黑客是如何入侵和控制物联网设备的?

《连线》杂志报道称,安全研究人员曝光了物联网领域的诸多漏洞,从无线芭比娃娃两吨重的吉普车大切诺基。安全公司企业家Chris Rouland表示,如今这些展示还比不上真实世界恶意的黑客。不过,曾运营着颇受争议的政府窃听承包商公司Endgame的Rouland已经转移至其新的创业公司Bastille,该公司关注物联网安全,关注存在被黑客入侵的风险的数位物件。Rouland表示这些风险正在上升,“智能芭比都是这条杀伤链的一部分。”

以下就是2015年一些物联网安全受到攻击的事例:

联网汽车

联网汽车

今年7月,安全研究人员Charlie Miller和Chris Valasek永远地改变了汽车行业“车辆安全”的概念,他们展示了黑客能够远程攻击一辆2014款Jeep Cherokee,禁用其变速器和刹车。这一发现导致菲亚特克莱斯勒前所未有地召回140万车辆。

接着今年8月的黑客防御会议上,网络安全公司CloudFlare主要研究员、Lookout联合创始人兼首席技术官Kevin Mahaffey公布了一套他们从特斯拉Model s上发现的安全漏洞。据了解,他们通过笔记本能够黑进Model S仪表盘背后的网络系统,然后驱动这辆价值10万美元的汽车扬长而去——或者远程植入一个木马病毒,在汽车行驶过程中关掉引擎。在其他汽车上他们也发现了可远程进行物理访问的漏洞,即使没有进行测试。如今特斯拉已经发布了这些漏洞的补丁。

同样是在黑客防御会议上,安全研究员Samy Kamkarshowed开发了一款叫OwnStar的书本大小的设备,它能够远程向一辆通用汽车植入拦截通讯的软件,这样黑客不仅能够对汽车进行定位、随意打开车门和解锁,还能启动引擎,偷车轻而易举。而且,Kamkar很快发现,类似的技巧在宝马和奔驰的应用程序上同样生效。几天后,加州大学研究员也展示了能够利用一种小型电子狗供进汽车的仪表盘来控制汽车的速度和加速度。

所有这些引人注目的黑客都是为了传递一种信号,“如果消费者没有意识到这是一个问题,他们应当向汽车制造商声讨。这可是最有可能杀人的软件漏洞。”这句话,不仅是要告诉汽车企业,也包括消费者和监管部门。

医疗设备

医疗设备

汽车并不是物联网安全中会致命的设备。关键的医疗器材和设备也存在软件和结构漏洞,让恶意黑客有机劫持和控制它们,造成致命后果。心脏病学家Dick Cheney,就一直担心攻击者可能会通过前副总统的起搏器来进行致命的攻击——黑客可以利用其办公室的WiFi禁用其设备。美国阿拉巴马大学的学生日前的实验证明了这个担忧的严重性。“我们可以随意提高心脏速率,或者是降低速率。”这个研究小组最后还把用作实验的机器人从理论上杀死了。

这些学生的实验虽然是基于对过去案例的研究,但确实地展示了未来存在着危机手段。

药物输液泵——往病人体内输送吗啡、化疗、抗生素和其他药物的设备,今年同样受到关注。网络安全研究员Billy Rios在一次紧急手术后对这些东西产生了好奇心,然后发现了惊人的秘密——这些装置存在着严重的漏洞,能让黑客远程控制药物剂量

如今,负责医疗设备安全审批的联邦药品管理局已经注意到所有这些设备和已被发现的问题,且已经开始采取措施进行补救。但是,医疗设备的许多问题并不能依靠一个固定、简单的软件补丁来解决——相反,它们需要重新架构系统。然而,所有这一切都需要时间。

其他的各种事物

其它的各种事物

当美泰儿公司给其产品Hello Barbie添加WiFi连接时,是为了给这个玩偶增加人工智能,能够进行对话,但是,该公司在Hello Barbie的智能手机应用上留下了欺骗和拦截所有音频记录的连接。三星的“智能冰箱”旨在让用户通过WiFi同步谷歌日历,但因为没有验证SSL证书,导致用户的Gmail凭证被盗窃。即便是婴儿监视器也存在着令人毛骨悚然的安全隐患:黑客攻击甚至比其他设备更容易

甚至连枪支都难免于黑客攻击的风险。黑客夫妻 Runa Sandvik和Michael Auger今年7月演示了一个案例,他们可以控制无线TrackingPoint狙击步枪。改变步枪的变量系统、禁用步枪、错过目标,甚至让它击中其他的目标。

对于任何一类现已给定的消费产品,都会有至少一家公司迫不及待地要给它们加入WiFi接入功能。但事实上,能够保护接入WiFi后的技术,才是更重要的优先级研究项目。最重要的安全措施没有准备好,如何为消费者提供保障?

