反动者而雇佣的私人团队。

　　在2013年1月发布的《Global Threat Report》（全球威胁报告）中，Crowdstrike预测来自第三方势力的黑客行为将会继续危害世界安全，尤其是在重大国际事件频繁的2013年11月，期间召开G20峰会和美国国会中期选举。

　　此外危害国际互联网安全的黑客团队名单上还包括Magic Kitten，Emissary Panda和Deadeye Jackal。该名单得到了CrowdStrike的联合创始人及首席技术官Dmitri Alperovitch和《Global Threat Report》报告的确认。

　　一名研究 *** 安全和白领犯罪的刑事辩护律师Marcus Christian表示，这些团队的人员有出色的技术、背景复杂，“在某种程度上说，团队甚至有与国家官方机构相匹敌的能力。他们恪守团队职责，并且将不断学习，将已有经验运用到新的领域。”

　　白宫证实，他们成为了一起 *** 攻击的受害者，而犯罪者被认为可能是受供于俄罗斯 *** 的人。

　　办公官员表示，根据仍然在进行中的调查，并没有证据证明危险分子破坏了任何绝密档案。国安局，联邦调查局以及特勤局都参与了这个调查。然而，官员并未就是否有其他数据失窃进行评论，也没有表明攻击背后的元凶到底是谁。

　　“通常大量的攻击者把我们的 *** 视为攻击目标，并且想方设法地想获取敏感信息。我们仍然在评估所涉及到的活动”。

　　官员们怀疑俄罗斯是幕后攻击者的原因，基本是因为俄罗斯是最能够实施攻击的国家。而美国官员视俄罗斯为拥有众多计算机高手的国家。 *** 近期报道了大量类似的攻击活动，攻击目标包括北约组织，乌克兰 *** ，一名美国研究员，而攻击者被认为是为俄罗斯 *** 效力。

　　然而，除了这些怀疑论，以及这些对白宫的攻击和之前可能是来自俄罗斯的攻击方式相似的事实，并没有公开的证据证明到底是谁在幕后实施着这一切。

　　一名安全研究人员发现三星的“Find My Mobile”功能中存在一个漏洞，可以让黑客通过互联网干扰手机。

　　“Find My Mobile”服务让三星用户能跟踪他们的设备，如果被偷则可以锁住或删除手机内容。然而据报道，Mohamed Baset发现三星没有正确地检查“Find My Mobile”的请求来自哪里。这意味着黑客可以假冒手机所有者并干扰用户的账号。

　　所以有了这个安全漏洞黑客能做些什么？他们可以在手机屏幕上显示一条定制化的信息，或者找到手机在地图上的最新位置。通过该服务攻击用户的黑客也可以迫使手机在更大音量上响一分钟，甚至还能清除手机上的所有数据。

　　据报道，俄罗斯一家网站近日曝光了全球上万个私人摄像头的流媒体视频。

　　其中，美国有近4000个摄像头的实况视频，来自法国的摄像头超过2000个，来自荷兰的摄像头约为1500个，而来自全球其他国家的摄像头达到数千个。这些视频包括，新泽西州的一个婴儿在婴儿床上睡觉、法国的一对夫妻正在吃早餐、明尼苏达州的一些老年病人躺在床上、日本一家美发沙龙内部的场景、荷兰一处带游泳池和蹦床的操场等等。并且所有的视频链接都配备了详细的信息，包括摄像头的GPS信息、邮编、时区以及地图显示的精确位置。

　　英国 *** 官员表示，这些摄像头使用了厂商设置的默认密码，因此登录信息可以在网上随意获取，以致任何人都可以访问这些未得到信息安全保护的摄像头。专业人士呼吁这些摄像头的用户赶紧更改默认密码，以避免摄像头遭到黑客攻击。

　　曝光这些视频的网站表示，这些摄像头目前并未遭到黑客攻击，这样做的动机是为了引起公众关注这些设备在使用过程中存在的问题。

　　据悉，在这些摄像头中，有超过1.4万个为中国的福斯康姆公司（Foscam）制造，其他受影响的摄像头还有松下、Linksys等厂商。截至目前，这些厂商尚未对此事置评。

　　据媒体报道，瑞典黑客日前表示，在苹果OS X Yosemite中发现了一个非常严重的安全漏洞。

　　该漏洞被称为“rootpipe”，是一个权限提升漏洞，即使没有密码，只要利用这个漏洞，攻击者就能够随意访问设备，对系统进行完全控制。

　　目前，苹果还没有修复这个漏洞。该黑客建议用户，日常运行Mac时不要使用ADMIN账户，因为这个账户拥有管理员特权。另外，他还建议用户使用苹果的FileVault工具，用来加密硬驱，保护私密数据。

　　索尼公司最近即将发行新电影《The Interview》，这部电影中虚构了美国中央情报局(CIA)刺杀朝鲜领导人金正恩的计划。针对这部电影，朝鲜官方反应强烈并威胁称，如果这部电影发行，那么将对美国和其他相关国家展开“无情的报复”。

　　恰巧最近，索尼影业内网不明征兆的完全瘫痪。对此，索尼方面开始进行调查，结果发现，公司内部 *** 本周早些时候遭到的黑客攻击，目前还并不清楚此次攻击是否与朝鲜黑客有关系。消息人士强调，尽管尚未确定黑客事件与朝鲜有关联，但这一可能性并未被排除。

　　此前有多次黑客攻击行为与朝鲜有关。去年，朝鲜发动了对韩国两家电视广播网，以及金融系统的攻击，从而影响了韩国的ATM机 *** ，导致用户无法从自己的帐户中取款。

　　据《华尔街日报》报道，此次索尼影业被黑事件，有大量重要文件被窃取，包括4.7万名职员的个人私密信息（社保号码、职员薪水、家庭住址等），甚至连史泰龙、贾德·阿帕图、瑞贝尔·威尔森等明星也未能幸免。

　　据悉，数据安全公司Indentity Finder在分析了数万份索尼影业的文档后，发现多份被存储在Microsoft Excel文件中的数据并未设置密码保护。

　　对于此次大规模攻击事件，索尼影业CEO Michael Lynton和联席董事长Amy Pascal表示：“该事件是针对本公司、公司职员以及商业合作伙伴所发动的一次 *** 袭击，公司将会彻底追查”。

　　继微软Xbox Live几天前遭遇黑客攻击之后，现在，索尼PlayStation Network（PSN）也遭到了攻击。

　　据悉，部分用户在过去的几小时内出现了无法登陆的情况。

　　随后，黑客组织”Lizard Squad“宣称他们是这起攻击的发起者。而该组织曾在攻击Xbox Live之后，发布消息称：“该攻击只是圣诞节大规模攻击前的一次小型演习。”

　　据报道，相关 *** 安全专家表示，索尼影业此次被黑，导致公司敏感数据遭到泄露，恢复敏感数据和公司正常运营的费用十分高昂，索尼可能会面临数千万美元的损失。

　　据悉，索尼影业此次的损失将主要花在调查黑客攻击、修复计算机和防范未来可能遭到的攻击方面。由此耽误的生产进程以及运营成本还未计算在损失之内。

　　11月24日，一群自称为“和平卫士”的黑客对索尼影业 *** 发动了攻击，泄露了一些金融文件、未公开的电影、索尼员工和明星的隐私信息。而当时，有不少媒体报道，朝鲜 *** 可能是攻击的幕后支持者。

　　近日，FBI表示，尽管怀疑朝鲜 *** 在索尼日前发生的 *** 黑客攻击案中充当了幕后推手，但目前尚无确切证据来证明这一观点。

　　这是FBI对索尼 *** 遭受黑客攻击展开调查后，首次对外发表公开声明。同时，FBI还表示，美国可能正在进一步扩大调查范围。

　　是的，到了年底热心网友们最喜欢看的内容便是各种盘点了。外媒CNET总结了2014年科技圈内九个关键事件，来看看哪些事是你错过的。

　　

　　今年有许多大型高科技公司公布了雇员的人口多样性数据，不少人明白了科技圈内更青睐白人雇员的惯例做法并不是空穴来风。尤其是针对性别和人种两方面，白人男性雇员更是有压倒性的优势。本来这件事情只是公司内部墨守成规的“小秘密”，但导火索是今年10月份信任微软CEO Satya Nadella在一次会议上公开表示，女员工不应主动要求加薪，而是需要依靠“善缘”。这一说法引起轩然 *** ，而Nadella随后也不得不做出道歉。

　　

　　从最开始的黑客组织LulzSec攻击多国 *** 系统，甚至连CIA都被黑了一把，再到Anonymous组织窃取了亚马逊、沃尔玛网站数万个信用卡账号，今年的 *** 世界十分不太平，而沸沸扬扬的索尼被黑事件无疑是最重头大戏。起因是索尼影业计划公映一部关于刺杀朝鲜更高领导人金正恩的虚拟剧情片，于是朝鲜的黑客军团们怒了，攻击了索尼的内部 *** 和电脑，窃取雇员私人信息和各种高层机要内容，并将其公布于众。除此之外，今年遭到黑客攻击的大公司还有Target、Home Depot和CNET。

　　

　　今年智能手机的进步速度逐渐放缓。四年多以前，iPhone 4的横空出，重新定义了智能手机；而今从苹果的iPhone 5S到iPhone 6，从三星的Note 3到Note 4，除了屏幕变得更大、更亮丽，CPU有了一定的进步之外，消费者在手机的迭代升级间似乎难以发现更多的让人眼前一亮的进步。想想今年最新的iPad Air 2吧，抛开Touch ID和Apple Pay之外，进步的还有什么呢？

　　

　　屏幕越大越好这件事，已经成为近年来来智能手机发展的“潜规则”。终于苹果也加入了“平板手机”的阵营，发布了5.5寸屏幕的iPhone 6 Plus。值得一提的是，主流的手机品牌商基本不再生产屏幕小于4寸的手机了。

　　伴随着节日期间索尼被黑事件所产生的噪音，一次更严重的 *** 攻击事件差不多在混沌中消弭无声。除非你非常密切地跟踪安全新闻，否则你很可能会错过它。

　　这件事是指，一家德国媒体在圣诞节前报道称，黑客们攻击了德国一家不知名的钢铁厂。这些黑客操纵并干扰了钢铁厂的控制系统，导致一座高炉无法正常关闭，最后造成了巨大损失。

　　这是第二起经证实的完全由数字攻击导致设备物理损坏的案例。之一个案例是震网病毒Stuxnet。美国和以色列 *** 为对抗伊朗的控制系统，在 2007 年末或 2008 年初投放了这一高级数字武器，破坏伊朗铀浓缩设施中的离心机。这一攻击于 2010 年被发现，当时就有专家表示，发生其他类似的破坏性攻击只是时间问题。

　　人们发现工业控制系统遍布弱点，但它们却管理着电网、水处理设施、化学设施乃至医院和金融 *** 等关键系统。对这些系统实施破坏性攻击所造成的后果，或许更甚于攻击钢铁厂所造成的损失。

　　目前还不清楚对德国钢铁厂的攻击发生在什么时候。德国联邦信息安全办公室公布的报告显示，攻击者们通过钢铁厂的业务 *** 获得了钢铁厂的访问权，然后成功地入侵了生产 *** ，进而访问系统控制的钢铁厂设备。这些攻击者是通过钓鱼攻击渗透进了钢铁厂的企业 *** ，一旦在系统中有了立足点，攻击者就能探索整个公司 *** ，并最终入侵众多系统，包括生产 *** 中的工业设施。

