黑客或可将隐形恶北京赛车意软件植入“裸机”
  • 时间:2019-03-05
  • 点击率:

  黑客或可将隐形恶北京赛车意软件植入“裸机”云主机当中北京赛车安全领域中的坚定保守派们一直警告称,一旦计算机落入陌生人手中,那么这些设备将不再值得信任。如今,一家公司的研究人员已经证明,在某些情况下,同样的论断也适用于我们根本无法触及的某些计算设备——云服务器。

  安全领域中的坚定保守派们一直警告称,一旦计算机落入陌生人手中,那么这些设备将不再值得信任。如今,一家公司的研究人员已经证明,在某些情况下,同样的论断也适用于我们根本无法触及的某些计算设备云服务器。

  本周二,安全厂商Eclypsium公司的研究人员公布了一项实验结果,他们表示对于某类特定云计算服务器,完全可以通过某种狡猾的方式进行入侵:他们可以从云计算供应商处租用服务器他们在实际测试中选择了IBM云服务而后变更其固件,隐藏对代码的更改,从而在租用期限截止后将变更延续至另一位租用同一台机器的客户。

  虽然在演示当中,他们仅仅只对IBM服务器的固件进行了良性发动,但他们警告称同样的技术完全可以被用于在服务器的隐藏代码内植入恶意软件。如此一来,即使其他人接管机器,也仍然无法检测到这些代码。这意味着黑客将能够借此架设间谍服务器、变更其中的数据,甚至根据心情将信息销毁。

  Eclypsium公司创始人兼前英特尔高级威胁研究小组负责人Yuriy Bulygin解释称,“当组织使用公有云基础设施时,他们实际上是在借用服务商提供的设备,其中可能包括采购自Ebay的二手设备。这些机器也许在正式使用之前就已经受到了感染。通过类似的方式,如果云服务供应商无法立足底层对全部设备进行清理,包括其中的固件,那么该设备可能长期保持受感染状态。”

  Eclypsium公司的研究人员们明确指出,这种云设备清洁问题不会对所有云服务器产生影响。典型的云计算设置会将每位客户的计算环境转换为所谓虚拟机,这类似于计算机内部的一种密封运行环境。虽然使用同样的服务器实体硬件,但这些虚拟机与该设备上的其它客户虚拟机彼此隔离。

  然而,无论是亚马逊、甲骨文还是Rackspace,各大云服务厂商皆提供所谓裸机服务器,这意味着客户能够租用并全面控制整体计算机,从而提高性能或者得到预期中的更高安全性水平。IBM公司目前拥有数千家企业客户,他们利用裸机执行着各类日常任务包括视频会议托管、移动支付乃至神经刺激治疗等等。

  通过以裸机设置方式租用计算机,攻击者将能够获得风险更高的组件访问级别,而这些组件完全可用于将恶意软件传递给该服务器的下一位租用者。Bulygin表示,“这时问题就变得相当严重,而且裸机服务的恶意利用难度要比虚拟机低得多。”

  无论是出于研究目的还是为了筹备真实入侵,黑客们已经用多年的时间证明,一切固件都完全可以为恶意代码提供隐藏的立足点无论其芯片有多么有限,包括U盘乃至常见的磁盘驱动器等。这类感染能够躲过一切反病毒工具的扫描,甚至能够在对计算机存储内容的全面清理之后仍然顽强存在。

  Eclypsium公司的研究人员们此次利用的,是由Super Micro公司为IBM提供的、用于向客户提供裸机云计算服务的固件,名为基板管理控制器简称BMC。BMC用于远程监控并管理服务器,其拥有极为全面的功能,包括访问计算机内存乃至变更其操作系统等。在以往的研究当中,Eclypsium公司甚至已经证明,攻击者可以利用遭受入侵的BMC对其它组件的固件进行重写,最终利用目标计算机执行特定计算任务或者创造通道以发动潜在的勒索软件攻击。

  “一旦固件受到感染,我们将无法判断设备到底仍然受到感染,还是已经恢复正常。”Karsten Nohl,安全研究实验室

  在他们的实验当中,Eclypsium的研究人员们租用了一台IBM裸机云服务器,而后对其中的BMC固件进行了一番无害更改仅仅修改了代码当中的一个bit。在此之后,他们停止租用这台服务器,并将其释放至IBM的可用机器资源池中供其他客户使用。几个小时之后,他们租用了大量服务器以再次获得同一台服务器,并通过主板序列号外加其它唯一标识将其找到。他们发现,尽管IBM方面称这是一台“全新”设备,但BMC固件的更改仍然存在于其中。

