從長遠來看����,可能是一個巨大的網絡安全風險�,大量關于Windows 10的內部構建和源代碼數據已經泄漏。
BetaArchive上發現的這些文件包含8TB的壓縮數據���,包括Windows 10和Windows Sever 2016內部版本的32TB甚至軟件藍圖。這極有可能是包含共享源代碼工具包的代碼���,其中包括Windows 10的硬件驅動程序以及PnP、USB和Wi-Fi相關的代碼����,還有存儲驅動程序和特定于ARM的OneCore內核代碼等���。
所有這些都是操作系統的關鍵����,其代碼如果壞人之手�����,可能會對未來操作系統的安全性造成破壞���。
除了源代碼之外�,還有幾個尚未發布的Windows 10版本,其中包括Microsoft內部使用的故障排除、測試和調試工具���。然后,還有Windows 10 Mobile Adaptation Kit,它似乎是一種未經通知的工具集,旨在使Windows 10能夠在移動設備上運行��。
對于訪問BetaArchive的私有服務器的個人來說����,這些數據似乎仍然可以訪問,并且在2004年被一些人稱為甚至超過了Windows 2000源代碼漏洞。
BetaArchive正在刪除其服務器上發現的機密Microsoft文件,BetaArchive的管理員現在已經評論了這個故事,承認一個名為Shared Source Kit的文件夾確實存在����,但已被刪除以供進一步審查,盡管他們也質疑了故事中許多索賠的準確性�����。他的全部發言如下:
首先讓我們清理一些事實��?��!肮蚕碓垂ぞ甙蔽募A確實存在于FTP上����,直到本文發表時才被清理���。我們已將其從我們的FTP和列表中刪除�,等待進一步審查,以防我們在初始版本中遺漏了某些內容�����。我們目前沒有計劃恢復�,直到對其內容進行全面審查,根據我們的規則被認為是可以接受的�����。
該文件夾本身是1.2GB的大小����,包含12個版本,每個是100MB��。這遠遠沒“文章中所述的“32TB”那么多��,并且不可能涵蓋“核心源代碼”����,因為它太小了�,更不用說存儲這些數據是違反我們的規則的���。
在這個時候�,本文是指3月24日發布的大型Windows 10版本,其中包含了許多提供給我們的Windows版本,來自各種論壇成員,Windows Insider成員和Microsoft Connect成員���。所有這些我們認為可以安全地發布到BetaArchive,因為它們都是新版本的beta版本和已停用的版本,它們被我們的規則所覆蓋��。
如果有任何更改���,我們將從FTP中刪除這些構建��,我們將樂意遵守Microsoft所做的任何說明�����。
審校|陳思
編輯|小智
本周要聞:微軟官方確認部分 Windows 10 源碼被泄露,容量大約 1.2GB��;模塊化系統終獲通過�,Java 9 預計 9 月發布;Gartner 公布 IaaS 云廠商報告����,AWS 和微軟依然是領軍者��,阿里巴巴、IBM 和 Oracle 緊隨其后;蘋果云備份服務宕機 36 個小時�����;勒索病毒卷土重來,安全事件頻發為何故�����?
微軟 Windows 10 源代碼的一部分本周被曝出泄露到了追蹤 Windows 版本的愛好者網站 Beta Archive 上�,微軟在經過調查后向外媒 The Verge 確認��,確實有來自共享源計劃源代碼的一部分被泄露����,這些代碼主要提供給 OEM 合作伙伴使用�����。此前有消息稱大約 32TB 的數據被泄露�,但實際上此次泄露的規模相對較小�,大約 1.2GB。2004 年微軟也曾遭遇 Windows 2000 的源代碼泄露�。
此次泄露的源碼內容涉及 Windows 10 Mobile Adaption Kit����、部分 Windows 10 Creators 以及 ARM Windows 10 版本的代碼����。目前 1.2GB 的源碼包已經被刪除,Beta Archive 所有者 Andrew Whyman 在提供給媒體的郵件中表示微軟并沒有要求網站刪除代碼,做出刪除的操作是他們自己的決定����。值得注意的是源碼泄露事件發生在兩名男子因為未經授權訪問微軟網絡被捕的一天后�,由于警方拒絕透露更多案件消息�����,因此兩件事情是否有關聯目前尚不得而知���。
模塊化系統終獲通過,Java 9 預計 9 月發布
5 月份�����,Java 模塊化系統在 JCP 執行委員會投票中未獲通過���。一個月之后��,JCP 執行委員會再次投票�,除了 Red Hat 棄權之外���,其他均為贊同�����。
勒索病毒卷土重來�,安全事件頻發為何故�?