　　这份报告提到：“单个控制设施或整个系统中的失败不断累积。”最终，工厂“不能如常关闭一座高炉”，从而“对系统造成了巨大损失。”

　　这份报告还透露，攻击者们似乎对工业控制系统拥有非常深的了解。“攻击者们的技术非常高超，这不仅仅体现在常规 IT 安全方面，而且对实际工业控制和生产流程有非常深的了解。”

　　该报告并未透露受攻击钢铁厂的名字，也没有透露入侵首次发生的时间，以及在破坏发生前，攻击者们在系统中停留了多长时间。我们也不清楚是攻击者有意造成物理破坏，还是无意之举。不过，这一事件强调了专家们在发现震网病毒时的警告：尽管国家级数字武器在设计时尽量避免殃及池鱼，但不是所有对关键基础设施的入侵都像震网病毒一样小心。因此，即便攻击者们并未打算造成损害，也可能会造成损失。

　　这份报告还阐述道，需要严格区分业务和生产 *** ，以防止攻击者们从一个 *** 跳到另一个 *** 中，从而得以远程访问关键系统。尽管只有 *** 没有联网，以及其连接的其他系统也没有联网才算得上完全隔离，许多公司仍然认为软件防火墙就足以隔离业务和生产 *** ，阻止黑客们从一个 *** 跳到另一个 *** 中。但专家们警告称，软件防火墙或许会配置不当或存在安全漏洞，黑客们可以突破或绕过它。目前还不知道这家德国钢铁厂的 *** 是如何设置的。

　　无论你是工作在 *** 承建商还是顶级律师事务所，如今黑客们只要愿意都可以让你们公司的计算机感染上恶意软件。

　　这是由FireEye公司通过研究所得出的结论，FireEye是一家从事于计算机安全分析和咨询的公司，这个结论写在了他们周四所发表的一项新的研究报告中，报告中详细说明了大部分企业是如何比他们自己所认为的那样还要更容易的受到攻击。

　　Dave Merkel是FireEye公司的技术负责人，他表示他们对这项研究的结果一点都不感到惊讶，这项研究结果也遵循了5月份所公布的一项类似研究。如今的黑客们计算机技术都十分精湛，而且他们也愿意学习并使用最新的黑客攻击 *** ，就好像是现在消费者愿意购买最新的智能手机一样。

　　在这项研究中，FireEye利用他们的 *** 安全工具，监视了20个不同行业超过1200家企业遭受攻击的日志。他们发现恶意软件攻击的范围更加普遍，以及比大多数人所意识到的破坏性还要大。

　　FireEye的调查结果给整个 *** 安全行业都蒙上了一层阴影，调查结果足以说服企业提高其软件和计算机工具的安全性，使其免受可能会面临的黑客攻击。世界500强企业预计今年一共将会花费760亿美金在计算机和 *** 安全方面，而这一费用也从去年的710亿美金基础上有了大幅上涨。

　　但FireEye表示，所花出去的这笔钱可能就是一种浪费，而那些昂贵的保护工具或 *** 最多也只能产生一点点效果。

　　FireEye的研究监测表明零售业、农业、教育、医疗保健和交通运输业务都被黑客成功攻击过。从2014年1月至2014年6月，恶意软件也曾感染了91%的娱乐和媒体组织。

　　对于全世界数十亿网民们来说，2014年当真是不太平的一年。作为芸芸大众的一员，我们见证了索尼公司因为一部电影而遭到神秘朝鲜惨无人道的黑客攻击；此外一直以“安全难攻破”著称的苹果系统，也面临了iClous的名人私密照的泄露风波。这些事件也只能算是冰山一角，因为在过去的一年内。黑客的活动实在是太频繁猖獗！

　　在2014年12月17日——2015年1月1日，著名的Penn Schoen Berland调研公司（PSB）进行了一次大范围的抽样调查，试图总结出全世界不同国家的网民们对互联网技术态度。

　　参与调查的发达国家有：美国、法国、德国、日本和韩国。

　　发展中国家有：中国、巴西、印度、俄罗斯、土耳其、南非和印度尼西亚。

　　

　　数据显示，基本上各国的网民中，均是“ *** 技术反对者”多于“ *** 技术支持者”。但是，这次印度又成了个例。印度全国有35%的人支持互联网技术，比“反对者”们高出了3个百分点。

　　除此之外，人们对于 *** 隐私的关注程度较去年增长了5个百分点。

　　在接受科技媒体Business Insider的采访时，微软公司的首席战略官Mark Penn表示，“人们对于 *** 隐私的重视度上升本来是无可厚非的事情，但是在2014年增长的如此迅猛，却是我们始料未及的。”

　　更加关键的是，大多数网民们都反映了一个现象：在自己毫无察觉的情况下，个人私密信息就悄无声息的被收集了。

　　

　　于是在网民中便产生了强烈的舆论声音，如何将这种不合法的 *** 隐私泄露行为诉诸法律的手段？大多数人建议说，面对这种情况，网民们应该去需求当地 *** 的法律援助，而不是依靠一些“互联网管理条律”来解决问题。

　　“网民们需要知道自己被‘窥探’了什么？’Penn解释道，‘并且他们也希望当地 *** 能够出面管理这样混乱的现状。”

　　在一年前，知名黑客Jacob Appelbaum与德国《明镜周刊》曝光了美国国家安全局（NSA）一个叫“ANT（蚂蚁）”的项目小组，该小组主要负责收集各种黑客技术，让间谍通过计算机和 *** 硬件收集情报。其中有一种名为Cottonmouth-I的技术，其利用USB与嵌入式硬件，让USB插入变成远程窃听或者遥控器。

　　Cottonmouth-I这种技术实现了黑客们一直幻想的间接攻击法。除了USB还可以是键盘鼠标等任意的附件，这种方式让黑客/间谍在不需要联网的情况下，向攻击目标植入病毒。由于这种技术的复杂性，Cottonmouth-I的价格需要2万美元一个。

　　但是不久之后，你可以在你的地下室DIY一个，只要加上一个电焊步骤，而且花费少于20美元。在上个周末美国黑客年度大会ShmooCon上，无线技术安全研究员、“黑客硬件”电商Great Scott Gadgets的联合创始人Michael Os *** an向大家展示了他们团队的作品TURNIPSCHOOL，该设备具有4层PCB板、内置芯片的接口扩展 USB HUB、来自德州仪器的内置射频收发器单片机和一个3D打印的塑料模具。

　　该团队还有其他两名成员：Dominic Spill 、 Jared Boone。另外，该团队还希望TURNIPSCHOOL项目能够通过USB连接目的设备进行数据监控和植入病毒的功能。Os *** an表示，间谍们使用的那些工具没有想象中那么难，事实上，很多爱好者已经制造了很多比ANT小组更加“复杂”的工具。

　　NSA大部分的间谍工具都是依赖于现成或者开源的硬件比如开发套件BeagleBone Black（缩写BBB）。该团队成员之一Spill的USBProxy项目就是利用BBB开发的，该项目可以通过USB 2.0连接监控目标设备的流量以及复制一些功能。

　　该团队已经开始进入一个为其他黑客定制电路板的阶段。另外，该团队还有一个针对USB 3.0的项目叫Daisho，利用一个兼容性强的电路板与一个廉价的现场可编程门阵列FPGA处理USB 3.0监控任务。Daisho不仅受到硬件黑客的关注，还收到美国国防部先进研究项目局（Defense Advanced Research Projects Agency） *** 快速通道项目（Cyber Fast Track program）的资金支持。

　　这些项目或者其他基于开源硬件定制的项目都宣称自己的作品与NSA的“工具箱”相匹配甚至超越，很自然的，这些“玩意”对普通人来说还是很昂贵的。Os *** an 表示，TURNIPSCHOOL的诞生是很有挑战的，因为会很多爱好者发烧友可以制造出更加完美的Cottonmouth-1。

　　快到情人节了，有男女朋友的是不是很开心？嘿嘿，笔者绝对不会说，祝你们甜甜蜜蜜，不会在你们秀恩爱的照片下点赞的。所以，笔者要告诉你一些破坏情人节的事情：黑客通过入侵 *** 获取照片甚至视频。（真不能明白，为什么 *** 需要摄像头~~）

　　热衷于电影《格雷的50道阴影》和为下周情人节的激动兴奋的人们，如果你们听到安全研究团队发现 *** 会被黑客入侵后，你们的腰部以下的部位肯定会凉上一阵子。来自 *** 安全公司Pen Test Partners的专家们发布了一份 *** 报告，该报告显示，某些情趣床上用品（包括已经上市售卖的产品）很容易被黑客入侵，并容易被他们所操控。该专家团队也发出警告：当中还有一些产品带有摄像头，这很容易被访问入侵。

　　

　　Pen Test Partners决定测试来自Lovesense的一系列产品，该产品结合了摄像头等技术。该公司的Joe Bursell说：

　　很明显，远程 *** （cyberdildonics）将会是 *** 下一个浪潮，让你们在互联网上与人分享 *** 体验。而且，这波浪潮不缺乏产品制造商和基于此的社交媒体，在这些社交媒体上，你可以获得前所未有的体验和各种满足感。

　　该公司发现，这些 *** 的漏洞在于用户注册的过程中，这些漏洞很容易让黑客入侵。Bursell表示，如果一个黑客能够拦截该设备的通讯信息，就可以伪装成用户，那么这就变成一个十分‘ *** 的’事情。因为这是一件很搞笑而且很悲剧的事情。该公司的其他成员Ken Munro补充道：

　　在用户注册的过程中，没有明显的加密系统，这意味着，任何想要偷窥的人都可以获得登录信息。

　　

　　Pen Test Partners也担忧该公司主页Portal认证系统的安全问题，因为用户会为他们的 *** 在主页上面下载一些软件和特殊的程序。Munro表示，获取用户的账号和一些有趣的内容十分容易，特别是，当用户接入某个局域网中。

　　最担心的事情是，那些通过 *** 寻找爱情的人们。上个月，远程 *** 公司Synack进行一项研究，发现那些约炮，不，约会交友APP，包括Tinder和Grindr，很容易获取用户的具 *** 置信息。该公司还通过欺骗约会APP的服务器的请求，演示控制这些应用跟踪用户的行踪。如果用户的数据被发送到未加密的文件中或者没有经过加密，那么这些应用程序会把用户的位置数据发送到服务器。该公司的团队还通过演示了滥用这些应用的漏洞获取15000张来自旧金山海湾地区Grindr 用户的快照。

　　在 *** 安全问题如此令人担忧的情况下，你还要这些床上用品吗？还是好好锻炼身体吧，骚年。多出去外面活动活动，不要独撸~

　　作为最早推出车载人机交互系统的汽车厂商，宝马在CES期间展示了最新的iDrive人机交互指令输入系统，可以通过iDrive控制器、语音输入指令与车辆对话，还可通过触摸屏、手势识别系统控制车辆的各项功能。

　　但基于最近对宝马电脑系统当机的一些质疑，来自各业界的五位大佬对智能汽车的安全问题做出了评论。

　　