氛围良好、气质出众的技术交流群,有这么几个特点:

1、单身狗多,技术大牛多。

2、积极开放,富有分享意识、学术精神。

3、群里有妹子和红包出现的时候,气氛格外热烈。

关于妹子的故事,我之前写好一篇,站长老王不让发,貌似是自己扣下研究了……所以今天小眼儿和大家交流一下红包心得——技术群如何优雅地抢红包!新技能 get √!

微信群里有两种红包:

  1. 默默发出的红包
  2. 默默抢走的红包

大多数人见到红包,会有两种想法:

  1. 为什么我总是在默默发红包
  2. 为什么我总是抢不到红包

知己知彼,百战百胜!我们先探讨发红包技术,再讨论抢红包技能。

为啥要发红包?

❖ 在技术群,发红包有助于技术交流。有的小伙伴遇到运维问题,在群里虚心请教,得到大家的热情帮忙,问题成功解决,发个小红包,表示感谢。这是其一。

例如下面这位同学,请教测试的问题,红包表达谢意。

❖ 还有小伙伴,有了新的产品或技术服务上线,想要tuíguăng给大家,东西只要新颖有趣,与技术相关,这时候再配一个不大不小的红包,群主一般也不干预。对新产品或技术服务的分享,这是其二。 

下面讲,红包如何发,才算发得好?

注意,干货来了!

❖ 首先,红包留言一定要有,且简短清晰。千万不要留着默认的“恭喜发财,大吉大利”这八个字,就把红包扔出去了,围观小伙伴不知道你目的何在,不确定你发给谁,也不清楚你有没有节操。

 

❖  其次,尽量确保第一个发。群里没人说话的时候,发个红包,哪怕几块钱的小红包,也能迅速点燃荷尔蒙。无论求教解决问题,还是分享新产品或技术,都能得到较高的关注度。相反如果跟在别人后面,凑热闹发红包,不但显不出诚意,还容易被人浑水摸鱼,只抢红包不解决问题。

❖ 第三,发红包的时间段,也有讲究。技术群里,基本都是夜猫子……因此早了不能发。太晚了也不行。小眼儿我个人经验,最好是晚上七八点钟左右,这时候,程序猿们刚刚享受完外卖,正打着饱嗝举着手机,考虑是不是上亚马逊换个茶轴。嘿,你发个红包,大家饭后抢一抢,答一答、转一转,其乐融融。

下面这个截图是个反例,隔壁老王大早上8点发个红包,根本没人起。

 

最后,重点谈谈抢红包!

如何不落下微信群里的每一个红包?

首先,前面我说过,每个微信群都有大家逐渐形成的发红包时间段,在这个时间段,你要尽量避免使用PC 端或 web 端微信。因为 PC 端和 web 端的微信只有提示,无法点击。

当你看到提示以后,再慌忙找出手机,解锁,打开微信,点开群,找到红包,这时,红包怕是早已与你无缘了。

 

我的建议是:

对于技术人来说,一定常在电脑旁工作,因此可以把手机一直插着充电线,把手机设置成常亮,关闭自动休眠功能,并保持手机在微信主界面。 

1亿就要到手了呢……

等等,一个关键问题,作为苦逼IT哪有可能24小时盯着手机,稍微一疏忽,黑客入侵服务器崩溃世界和平灰飞烟灭。

那画面太美,但是我又如此渴望和每一位小伙伴交流hóngbāo

我要出大招了!!!此时就需要请出阿里云云盾安全系列产品啦!