在 WannaCry 勒索病毒事件發生之后的一個月,新一波勒索病毒卷土重來����。據報道���,這一波攻擊影響到了包括烏克蘭�����、西班牙、法國��、俄羅斯和印度在內的多個國家����。政府部門和企業的電腦被病毒鎖定����,只有在支付了比特幣之后才能解鎖他們的電腦����。第一個報告受病毒攻擊的消息來自烏克蘭����,包括國有銀行、能源公司�����、交通部門和政府部門在內的計算機遭遇了病毒攻擊����。
一些安全專家表示,這波病毒比 5 月份的 Wannacry 攻勢更加強烈���。那個時候,數字安全專家就警告說����,這些病毒有可能卷土重來����,而且破壞力范圍會更大���。瑞士政府的報告和分析中心認為�����,這波攻擊可能與 Petya 病毒有關,Petya 利用 SMB 漏洞進行攻擊。在 2016 年,臭名昭著的 Petya 已經向人們展示過它的破壞力。德國信息安全局表示贊同這一觀點。英國標準協會主席 Arne Schoenbohm 說��,微軟提供的補丁在一定程度上可以起到防護病毒的作用�����,但 Petya 利用了內部網絡的管理工具進行攻擊�����,即使哪些打過補丁的系統仍然會受到攻擊。
Red Hat 收購 Codenvy 擴展 DevOps 工具的能力
Red Hat 宣布 收購 Codenvy���,后者是一家云原生敏捷開發工具提供商。此次交易未披露財務條款。
通過對 Codenvy 的收購,Red Hat 增加了其開發工具的組合��,為基于容器和基于云的應用提供了能力���。Codenvy 將融入 Red Hat 的 OpenShfit.io 環境中�����,這是該公司在本月早些時候發布的托管開發環境的混合云服務�����。
Codenvy 是基于 Eclipse Che (開源云計算整合開發環境 IDE 和開發者工作區服務器)的產品。 Codenvy 將運行時、項目和 IDE 整合到一種云原生開發者工具中����,使多個開發人員能夠在同一工作區中進行協作�����。Codenvy 可以在通過 Web 瀏覽器訪問的 Linux 容器中運行�。
.NET Core 運行時和基礎類庫性能提升
微軟宣布改進了.NET Core 運行時和基礎類庫的性能。雖然沒有像改進 ASP.NET Core 的性能那樣大肆宣傳,但這些改進同樣重要����。
其中��,以下 10 個方面的變化比較顯著:集合、LINQ�、壓縮��、加密��、數學運算、序列化、文本處理、文件 I/O、網絡和并發。至于任何一組性能變化如何影響具體的應用程序則取決于具體的使用模式����。下面的討論只列出了一些要點����,讓你對這些改進有一個大概的了解�����。其中有許多變化是基于開源 Pull Request 請求��。這樣,一些對于微軟而言因為總體影響極小而不值得實現的重要修改就可以實現了。而這些修改對于很大一部分開發人員而言相當重要。
Gartner 公布 IaaS 云廠商報告�,AWS 和微軟依然是領軍者
Gartner 發布了最新的 IaaS 云廠商魔力象限報告�,AWS 和微軟仍然是領軍者��,處于“領導者(Leaders)”象限�,而 Google 處于“愿景者(Visionaries)”象限�����,阿里巴巴����、IBM 和 Oracle 緊隨其后���。
2017 年的 Linux 內核防護依然脆弱
"Linux 內核 “社區” 對待安全的優先級并不高�,雖然經歷了 2000 年代的多次大規模漏洞利用事件但并沒有讓 Linus Torvalds 本人改變 "A bug is bug" 的哲學�,由于 Linux 內核的安全問題逐漸影響到了 Android 和 IoT 設備,一次 華盛頓郵報的曝光促使了 KSPP(Linux 內核自防護項目)的成立��,KSPP 是由 Linux 基金會旗下的 CII(基礎架構聯盟)管理����,其吸納了來自諸多大廠商(Google, RedHat, Intel, ARM 等)的工程師進行聯合工作?���?上У氖莾赡甑臅r間過去了���,KSPP 大多時候只是在重復的抄襲 PaX/Grsecurity 的各種特性以獲得各自雇主那里的 KPI 和 credit�,各種混亂的代碼合并到了 Linux 主線影響了 PaX/Grsecurity 的正常開發�,這也是 PaX/Grsecurity 關閉公開訪問 test patch 的主要原因之一。