　　丹妮丝·海兰：前途是光明的

　　格林威治皇家自治市，领导人&议员

　　所有的试验，包括格林威治的GATEway测试，都是为了检验智能汽车是否能应用于日常生活，与此同时对其安全性进行判断。

　　考虑到日新月异的电子系统，智能驾驶 *** 是黑客最容易攻克的薄弱点，我们也需要在日后不断提升反黑客的意识和实践。而基于格林威治财团而言，其 *** 安全专家具有相当的实力，我们也相信他们能够处理好相关的事务。

　　休·博伊斯：道路是曲折的

　　英国工程技术学会， *** 安全专家

　　有的人会担心，万一软件系统被侵入，那该如何是好。实际上，如何保障软件的终身安全性的确是（智能驾驶）的更大挑战。即使我们编写了百万行代码来预测种种突发状况，但司机始终还是老大，毕竟他是控制汽车的那个人。而为了实现无人驾驶，我们所做的还远远不够。

　　目前，路上行驶的车辆已经可以实现移动宽频通讯的车载娱乐服务，但对于控制刹车和驾驶方面，汽车还是不太在行。所以，关于规避风险，减少黑客入侵的几率，依然道阻且长啊。

　　

　　安德鲁·马丁：利益在哪儿，黑客就在哪儿

　　牛津大学，系统安全教授

　　没有什么措施能一劳永逸地防范黑客。它类似于一个博弈，而结果取决于双方的投入大小。黑客除非有利可图，否则侵入车载系统有什么用呢？

　　而为了获得上路资格，相信智能汽车都会非常重视安全性能。这并不是意味着汽车不会被黑客入侵，而是说，汽车的故障保护会做得更加充足。我期待能看到专家委员会能更关注汽车的安全性，毕竟互联网会不可避免地将不法活动带进我们的生活中。

　　

　　乔纳森·布罗萨德：以石击卵的努力

　　白帽黑客，Toucan Systems总监

　　车载系统能通过G *** 、3G、4G手机实现远程控制，我们并不知道如何才能保证安全。要切断手机和汽车的联系实际上非常简单。软件只是一个小部分， *** 协议坑爹的地方在于，不管你写了什么软件，在它面前都将是无用之物。

　　当然，我也不会悲观到号称无药可救的地步。谷歌拥有最强大的安全团队，他们依然在为实现智能驾驶而努力。但我会说，这样的尝试就像以石击卵。从科技层面来说，利用互联网来驾驶汽车着实有难度。我对智能驾驶不太关注，因为我担心自己的担心会泛滥，这会让我死掉的。

　　杰夫·威廉姆斯：危险重重，希望大魔王别来！

　　Contrast Security公司，首席技术官&创始人

　　车载软件的安全性不容乐观。大部分汽车设备并没有系统化整合，宏观看来只是一堆松散的零件。目前许多系统只是通过物理连接，也只实现了信号的近距离传输，但我们迅速将汽车升级为一台有四个轮子的电脑。系统间将会实现无缝连接，无人驾驶汽车比起传统汽车而言，将会增加很多的软件，它们将直接控制汽车的车轮、刹车、灯光、喇叭。

　　因此，黑客只要想攻击智能汽车，只要选一点击破即可。我只是希望，做出这种事的始作俑者是一个负责任的安全研究者，而非什么努力招兵买马努力杀主角努力保护自己灵魂而且还长超丑的大魔王。

　　近日MDSec安全公司的人员发现了如何利用一款几百美元的设备越过iPhone锁屏。

　　对于未越狱的iPhone来说，猜错10次就会导致密码系统无法破解，因此造成所以破解难度十分大。但MDSec的人士利用iPhone在开关机的特性进行破解，这样恶意猜测密码就不会被iPhone记录，也因此不会启动防御。鉴于锁屏几乎是iPhone用户唯一的防御手段，预期这项破解将会给用户来带一定冲击。

　　

　　MDSec's系统利用开关机间的漏洞来进行破解，每当iPhone密码猜错时，在密码错误指令上报到系统前将其关闭，这样这条恶意猜测就不会被记录，通过如此循环反复，仅有4位密码组的iPhone锁屏，通过10000次猜测就可以破解。

　　听起来很简单，但是操作起来很复杂，因为快速关机需要通过物理 *** 打开iPhone后盖，并且将电池拔出，仅靠USB维持手机电源。而且每次开关机的时间预计为40s左右，因此，10000次猜测将会大约花上1周的时间，这足以让丢失iPhone的用户有时间去挂失它。

　　在数小时前，全球更大的游戏直播平台Twitch遭到黑客攻击。Twitch团队官方博客称，有黑客利用该平台的安全漏洞进行入侵，部分用户资料可能已经泄露。为了保护更多用户的信息安全，Twitch团队已经将全部账户进行了重置，把之前的密码作废，同时，断开了与Twitter和YouTube账户的关联。

　　因此现在，只要你登陆Twitch，就被提醒创建一个新的密码，并重新关联自己的社交账户。

　　据美联社报道，近日，美国税局(IRS)遭到了一起 *** 攻击，此次攻击造成10多万纳税人的敏感税收信息遭到泄露。

　　IRS表示，发起攻击的人通过"Get Transcript"API获得访问这些数据的通道，他们能够在侵入平台安全系统后得到纳税人的社保号、生日、纳税申报状态以及地址。

　　据了解，IRS从今年2月开始到本月中旬遭遇了 *** 攻击。现在，The Get Transcript服务网站暂时对外关闭，IRS表示他们现在正在联系在 *** 攻击受到影响的纳税人。

　　早前，有媒体发布消息称，国际黑客组织匿名者（Anonymous）联合计划于2015年5月30日发动对华 *** 攻击，行动代号“OpChina”。目前北京市相关部门已紧急开展应对黑客攻击的工作。

　　据悉，目前日本、菲律宾、越南的黑客已响应行动。由于事件的升级，黑客大战已于29日悄悄提前开始了，可以预料的是5月30日，“匿名者”组织针对国内 *** 环境的攻击，将会更加猛烈。

　　

　　截至昨晚已有多个 *** 、企业网站遭到涂鸦。据黑客留言显示，此次对中国 *** 机构的攻击或因不满近日日渐发酵的中方南海岛礁建设一事，黑页内容为：

　　“Greetings Chinese Government And The People Of China，We Are The United Hackers of The Philippines And Vietnam，We Are Here Standing As One，We’ve Come To Protest Against Your Unjust Actions over the South China Sea，Your Alleged Claim On Maritime Territories,And Your Oppressive Acts Has To Stop!

　　This Can No Longer Be Tolerated，Consider This As A Warning，We Will Be Back.

　　Government Of China，Expect Us!”

　　来自安全公司知道创宇的最新消息称，5月27日，知道创宇云安全防御平台加速乐就已经发现大量来自菲律宾、越南的傀儡僵尸IP，很多时候是同个C段的大规模攻击或是有组织行为；监控预警中心监控到了“匿名者”组织已开始实施对境内 *** 网站的大规模攻击、数十个境内网站遭到网页篡改。该组织此次行动依然沿用以往的“OpChina”作为行动代号，知道创宇当即将相关情况向有关部门反馈并发布预警。

　　截止到5月29日24点，知道创宇安全研究团队已经发现并确定约100个国内网站遭到“匿名者”组织攻击，网站被黑且内容被篡改。目前相关被攻击网站名单已向国家有关部门汇报。目前，知道创宇已组织公司近百名国内一线安全专家成立临时应急团队，对“匿名者”组织的最新动向进行跟踪。以下为部分被攻击网站：

　　

　　虽然“匿名者”计划在5月30日对国内网站进行的攻击提前到了5月29日，但是相比境外黑客嚣张的气焰，其影响范围及危害程度并没有很大。知道创宇监控预警中心负责人介绍道，根据知道创宇云安全监测大数据平台实时跟踪掌握的情况来看，国内 *** 、企业等大网站受到攻击的情况很少，反倒是一些二三线城市的 *** 网站、或者企业网站成为了黑客关注的目标，这类网站一般没有配备专业的安全维护团队，更容易成为黑客攻击的目标。

　　Saumil Shah把这种隐藏恶意程序命名为Stegosploit。那么这个程序的原理是什么呢？

　　Saumil Shah介绍说该BUG来源于是一种Steganography技术，这种技术可以把信息隐藏到图片中，Saumil Shah利用这种概念，把代码写进图片像素，然后通过HTML5的可递交脚本的动态Canvas元素还原。

　　这个恶意代码本质是图片的代码和Javascript脚本的混合，被称之为IMA *** 。黑客可以把代码写进JPG或者PNG格式的图片中，除非把图片放大仔细查看，否者一般情况下，肉眼很难发现图片有问题。

　　

　　黑客在图片中写了恶意程序，这个程序可以设计很多功能，比如下载和安装间谍软件等。然后把图片上传到网上，并把地址告诉你，当你在浏览器中查看这张图片的时候，恶意程序就会被触发，你的电脑就有可能被黑。

　　也就是说，如果黑客懂得利用了这个漏洞，那么在以后的日子里，图片文件对我们来说已经不可信任了。

　　不过这种代码也不是百分百能让你中招，他只能作用于一些安全性较弱的浏览器或网站，并且这种带有恶意程序的图片不会出现在社交网站上，因为像Facebook等大社交网站，在上传图片的时候网站都会对其进行检测，如有问题，则不能上传。

　　5月28日，在2015 HITBSecConf 大会上Saumil Shah为大家演示了如何在图片上写程序并攻击个人电脑的 *** ，目前看来这只是一个漏洞，应该很快就会被修复。

　　大公司一向是黑客们紧盯的目标，一旦有安全漏洞被发现，很快就可能被利用攻击。于是很多大公司通过悬赏的方式鼓励外部人员帮助查找漏洞，包括Facebook、微软和Mozilla等都曾采取过一些激励措施。本周二谷歌推出了针对查找安卓系统漏洞的“安卓安全奖励”计划，发现一次漏洞最少可获500美元奖励。

　　根据发现的错误或漏洞的安全级别，谷歌会支付对应的金额奖励。“中等级别”奖励500美元，“高级”奖励1000美元，“高危”则可获得2000美元。如果研究人员能够提供测试用例，谷歌会在原先奖金的基础上给予额外50%的奖励，如果能够提供补丁，奖金更会翻倍。

　　

　　谷歌发言人表示，最终奖金数额将会由专门的小组负责审定。对于不寻常和特别的漏洞报告，他们将会给予更高的奖励。

　　移动设备的恶意软件数量的增长对于安卓而言也是潜在威胁的增长。尽管谷歌宣布截止去年年末只有不到1%的安卓设备上安装有“具备潜在危害的应用”，不过，对于全球有超过10亿的安卓用户而言，这仍然不是一个小的数字。

　　不过，想要获得谷歌的奖金也并非易事，只有首个发现和报告缺陷的人可以获得奖励。如果此类漏洞在被告知谷歌以前便公之于众，也将无法获得奖励。此外，导致具体应用崩溃的缺陷或者需要采取复杂操作手段才能得以重现的错误也不在被奖励之列。另外，最重要的是，只有在通过美国谷歌商店销售的设备上发现漏洞才有效。也就是说，目前只有Nexus 6以及Nexus 9满足要求。对此，谷歌表示公司只能对Nexus设备上的问题进行核实。

