访问统计:
说起来可能有点令人难以置信,但两位名为Andrea Barisani和Daniele Bianco的安全专家将在本月晚些时候在黑帽美国2009大会上演示一种可怕的窃密方法,这种方法只要求窃密者在被窃对象计算机所接电网中插入探测器, 或者向被窃对象计算机发射激光束,就可以达到窃密的目的,这看起来像极了科幻间谍电影中的某种场景。
这两位安全专家在描述这种窃密技术的文件中称:“你需要做的事仅仅是接入被窃计算机的电网,或者在可以看到被窃计算机的位置安装激光发射器。”
按两位安全专家的说法,实施电网攻击的探测器售价只有500美元;而如果你的笔记本已经安装有声卡,那么实施激光攻击的设备则只需要花费100美元就可以买到。而要实施攻击则需要进行一周左右的攻击准备。
“我们希望能以这种非常规的攻击方法引起大家对此的足够重视。并希望未来这种技术能被进一步完善。”按照他们的说法,其它的攻击者完全可以利用这套系统的概念创造出比他们更好更先进的方案。
电网攻击窃密:
电网攻击部分,由于大多数电脑键盘数据线都没有采取屏蔽设计,因此经过数据线进行传输的键盘信号会通过地线漏出到计算机的供电电网上,每次敲击键盘后,键位数据会通过键盘数据线进行比特流传输,而这种传输过程则会引起电网中的电压波动。这样,我们只要在同一个电网中接入探测器就可以获取键盘的输入数据。
攻击者可以在附近的电源插座上插入一种探测器,这种探测器内部由两个探测传感器组成,两个传感器间以电阻连接。这种探测器可以侦测到键盘信号引起的电网电压波动,并将其转换为键盘符号。
根据文件的描述,为了将键盘信号从地线的背景噪音中区分出来,还需要连接到参考接地点。这种参考接地点可以是埋入地下的金属地线,也可以是抽水马桶的排水管。--尽管连接抽水马桶的行为看起来不是很优雅,但对在旅馆客房发起攻击的用户却显得很方便。
按照他们的说法,鼠标和键盘的信号频率通常在1-20kHz范围,因此只需要一个滤波器就可以将这部分信号从其它频率的信号中分离出来。
而不同电脑上装备的键盘和鼠标产生信号的频率范围将稍有区别,因此只要采取适当的过滤措施,就可以把目标机型的信号从其它接入电网的机型信号中分离出来。
目前,安全专家已经能从距离被攻击电脑的电源插座15米距离的插座上成功地探测到电脑键盘输入的数据。
不过如果被攻击电脑比如使用电池供电的笔记本没有接入电网,那么这种电网攻击的方法就会失效。此时就轮到另一种激光攻击方法上阵了。
激光束攻击窃密:
攻击者只要将激光发射装置对准笔记本电脑的反光部位,比如笔记本的金属Logo标签,或者笔记本铰链附近的区域,发射到笔记本电脑上的激光束就会反射回接受器上。而用户按下键盘时将引起笔记本的振动,振动则会引起激光束的反射角发生变化,再把由此探测到的反射角变化数据转换为电信号输入声卡中进行处理,就可以得知被测对象正在按下那些按键。
按下不同的按键所引起的振动频率各有所不同,比如空格键引起的振动频率就与其它按键有很大的区别。而如果能预先知道输入者使用的是哪国语言,那么窃密就将更为方便。
要对付这种攻击的唯一办法就是将笔记本电脑避开外人的视线,或者在使用过程中频繁变换机子的位置,也可以在打字时故意随便按下几个键,然后再用退格键删除这些废字符。
尽管两位安全专家承认自己的这两种窃密工具还很简陋且功能不够完善,不过他们相信短期内基于这种概念的窃密设备就会在功能上更进一步。他们称:“像我们这样才疏学浅又缺乏资金的小团体都可以在很短的时间内开发出这类设备,更不用说那些政府特务机构了。”
CNBeta编译
原文:networkworld
1234567890是个节日, 一秒钟的节日. 它不是问题, 不是错误, 不是BUG. 我们人类使用的计时系统是相当复杂的:秒是基本单位, 60秒为1分钟, 60分钟为1小时, 24小时是一天......如果计算机也使用相同的方式来计时, 那显然就要用多个变量来分别存放年月日时分秒, 不停的进行进位运算, 而且还要处理偶尔的闰年和闰秒以及协调不同的时区. 基于"追求简单"的设计理念, UNIX在内部采用了一种最简单的计时方式:
计算从UNIX诞生[注释1]的UTC时间1970年1月1日0时0分0秒起, 流逝的秒数. UTC时间1970年1月1日0时0分0秒就是UNIX时间0, UTC时间1970年1月2日0时0分0秒就是UNIX时间86400. 这个计时系统被所有的UNIX和UNIX-like系统继承了下来, 而且影响了许多非UNIX系统. POSIX标准推出后, 这个时间也被称为POSIX时间.