 

集阿里云在安全攻防上之大成,上至防DDoS,下至安全托管。
不管你是战斗在IT的哪一条战壕,都有适合你的。

 

“服务器安全托管”、“DDOS 高防 IP”这些阿里云的爆款产品正在开展买一年送一年的优惠,“补丁管理”新品首发也在发放半价优惠券,点击“阅读原文”就可以直达订购啦。

 

有道是:

抢红包,求人不如求己;

云计算,安全请找阿里。

 

最后,小眼儿我强烈!强烈!强烈!不建议使用所谓的“抢红包神器”。有安全意识的同学都知道,无论安卓手机或是苹果手机,使用所谓神器,唯一的后果就是为了块八毛的红包,丢了你银行卡里的家底儿。听老炮儿的话,凡事咱都得有个规矩。

对了,虽然说这里有教唆大家花钱的嫌疑,目的好像是为了用省下来的时间,去抢更多的红包。但实际上,用这些安全产品的真正目的只有一个:在群里与小伙伴一起交流、学习最新技术呢。 

 

你是不是经常把 ls 输入成了 sl。我已经设置了一个别名,也就是 alias sl=ls。但是这样你也许就错过了这辆带汽笛的蒸汽小火车了。

sl 是一个搞笑软件或,也是一个 Unix 游戏。它会在你错误地把“ls”输入成“sl”(Steam Locomotive)后出现一辆蒸汽火车穿过你的屏幕。

安装 sl

在 Debian/Ubuntu 下输入下面的命令:

# apt-get install sl

它同样也在 Freebsd 和其他类Unix的操作系统上存在。

下面,让我们把 ls 输错成 sl:

$ sl

Fig.01: Run steam locomotive across the screen if you type "sl" instead of "ls"

图01: 如果你把 “ls” 输入成 “sl” ,蒸汽火车会穿过你的屏幕。

它同样支持下面的选项:

  • -a : 似乎发生了意外。你会为那些哭喊求助的人们感到难过。
  • -l : 显示小一点的火车
  • -F : 它居然飞走了
  • -e : 允许被 Ctrl+C 中断

via: http://www.cyberciti.biz/tips/displays-animations-when-accidentally-you-type-sl-instead-of-ls.html

作者:Vivek Gite 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

2015年,大数据市场的发展迅猛,放眼国际,总体市场规模持续增加,随着人工智能、物联网的发展,几乎所有人将目光瞄准了“数据”产生的价值。行业厂商 Cloudera、DataStax 以及 DataGravity 等大数据公司已经投入大量资金研发相关技术,Hadoop 供应商 Hortonworks 与数据分析公司 New Relic 甚至已经上市。而国内,国家也将大数据纳入国策。

数梦工场邀请专家和您聊聊 2015 年大数据行业九大关键词,管窥这一年行业内的发展。

 

战略:国家政策 

今年中国政府对于大数据发展不断发文并推进,这标志着大数据已被国家政府纳入创新战略层面,成为国家战略计划的核心任务之一:

  • 2015年9月,国务院发布《促进大数据发展行动纲要》,大力促进中国数据技术的发展,数据将被作为战略性资源加以重视;
  • 2015年10月26日,在国家“十三五”规划中具体提到实施国家大数据战略

战略:国家政策

 

挑战:BI(商业智能)

2015年对于商业智能(BI)分析市场来说,正由传统的商业智能分析快速进入到敏捷型商业智能时代。以 QlikView、Tableau和 SpotView 为代表的敏捷商业智能产品正在挑战传统的 IBM Cognos、SAP Business Objects 等以 IT 为中心的 BI 分析平台。敏捷商业智能产品也正在进一步细化功能以达到更敏捷、更方便、适用范围更广的目的。 

挑战:BI(商业智能)

 

崛起:深度学习/机器学习 

人工智能如今已变得异常火热,作为机器学习中最接近 AI(人工智能)的一个领域,深度学习在2015年不再高高在上,很多创新企业已经将其实用化:Facebook 开源深度学习工具“Torch”、PayPal 使用深度学习监测并对抗诈骗、亚马逊启动机器学习平台、苹果收购机器学习公司 Perceptio ……同时在国内,百度、阿里,科大讯飞也在迅速布局和发展深度学习领域的技术。

崛起:深度学习/机器学习

 

共存:Spark/Hadoop 

Spark 近几年来越来越受人关注,2015年6月15日,IBM 宣布投入超过3500名研究和开发人员在全球十余个实验室开展与 Spark 相关的项目。

与 Hadoop 相比,Spark 具有速度方面的优势,但是它本身没有一个分布式存储系统,因此越来越多的企业选择 Hadoop 做大数据平台,而 Spark 是运行于 Hadoop 顶层的内存处理方案。Hadoop 最大的用户(包括 eBay 和雅虎)都在 Hadoop 集群中运行着 Spark。Cloudera 和 Hortonworks 将 Spark 列为他们 Hadoop 发行的一部分。Spark 对于 Hadoop 来说不是挑战和取代相反,Hadoop 是 Spark 成长发展的基础。