　　多年以来，从谷歌软件及服务中找到漏洞的安全研究人员，都可以得到该公司的奖励。这一项目起到了不错的效果。据谷歌一月份披露的数据显示，该公司自2010年以来已经为此支付了400多万美元。Facebook同样在2011年开始成立“漏洞奖励”项目。2014年，这一项目一共报道了17011起漏洞，较之2013年上涨了13%。Facebook对于单个漏洞的更低奖励额为500美元，不设上限。2014年的更高奖励额度为3万美元。2014年Facebook一共奖励来自65个国家321位黑客共130万美元。

　　高考年年有，不变的是考生和家长对成绩的期待和焦急，但今年却又一批不速之客利用家长和考生的这一心情大做文章。雷锋网6月10日消息，一大批网页“木马”正披着“高考查分”的外衣大摇大摆地接近900多万考生和家长。

　　“高考查分”木马表面上看是一个网页文件，但里面却暗藏木马病毒。一旦有考生或家长打开该网页，木马就会伺机扩散，感染电脑上所有可执行文件。它会在被感染电脑中开启一道“后门”，黑客可以通过后门，对被感染电脑实现远程控制，以窃取用户电脑里的账号密码等敏感信息，甚至远控摄像头和键盘进行监听监视，造成更多不可控的危害。

　　并且，这一木马十分顽固，即使重装系统，也难以完全清楚，它随时有卷土重来的危险。

　　对于这类利用社会热点进行木马传播是黑客们的惯用手段，考生和家长在焦急等待成绩的同时也应保持警惕，不要轻信官方以外的任何途径给出的信息。

　　移动安全公司NowSecure的安全人员瑞安·韦尔顿（Ryan Welton）周二在伦敦举办的黑帽子安全峰会(Black Hat)上公布了存在于三星键盘的一个很严重的漏洞，黑客可以通过这个漏洞窥探用户信息以及控制手机。

　　韦尔顿发现三星手机上默认安装的SwiftKey键盘应用会扫描语言更新包，包括未经加密的文件，这就给了韦尔顿一个建立欺骗 *** 服务器并把恶意代码传入手机的机会。在手机中有了后门之后，他就可以通过很多手段扩大自己的权限并最终在用户毫不知情的情况下控制手机。

　　据悉，早在去年11月NowSecure便已联系了三星对其发出警告。当时三星在12月16日请求给予更多的时间。在12月31日，三星要求给予一年时间修复漏洞，但NowSecure觉得一年时间太长，容易被黑客发现。最后，两家公司在3月份达成协议在三个月后公布此漏洞。在这期间，三星为安卓4.2及以上系统更新了补丁。

　　上周，韦尔顿从美国无线运营商Verizon和Sprint购买了两部新的三星Galaxy S6，发现这两部手机仍然存在安全漏洞。一名NowSecure发言人表示，除了Galaxy S6，三星的主要产品线包括S3、S4、S5、Note3、Note4都可能存在同样的问题。该发言人同时指出，Google Play和Apple Store上的SwiftKey键盘应用并没有这类安全问题。但由于三星默认安装的SwiftKey为系统键盘不能卸载，即使使用其他键盘作为默认键盘，这个漏洞同样可以被利用。

　　NowSecure表示，截至目前并未发现三星针对此漏洞作出补丁更新。

　　黑客被普遍定义为男性，所以当《速度与 *** 7》中的女黑客拉姆齐一登场，罗曼·皮尔斯便一脸惊讶相，在他看来这并不是黑客该有的模样，「至少不是这样的」。而在现实生活中，黑客人群确实是男性占大多数，据报道显示，中国的黑客仅为不到5%由女性组成。

　　

　　比尔·盖茨近日说过，「不要学我，大学文凭很重要」，作为技术男出身的盖茨，早在小学时便已是一名黑客。而这位黑客在进入哈佛大学一年后，便退学创业去了。不过，结果证明，他的决定并非不明智。这也让他成为黑客心中膜拜的对象，成为了他们最想成为的人，而揭露了历史上更大信息安全丑闻的正义英雄斯诺登，支持率只有盖茨的一半。

　　

　　想要成为一名黑客，天赋很重要，很多黑客都是通过自学成才，而在GeekPwn的报告中，这一比例达到了51%，只有24%的黑客是经过专业系统的学习。这与大环境有关，虽然黑客被普遍认为是一群技术人员，但到目前黑客依然是一个比较敏感的人群，大多游走在 *** 的背后。

　　

　　现在，你该对这群人有了一些基本的了解了，其实，黑客并非那么遥远，而是每天与我们在地铁擦肩，也会活跃在朋友圈当中的那群人。另外，我不会告诉你，黑客中最多的星座是，处女座。

　　6月16日下午消息，据《华尔街日报》 *** 版报道，卡巴斯基实验员的研究人员称，侵入主办伊朗核谈判酒店的疑似以色列 *** 间谍似乎也闯入了富士康的计算机。

　　卡巴斯基近日公布了一份关于新的数字间谍软件的报告，报告称以色列间谍暗中窥探在三家欧洲酒店举办的伊朗核计划外交谈判，他们所采用的间谍软件的内核跟著名的黑客工具Duqu几乎一模一样。卡巴斯基方面称，这个名为“Duqu2.0”的恶意软件被伪装成认证软件进入了富士康。

　　Duqu最早出现在2011年9月，是继Stuxnet蠕虫后最为恶性的一种可窃取信息的蠕虫，大多数Duqu出现在工控系统中。但与Stuxnet不同的是，Stuxnet的主要目的是造成工业破坏，而Duqu木马则被用来收集与其攻击目标有关的各种情报。美国情报部门将Duqu看作是以色列间谍工具。

　　新一代Duqu2.0攻击时，所使用的软件，是Windows Installer的数据包MSI (Microsoft installer)文件，通过 *** 而进行传播。这种 *** 攻击不会在磁盘上留下任何文件，也不会更改系统设置，所以检测Duqu2.0极为困难。上周，卡巴斯基同样遭受了利用多达三种"零日漏洞"的最新Duqu2.0的攻击。

　　据悉，黑客先是从富士康盗走了数字证书，从而成功植入Duqu2.0。因为被计算机信任，这类证书通常是进入用户计算机的免费通行证，黑客则经常盗取这些证书以保证他们能绕过计算机的防御系统。

　　卡巴斯基称目前没有发现使用相同富士康证书的其他黑客工具。以色列方面则拒绝对此作出回应。

　　卡巴斯基实验室是俄罗斯安全专家尤金·卡巴斯基（Eugene Kaspersky）于1997年创建的。最初，这家实验室致力于向大公司提供杀毒软件。但是从2000年以来，它开始扩大产品和服务范围，包括消费与移动安全产品。卡巴斯基实验室的研究员以曝光世界上许多最著名的黑客组织及其恶意软件闻名，包括2012年发现的高级 *** 间谍程序“火焰”、计算机间谍团伙Equation group等。卡巴斯基实验室总部位于莫斯科，在全球有30多家办公室。

　　6月15日下午消息，一份美军收购未修补的商业软件漏洞的文档在Twitter上曝光。有消息称，美军有意对其他同样使用这些商用软件的国家和机构发起 *** 攻击。

　　美国个人隐私保护权利组织“电子阵线基金会”的工作人员大卫·马斯（DaveMaass）发现了这份有关收购软件漏洞的文档，并将其在社交 *** Twitter上曝光。随后，美国海军相关部门很快撤下了这份收购漏洞的文档。

　　今年四月份，美国五角大楼公布了新版的 *** 安全战略概要，并公开表示，“ *** 战”将是美国未来处理军事冲突的战术选项之一，美军将会提高在互联网空间的威慑能力和主动进攻能力。

　　早在2007年，美国军方便组建了由黑客组成的 *** 战司令部“780军事情报旅”。近年来，各国之间的 *** 战愈演愈烈，其中白宫同样屡次遭到各国黑客的攻击。就在本月初，美国 *** 雇员大量资料被窃，中国黑客被美国 *** 直指为幕后黑手。此次事件影响巨大，加上此前美国一直宣扬中国黑客 *** ，并多次将美国黑客攻击事件与中国联系在一起，不排除此次美军收购商业软件漏洞的主要目的是对中国发起 *** 攻击。

　　中美之间的 *** 攻击最早可以追溯到1999年5月，即美国轰炸中国驻南联盟大使馆事件发生以后，当时中国的黑客瞄准了美国的一些 *** 网站，包括能源部、内政部在内，这些网站的首页上一度高高飘扬着五星红旗。有一次大规模的攻击，还致使白宫的网站失灵三天。随后，美国黑客也进行了回击。另外，在2001年中美撞机事件发生后，中美黑客也爆发了互相攻击的行动。但是这些行动都是民间的个人行为，没有任何 *** 背景。

　　这次美军都出动了，看来是玩真的。

　　月初美国在一日之内发生的三次 *** 安全事故，包括纽交所大厅因技术故障暂停交易4个多小时等，当时联邦调查局表示FBI已经向纽交所提供了援助，调查是否存在违法行为。这听起来很吓人，然而，据日前国外媒体披露，美国股市此前尚存在一起已进行了数年之久的黑客攻击活动。

　　据国外媒体报道，美国与以色列当局日前在以色列和佛罗里达州逮捕了四人。据称，这四人可能参与了对摩根大通以及其他金融机构的黑客攻击，并进行了极为复杂的证券欺诈。另外，此事涉及的犯罪组织结构复杂，触手延伸至莫斯科、特拉维夫以及美国东海岸。

　　其中，以色列警方今晨逮捕了证券欺诈案中美国起诉其涉及股票操纵，案值可能高达数百万美元的两人（第三人仍然在逃）。而在佛罗里达州的另一起案件中，美国警方又逮捕了另外两个涉嫌利用比特币开展未经许可的转账业务的人。

　　媒体称，虽然这些均为独立案件，但部分涉案人员有一定关联。证券欺诈案中的一个主要嫌疑人与佛罗里达比特币案中的一人有商业合作关系。而这两人的友谊可回溯至十多年前，他们共同就读于佛罗里达州立大学的时候。

　　目前，被逮捕的两名以色列人和美国人约书亚·塞缪尔·亚伦（Joshua Samuel Aaron）被控进行欺诈，而美国新泽西州和佛罗里达州的另外两名合谋者未被起诉。检方称未被起诉的两人负责挑选上市公司作为操纵目标。有时他们也会催促私营企业上市，从而将其作为目标。

　　而亚伦的朋友、居住在佛罗里达州的安东尼·莫吉欧（Anthony Murgio）被控在2013年从事非法比特币交易业务，向数万客户出售了至少价值180万美元的比特币，其中部分款项是黑客攻击金融机构的酬金。

　　值得注意的是，这些涉案人员的足迹尚未止于此。一份此前未有报道的美国联邦调查局备忘指出，这两人还涉嫌参与当年摩根大通遭黑客攻击一事，并且还涉及富达投资以及E*Trade金融公司事件。其中，摩根大通被黑是历史上美国银行遭受攻击最严重的一次。

　　据悉，摩根大通被盗数据包括数千万个邮件地址与客户姓名，嫌疑人可能利用了这些数据来推荐股票。美国证券交易委员会同时提交的另一诉状显示，在这桩股票欺诈案中，诈骗者向受害者发送荐股电子邮件，推促其购买“热门”股票，同时在暗地里出售自己持有的股票。诉状称诈骗者从中非法获益至少280万美元。

　　事件从何时开始？美国法院周二公开的起诉书显示，在2011年和2012年，至少有5只股票 *** 纵——也就是说，在华尔街公司遭黑客攻击一事披露之前，这起股票欺诈活动就已经进行了数年。