最近由 Qualys 曝光的 Stack clash 是一個古老的漏洞利用平面的工程化�����,這威脅到了幾乎所有類 UNIX 系統(包括 GNU/Linux)的安全����,當 Linux 內核 x86 的 maintainer 之一 Andy Lutomirski 問及 PaX/Grsecurity 是如何修復時 Linus 直接回復了 Grsecurity 是垃圾,有趣的是當 PaX/Grsecurity 的作者之一 Spender 曝光了一些內核最近的 silent fix 以后 Linus 居然 “邀請”PaX team/Spender 直接貢獻代碼到 Linux 內核代碼�����,這是不大可能發生的�����,因為今天所謂的內核 “社區” 主要是由一幫大廠商的雇員組成,沒有人有義務免費的貢獻代碼去幫助那些需要從雇主那里獲得 KPI 的工程師���。更諷刺的是, stack clash 的部分修復居然來自 PaX/Grsecurity 于 2010 年的代碼����,Linus 說 PaX/Grsecurity 是垃圾也等同于打 KSPP 的臉�,因為 KSPP 還在繼續抄襲 PaX/Grsecurity���,而針對 Linux 內核的漏洞利用是否大規模被惡代使用只是曝光與否的問題��。
此外�����,雖然 Stack clash 的 * EMBARGOED" 從開始到現在已經 1 個月�����,但至今 CVE-2017-1000370(offset2lib bypass) 仍然未修復,RedHat 網站上所謂的 "Under Investigation" 只是繼續等待 Linux 主線內核的修復��,或許要讓 Linux 內核安全有所改善我們需要更多的 stack clash 和 DirtyCow 持續曝光���。
Instagram 推出自動評論過濾器:用 AI 過濾垃圾消息
北京時間 6 月 30 日早間消息��,Instagram 認為���,人工智能可以幫助該應用對抗垃圾消息和不良信息��。本周四,Instagram 發布了兩款新工具�����。該公司表示�����,這有助于減少垃圾消息的數量,同時屏蔽內容和視頻中的攻擊性評論。
用戶可以選擇啟用自動評論過濾器��。如果在評論過濾器開啟的情況下仍然出現攻擊性評論���,那么用戶可以像以往一樣直接向 Instagram 報告��。Instagram 表示����,評論過濾器目前僅支持英語���,不過未來將支持其他語言�����。另一方面��,垃圾消息過濾器可以自動清除英語、西班牙語�����、葡萄牙語�、阿拉伯語、法語、德語����、俄語�����、日語和漢語的垃圾消息�。根據《連線》雜志的報道,這兩種過濾工具的技術基礎來自 Facebook 的人工智能系統����。Facebook 于 2012 年以 10 億美元收購了 Instagram��,并將其內部技術遷移至 Facebook 的數據中心,因此 Instagram 使用 Facebook 的過濾技術是合理的�。
Google 將停止掃描用戶郵件內容
彭博社報道��,Google 將停止掃描 Gmail 用戶的郵件。用機器人程序掃描 Gmail 用戶郵件內容以展示定向廣告的做法曾引發了隱私方面的擔憂�����。Google 的這一決定不是來自廣告團隊�����,而是來自云計算部門��,旨在吸引更多企業級用戶���。Google 云計算部門銷售名為 G Suite 的辦公軟件套裝����,其中包括了郵件服務��。Google 掃描免費 Gmail 賬號的郵件�,不掃描付費的商業用戶賬號����,但商業用戶對此并不清楚�����。為了避免繼續混淆����,Google 決定停止掃描所有 Gmail 用戶的郵件�����。Google 會繼續在免費賬號上展示廣告��,但不再是基于郵件內容,而是根據用戶的搜索歷史和 YouTube 瀏覽記錄等信息���。
37% 的人不喜歡語音助手:其中 Siri 最糟糕
