在90年代初,安全-套接字层(SSL)加密是全新的一项技术,美国国家安全局(NSA)希望确保他们能读“安全”的网站流量由外国公民。因此,美国国家安全局得到了网景同意部署40位加密在其国际版,同时节省了更安全的128位版本的美国版本。到2000年,规则改变,所有的浏览器可以使用更高的安全性的SSL。但老不安全的代码仍在使用,十五年后的今天,它回来咬我们。
华盛顿邮报今天报导,从IMDEA,欧盟研究小组密码学家; INRIA,法国调查公司;和微软研究院已经发现,“他们可能会迫使浏览器使用旧的出口级加密,然后破解过来的短短几个小时的过程中,一旦破解,黑客可以窃取密码和其他个人信息,并可能在发动更广泛的攻击该网站由自己接管一个页面上的元素,如Facebook的“喜欢”按钮。“
具体而言,该集团,自称SMACK,状态机AttCKS,发现了较弱的“出口级”加密的支持仍然烤众多的Web服务器,浏览器和其他SSL实现。其中数以百万计的网站的人,或静止的,容易受到“FREAK”(保理的RSA-EXPORT键攻击)攻击美国运通,Whitehouse.gov,FBI.gov,以及 - 噢讽刺! - 美国国家安全局网站。
华盛顿邮报报道,卡菲基恩Bhargavan,INRIA的研究人员说:“我们认为,当然,人们使用它停了下来。”他们错了。
纳迪亚Heninger,宾夕法尼亚大学一个密码,告诉邮报,“这基本上是从上世纪90年代一个僵尸...我不认为任何人真正意识到人仍然支持这些出口套房。”
Heninger,谁一直在努力破解过时的40至512位的RSA加密密钥,发现“她能破解约七个小时出口级的加密密钥,使用亚马逊网络服务的计算机。”一旦完成,这使得黑客很容易使“人在这方面的中间人”的破解网站的攻击。
你猜怎么着?超过三分之一的“加密”网站,根据密歇根大学的研究人员亚历克斯J.和黑尔德曼扎基尔Durumeric大学做试验,是开放的怪胎攻击。具体来说,OpenSSL和苹果TLS / SSL客户端,如Safari网络浏览器很容易受到FREAK。当使用这些程序,这是比较简单的,从“强”RSA降级到易打破“出口级”RSA他们的“安全”的连接。
所有这一切都发生了,因为是马修•格林,约翰霍普金斯大学密码专家和研究教授,简洁所说的那样,美国国家安全局确信,早期的“SSL协议本身是故意设计被打破。”
而且,现在,它已经。只是,它现在开放给任何人基本密码破译智慧和容易获得的计算机资源被打破。关键的问题是,OpenSSL和Safari浏览器都包含错误,导致他们接受“RSA出口级按键即使客户没有要求出口级RSA。”
网站,只有一般来说创建每个会话建立一个出口级RSA密钥。他们,如Apache与mod_ssl的,然后再使用该键,直到Web服务器重新启动。因此,如果你打破一个网站一次,机会是你已经数天,数周,甚至数月破了进去。
许多是“FREAKable”的网站似乎是在内容分发网络(CDN)■如Akamai的。这就是为什么,例如,美国国家安全局网站是弱势的原因。 Akamai的正在努力修复它的Web服务器。
OpenSSL的问题,CVE-2015-0204,已经修补了最新的OpenSSL发行。 1.02。如果你还没有打补丁的OpenSSL最近,做到这一点。现在就这样做。请与您的操作系统的分销商或自己编译的代码。
苹果据报工作的问题,但没有补丁已经发布但对于Safari浏览器。现在,使用Chrome或Firefox浏览器。如果你使用的是Android设备上,你应该使用Android浏览器的Chrome浏览器,而不是在补丁程序之前,因为此时它已被释放。
好文章,需要你的鼓励
邻里社交应用Nextdoor推出重新设计版本,新增本地新闻、实时警报和名为"Faves"的AI功能,用于发现本地商户和地点。该应用与3500家本地出版商合作提供新闻内容,通过Samdesk和Weather.com提供天气、交通、停电等实时警报。Faves功能利用15年邻里对话数据训练的大语言模型,为用户提供本地化AI推荐服务,帮助用户找到最佳餐厅、徒步地点等本地信息。
Skywork AI推出的第二代多模态推理模型R1V2,通过创新的混合强化学习方法,成功解决了AI"慢思考"策略在视觉推理中的挑战。该模型在保持强大推理能力的同时有效控制视觉幻觉,在多项权威测试中超越同类开源模型,某些指标甚至媲美商业产品,为开源AI发展树立了新标杆。
英国生物银行完成了世界上最大规模的全身成像项目,收集了10万名志愿者的超过10亿次扫描数据,用于研究人体衰老和疾病过程。该项目历时11年,每次扫描耗时5小时,投资6200万英镑。目前已有8万人的成像数据供全球研究人员使用,剩余数据将于年底前发布。项目已开发出能预测38种常见疾病的AI工具,并在心脏病、痴呆症和癌症诊断方面取得突破。
这项由北京大学等多所高校联合完成的研究,首次对OpenAI GPT-4o的图像生成能力进行了全面评估。研究团队设计了名为GPT-ImgEval的综合测试体系,从文本转图像、图像编辑和知识驱动创作三个维度评估GPT-4o,发现其在所有测试中都显著超越现有方法。研究还通过技术分析推断GPT-4o采用了自回归与扩散相结合的混合架构,并发现其生成图像仍可被现有检测工具有效识别,为AI图像生成领域提供了重要的评估基准和技术洞察。