共存:Spark/Hadoop

 

火爆:DBaaS

随着 Oracle 12c R2 的推出,甲骨文以全新的多租户架构开启了 DBaaS(数据库即服务Database-as-a-Service)新时代,新的数据库让企业可以在单一实体机器中部署多个数据库。在2015年,除了趋势火爆,12c 多租户也在运营商、电信等行业投入生产应用。 

据分析机构 Gartner 预测,2012年至2016年公有数据库云的年复合增长率将高达86%,而到2019年数据库云市场规模将达到140亿美元。与传统数据库相比,DBaaS 能提供低成本、高敏捷性和高可扩展性等云计算特有的优点。

火爆:DBaaS

 

诱人:数据科学家

随着行业的发展,人才显得尤为重要,各公司都期待数据科学专业人才能够挖掘数据信息,来帮助公司开源节流。美国招聘网站 Glassdoor 的报告称,数据科学家的平均年薪为118709美元(约合人民币737550元),而程序员的平均年薪为64537美元(约合人民币400974元)。 

数据科学家能够通过统计变成涉及、开发和调用算法而支持业务决策;管理海量数据;可视化数据以辅助理解。其需要具备三项基本技能:数学/统计、计算机能力、在特定业务领域的知识,被《哈佛商业评论》评委二十一世纪最吸引人的职业。

诱人:数据科学家

 

最快:Sort benchmark/阿里云

阿里云在 Sort Benchmark(全球科技公司“计算奥运会”之称)的2015年排序竞赛中用不到7分钟(377秒)就完成了100TB的数据排序,打破了 Apache Spark 的纪录23.4分钟。

最快:Sort benchmark/阿里云

 

开源:Pivotal

2015年2月,由 EMC 和 VMWare 成立的 Pivotal 宣布其大数据套件的三个核心组件开源:基于内存的分布式 NoSQL 数据库GemFire、基于 Hadoop 架构的大规模并行 SQL 分析处理引擎 HAWQ、大规模并行处理分析数据库 Greenplum。 

Pivotal 开放其大数据套件核心组件的源代码,最主要原因是 Cloud Foundry 开源战略成功驱动,部署大数据战场。

开源:Pivotal

 

多金:“数字锦衣卫” Palantir 

2015年7月起 Palantir 开始发起新一轮融资,达到8.8亿美元,截止目前已经共计融资23.2亿美元,公司估值200亿美元,排名世界第四,仅次于 Uber。

Palantir 是一家位于加州的大数据情报分析科技公司。该公司的技术是在海量信息之间建立联系、寻求有价值的线索,为情报机构提供结论:在摩根大通内部用于定位网络欺诈,在桥水联合基金,Palantir 被用来管理 1570亿美元的投资基金。该公司曾经帮助美国政府追踪基地组织头目奥萨马·本·拉登。由于其主要客户是政府机构,外界对它的内部状况了解不多。

多金:“数字锦衣卫” Palantir

朝花夕拾,美丽不褪。

本来每年都会推荐十本好书,但是今年过于忙碌,用来读书的时间尤为紧缺,翻了一会儿书柜,发现很难凑足十部新著,所以改为推荐文章。

保持阅读习惯仍然重要,悲观来说,互联网吸引大量注意力的确对专注阅读行为造成了冲击和替代,但是乐观的看,互联网拓宽了阅读的通道,让媒介更为广泛的连接到了人与信息,这亦值得庆幸。

因此,我倒是可以从Evernote里毫不费力的找出十篇文章,它们让我在今年印象深刻,以致于我非常想与你分享。

朝花夕拾,美丽不褪。

本来每年都会推荐十本好书,但是今年过于忙碌,用来读书的时间尤为紧缺,翻了一会儿书柜,发现很难凑足十部新著,所以改为推荐文章。

保持阅读习惯仍然重要,悲观来说,互联网吸引大量注意力的确对专注阅读行为造成了冲击和替代,但是乐观的看,互联网拓宽了阅读的通道,让媒介更为广泛的连接到了人与信息,这亦值得庆幸。

