share

share

1. 03:55 · Jan 26, 2024 · Fri

   纽约市将社交媒体归类为环境毒素
   
   2024-01-25 21:45 by 穿越时空的少女
   
   纽约市宣布，它是第一个发布建议将社交媒体指定为“环境毒素（environmental toxin）”的美国城市。纽约市市长埃里克·亚当斯（Eric Adams）在市情咨文演讲中，将社交媒体归类为“公共健康危害”和“环境毒素”，并表示必须保护年轻人免受网络“伤害”。“今天，阿什温·瓦桑博士（Ashwin Vasan，纽约市健康与心理卫生局局长）发布了卫生专员的建议，正式将社交媒体指定为纽约市的公共健康危害。”亚当斯说。这份建议称，纽约年轻人的心理健康状况“十多年来一直在下降”。2021 年的数据显示，在工作日，77% 的纽约市高中生每天在屏幕前花费至少 3 个小时，这还不包括做家庭作业。亚当斯称，TikTok、YouTube 和 Facebook“通过设计具有令人上瘾和危险功能的平台，加剧了心理健康危机。”
   
   https://tech.slashdot.org/story/24/01/25/0048202/nyc-first-to-designate-social-media-as-environmental-toxin
   https://www.thepaper.cn/newsDetail_forward_26138536
   
   #互联网

2. 03:43 · Jan 26, 2024 · Fri

   

   ×

   

3. 03:43 · Jan 26, 2024 · Fri

   

   ×

   

4. 03:43 · Jan 26, 2024 · Fri

   

   ×

   

5. 12:35 · Jan 23, 2024 · Tue

   黑客利用 VMware 0day 漏洞长达两年时间
   
   2024-01-22 16:24 by 凡尔纳地球三部曲
   
   安全公司 Mandiant 披露，黑客组织 UNC3886 至少从 2021 年开始利用一个去年 10 月才修复的 vCenter Server 0day 漏洞 CVE-2023-34048。黑客利用该漏洞入侵目标的 vCenter 服务器，窃取凭证，使用特制的 vSphere Installation Bundles (VIBs)在 ESXi 主机上部署 VirtualPita 和 VirtualPie 后门。然后他们利用 CVE-2023-20867 VMware Tools 身份验证绕过漏洞提权、收集文件，从客户虚拟机中渗出。
   
   https://www.bleepingcomputer.com/news/security/chinese-hackers-exploit-vmware-bug-as-zero-day-for-two-years/
   
   #安全

6. 17:59 · Jan 21, 2024 · Sun

   折腾效率工具的思考
   
   1
   
   之前我学习 ps 时看了很多视频，视频里都讲，快捷键没必要特别去记，之前慢慢用就会了。可事实上，如果不刻意去记忆，永远不会使用，永远只会用鼠标点点点。在一开始的阶段，还是得逼自己对着快捷键慢慢按，之后才能熟悉。
   
   无论是 markdown，还是各个软件快捷键的运用，都是需要大量记忆，刻意使用，绝对不存在说用久了就会这件事。把一个不会英语的成人，放在英文国家，放 10 年他都不可能学会英文。
   
   2
   
   工业革命之后，效率提升了一节，互联网的出现，效率又提升了一节。网上不少人讽刺效率挡，天天不写一个字，只知道研究效率工具。可这些好用的软件，明明能大大提升自己的效率，古代人研究一个课题，可能要在书房里看个几年的书，现在只需要通过软件检索，那为什么不用呢。
   
   在研究工作流时，一定会出现效率过剩的情况，就是使用效率工具的时间要比写内容的时间还长。可是每个人都要经历这样一个阶段，把所有的效率工具都使用一遍，才知道自己适合什么，先加法后减法。
   
   3
   
   在 YouTube 、少数派上学习效率工具可能不是好的选择。因为视频博主，他要做的就是把视频做出来，从如何输入到如何视觉化，博士是要做的是研究课题，如何写一篇论文。可你是博士生吗？你是视频博主吗？你的职业是什么，你具体要做什么事情，有只属于自己的效率工具。
   
   这些效率工具的推荐内容，只能借鉴，看看软件功能有哪些，自己是不是真需要。
   
   4
   
   如果本地只有 100 篇文章需要整理，那么相信我，你并不需要效率工具，等什么时候有一千一万篇文章，再去考虑使效率工具。就像一加一，并不需要按计算机，心算更快，但999*999，这时使用计算机效率就会更高。
   
   有些人要处理大量的文字内容，有些人要处理音频内容，有些人要处理视频内容，还有些人要处理论文，这些都是输入的部分，输出更多，可能是录播客、写播客、做视频、写一个课题。
   
   本地只有 100 篇文章，就想着未来如果本地有 10000 篇文章要怎么处理，如何优化。首先不一定都是文字内容，其次输出的目的还没有确定。过早的优化，满世界找效率工具，最后也不知道自己到底想要什么。
   
   要先有内容，通过需要处理的内容再去找效率工具。
   
   5
   
   不要幻想一个软件可以解决所有问题，大而全的软件只适合办公。大多数情况需要几个软件互相搭配使用，也不要使用一个软件只能解决一个问题。同时打开很多小软件，在软件之间频繁切换体验也会很差。
   