- 节日和庆祝 -
可能是因为人类是一种需要精神上的刺激的生物吧, 各种历法中都存在着各种拥有不同意义的节日. 其中, 很多节日仅仅由于日期的特殊性就被赋予了意义, 例如公历1月1日的新年, 11月11日的光棍节... 爱好节日的人们也没有放过UNIX时间. UTC时间2001年9月9日1时46分40秒, UNIX时间迎来了第一个"亿禧年"(Billennium)[注释2], 1000000000. UTC时间2005年3月18日1时58分31秒则是UNIX时间的光棍节, 1111111111. 刚刚过去的1234567890, 对应公历的UTC2009年2月13日23时31分30秒, 对东一区以东的时区来说是2月14日情人节, 以西的时区来说则刚好落在黑色星期五. 传统上认为黑色星五不吉利的西方媒体, 针对此事进行了玩笑性的报道, 结果被一些居住在其他时区的人们误读成了"UNIX时间错误".
无独有偶, 2012年7月13日也是一个黑色星期五, 而那天的UTC时间11时1分20秒对应着UNIX时间0x50000000(十六进制, 十进制值是1342177280). 不知到了那个时候, 会不会再次有人把它误解为又一次的UNIX时间错误?
- 未来, 2038年问题 -
UTC时间2033年5月18日3时33分20秒, 是UNIX时间的第二个"亿禧年"(Billenniumm), 即2000000000. 然而, 第三个"亿禧年"(Billennium)则不会毫无障碍的来临, 在那之前, 人们先得解决正在变得著名的2038年问题. 和本世纪初的千年虫(Y2K Bug)问题类似, 2038年问题(Y2K38 BUG)更隐蔽, 而且更难解决. 我们知道计算机内部的一切都是二进制的, 也就是说1234567890在32位系统的内存里实际上是01001001 10010110 00000010 11010010. 这串32位二进制数中, 最高位被用来表示正负符号, 0代表整数, 1代表负数, 所以它能表示的最大数字就是01111111 11111111 11111111 11111111, 即214748367, 对应公历的UTC时间2038年1月19日3时14分7秒. 到这天的凌晨3时14分8秒, UNIX时间会溢出并变成10000000 00000000 00000000 00000000(十进制值-214748368), 也就是UTC时间1901年12月13日20时45分52秒, 引起和千年虫类似的混乱.
- 救赎, 64位系统 -
2038年问题不仅比千年虫更隐蔽, 而且它的原因也更接近系统底层. 要解决这个问题, 最简单的方式是扩展UNIX时间的长度, 用64位数字来表示它. 64位二进制数的实际可用位数是63位, 最大表示到公历的UTC时间292277026596年12月4日. 如果那个时候人类文明还存在的话, 公元纪年很可能已经因为太难用而被抛弃了. 理想的情况是到2038年, 64位系统已经成为主流, 从而避免特意去修正这个问题所需要的大量开销. 否则, 人们就必须把新的64位时间拆分成两部分并分别保存在两个变量里, 这是一个麻烦而且效率低下的选择.
[注释1]: 就像很多其他的节日一样, 把UNIX的诞生日选在这天只是出于方便. 实际上, 最早的运行在PDP-7上的UNIX在1969年就已经完成了.
[注释2]: Billennium实际上是"十亿禧年", 但是这样听起来很奇怪, 所以我用"亿禧年"作为暂用名.
声明: 本文由投递者Rainarrow原创并相应的拥有著作权, 作者据此权利将本文以创作共用[署名-非商业用途-相同方式共享]许可证授权发布. 如要查看许可证全文, 请访问"http://creativecommons.org/licenses/by-nc-sa/2.5/cn/".引用的两幅插图来自维基媒体基金会并以GNU自由文档授权发布. 要查看许可证全文, 请访问"http://www.gnu.org/copyleft/fdl.html".
looo:微软瞎说,除非他有后门
1、要是不关闭自动更新,微软可以实现,我承认
2、要是关闭自动更新,微软我想不可能能搞定,除非是后门
原文:
官方证实,微软将针对中国市场在本月20日启动Windows XP专业版及Office的正版验证计划,届时,安装了盗版Windows XP专业版的电脑将被强行每小时“黑屏”(桌面背景变为纯黑色)一次,Office的菜单栏将被添加“不是正版”的标记.
微软公司的一份内部邮件显示,微软此次启动正版验证是为了能直接拉动销售,“请利用这种机会向您的客户推荐购买正版化产品,避免收到通知或遭遇黑屏.”
最严厉正版验证
微软中国公司官方证实,微软将于本月20日起在中国启动两项正版验证计划——Windows正版增值计划(简称“WGA”)和Office正版增值计划通知(简称“OGA”).
WGA是微软在三年多前推出的通过技术手段提醒用户正在使用盗版软件的计划,比如让用户主动下载正版验证程序,程序安装运行后会将结果反馈给用户.除了验证之外,还提供“增值”服务,比如免费下载最新的语言包、免费下载类似万年历的小工具软件等.