因此,我倒是可以从Evernote里毫不费力的找出十篇文章,它们让我在今年印象深刻,以致于我非常想与你分享。

希望我们一道以阅读为荣。

《邹市明,一个拳击英雄的隐秘命运》

很难想象,这是一篇出自“腾讯娱乐”的特稿,这些年来,腾讯是巨头里对媒体投入巨大的一个,与阿里的资本手腕不同,腾讯主要是对传统媒体人才的网罗。这篇文章强于生动的故事和深入的书写,前者记录了英雄,后者道出了悲剧,而当英雄和悲剧融为一体,我们就容易看清命运的挣扎。

《北京风起时》

这篇文章的作者,是前《人物》杂志记者鲸书,庞麦郎的惊惶就出自她的笔下。鲸书的写作风格特色鲜明:置身事外的平静,居高临下的视角,不带感情的叙述……这些也让她获得了与赞美等高的批评。这篇文章是鲸书入职真格基金之后的一篇PR稿件,有人称之为“投名状”,不过,与内容的品质相比,揣摩创作性质其实非常无趣。

《你还以为上个床能咋的,拉倒吧你》

碎片化的移动阅读重新鼓励了善于抓眼球的“标题党”的兴盛,这点还是需要批评。在恶俗的标题底下,其实是一则趣味横生的映射时代特征的短篇小说,主角蒋橙是很多大龄姑娘的投影,她们踩着高跟鞋穿梭在CBD的高楼广厦之间,却又必须在年关到来时面对自己位于小镇上的灵魂原型。

《Telegram传奇:俄罗斯富豪、黑客高手、极权和阴谋……》

前段时间才见过本文的作者霍炬,我和他的关系是典型的网友,就像十年前在BBS上拍砖发现与另一个ID特别意气相投,大有相见恨晚之意,于是小心翼翼的尝试线下约饭。霍炬现居墙外,知识储备、写作功底和价值观都令我非常敬佩,这篇文章所谈的,是一个脱胎于管制型国家的天才黑客是如何创造一桩互联网奇迹的——这里的难度设定,与阳光明媚的加州可是截然不同的。

《许知远,及三个匿名人士》

这篇文章很难让人相信出自36氪,这个以资讯速读著称的科技媒体偶尔也会允许记者写出一些并不符合其目标受众预期的采写报道,对外界来讲反而是种惊喜。此文可读性很高,细节丰富,虽然在结论上的推断有些盲目,但仍不失优异,必须点赞。

《罗永浩:死去活来》

这篇文章,我把它分享到朋友圈里的理由是:“优美,克制,柔软,理智。写作就当这样。”当然,在微博上,罗永浩对作者小晚(宋玮)的评价也非常高。总之,创业维艰,这种直面鲜血的文字,远胜那些看似鼓舞人心的鸡汤。

《让人们脊梁弯曲的一万种方法》

为什么需要时刻警惕极权主义?因为它的燃烧速度太快,从一丝火苗到燃尽森林所需要花费的时间,远比人们预估的要低。戈培尔在德国做的,几乎奠定了极权主义宣传系统的基石,而这篇文章的举例,以及推荐的著作,都值一读。

《两种生机勃勃》

作者格物吱吱今年离开传统媒体加入虎嗅,这则写于年初的随笔出其不意却又以小见大,而他最终用实际行动在两种媒体生态之中投出了选票。我见过很多焦虑的媒体人,而他们越来越焦虑的是,自己无论如何焦虑,都无法回到那个他们心目中的媒体的黄金年代了。一些草木枯萎,一些花朵绽放,世界就是这样。

《总有贱婢想要害朕》

在欠缺安全感的社会,河豚式的人格一定会成为人皆向往的主流形态:稍有刺激,便吹胀身体显得不太好惹,恨不得将贲张的肌肉堆砌到表情上,提前做出以暴易暴的姿势。然而事实上,无论词句多么恶毒、语气多么凶狠、观点多么精辟,没有人会因为你的咒骂而真的炸掉。和菜头的解毒汤,该喝一喝。该喝一喝。

《为什么中国离不开转基因》

“当你拒绝转基因的时候,并不能保持现状不变,而是等于选择了另一个解决方案。”当然,对于很多立场决定脑袋的人,这篇一万余字的文章也不过是对牛弹琴罢了。

文/阑夕