  Bulygin指出,“固件受到的感染是持久性的,且不会因为对整体软件堆栈重新进行镜像安装而消失。”虽然这一次研究人员只进行了一点小小的良性改变,但他们表示利用同样的方法,真正的恶意分子将能够轻松隐藏真正的恶意固件。

  为了回应Eclypsium方面的研究结果,IBM公司发布了一份声明,将此项漏洞视为“低威胁”水平。但其同时承诺,未来将会在不同用途的客户使用场景之间认真清理服务器上的BMC固件:“IBM公司通过强制清理所有BMC应对此项漏洞可能利用的固件,包括报告中涉及的最新固件。在重新配置并交付其他客户使用之前,我们将使用出厂恢复工具重新刷新固件。此项操作将清除BMC固件中的全部日志,同时重新生成BMC固件的所有密码。”

  截至本周一晚,Eclypsium公司的研究人员们表示其仍然能够实现自己发现的感染方法,这也意味着IBM方面的修复工作仍然没有得到落实。但IBM公司的一位发言人在接受采访时指出,“修复工作已经交付实施,我们正在处理积压工作。”

  即使如此,其它关注固件方向的研究人员对于IBM公司为此项漏洞发布的“低威胁”标签以及提出的修复方案持怀疑态度。Karsten Nohl曾开发出所谓BadUSB攻击,其能够悄悄修改U盘上的固件。

  Nohl指出,BMC固件的可更改特性意味着黑客将具有控制目标服务器的通道,亦能够在管理员试图重新刷新时“欺骗对方”即通过提示信息表明自身已经完成更新,但实际上却并没有删除恶意代码。Nohl表示,“一旦固件受到感染,我们将没有办法判断其仍然受到感染,或者已经恢复正常。”另一位着名固件黑客H.D.Moore认为,只需要在服务器上添加一块硬件来检查固件的完整性,就能够彻底解决这个问题。

  关于这方面情况,IBM公司拒绝回应我们提出的、关于可靠固件更新难度的问题。由于Eclypsium方面仅测试了IBM的裸机服务器产品,因此目前尚不清楚其它云服务厂商是否也会受到同一固件问题的影响。

  好消息是,Nohl认为裸机服务器只占云服务家族中的一小部分,而虚拟化服务器则很难通过这种固件方法进行攻击。然而,存在这种易受攻击的可能性毕竟会让用户的心里感到不舒服。Nohl总结称,“其影响到的只是特定的利基市场。但利基与否并不是重点。即使是对于利基市场而言,这也是一种值得高度重视的攻击可能,更可怕的是我们无法通过简单的方法加以解决。”

  就在今天,王俊凯亲自营业,亮相品牌活动。在活动现场,王俊凯一出现就...

  这里有很多精心挑选的免费UI设计模板,由来自世界各地优秀的设计师和团队所创建的。它的亮点就是每个模板都有一张缩略图和下载页面的链接,通过它的分类目录可以进行轻松地浏览。

  社区产品“最右”于近期完成8000万美元的新一轮融资,由小米领投,部分老股东跟投。这也是近一年来社交社区赛道发生的大额融资之一。对方对此表示不予置评。

  当然除了看外表,我们应该学会如何辨别建站案例的质量好坏,案例好不好,用以下的方法检测便知道:

  记者从中国航空工业集团获悉,28日,国产初教6飞机TC/PC(型号合格证/生产许可证)颁发活动在南昌瑶湖机场举行。初教6飞机速度适中、稳定性好、操纵灵活,与国外的小飞机飞行包线年的使用和维护证明初教6飞机性能稳定、安全可靠、使用方便、维护简单,能满足适航要求。

  本次展会上,中兴通讯与英特尔联合展示了该服务器在视觉识别领域的应用,通过视频捕捉,在网络边缘深度优化人脸检测算法,单张采用英特尔酷睿i5和Stratix 10 FPGA的AI加速卡即可实现1200帧/秒的人脸检测功能,检出率超过98%。在一个ES600S服务器上,可以实现百路视频的实时人工智能分析。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  以上介绍了一些免费又高质量的设计模板网站,如果你有更好的推荐,还请不吝赐教,多多分享。