WGA计划一直延用至今.微软10月20日即将推出的WGA与以往的历次相比是最严厉的一次.此次的WGA计划只针对用户Windows XP专业版用户.IT业内人士介绍,国内Windows XP盗版软件几乎全为专业版,比如番茄花园等各种修改版XP,PC厂商针对个人及家庭用户的消费电脑一般预装的为XP家庭版,这类软件属于正版软件.
此次WGA安装到用户的方式也与以往差别很大,以前需要用户主动下载,然后安装,而此次的WGA计划不使用安装向导,用户将在20号后通过操作系统的自动 更新(Microsoft update)自动下载,这意味着WGA和OGA会在已打开自动更新的盗版用户电脑中不知不觉的下载,如果用户设定为自动安装,它还将在后台自动安装完 毕.
盗版XP专业版用户可能一小时黑屏一次
除了在安装方式上以以往的计划不同外,微软对于未通过验证的盗版用户所采取的强制措施,可能会引发不少用户的反感,因为它将对用户使用电脑造成诸多不变.
在以往的WGA验证中,如果被验证出是盗版系统,用户除了被提醒是盗版外,将不能下载“增值”的小软件,此次没有通过WGA验证的用户,开机起进入后桌面 背景将变为纯黑色,用户需重设背景后方可正常使用电脑,但每隔1个小时背景将变回黑色.用户登录时会出现登录中断对话框,并在屏幕右下方出现一个永久通知 和持续提醒的对话框,显示“您可能是软件盗版的受害者”.
微软首次启动Office正版验证
与WGA类似,微软针对Office的正版验证被称为“OGA”,此前一直未在中国实行.10月20日启动的正版验证计划将首次将Office纳入其中, 包括Office XP、Office 2003和Office 2007套件的用户,覆盖Word、Excel、PowerPoint和Outlook组件.
Office用户在验证失败后第1至14天内,将有弹出式对话框提醒客户所运行的软件不是正版,在转化为正版之前,用户每天首次打来Office和此后2小时分别会收到一次这样的提醒.
从验证失败后的第15天开始,如果用的还不是正版,对话框将告知用户如不采取行动,将在14天后(即验证失败后的第30天后),Office软件被添加视 觉标记.30天后,Office软件的Word、Excel、 PowerPoint和Outlook菜单栏中将被添加视觉标记,提醒不是正版,每次用户打开这四个程序都会看到相应提醒标记.
在正版验证程序推出的三年多来,微软一直在操作系统领域启动WGA,此次将Office纳入其中的原因,有分析认为,微软目前的打击盗版工作已由以前的操作系统为主转变为加强Office.
微软打击盗版的三板斧
微软中国公司相关负责人称,微软在正版化方面一直坚持3E策略,即Education(教育)、Engineering(技术)、Enforcement(执法).
在教育方面,微软几乎在全国每一个省市、地区,微软都大力支持当地有关政府部门进行知识产权保护相关的教育工作、正版化实施方案的推进.比如每年的知识产权日,微软在各地都出巨资赞助,布道保护知识产权的重要性.
在技术方面,主要是指WGA和OGA,除了提醒用户正在使用盗版外,也为用户提供一些增值的小软件工具,比如以前提供过图片处理工具、中国万年历等.但本次的WGA及OGA计划中,除了提醒用户使用盗版及采取强制措施外,未见“增值”的服务提供.
在执法方面,前段时间独家披露的番茄花园案,即是微软向国家版权局和公安部投诉而引发的,微软会帮助地方执法机关和司法机关了解如何鉴定非正版软件及如何提取证据等.
微软中国相关负责人介绍,在上述三个策略中,微软在中国的正版化工作以第一个教育为主,技术和执法只占很小的一部分.
在一些知识产权业界的人士看来,微软今年在中国打击盗版的思路清晰,比如先投诉番茄花园的作者,然后在联合各地的执法机构,或培训或直接到卖场打击盗版软 件,被称为微软打击盗版代言人的BSA也在各地召开研讨会或给政府部门进行盗版危害的培训,BSA甚至在媒体上刊文称不购买正版软件的企业将被列入黑名 单,针对个人用户,微软也将Office家庭及教育版的价格下调至199元一套,此次又通过技术手段给盗版用户使用带来麻烦.
对于业内人士的上述看法,微软中国未予评论.
根据最新泄漏的一份古巴与委内瑞拉的内部合同显示,古巴和委内瑞拉从2006年就开始了一项海底数据光纤计划,该光纤绕过美国,将在2010年之前完工.
古巴指出,古巴与美国佛罗里达州仅相隔90英里,但是美国封锁了古巴的互联网通信,迫使古巴仅能依赖于缓慢而昂贵的卫星通讯.根据协议,古巴和委内瑞拉的海底光缆将连接古巴、牙买加、海地和特里尼达等国家.
分页共1页 1