北京時間 6 月 30 日早間消息,Adobe 周四發布的最新研究顯示����,雖然語音助手近幾年大紅大紫�,但用戶的實際使用體驗并不算好��。與機器人之間的對話有時令人感覺崩潰����,如果你曾經為了關燈而向 Alexa 大聲下達三次指令����,肯定對此深有體會。 總體而言���,這項研究有 37% 的受訪者認為,與語音助手的互動“不好”或“糟糕”��。給予其積極評價的人也達到 37%���,剩余受訪者將其描述為“還好”��。Adobe Digital Insights 分析師塔瑪拉·加夫尼(Tamara Gaffney)表示,語音助手的表現之所以差強人意,主要是因為蘋果 Siri�����,這款語音助手領域的后進生拖累了消費者對整個行業的預期���。這項研究也支持了他的論調:Adobe 對數十億條社交媒體的評論進行研究后發現�����,所有語音助手中��,Siri 得到的積極評價最少。
特斯拉聘請新 AI 研究總監�����,將深入強化學習領域
Elon Musk 聘請 Andrej Karpathy 擔任 AI 研究總監��,這或許表明特斯拉在自動駕駛發展方向上有了新的考慮�����。Karpathy 是可視化�、深度學習����、強化學習領域的專家。Karpathy 在可視化方面的專業知識無疑將成為特斯拉的重要資產�����,但他在強化學習上的經驗或許更具戰略意味�����。強化學習的概念源自動物的學習過程——動物總是通過不斷重復來學會某個行為。在之前圍棋界的“人機大戰”中,以強化學習為核心的 AlphaGo 成功擊敗韓國棋手李世乭����。在難以用編程提升 AI 時�����,強化學習成為了訓練 AI 的有力方式。譬如汽車制造商希望自動駕駛汽車能夠在極其復雜的交通狀況中做出正確的判斷,這是難以借助編程實現的�����,但通過強化學習����,自動駕駛汽車將學會在充滿挑戰的情境下該怎么做。Karpathy 在他的博客中指出,雖然強化學習還不能完全適用實驗室情境�,但采用新的方法和現實數據之后��,情況將有所改善。
吳恩達走上創業之路,新項目或與谷歌同場競技
6 月 23 日,人工智能領域發生了兩件大事:谷歌宣布成立新的風險投資基金,專門用于投資人工智能和機器學習領域的公司��;幾個小時后�����,人工智能和機器學習領域的權威學者吳恩達宣布成立創業公司����。
谷歌的風險投資基金已經確定了其首個投資項目:為西雅圖創業公司 Algorithmia 提供 1050 萬美元的資金�����,該公司希望建立一個算法的應用商店,類似于蘋果的 App Store�����,讓所有公司都能更容易的利用機器學習這一工具�����,優化公司各類業務流程�。
關于吳恩達這家神秘的 Deeplearning.ai����,雖然目前資料不多,但是據業內人士預測����,這家公司未來的方向似乎是要普及 AI 基礎設施:對研究人員來說�����,好的 AI 基礎設施可以大大提高其科研效率,對用戶來說��,則可以極大降低使用 AI 技術的門檻���。這也是谷歌新項目想要達到的目標。
國內首個人臉識別登機系統啟用
我國登機流程正逐步簡化���,繼部分機場試水身份證登機后,6 月 28 日����,南航宣布在南陽機場啟用國內首個人臉識別智能化登機系統,旅客在登機口刷臉即可驗證登機�。南航集團黨組成員��、副總經理韓文勝介紹,該公司在南陽機場啟用人臉識別智能化登機系統����,是為南航在北京新機場及其他機場的智能化實施推廣奠定基礎����。未來�����,南航將進一步推廣此技術的實際應用��。
蘋果云備份服務宕機 36 個小時
6 月 29 日,蘋果云備份(iCloud Backup)服務宕機已近 36 個小時��,導致一部分蘋果設備用戶無法使用此服務�,該宕機讓用戶無法創建新備份,也無法使用此前的備份�����。
蘋果公司的系統狀態網頁顯示�,該公司的云備份服務自從美國太平洋時間周二上午 8 時(編注:北京時間周二晚 11 時)開始宕機,到為北京時間周四上午 9 時 36 分仍未恢復正常�����。蘋果方面表示�,由于此次云備份服務宕機,約有近 1% 的用戶受到了影響�����,但考慮到有數百萬用戶在使用蘋果的云備份服務���,因此����,受影響用戶的數量可以忽略不計����。
不過,蘋果公司目前為止仍未能明確這次云備份服務宕機的具體原因,可以想像的是�����,蘋果工程師目前肯定在努力解決這一問題���。另外��,截至發稿時����,蘋果方面仍未就此次宕機時長發表評論意見�����,也未說明會在何時解決好這一問題�����。
參考線索
今日薦文
點擊下方圖片即可閱讀
技術漫談:為什么 Netflix 的企業文化會備受整個硅谷的推崇?