  社交立减金是应电商小程序之于微信社交生态而破土的重要一环,在内测阶段就已经帮蘑菇街,拼多多等众多电商小程序提升了获利。

  2003年2月,为推动自动驾驶技术发展,以求最终能在危险军事行动中减少人员伤亡,DARPA推出无人驾驶挑战赛,宣布能率先跑完从加州巴斯托至内华达普利姆142英里赛程者,将获得100万美元大奖。高额奖金加上无技术门槛限制,吸引了100多个研究团队报名参赛,但最终的比赛结果却令人失望,在2004年3月13日的决赛中,无一车队完成赛事,成绩最好的赛车也只跑了7.5英里。

  DARPA的成功,使其成为引领科技创新的“模板”。受DARPA成就鼓舞,美政府先后在国家情报总监办公室设立了情报高级研究计划局(IARPA),在能源部设立了能源部高级研究计划局(ARPA-E),作为两部门引领科学创新的重要机构。这两个仿DARPA设立的机构也充分借鉴了DARPA的成功经验,尤其是挑战赛模式,推出类似项目,如IARPA的“水星挑战赛”(the Mercury Challenge)、ARPA-E的“电网优化系列赛”(GO Competition),皆成为这些部门引领相关领域科技创新的重要手段。

  但马丁就没有那么耐心了。昨天这个消息曝出之后,马丁就在推特上狂喷卡尔。

  当然以上突出了小程序的很多优点,但是现阶段小程序还有一些不足的地方,比如:在微信中入口太深,没有APP在手机桌面上打开方便,同时当前阶段不能实现那些功能相对复杂,交互相对繁琐的重服务。

  瓜子二手车、毛豆新车网母公司车好多集团完成15亿美元新融资,投资方为软银愿景基金。本轮融资将重点用于加大产品技术研发投入,掌控产业变革核心生产力,主导市场格局;加强市场营销、线下门店布局,抢占更大的市场份额;持续投入新业务,强化业务生态合力,提升用户体验,覆盖用户汽车消费全生命周期,以提升营收能力。

  酒店装修设计设计技巧其实还有很多要注意的事项,都是从细节方面入手的。酒店装修设计主要的就是个性化,个性化的装修效果才能令雇主轻松地记住自己的品牌,从而提升酒店的销售业绩。在我国很多的城市中,商务酒店已然成为了很多客户的首先要选择,主要是因为商务酒店装修设计比较的豪华上档次,而且价格适中,可以说是性价比比较高的一类酒店。不过在商务酒店设计中,它根据受众的要求,也有着比较高的标准。说起来商务酒店,给人们深刻的印象就是商务,在很多城市的经典的商务酒店中,给人的感觉是看上去豪华,大气,又不是庄重,具有很浓的商务气息。从一些商务酒店设计案例中,我们可能够看到,商务酒店追求的是时尚,大气,稳重。因此在进行设计的时候,要注意整体的风格,要符合商务酒店的整体的风格特点。酒店装修设计其实要注意的地方还是很多的,从设计一直到施工,布局、重要空间的装修等等。作为旅馆的老板一定要找专业的酒店装修公司进行装修,因为专业的酒店装修公司装修质量和装修效果都是棒的,可以避免日后出现问题影响正常的营业。在明确了目标的情况下,找到专业团队,有规范的施工流程,就是在房子装潢的整体服务中,很重要的要求。从房子装潢步骤与流程的角度来看,要有专业的标准,要保证顺利实现装修的效果,明确的目标性,要有设计感和总体考虑,然后是选择材料,施工完成。装修步骤的整体设计,要考虑在具体的标准中,找到更明确的方向,还必须要结合设计,有一个总体的目标。要注重装修有高品质的特点,要体现专业服务的目标保证,而酒店装修设计的布局,就是充分利用空间的同时,还可以让整体的环境,得到一个更好的品牌独立的特色与专业的优势。

  3. 本网部分内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性。不承担此类作品侵权行为的直接责任及连带责任。


客服QQ: 点击这里
地址:上海市黄浦区局门路457号8号桥创意园4楼 客服QQ:9490489
Copyright © 2014-2018 北京赛车 版权所有

021-51697771

服务时间:7X10小时

网站地图