　　据了解，莫吉欧与亚伦经常前往俄罗斯。知情人士透露，这两人与俄罗斯 *** 犯罪成员有联系。最初摩根大通高管曾表示，公司被黑客攻击一事背后的始作俑者是俄罗斯 *** 。

　　在摩根大通被黑之前，塔吉特公司的支付信息于2013年年末被窃，之后在去年，索尼公司又遭到朝鲜黑客攻击。这样看来，摩根大通数据泄漏一案无疑成为了互联网攻击历史上里程碑式的事件。

　　各种颜色的射线交错，简直是目不暇接。从统计数据上看，中国是更大的攻击源，这从地图上也可以很明显地看到，原来第二名是美国，在半小时后变成了土耳其，西班牙尾随其后。而美国则成为了更大的被攻击源，后面紧跟着的是一个西非海上名为“Mil/Gov”的神秘地点，它在网上的资料非常有限，你只能了解到，这是一个美国人建造的庞大的海底数据中心。

　　

　　消息，去年全球超过60多个国家 *** 部门和情报机构被曝通过各种手段暗中使用同一款检测软件，记录和盗取手机数据信息——这一工具正是来自这家意大利的黑客团队Hacking Team代号为“达芬奇”的软件系统。这一次暴露也揭示了这组黑客工具模块背后的真正意图。

　　卡巴斯基和Citizen 实验室通过新的搜索 *** 揭露了该检测行为，发现该监测工具能用在Android、iOS、Windows Mobile和黑莓手机上，也能监测个人电脑和笔记本电脑。但是在Android和iOS上的模块能让人完全掌控被锁定手机的数据信息。隐私邮件、短信、通话记录以及通讯簿等数据将会处于监测范围之内。它还能控制手机摄像功能，拍下周围环境的照片，从而锁定用户的地理位置。Android模块会通过无线 *** 而不是移动 *** 传输数据，因为后者会引起数据流量变化。

　　为达到欺骗用户下载恶意程序的目的，黑客往往会采用吸引眼球的文字描述来诱使用户点击下载连接。黑客团队一直辩称，他们的工具只是为了 *** 的合法介入，不会将间谍技术卖给任何反对派组织以及被北大西洋公约组织列入黑名单的国家。但根据国外媒体报道，间谍工具曾被用来监控公民记者组织Mamfakinch。

　　而前文提到的RCS系统，HT突出的宣传是他们的RCS软件“难以被追踪”，并且可以远程安装。据悉，当远程控制系统（RCS）被用于感染电脑或是移动设备，从而进行秘密监控，此时RSC便是一种恶意软件，甚至可以被定义为“犯罪工具”。该公司表示，他们的木马程序一旦被安装在受害者的计算机里，就可以拦截包含电子邮件和Skype语音通话在内的加密通信。此外RSC还可以在用户不知情的情况下打开摄像头和麦克风，从而对用户进行现场般的窥视。

　　Citizen lab，一家非营利性的研究型实验室，其研究人员曾经通过 *** 服务器间谍 *** 在21个国家地区发现了由HT开发的远程工具的使用痕迹，包括埃塞俄比亚，苏丹，阿塞拜疆和沙特 *** 等。尽管HT公司在2013年就否认他们有过如此行径，当然令人讽刺的是HT称这一远程控制系统是“无法追查的”。

　　Citizen实验室在关于恶意软件的报导中指出，这种特殊的入侵工具，曾经只被情报机构和军方所掌握，如今，已经遍布全球市场了。这种入侵和难以被监测到的监控技术变得越来越普及，使制造政治威胁的成本越来越低。

　　卡巴斯基在40多个国家跟踪了超过350个监控服务器，发现美国本土有64个监控服务器，数量最多；哈萨克斯坦次之，有49个；英国有32个。据本周日晚攻击者泄露的内部文件显示，HT客户存在于以下一些地点：

　　2013年2月，Twitter发现自家公司的 *** 遭受黑客攻击。而且这次攻击一点都不像是新手干的，这一切很可能是有组织有计划的。就在几周后，Facebook，苹果，微软等公司也相继遭到攻击。在这四起攻击都是因为公司员工浏览iOS开发者网站时，暴露在了一个Java 0day漏洞中。

　　最近，安全公司又公布了许多同一黑客作案的案例。这一黑客组织有两个名字，Morpho和Wild Neutron，他们从2011年开始活跃，已经几乎把各个领域知名的公司都黑了个遍，如科技，制药，投资和健保类，他们的触角甚至还伸向了参与企业并购的法律公司。这一底层监控恶意软件的开发者，已经将其代码弄得很成熟，而且他的管理控制器也运行的丝般润滑。这些黑客貌似有间谍性质，他们用公司的内部信息来牟利。

　　赛门铁克的研究员在一项报告中表示，“Morpho是一个训练有素，攻击效率颇高的黑客组织，2012年3月起就开始活跃起来。”他们手眼通天，至少运用了一到两项0day来发动攻击。动机可能还是为了经济收入，而且从他们三年的运营来看，可能收获颇丰。”

　　卡巴斯基实验室的研究员也对此事发出了自家的独立报告。2011年起这一组织就开始发动攻击，而且除了Java上的漏洞，他们最近还开始利用华硕公司的数字认证证书漏洞，来获取系统的登入密码。他们最近还被发现，在利用的未知Flash播放器漏洞，这意味着他们又有了新的0day漏洞。

　　“通过这些攻击的特点，我们可以看出他们不属于国家支持的黑客”，卡巴斯基研究室研究员表示。“但这么纯熟地运用漏洞，和多平台恶意软件，让我们觉得这一组织的动机是巨额酬金。”

　　

　　两周前，路透社爆出美国证券监管机构正在调查一组涉嫌攻击公司账户，获得交易数据的黑客。卡巴斯基和赛门铁克随后发布了安全报告。监管机构的调查员已经详细询问了至少八家公司，以确认他们的数据是否遭到过攻击，甚至黑客如何套取密码也是调查的一部分。

　　依据赛门铁克的报告，至少49家公司都受到了这一组织恶意监控软件的感染。还记得曾经在2013年感染Twitter和其他公司的OS X恶意软件Pintsized吗？它会制造一个后门，让受感染的电脑与管控服务器秘密进行联系。这样一来，公司的电邮，文件和其他的机密信息都唾手可得。自那之后，黑客们又在Windows平台上故技重施。

　　在不止一个案例中，黑客都利用恶意软件大肆进攻物理安全信息管理系统，这是为整个物理安全系统提供聚集，管理和监控服务的软件。

　　赛门铁克的研究员表示，“物理安全系统包括视频监控，门禁系统，空调系统和其他的大楼安保设施。”攻破了这一系统后，黑客就可以通过公司的视频监控监视并追踪每位雇员的活动了。

　　最近的这些攻击到底是怎么有效控制受感染的电脑的，这一点并不清楚。然而开头提到的2012年那场攻击，却是通过iPhone开发者论坛iphonedevsdk.com上的一个陷阱来进行的，不过之后的研究并没有类似的手段。黑客还很小心地不重复利用登陆管控系统域名时用的电邮，并用比特币为主机服务商缴费。他们甚至使用经过加密的虚拟计算机，构建多重管控 *** 来对抗调查。

　　但是，这些精心编写的代码还是证明了这一神秘小组的存在，一个人可完不成这样的工作。

　　“与其他黑客组织相比，Wild Neutron是我们见过的最神出鬼没的。”卡巴斯基实验室的研究员说。

　　近日，一名17岁的少年黑客朱利尔斯基维梅基(Julius Kivimaki)在芬兰被判有罪，将面临高达5.07万项计算机犯罪指控。17岁，花一样的年龄，本该在校园的操场肆意飞扬,为理想大学拼搏，为何会误入歧途呢？

　　原来，基维梅基的网名叫“Zeekill”，是臭名昭著的“ *** 恐怖组织”蜥蜴小队(Lizard Squad)的一员。在2014年圣诞节，之前有过相关报道。">这个组织致使Xbox与PS游戏机在线游戏平台瘫痪，雷锋网之前有过相关报道。

　　据法庭的起诉材料显示，他曾与同伙入侵哈佛大学和麻省理工大学的服务器查看内部邮件，并使这些网站一度无法访问。他还通过一系列 *** 犯罪行为盗取了数万人的个人财务信息，利用盗取的银行信息进行了20笔 *** 支付。此外，他在将近2000台服务器上安装了恶意软件，以远程操控这些服务器，还让许多个人电脑攻击其他服务器。

　　法庭考虑到“Zeekill”进行黑客活动时只有15岁，还不足以意识到自己行为的严重性，最终决定免去这名少年黑客的牢狱之灾。他只需要缴纳6588欧元(约合人民币4.52万元)的罚金，并上交自己的个人电脑即可。

　　对此，欧洲刑警组织顾问伍德沃德(Alan Woodward)向英国广播公司表达了自己的忧虑。他认为，这种宽大处理会鼓励更多的黑客团伙去寻找未成年人入伙，以躲过牢狱之灾。

　　6月4号，美国联邦人事管理局对外宣布，该单位的资料库遭到黑客袭击，约有400万联邦雇员的个人信息被盗。而当地时间7月9日，美国联邦人事管理局(OPM)公布，除了此前曝光的400万名工作人员外，现在又曝出大约有2150万名现联邦工作人员和前工作人员的个人、家人及好友信息沦陷。

　　这一数字占到了美国人口的7%，简而言之，这次活动就是一次活脱脱的大灾难。

　　受影响者包括1970万涉及背景调查的 *** 雇员，以及180万上述 *** 雇员的家庭成员。人事管理局还指出，黑客有可能盗取了几乎所有在2000年后所进行背景调查的数据，遭盗窃的信息中还包括了背景调查员在调查过程中录制的谈话内容，另外还有约110万名人员的指纹。

　　报道指出，美国执法和情报人员目前最担心的是，一种名叫SF-86s表格信息的泄露。这个表格包括了美国 *** 雇员，包括军人和合同工的多项信息。这些信息一旦被泄露，黑客可以利用这些信息骗过联邦官员，盗取更多人的信息，甚至包括不为 *** 工作的其他美国人。

　　据报道，事件背后主使是中国黑客，而原因很可能是系统设计失误，OPM的中国承包商有权接触任何数据库的任何信息。

　　上个月，美国联邦 *** 职工联盟曾发声，称 *** 在该次 *** 攻击中误导了公众，并表示 *** 连社保号这样的重要信息都没有采取加密措施，可见黑客完全能够偷走所有联邦职工的重要信息。

　　Hacking Team是什么？

　　Hacking Team是一家专注于开发 *** 监听软件的公司，他们开发的软件可以监听几乎所有的桌面计算机和智能手机，包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等，Hacking Team不仅提供监听程序，还提供能够协助偷偷安装监听程序的未公开漏洞（0day），真是 *** 服务。

　　Hacking Team的客户不乏各国的执法机构，甚至包括了联合国武器禁运清单上的国家，不愧为新时代的IT军火供应商。搞笑的事情发生了，在我们的印象 中，军火商都应该是荷枪实弹、戒备森严的，可是Hacking Team的老板一觉醒来，却发现自己的军火仓库和帐房被偷了个底朝天。

