Intel 這次的漏洞不得了,微軟、蘋果都得改寫系統才能修

這是這幾天的大新聞,覺得還是該留下些文字說明一下。

Intel 最近被批露了一項在中央處理器(CPU)的漏洞,該漏洞的影響範圍極廣,從大型數據中心的應用程式,到一般使用者有支援 JavaScript 的瀏覽器都會受到影響,而且市面三大主流操作系統 Windows、Mac、Linux 通通都有獎。

用簡短的話來描述這次漏洞的話,這個安全漏洞可以允許攻擊者在登入虛擬帳號 A 時,任意查看儲存在同一個物理區域的虛擬用戶 B 的所有資料,包含儲存的密碼與資料等機密資訊。

這個其實問題很大,尤其近年大家都習慣使用雲端伺服器,在一台實體機器上,同時擁有許多不同的虛擬機器或虛擬帳號,若他們之間可以互相查看,那實在相當糟糕。

而且這漏洞超級棘手,不是作業系統廠商改行程式碼可以解決,目前的解決方案都會造成系統效能大幅下降約30%,你說嚴重不嚴重?

閱讀:

目前各廠商的回應(等於從作業系統、虛擬機器、到瀏覽器全面都要進行修補):

TeamViewer與Chrome遠端桌面

要遠端控制另一台的電腦桌面,方法有很多,比如老牌的 RealVNC 或其他 VNC 家族,比如 RDP(微軟的 Remote Desktop Protocol)。
不過這類早期的遠端桌面軟體,連線時需要提供IP位址、port位址,在今天真實IP不足的情況下,一般家庭與大部分公司內網,都採用虛擬IP,甚至加上防火牆阻擋這類不常用的連線,大大增加了一般使用者的使用門檻。(還要去路由器或防火牆上先設定port轉址)

後來TeamViewer的出現,真正大幅降低了操作難度,透過官方的托管程序,使用者不用再管IP或port,只要照著畫面上出現的ID與密碼輸入就可以連線,也不用管防火牆的問題。當然這是見仁見智,越方便的東西就有可能造成越大的資安危害,對於有機密性的電腦(比如政府機關或企業內部),TeamViewer 就像繞過了所有防火牆的限制,試想如果駭客用某種方法得知了ID跟密碼,並且在你睡覺的時候也使用 TeamViewer 去連線你的電腦呢?在去年就傳出了不少TeamViewer被入侵的案例,使得駭客利用未登出的paypal帳號把信用卡的錢大量轉出,也造成各資安論壇的議論紛紛。[連結1][連結2]

撇開這些問題不說,TeamViewer實在是非常無腦又方便啊~~

BUT,人生最重要就是這個BUT,TeamViewer在長時間使用的時候,或者連線的電腦過多(超過50台),會被官方判定為商業使用,商業授權最便宜的方案是Bussiness,要台幣22900元,再上去則有Premium台幣45590元,還有Corporate台幣78888元。[詳官網]

不是我們不支持正版,個人家用版是免費的,但只要長時間使用(不管是不是在公司中使用),就可能被TeamViewer無預警改成商業授權,一開始會先進入商業版試用30天模式,時間到了也無法恢復成個人版模式,重新安裝也沒有用。解決的方式是聯繫TeamViewer客服,請求他們將登入ID的授權調整回來,但是很多網友說給客服的訊息常常石沈大海。[討論串] [官網說明]

當然網路上也有一些破解的方式,比如TeamViewer是依據網路卡號來認定目前使用的電腦,所以改了網路卡號就能重新安裝個人版,安裝完再把卡號改回來。當然這種方式我們不能鼓勵,而且重新安裝之後,仍然會因為使用用途不當再度被判定為商業使用,因此根本沒有解決問題。

幸好這世界很美好,還有很多其他的遠端連線方案,而且也是免費的,比如本文標題的Chrome遠端桌面,使用條件只需要被控端與主控端都安裝了Chrome瀏覽器及其擴充套件,安裝網址在此。[使用說明在此]。

它跟TeamViewer一樣,都是使用托管的方式,所以使用者不需要知道IP跟port,只要提供簡單的PIN密碼,就能完成連線。而連線的帳號則是自己登入Chrome瀏覽器的google帳號,比直接使用數字的TeamViewer,某種程度上更安全一點。

不過如果是使用Macbook(MacOS)電腦控制 Windows 電腦,會發生滑鼠失蹤的狀況,就是說滑鼠點擊有作用,但看不見滑鼠游標圖案,如果發生這種現象,只要隨意改變被控端隨意視窗的大小(讓滑鼠圖案發生改變),就可以恢復正常。[說明]

WPA2 加密機制爆漏洞, 五招自保以防Wi-Fi 上網遭偷窺

節略…

WPA2 是藉由授權與加密機制來確保 Wi-Fi 裝置及硬體的通訊安全。KRACK 攻擊如果得逞,駭客就能偷窺裝置與 Wi-Fi 無線基地台之間的網路流量。

根據科技新聞網站 Ars Technica 表示,美國電腦緊急應變小組 (United States Computer Emergency Readiness Team,簡稱 US-CERT) 在針對某些機構發出的公告當中指出,這批漏洞是發生在雙方進行交握 (handshake) 以產生網路通訊加密金鑰的過程。此金鑰只要被重新傳送多次,未來就能重複使用,但該金鑰原本應該只能使用一次。

  1. 定期更換 Wi-Fi 基地台密碼以減少這類攻擊的機會。
  2. 盡量別讓不相干的人搜尋到您的 Wi-Fi 網路識別碼 (SSID)。
  3. 啟用防火牆來增加一道安全防護。
  4. 採用虛擬私人網路 (VPN),尤其是從遠端存取企業資料時。
  5. 盡可能讓 Wi-Fi 裝置、基地台或其他硬體的韌體隨時保持更新,否則,在該漏洞修補之前,先改用有線連線。

最快的作法,就是改用有線網路(記得關閉無線基地台)。

[原文連結]

新版AlphaGo Zero 3天內超越前代 不靠人類經驗自行創造知識

兩代AlphaGo先後擊敗人類頂級棋手李世乭和柯潔後,Google旗下的DeepMind在短短5個月內,發展出新一代AphaGo,名為AlphaGo Zero,它在完全不靠人類圍棋經驗之下自學,並已超越了前代AlphaGo。
前兩代的AlphaGo都是從數以千萬計的人類棋譜學習圍棋,但AlphaGo Zero的起步就只有圍棋規則和一個空白的棋盤。

評論:原本的人工智慧需要大數據的協助,新版的人工智慧已經不需要利用現有的數據,他們會去摸索出所需的數據,並且自我訓練。

延伸閱讀:

Wi-Fi加密大崩壞-全球數10億裝置遭殃!

這次出事的是 WPA2,是一個已經使用14年的無線網路加密通訊協定,在過去被認為是安全的,不過雞蛋再密也有縫,而這次的漏洞由比利時魯文大學的資安研究員揭露,將使得所有 wifi 的使用者等同於裸奔,所有傳輸內容很可能被駭客看光光!甚至駭客可以攔截並竄改連線的內容,幫你線上購物刷卡或偽造身分。

但是要修補的對象是無線網路基地台之類的裝置,在更新系統上並不像一般PC作業系統那樣容易修補,所以想見未來幾年這個漏洞都會是駭客的最愛之一,影響相當深遠。

參閱資料: