- 資訊安全:
1.剑桥大学研究发现87%的安卓设备不安全 by Freebuf
安卓的碎片化一直是个大问题,而近期来自剑桥大学的研究人员利用收集的数据,创建了一种评分体系,用于衡量主要手机厂商为其产品发布安全更新包的速度,量化了安卓的安全现状。结果发现“平均87.7%的安卓设备至少存在一个已知的高危漏洞”。
这项研究揭示了安卓生态系统保护用户的道路还有很长,谷歌与一些OEM厂商致力于程序每月进行安全更新,但通常仅仅是不满两年的年轻设备,并且只针对旗舰设备。
然而市场上充斥着数量更为庞大的非旗舰安卓设备,或许要等到谷歌重新架构安卓系统以支持其集中化、不限设备的更新时,我们才能看到安卓安全的一线曙光。
2.小心:黑客用无线电波控制你的手机 by 360安全播报
一个来自法国政府机构的组织——ANSSI的研究人员发现,黑客通过可以从16英尺远处的距离远程无声发送无线电波,控制你的苹果的Siri和Android的Google Now。
入侵需要用到的是:一个iphone或者android手机以及一副耳机、一个无线电发射器。
无线电发射机发出的无线电波,默默的在任何iPhone或Android手机上触发语音命令(通过插入的双麦克风功能的耳机)。
耳机的“电缆”作为无线电波接收天线,它可以被利用来欺骗苹果或安卓手机用户,迷惑用户认为语音命令来自用户的麦克风,这可以让一个黑客在受害者的手机上做所有的攻击者想做的事情。
3.地下市場出現500美元的銀行木馬:Sphinx by TREND LABS
開發者指出Sphinx是設計來在Windows Vista和Windows 7上運作,即便是在使用者帳戶控制(UAC)已經啟用的電腦上。這代表Sphinx可以用較低權限的使用者帳號運作。按照開發者所言,「當你安裝Sphinx,殭屍程式會將自己複製到使用者的家目錄。此拷貝版本會跟當前使用者和作業系統綁定,並且不能由另一個使用者執行。被用來安裝的同一殭屍程式原始檔案將被自動刪除,無論是否安裝成功。」
此外,它的控制面板是用PHP開發,並且高度模仿ZeuS使用擴充套件mbstring和msyql。這可以為營運者提供受感染設備、在線殭屍電腦、新殭屍電腦、每日殭屍電腦活動及國家和作業系統統計數據等廣泛的報表。
在另一方面,伺服器通訊使用內部「白名單」,讓它可以繞過防火牆。接著可以設定殭屍電腦將收集來的報告和自身狀態發送給伺服器,並接收指令在受感染系統上執行。這些都透過HTTP協定進行,所有通訊都透過每個殭屍網路唯一的金鑰來重重加密。
其反向連結 VNC能力,如開發者在其貼文中所說,是「銀行木馬最基本的功能」。這讓轉帳可以直接在受感染電腦上進行。VNC是用不同桌面進行,讓它更加隱蔽和不可偵測。
開發者還表示,「你可以在受害者玩線上遊戲或看電影時從銀行偷錢。忘掉設定瀏覽器吧,因為有了Sphinx,你不再需要。有了反向連結VNC,你也可以在受害者電腦上移除防毒或相關軟體。使用反向連結也不再需要在受害者電腦上設定端口轉發。」
安卓的碎片化一直是个大问题,而近期来自剑桥大学的研究人员利用收集的数据,创建了一种评分体系,用于衡量主要手机厂商为其产品发布安全更新包的速度,量化了安卓的安全现状。结果发现“平均87.7%的安卓设备至少存在一个已知的高危漏洞”。
这项研究揭示了安卓生态系统保护用户的道路还有很长,谷歌与一些OEM厂商致力于程序每月进行安全更新,但通常仅仅是不满两年的年轻设备,并且只针对旗舰设备。
然而市场上充斥着数量更为庞大的非旗舰安卓设备,或许要等到谷歌重新架构安卓系统以支持其集中化、不限设备的更新时,我们才能看到安卓安全的一线曙光。
2.小心:黑客用无线电波控制你的手机 by 360安全播报
一个来自法国政府机构的组织——ANSSI的研究人员发现,黑客通过可以从16英尺远处的距离远程无声发送无线电波,控制你的苹果的Siri和Android的Google Now。
入侵需要用到的是:一个iphone或者android手机以及一副耳机、一个无线电发射器。
无线电发射机发出的无线电波,默默的在任何iPhone或Android手机上触发语音命令(通过插入的双麦克风功能的耳机)。
耳机的“电缆”作为无线电波接收天线,它可以被利用来欺骗苹果或安卓手机用户,迷惑用户认为语音命令来自用户的麦克风,这可以让一个黑客在受害者的手机上做所有的攻击者想做的事情。
3.地下市場出現500美元的銀行木馬:Sphinx by TREND LABS
開發者指出Sphinx是設計來在Windows Vista和Windows 7上運作,即便是在使用者帳戶控制(UAC)已經啟用的電腦上。這代表Sphinx可以用較低權限的使用者帳號運作。按照開發者所言,「當你安裝Sphinx,殭屍程式會將自己複製到使用者的家目錄。此拷貝版本會跟當前使用者和作業系統綁定,並且不能由另一個使用者執行。被用來安裝的同一殭屍程式原始檔案將被自動刪除,無論是否安裝成功。」
此外,它的控制面板是用PHP開發,並且高度模仿ZeuS使用擴充套件mbstring和msyql。這可以為營運者提供受感染設備、在線殭屍電腦、新殭屍電腦、每日殭屍電腦活動及國家和作業系統統計數據等廣泛的報表。
在另一方面,伺服器通訊使用內部「白名單」,讓它可以繞過防火牆。接著可以設定殭屍電腦將收集來的報告和自身狀態發送給伺服器,並接收指令在受感染系統上執行。這些都透過HTTP協定進行,所有通訊都透過每個殭屍網路唯一的金鑰來重重加密。
其反向連結 VNC能力,如開發者在其貼文中所說,是「銀行木馬最基本的功能」。這讓轉帳可以直接在受感染電腦上進行。VNC是用不同桌面進行,讓它更加隱蔽和不可偵測。
開發者還表示,「你可以在受害者玩線上遊戲或看電影時從銀行偷錢。忘掉設定瀏覽器吧,因為有了Sphinx,你不再需要。有了反向連結VNC,你也可以在受害者電腦上移除防毒或相關軟體。使用反向連結也不再需要在受害者電腦上設定端口轉發。」
- 自我成長:
1.日本小孩6歲就會自己搭地鐵上學跑腿,為什麼? by 樂羽嘉
為什麼日本孩子獨立到這麼不尋常的程度?文化人類學家狄克森(Dwayne Dixon)認為,原因不在自信,而是懂得「依賴團體」。他在研究日本年輕人的博士論文裡寫道:「日本孩子很早就學到,理想上來說,可以向社區裡的任何人尋求協助。」
日本的學校會強化這個概念,讓孩子們輪流負責打掃、乘舀午餐給同學,而不是讓教職員去做這些事情。狄克森說,這種做法把勞動工作分攤到不同孩子身上,也教導大家清掃廁所是怎麼一回事。
為共用空間負責,代表孩子們身為使用者的驕傲,也讓他們具體瞭解到搗亂會有什麼後果,因為他們若把教室弄得一團亂,就得自己收拾殘局。這種倫理延伸到更廣泛的公共空間,也是日本街道一般很乾淨的原因。在公共場合的孩子們也知道,緊急狀況發生時他可以依靠團體的幫忙。
2.數位閱讀 大腦不愛 by 洪蘭
PISA(國際學生評量)在調查六十二個會員國,電腦作為教學工具和學生使用電腦的時數時,意外地發現,它和學生的閱讀與數學能力成反比。
PISA更發現,在課堂上使用網路每天超過四小時的學生,閱讀能力、數學能力及數位閱讀和數位數學成績均最低。 一個可能的原因,是大腦的資源有限。電子閱讀時,訊息會不斷地變動,大腦需要比較多的資源去處理它,以致影響了其他心智的運作。
而且,當學生要回頭去找剛剛看過的資訊時,電子書不能像書本一樣,馬上能找到,因為每次滑動,訊息的位置就改變。
3.降健保費,不如對醫療人員更尊重 by 張巍鐘
健保除了錢還有人力不足的問題,有了錢或許就能處理人的問題。政府帶頭「廉價化」醫療人員的努力,也因此放大了點值設計上的疏失。
不同科與不同醫事人員工作性質不同,所需的努力與面對的風險不同,然而健保沒顧及醫療專業間所投入的時間與風險成本,強迫打折只是讓本來不合理的「工」與「酬」更加惡化,漸漸許多醫生開始往低風險與高回報的科別跑,許多科別人力越來越少,受害的還是需要醫療的民眾與過勞的醫療人員。
既然「有錢」或許就該檢討原有的「工與酬」,鼓勵人力回流,增加新人踏入相關領域的機會。假如不願多花精力規劃如何增加人力,或是平衡城鄉差距,至少可以取消浮動點值,把本來的「強迫打折」調整回去,這是對醫療人員最基本的尊重。
為什麼日本孩子獨立到這麼不尋常的程度?文化人類學家狄克森(Dwayne Dixon)認為,原因不在自信,而是懂得「依賴團體」。他在研究日本年輕人的博士論文裡寫道:「日本孩子很早就學到,理想上來說,可以向社區裡的任何人尋求協助。」
日本的學校會強化這個概念,讓孩子們輪流負責打掃、乘舀午餐給同學,而不是讓教職員去做這些事情。狄克森說,這種做法把勞動工作分攤到不同孩子身上,也教導大家清掃廁所是怎麼一回事。
為共用空間負責,代表孩子們身為使用者的驕傲,也讓他們具體瞭解到搗亂會有什麼後果,因為他們若把教室弄得一團亂,就得自己收拾殘局。這種倫理延伸到更廣泛的公共空間,也是日本街道一般很乾淨的原因。在公共場合的孩子們也知道,緊急狀況發生時他可以依靠團體的幫忙。
2.數位閱讀 大腦不愛 by 洪蘭
PISA(國際學生評量)在調查六十二個會員國,電腦作為教學工具和學生使用電腦的時數時,意外地發現,它和學生的閱讀與數學能力成反比。
PISA更發現,在課堂上使用網路每天超過四小時的學生,閱讀能力、數學能力及數位閱讀和數位數學成績均最低。 一個可能的原因,是大腦的資源有限。電子閱讀時,訊息會不斷地變動,大腦需要比較多的資源去處理它,以致影響了其他心智的運作。
而且,當學生要回頭去找剛剛看過的資訊時,電子書不能像書本一樣,馬上能找到,因為每次滑動,訊息的位置就改變。
3.降健保費,不如對醫療人員更尊重 by 張巍鐘
健保除了錢還有人力不足的問題,有了錢或許就能處理人的問題。政府帶頭「廉價化」醫療人員的努力,也因此放大了點值設計上的疏失。
不同科與不同醫事人員工作性質不同,所需的努力與面對的風險不同,然而健保沒顧及醫療專業間所投入的時間與風險成本,強迫打折只是讓本來不合理的「工」與「酬」更加惡化,漸漸許多醫生開始往低風險與高回報的科別跑,許多科別人力越來越少,受害的還是需要醫療的民眾與過勞的醫療人員。
既然「有錢」或許就該檢討原有的「工與酬」,鼓勵人力回流,增加新人踏入相關領域的機會。假如不願多花精力規劃如何增加人力,或是平衡城鄉差距,至少可以取消浮動點值,把本來的「強迫打折」調整回去,這是對醫療人員最基本的尊重。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言