　　那么，Hacking Team被盗了什么？简单来说，就是军火库、帐房和衣橱都被洗劫了：

　　1、各种平台的木马程序（含源代码）

　　2、协助各种木马植入的未公开漏洞（0day）

　　3、大量电子邮件，包括各种商业合同

　　4、Hacking Team内部部分员工的个人资料和密码

　　5、其他资料，包括项目资料和一些监听的录音

　　Hacking Team为什么会被黑？

　　其实Hacking Team并非之一家被黑的" *** 军火"公司，去年总部在英国的另外一家监控软件公司Gamma国际也被黑，他们的FinFisher遭遇了同样方式的黑客入侵，泄漏了40GB的内部文件。" *** 军火"业务一方面游走在法律的边缘，虽然能满足一部分执法部门的需求，但也非常容易被滥用，从而容易引发其他国家和一些组织的敌视。有消息显示，目前HT被部分 *** 部门用于监听记者信息系统。此外，作为一家以 *** 监听为主营业务的公司，在自身的信息安全防护上如此大意，也是本次事件的重要起因。

　　首先，Hacking Team的系统管理员疏忽大意导致个人电脑被入侵。

　　正常情况下，系统管理员用来进行维护的电脑应该和办公电脑隔离，并且不要轻易接入互联网，但是Hacking Team的系统管理员显然是在同一台机器上既进行公司的IT系统管理，还访问互联网，甚至用来管理个人的视频和照片，这就给了攻击者渗透入侵的机会。

　　其次，系统缺少严格的身份认证授权使得攻击者顺藤摸瓜进入内网。

　　安全防护级别较高的 *** ，并不会简单地对某个设备进行信任，而是采用“双因素认证”来双重检查访问者的身份，而Hacking Team显然并没有这么做，这使得攻击者在控制了管理员的个人电脑后，无需经过再次认证（比如动态令牌）， 就可以访问Hacking Team的所有资源。

　　因为没有严格的 *** 审计或者异常流量监测，所以400GB数据被拖都未能及时发现。从攻击者入侵内网，到攻击者将所有的资料全部偷走，需要一个较长的时间 ，在这个时间内，任何异常行为或者异常流量的报警都可以提醒Hacking Team的员工，自己公司的 *** 正在被入侵。而实际上，却是直到攻击者公布了所有资料，Hacking Team才知道自己被黑。

　　不使用数据加密技术导致所有敏感数据都是明文存放。

　　为了防止数据泄密，有较高安全级别的组织一般都会采用数据加密技术，对敏感程度较高的数据进行防护，这些数据一旦脱离了公司内网，就无法打开，但是本次泄漏的数据均为明文，说明Hacking Team几乎没有采用数据加密手段去保护合同、客户信、设计文档、攻击工具等。

　　上述的所有疏忽导致了今天的结局，中国有句俗话：终日打雁，反被雁啄了眼。这句话用来形容Hacking Team再适当不过了。

　　三伏天热气腾腾，小编的内心几乎是崩溃的，我想静静==于是小编依旧选出本周的3篇好文与大家分享，欢迎拍砖吐槽：

　　1、如果你也用Chrome，你会发现这样一条警告 （点击标题看文章）

　　【推荐导读】使用Chrome访问国内的很多网站的时候，你可能会注意到一个类似警告的对话框。关于HTTPS，访问私密性等。Chrome的标准是什么呢？让混迹于Opera十年的CTO告诉你，如何鉴别警察？因为警官证也有可能是假的。

　　

　　2、在锤子1年，我是这样开始理解产品的 （点击标题看文章）

　　【推荐导读】一个产品经理如何入门？道理看似很简单，而对产品经理来说，里面的很多细节却足以引起共鸣。在任何时候，即便你毫无头绪，你能做的也不只是刷刷朋友圈而已。

　　

　　3、关于Hacking Team 被黑，这些事儿你可能还不知道 （点击标题看文章）

　　【推荐导读】近日，被称为“全球最臭名昭著的意大利黑客公司”Hacking Team 曝出被黑，有400G文件流出。Hacking Team并非之一家被黑的" *** 军火"公司，历史上也曾发生过。" *** 军火"业务一方面游走在法律的边缘，而戒备森严的Hacking Team，自己的军火仓库和帐房为何会被偷了个底朝天？这些事儿，你可能还不知道。

　　

　　雷锋网消息，据国外媒体报道，7月15日，美国新罕布什尔州地 *** 院日前做出判决，判处越南籍25岁男子吴孝明（Hieu Minh Ngo）13年监禁。这名男子曾侵入美国企业电脑系统，窃取到2亿美国人的个人数据，并将它们出售给其他 *** 罪犯。目前吴孝明经已承认犯有欺诈、接入设备欺诈以及远程诈骗等罪行。

　　美国国税局称， *** 罪犯利用从吴孝明网站上购买的个人数据，围绕大约13673名美国人进行个人所得税申报欺诈活动，涉案金额超过6500万美元。

　　美国司法部发言人在新闻发布会上称：“吴孝明已经承认，他曾窃取2亿美国公民的个人身份信息。来自全球1300多位客户通过其网站上提供的第三方数据库进行过300多万次‘查询’。”

　　买卖偷窃身份信息，是黑客进行较多的低风险、高回报的生意。美国司法部新上任的刑事部门主管莱斯利·考德威尔(Leslie Caldwell)称：“抓捕和起诉向吴孝明这样的 *** 罪犯是改变成本效益分析方式之一。”

　　你可能想不到，平常给爱车加油的加油泵也会被黑。如果不法分子可以引起加油站的油箱溢出，或者防止泄露报警器发出警报，它可能带来灾难性的后果，尤其是当他们一次性袭击某个地区的多个加油站。

　　为了了解这种威胁的真实性，来自于 TrendMicro 公司的 Kyle Wilhoit 和 Stephen Hilt 决定设立一个 GasPot——这是一个由虚拟加油泵监控系统所组成的“诱捕系统”，目的在于引诱黑客上钩，看他们会怎么对待这个虚拟的加油站。

　　这项研究工作的灵感来自于 Rapid7，其在今年早些时候找到了5800个不安全的自动化加油站。这些系统没有受到密码保护的加油站主要属于私有加油站、货车站和便利店，并不属于那些知名的石油跨国企业。

　　加油站的监控系统具有不同的功能，系统可以控制设置储罐液位和溢出的限制、监控剩余的燃油液位和衡量油罐的温度，有的系统还可以检测泄漏。

　　远程攻击者可以采取几种不同的方式利用这些系统控件。

　　首先，他们可以通过伪造的燃油水平，使得油罐实际上还存有很多油，但看起来油站已经没有油的方式让油站提前歇业；

　　或者他们可以将加油站上的“无铅”标签改成“优质”或“柴油”标签，引起油站的混乱；

　　他们也可以修改储罐液位和溢出的限制，从而导致危险。

　　2009年在波多黎各，就发生过一起油箱爆炸起火并燃烧了三天，事故原因就是因为电脑监控系统失效，油箱达到了容量上限后没能感应到。

　　他们在美国、英国、德国、约旦、巴西、俄罗斯和阿联酋都设置了这种虚拟的加油站系统，并观看了在过去大约五个月的时间里系统的活动情况（从今年2月到6月），其中美国的加油站吸引了更多黑客的关注。

　　在大多数情况下，攻击者只是简单地使用了自动扫描仪进行定位和探测系统。但也有少数大胆的攻击者更进一步，其中至少有九次入侵者将 GasPot 油罐的名称改成了“H4CK3D by IDC-TEAM”和“AHAAD WAS HERE”之类的东西。IDC-TEAM 可能指的是伊朗的黑客组织 Iranian Dark Coders Team，他们以入侵网站并用“H4CK3D by IDC-TEAM”标记它们自己而闻名。

　　还记得前几天媒体铺天盖地宣传的黑客攻陷克莱斯勒汽车的案例么？具体新闻：两名黑客的入侵演示 致使克莱斯勒召回140万辆汽车。

　　其中黑客在远程控制了记者驾驶汽车的雨刷、音响、中控大屏、刹车甚至是低速情况下的远程驾驶权限，给车开到沟里去鸟……随着BlackHat大会的首日召开，这次汽车攻击细节也公布于众，其中有令人眼前一亮的漏洞与分析，我们一起来看。

　　

　　这个议题名为”REMOTE EXPLOITATION OF AN UNALTERED PASSENGER VEHICLE“。其中，Charlie Miller是twitter的安全研究员（就是上图比较清凉的这位GG），是工业安全界非常有名的人物。

　　

　　汽车经络图，这个汽车大保健呢，应该按这里，这里，还有这里。哦对，这个部位的激烈震动有益汽车的身心健康。

　　回到正题，这次议题中讲了两种可以远程攻击到汽车的 *** ：

　　1、首先是通过Wi-Fi入侵车载系统Uconnect。

　　Charlie Miller先逆向了汽车Uconnect系统WPA2密码的生成方式，发现WPA2的密码是根据设定密码的时间作为种子生成的随机密码，并且首次生成以后并不会改变。所以说当知道了生成密码的时间，就可以暴力破解出密码。

　　简单来说就是知道你是哪一天设置的密码，那黑客就可以在1小时内暴力猜出你的Wi-Fi密码。

　　

　　进入汽车Uconnect系统的Wi-Fi内网后，Charlie发现汽车打开了6667端口运行D-BUS服务。D-BUS是以root模式运行，其中有一个服务（NavTrailService）存在任意命令注入漏洞，然后就这样获取到了Uconnect系统的root控制权（就是这套系统更高控制权，相当于你媳妇在家里的地位）。

　　因为更多业内大牛的加入，专栏本好文增加了很多，小编从中选出了精彩的5篇文章分享给大家。要是你也是技术大牛，或者对某一技术有深入研究，不妨也加入专栏科普的队伍，让科学技术变得有趣生动，给雷锋网(公众号：雷锋网)的读者们带来更多科普好文（可直接留言，小编会与你联系）。以下是本周好文，欢迎拍砖吐槽：

　　1、把你家汽车开到沟里，黑客是如何办到的？ （点击标题看文章）

　　【编者推荐】一旦掌握了汽车漏洞，如果知道你是哪一天设置的密码，黑客就可以在1小时内暴力猜出你的Wi-Fi密码。不仅如此，黑客可以让你手里的iPhone手机刷自带1024客户端的iOS10系统。最后，把你家汽车把车开到沟里，神秘的黑客究竟是如何办到的呢？

　　

　　2、前Facebook工程师解读：Google 为什么成立新公司 Alphabet？（点击标题看文章）

　　【编者推荐】Alphabet是Google成立的一个母公司。Alphabet 字母表是英语（或者拉丁语系）的基础，所以这里Google的之一层意思是想说，我们以后就是你们使用互联网的基础好了。而还有一层意思，是bet，相对于墨守陈规的老Google，Alphabet 则是代表一种创新，一种更好的回报。

　　

　　3、大疆虽火，救灾还得靠固定翼无人机 （点击标题看文章）

　　【编者推荐】“天津大爆炸”已经人尽皆知，这是一个让人悲伤的事情。而灾难面前，无人机究竟可以提供什么样的帮助？为什么说多旋翼对于专业的救灾根本帮不上什么忙，救灾时候真正依靠的，是固定翼无人机？

　　

　　4、创业是一种特质，不是人人都有（点击标题看文章）

　　

　　5、中芯国际为何率先量产28nm的骁龙410？（点击标题看文章）

　　【编者推荐】高通已经答应将骁龙410放在中芯国际用28nm工艺生产，而中芯国际也率先实现对28nm的量产。为什么是28nm？全球前五大半导体代工厂，现在都怎么样了？高通为何选择中芯国际？这些问题都可以从文章中找到答案。

　　“就是你，听好了，明天下午我要去你家撬锁拿东西！”听到这句话，你会怎么想？

　　就在HackPwn极客狂欢节前，黑客们放出消息：将要在这次聚会上现场破解比亚迪智能汽车。这不是 *** 裸的羞辱吗？这不是挑衅和威胁吗？是可忍，孰不可忍？比亚迪团队临危不惧，经过慎重讨论，决定。暂时关闭服务器龟缩一下。

　　

　　我让你看的是车啊喂

　　HackPwn就在如此“不战而屈人之兵”的氛围中开幕了。在聚会现场，一辆打开前后机盖随时受攻的比亚迪准备就绪，却因为“服务器升级”而无法联网。然而，这台亚迪妹妹前几天被黑客远程启动的娇羞样子已经被录了下来，艳照在此，人赃俱获。

　　

　　录像展示 远程控制BYD全过程

　　没错，HackPwn就是各路黑客展示攻击能力的狂欢盛会。顺便说一下，Pwn的意思就是“砰”，被攻破的一瞬间的拟声词。这次聚会，被“砰”的不仅仅是比亚迪一家，从手环、手机，到豆浆机、电视机、洗衣机，几乎涵盖了所有的智能家居领域。可谓是初生的智能家电产品在黑客面前全面的溃败。就让我们来看看都有哪些公司被当众“羞辱”了吧。

　　用小米手环虐狗

　　什么，七夕晚上没出门，只有右手有规律的上下运动？哈哈哈，单身狗，你的手环已经把你出卖了！

　　这就是补天漏洞平台负责人林伟展示的“小米手环虐狗新招”。

　　

　　林伟在现场展示手环动作捕捉 图中小圆点为手环实时位置

　　通常小米手环和手机配对，需要进行一个触摸手环的动作，但是在林伟手中，小米手环绕过了这一验证过程。所以任何一个在他附近的小米手环，都可以被蓝牙捕捉，进而黑客可以得到小米手环内部记录的所有信息。包括你的步数、睡眠信息，甚至是精确的手部运动轨迹。

　　根据现场的演示，连佩戴者手的微小抖动都可以被记录在案，只要和基本的行为模型进行对比，你做过什么，正在做什么就都一览无遗了。

　　林伟甚至拿出了未开封的小米手环，可以控制其在盒子里拼命震动，真担心有一天他能开发出让方圆一公里内会震动的物体同时震起来的技术。

　　另外，由于小米手环可以解锁手机、支付认证，理论上利用这个漏洞可以做的不仅仅是偷窥你的个人活动这么简单哦。

　　

　　把大写字母换成小写 轻松绕过控制

　　分分钟玩坏你的洗衣机

　　TCL是把家门“砌死”的另一家企业。根据黑客介绍，由于得到了将要被现场破解的消息，在HackPwn前一天，TCL就已经关闭了云服务器，在黑客童鞋以消费者身份苦苦哀求了一晚上以后，终于恢复服务，但是在今天又关闭了，又关闭了。

　　TCL的洗衣机在云端可以相互识别。但正常来说，一台洗衣机是无法给另一台洗衣机下命令的。不过，黑客团队发现了一招制敌妙计，那就是：把命令中禁止发送的字符换成小写字母，换成小写字母，换成小写字母。（重要的事情说三遍）

　　

　　接收指令之后 玩命空转的TCL洗衣机

　　没错，绕过系统控制就是这么简单。通过此种 *** 可以通过模仿云端的控制器“京东微联”向任何一台洗衣机下达指令，指令可以精确到温度和转速。

　　所以，当你回家发现洗衣机已经以90度的设定温度，以1200转每分钟的转速转了一天的时候，请不要太惊讶哦，你的洗衣机只不过是“认贼作父”了呢。

　　汪峰为什么造耳机，Google为什么发布路由器，偷情网站泄露30G，HackPwn上哪家被点名？雷军说，中国手游轻松月三四十亿。

　　继今年早些时候，科技圈内传出汪峰要做耳机之后，本周此事又有了更明确的进展。港媒报道，在邓紫棋24岁的生日上，汪峰送上了自家品牌的耳机。

　　

　　另一方面，这个名为FiiL的产品创业项目，目前已完成1000万美元天使融资，汪峰以几百万美元的投资和影响力作价，占FiiL耳机四成左右股份，彭锦洲在内的创业团队共占四成股份，外部投资者则是吴世春领投。

　　汪峰做耳机是怎么想的，以及他背后的投资人是如何看待他做耳机这个项目？

　　来看雷锋网的报道@吴世春谈汪峰： 在我眼里他不是个明星 而是个XXX

　　Google做的这款路由十分夸张，13根内置天线，售价大约200美金。有一半的人说它是大势，另一半说Google来玩票。

　　

　　不管怎样，你可能需要了解OnHub的6个基本信息。

　　它很有可能是物联网的Android哦。

　　Ashley Madison泄露30G偷情数据，你怎么办？

　　

　　Ashley Madison又被人黑了！

　　本周A站及其母站Avid Life Media，分两次被人先后曝光了9.7GB和20GB的用户数据，这里面可有你吗？

　　关于A站的数据曝光，黑客小组Impact Team表示对此事负责。A站是如何作死，请看@这里

　　这是黑客惹不得的另一个例子。周五HackPwn上，安全领域的白帽子黑客们大约公布了20来项设备和系统的漏洞和攻击演示，当然还有更多未公布的。

　　

　　这些设备和厂商包括：萤石智能门盯、海尔SmartCare家居套件、小米手环、特斯拉、比亚迪电动汽车、长帝烤箱、TCL洗衣机乃至Android手机和iOS 8.4.1。

　　大概就差挖掘机了。

　　这天的硬件厂商们可相当不好过，据说比亚迪和TCL当天都为此事关闭云服务器，避避风头。

　　更多详情，可见@手环虐狗？豆浆机杀人？HackPwn告诉你智能硬件的新玩法

　　全球大受欢迎的策略游戏Clash of Kings，昨天正式回到原产地中国区上线，小米互娱获得了其安卓平 *** 家渠道 *** 。

　　人工智能，电脑黑客，当你猛一听这两个名词，似乎觉得他们之间的对抗肯定会像重量级拳王争霸赛一样精彩，但不好意思，让你失望了，如果二者真的对抗起来，现实可能更像是校园里的小屁孩儿打闹。

　　阿兰·图灵是人们公认的“计算机科学之父”和“人工智能之父”，他在上世纪五十年代曾连续发表过两篇论文，一篇题为《计算机器与智能》，另一篇则是《机器能思考吗？》，这两篇论文在人工智能领域有着极大的影响力。随着如今神经 *** 技术的发展，阿兰·图灵在其论文中提出的很多问题都已经有了答案，不过科学家们并没有停止对人工智能的思考，我们知道，机器已经可以思考了，但现在人工智能圈子里热议的话题已经变成了“机器能比人类思考的更好吗？”，或许反问一下这个问题能更容易找到答案：

　　“人类能比机器思考的更好吗？”

　　当然！

　　黑客并不关心人工智能或是人工反智能的发展，他们的方式其实就是超越机器。黑客们很清楚一点，虽然计算机比人类更聪明，解答问题速度更快，但这并不意味人类就无法打赢翻身仗！

　　“目前，还没有任何一个人工智能可以模拟最最基本的黑客技能，”Eric S. Raymond说道，他是个编程高手，同时也是一名开源软件的倡导者，“未来人工智能是否可以模拟黑客？现在还不得而知。现在，我们无法预测未来十年、二十年、或是五十年人工智能会具备哪些能力，就像没人会直截了当的告诉你，他/她能骗到你一样。”

　　如果你在白帽黑客社区问到人工智能黑客技能的问题，那么上面这段话可能就是答案，当然啦，这个答案或许比较刺耳。不过，在二进制的世界里可没有垃圾话，坦白说，人工智能可能真的连最基本的黑客程序都搞不定。

　　如果要理解为什么会这样，首先，你必须要明白一名“优秀的黑客”是如何炼成的。

　　Jon Erickson在美国北加州工作，是一名密码破译专家和安全专家。他认为，如果想要成为一名成功的黑客必须要拥有五个基本技能，分别是：编程能力、汇编语言能力、调试程序或排除程序故障的能力、反向工程能力、以及研究能力。

　　编程：编程说白了就是写代码，以便制定可执行的计算机程序。

　　汇编语言：汇编语言是一种用于电子计算机、微处理器、微控制器或其他可编程器件的低级语言，亦称为符号语言。在不同的设备中，汇编语言对应着不同的机器语言指令集，通过汇编过程转换成人类无法翻译的机器指令。这些指令集能让黑客访问CPU架构，但更多的是让黑客了解计算机正在做什么，而不是去命令计算机做什么。

　　调试程序或排除程序故障：调试调试或排除故障其实是一个清理程序的过程。“了解如何使用低级别调试器，能让黑客探索，检查程序执行时会发生哪些的问题，”Erickson说道，“使用调试器是更好的方式之一，因为它可以看到程序在执行时时如何实际交互的。”

　　反向工程：“基本上，反向工程可以搞清楚某个程序究竟做了什么，你只需看下机器指令，或是看下程序反复发送什么数据，”Erickson继续说道，“有时，只要看看路由器固件镜像或是封闭原始码软件，就足以让黑客找到后门或是代码中的漏洞，然后轻松逃掉。为什么会这么简单？因为你根本无需查看机器指令了。”

　　研究：“在黑客世界里，你需要不断钻研，不断探索，这样才能让自己始终处在领先地位，”Erickson解释说，“但是这不意味着一些老技术就不值得学习。举个例子，基于对战的溢出漏洞已经存在大约有半个多世纪了，但即便是现在，仍然在被很多黑客使用。”

　　好了，现在就要问人工智能一个问题了，那就是人工智能可以具备上述这些特质吗？坦白说，还真的可以，不过是绝大多数可以。在如今的人工智能程序中，已经实现了编程功能，更掌握了编程语言。而相对于人类，机器处理反向工程其实更轻松，还有调试程序或排除故障，机器做的也比人类要好。

　　但是在研究这件事儿上，人工智能还真的不擅长。人工智能可能会掌握一套信息类别，甚至有些人工智能还具备了内置自我创造力去尝试各种不同的图示 *** ，或是改变各种可能导致机器“慌乱”的条件，但人类具备自我调整的能力，可以不利用过程而获得结果，机器还真的做不到这一点，机器只能适应条件反射，因为它们没有主动性。好了，为什么有些系统可以成功阻止人工智能机器黑客，但却拿真正的人类黑客毫无办法？现在你该明白了吧，上面这些就是答案。

　　已经炒了一个多月，不少用户因此担惊受怕。在当前一夫一妻为主流的现代社会中，婚外情被视为不道德、不检点的行为。这也导致在用户使用该网站的信息被曝光之后，不可避免会爆发大面积鸡犬不宁的撕逼大战。但是事情总有例外，对于Octavia（化名）来说，这并不是什么家庭战争的确凿证据。

　　在数据泄漏后，Octavia勇敢接受了采访。她是一名40岁的悉尼居民，拥有一个幸福的四口之家。

　　

　　自2012年开始，Octavia定期使用AshleyMadison及其它约炮会网站。

　　和所谓的“偷情”不同的是，Octavia的丈夫Jack知道这一切，并且也很支持她。所以网站数据泄露后，她感到非常沮丧。

　　“人们对我怀有敌意，也无法接受非主流的关系，这让我很困扰。世界上有很多不同的关系，人们加入各种网站也会出于各种各样的理由。”

　　Octavi表示，之一次接触婚外情网站其实只是为了满足和陌生人调情勾搭的感觉。“Jack清楚这一点，也经常一起讨论我这样做的底线，后来我们发现我的底线远比他界定的高。”

　　丈夫对她的行为表示支持，而Octavia说，如果丈夫要求她停止，她就会照办。

　　“Jack知道我的情感历程，这为我们的交流做出了巨大贡献。我们非常享受这一过程，也迷恋上了这种少女怀春的感觉。我们没有伤害任何人，也不曾有过感情危机。如果非要说有什么影响，那就是它让我觉得自己很有魅力，这也促进了我们的性生活和谐。”

　　调情成就达成之后，Octavia希望能够和陌生人约会（pao）。于是在2012年年末她有了之一次约的经历。

　　“那时一切都很新鲜。我不确定约会之后会发生什么。Jack把我送到了酒店，我和约会对象一起吃了晚餐，喝了小酒，一切都很美好，于是我决定试试婚外 *** 是种什么体验。我也不确定自己是否会再次这样做，但就算对方没有那么吸引我，我也打算试试。”

　　而最重要的是，Octavia认为这并不是不忠的表现。

　　“我是有了婚外情，不过我没有欺骗对方，所以这不算背叛。”

　　她表示，“我的丈夫知道一切，数据的泄露对我们的婚姻没有影响。如果身边的人问我们，我们也会如实相告。我们所做的并不会对其它人的私生活产生影响。”

　　国外婚外情网站AshleyMadison被黑一事已经过了一月有余，仍然热度不减。在大家纷纷为偷情网站泄露出来那些信息和花边消息而兴奋不已的时候，究竟谁黑了AshleyMadison仍然不得而知。

　　此前消息称，这次的攻击是由一个名为The Impact Team的黑客团队进行的，而关于他们下此“黑手”的原因，有媒体报道说是因为黑客团队中的一位黑客因使用该网站 *** 而被妻子发现，为了发泄愤恨所以才有此举动。

　　然后之后的剧情就像连续剧一样，幕后黑手的最终身份又有了新的说法。知名杀毒软件公司McAfee的创始人John McAfee在媒体上发表长篇声明，称黑掉偷情网站的幕后黑客是来自这家公司的“内鬼”——该网站母公司Avid Life Media的一名女员工。对此事饶有兴致的John McAfee花了一个多星期分析了该网站被黑客所泄露的数据，从而确认了这一黑客是来自被黑网站的母公司内部，并且敏锐如他从黑客的用词中判别出这应该是位女性黑客。

　　John McAfee表示，黑客组织根本不存在，所有针对这一网站的攻击是由一人所为。他认为黑客对偷情网站Ashley Madison的技术十分了解，根据他对现今已曝光数据的分析，很多都是内部员工才能接触到的资料。

　　这么说来，之前的“由于黑客自己偷情而被妻子发现从而黑掉这一网站以泄愤很”只不过是这名女性黑客故意放出来的烟雾弹咯？越说越像连续剧了……不过，笔者还是忍不住想了解，这位女员工背后究竟什么动机呢？是蓄谋已久还是临时起意？难道也是AshleyMadison 网站的受害者？

　　有人认为，未来如果全世界所有的车辆都升级为自动驾驶，将大大减少交通事故造成的意外，但在这一理想变成现实之前，信息安全应当成为这一自动驾驶的研发者们首要考虑的问题之一。

　　国外软件安全公司Security Innovation的首席科学家乔纳森·佩蒂特在其最新的一篇论文中表示，通过一个成本不到60美元的装置，黑客就可以破解无人驾驶汽车上用于探测障碍物的激光雷达系统，导致汽车行驶速度放慢，甚至是寸步难行。

　　乔纳森在其将于11月在欧洲黑客大会上发表的一篇文论中，描述一种基于低功率激光和脉冲发生器的简单装置，利用这一设备就可以轻松破解无人驾驶汽车的激光雷达系统。

　　无人驾驶汽车使用的多种短距离雷达都采用了需要授权的频谱，而激光雷达系统则使用了激光脉冲，去绘制汽车周围环境的3D图像。而这种激光脉冲非常容易伪造，乔纳森论文中所描述的这一装置就可以轻松做到。

　　在乔纳森所进行的研究中，他首先录制了IBEO Lux激光雷达设备发出的脉冲，然后通过利用这种脉冲模拟出并不存在的障碍物，同时对追踪系统发动分布式拒绝服务攻击，导致其无法识别真正的障碍物，从而使无人驾驶汽车误以为遇到障碍物而减速或干脆停下来。由于激光雷达系统所发出的脉冲并未经过编码或加密，因此可以很简单地实现重播。乔纳森表示，唯一麻烦之处在于同步，即在正确的时间将信号反馈给雷达。只要能做到这一点，黑客就能欺骗雷达周围存在障碍物。

　　乔纳森表示，他的研究并不是为了说明IBEO的产品很糟糕，只是为了提醒无人驾驶汽车的开发者们尽早考虑到信息安全的问题。他认为解决这些问题并非毫无办法，只不过是需要一个更为强大的系统，这样的系统可以利用其它数据对错误行为进行检测，从而过滤到虚假数据。但迄今为止，还没有任何无人驾驶的研发者对这一问题采取了行动。

　　通过黔西南州：上升旗形K线结构的选股秘密（图解）锦州港股票,江苏国泰股票，具体的流程又是什么？

　　

　　在钻研运用轮回理论，在周期性的商场波动中确定更精确的入境点和出场点。在钻研中，发现有一个价钱形态总能给出商场的精确反转点。这即打破成规的发现。

　　上升旗形一般出现在持续上涨行情中。股价上涨一段时间后小幅 回调整理。投资者将股价回调时的高点和低点分别连接起来，可以得 到两条平行线。上升旗形形态如图所示。

　　

　　上升旗形形态说明股价上涨后遇到较强阻力。不过此时市场上的 多方力量依然强势。股价经过小幅回调整理后，将会在多方的拉升下 继续上涨。当股价突破旗形的上边线时，投资者可以积极买入股票。

　　股价突破旗形上边线后，可能出现小幅回抽，但回抽不跌破旗形 上边线就会继续上涨。这次回抽是对之前突破形态的确认。当回抽获 得支撑时，投资者可以积极加仓买入股票。

　　

　　如图所示，2014年7月底至8月，厦门港务(000905)见 顶回调过程中，形成了旗形形态。这个形态说明股价上涨遇到阻力， 但多方力量依然强势。当股价向上突破旗形的上边线时，就是买入股 票的信号。

　　随后该股股价小幅回抽，但没有跌破旗形的上边线就再次向上。 这次回抽是对之前下跌形态的确认，也是另一个买入股票的信号。

　　导读：本文是通过期货行情鑫东财配资：周末这些重要消息或将影响股市（附新股日历+机构策略）的股市资讯，希望能帮助你们了解最新股市行情！

　　

　　宏观﹒要闻

　　 *** ：完善重大疫情防控体制机制 健全国家公共卫生应急管理体系

　　 *** 中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任 *** 2月14日下午主持召开中央全面深化改革委员会第十二次会议并发表重要讲话。他强调，确保人民群众生命安全和身体健康，是我们党治国理政的一项重大任务。既要立足当前，科学精准打赢疫情防控阻击战，更要放眼长远，总结经验、吸取教训，针对这次疫情暴露出来的短板和不足，抓紧补短板、堵漏洞、强弱项，该坚持的坚持，该完善的完善，该建立的建立，该落实的落实，完善重大疫情防控体制机制，健全国家公共卫生应急管理体系。

　　国家卫健委：2月15日新增新冠肺炎确诊病例2009例 累计确诊68500例

　　截至2月15日24时，据31个省（自治区、直辖市）和新疆生产建设兵团报告，现有确诊病例57416例（其中重症病例11272例），累计治愈出院病例9419例，累计死亡病例1665例，累计报告确诊病例68500例（江西省核减1例），现有疑似病例8228例。累计追踪到密切接触者529418人，尚在医学观察的密切接触者158764人。

　　点评：据国家卫健委数据统计，2月15日0-24时，全国除湖北以外地区新增确诊病例166例，连续第12日呈下降态势。过去这一数据分别为：890例（3日）、731例（4日）、707例（5日）、696例（6日）、558例（7日）、509例（8日）、444例（9日）、381例（10日）、377例（11日）、312例（12日）、267例（13日）、221例（14日）。

　　湖北进一步强化新冠肺炎疫情防控：实行24小时最严格封闭管理

　　湖北省发布关于进一步强化新冠肺炎疫情防控的通告。其中指出，城乡所有村组、社区、小区、居民点实行24小时最严格的封闭式管理。除抗疫车辆、公务用车、公共交通、医护人员用车、运输生活必需品车辆和救护、消防、抢险、环卫、警车等特种车辆外，其他车辆一律禁止通行。所有非必需的公共场所一律关闭，一切群众聚集性活动一律停止。

　　2月17日零时起至疫情防控工作结束全国收费公路免收通行费

　　2月15日，记者从交通运输部获悉，经国务院同意，2月17日零时起至疫情防控工作结束，全国收费公路免收车辆通行费。具体截止时间另行通知。

　　点评：据Wind数据，A股市场高速公路上市公司共有21家，目前合计总市值超过2400亿元。2019年前三季度，上述21家公司合计实现营收608.96亿元，合计实现归母净利润216.69亿元，分别较上一年同期增长6.67%和9.37%。从部分已对2019全年业绩作出预测的高速公路公司情况来看，多数预计2019年全年净利润较2018年出现增长，其中山西路桥、五洲交通、中原高速、楚天高速预计2019年全年净利润同比增速均超过50%，总体上看，A股高速公路预计2019年全年业绩较好。不过，新冠肺炎疫情爆发后，A股高速公路上市公司股价在春节后普遍下跌，平均跌幅达到6.41%，明显跑输同期大盘。

　　您好！很高兴可以为您解答问题！

　　楼主,盗取 *** 密码通常有3种 *** :

　　1.木马截取 [通过木马病毒截取 *** 密码,然后发送的盗号者的邮箱等]

　　2.暴力破解 [通过专业软件暴力破解 *** 密码,黑客专用的,哈哈,一般人没这本事]

　　3.恶意申诉 [只要掌握了 *** 一定的背景资料就可以申诉了,很多人用这种 *** 搞别人 *** 号]

　　当然,以上 *** 并不是所有人都行的通的,一般人做不到,也只有通过以下 *** 了:

　　1.问对方啊,想方设法套 [只限好友,不然 *** 也不会告诉你密码啊]

　　2.偷窥啊,虽然不光彩 [在对方输入 *** 号密码是偷看下,记住就OK了]

　　3.申诉吧 [只要掌握一定资料,再用上智慧的头脑就一定没有问题]

　　不过,还是建议不要恶意盗别人 *** ,这是违法的,即使不谈违法那也是道德问题!~