   6
   
   不要完全相信本地，也不要完全相信云。最好的方式应该是云端一份，本地一份。因为永远不知道电脑会不会死机或者硬盘坏死，也永远不知道云端的服务哪天会爆炸。
   
   哪天你储存的大量内容突然消失，本地想砸电脑，云端想杀人。

7. 03:06 · Jan 21, 2024 · Sun

   猫鱼周刊 vol. 008 通知服务大乱斗
   https://ameow.xyz/archives/weekly-008

   ameow.xyz

   猫鱼周刊 vol. 008 通知服务大乱斗 - 阿猫的博客

   我自己的通知服务heimdallr最近在进行一次比较大的重构，目的是让其符合 12 要素 App 以及支持多个通知渠道配置等，因此也调研了很多热门的通知服务和他们的实现。这期基本围绕通知服务展开。

8. 16:08 · Jan 19, 2024 · Fri

   电子屏幕上的阅读效果低于纸质书
   
   2024-01-18 23:00 by 少年侠
   
   过去几年美国青少年的阅读技能下降显著，部分人将之归因于新冠期间的远程教育。但新的研究指出了另一种可能性——日益渗透到生活中的电子屏幕。新研究发现，电子屏幕上的阅读效果低于纸质书，纸质书上的阅读能更有助于理解内容。研究人员做了一个脑电波实验：让学生在纸上和屏幕上阅读一段内容，同时用 EEG 测量他们的脑电波。结果显示，纸上阅读产生的脑电波模式与集中注意力更紧密相关。虽然研究只是展现出相关性，但今天的很多人都有类似的体验，电子屏幕太容易分心（电子书阅读器除外），有太多的东西能将注意力引导到其它地方。书籍则更容易让你沉浸下去。
   
   https://news.slashdot.org/story/24/01/18/0225255/a-groundbreaking-study-shows-kids-learn-better-on-paper-not-screens-now-what?utm_source=rss1.0mainlinkanon
   
   
   #科学

9. 16:05 · Jan 19, 2024 · Fri

   从经济层面对中国现状进行的一切分析和呼吁基本上都是南辕北辙：
   
   1/现在就是在新冷战，只是身在局中不会有一本未来的历史书告诉你：从南海造岛中美关系恶化开始，大家就逐渐进入了黑暗森林。
   
   2/在黑暗森林中，由于你不知道对方会不会先开枪，所以你只好先开枪。这是彼此失去信任以后的必然举措。
   
   3/冷战怎么开枪？互相掐脖子，消耗对方资源。
   
   4/因此现在的优先级不再是发展经济，而是确保未来被卡脖子时，可以自成体系独立的运转。
   
   5/在此前提下，很多看似不合理的东西都变得很好解释。
   
   6/高层提出双循环的意思从来都是：内循环必须保证，外循环随时可断。
   
   7/为什么强调发展农业？因为中国粮食对外进口依赖严重。被卡时这是死穴。
   
   8/工业制造产业链必须要补完，而且要把对非国产的核心依赖全部解除。
   
   9/金融圈这帮大V天天期盼刺激会来吗？反问一句：“该行业对内循环有用吗？”
   
   10/房价和汇率保哪个？汇率是资源，是弹药，房价是持有者对政府的债权。你说保哪个？如果放松一下就能保房价也不妨保一下，要牺牲汇率就算了。
   
   11/去杠杆，降低刺激，鼓励硬科技。因为以后的环境下本来就没有这些，只有靠技术领先才能生存。
   
   李蓓，洪灏之流从和平时期的经济发展经验去理解战时的发展思路，李蓓逼空，洪灏抄底港股🤣真是一言难尽。
   
   https://twitter.com/realliaohaibo/status/1748331673643815271

   X (formerly Twitter)

   real廖海波 (@realliaohaibo) on X

   从经济层面对中国现状进行的一切分析和呼吁基本上都是南辕北辙：
   
   1/现在就是在新冷战，只是身在局中不会有一本未来的历史书告诉你：从南海造岛中美关系恶化开始，大家就逐渐进入了黑暗森林。
   
   2/在黑暗森林中，由于你不知道对方会不会先开枪，所以你只好先开枪。这是彼此失去信任以后的必然举措。…

10. 15:36 · Jan 18, 2024 · Thu

    微软最新的 Windows 10 更新出错需要使用命令行修正
    
    2024-01-15 22:49 by 梦蛇
    
    微软上周二释出了例行安全更新，结果是很多 Windows 10 用户通过社交媒体报告遭遇了 0x80070643 错误。问题补丁 KB5034441 旨在修复 Windows 10 21H2 和 22H2 的 BitLocker 漏洞。微软称，0x80070643 错误代码可能并不正确，实际错误原因与恢复分区容量不足有关，“Windows Recovery Environment servicing failed. (CBS_E_INSUFFICIENT_DISK_SPACE)”。早期版本的 Windows 10 恢复分区比较小。修复该错误需要用户用管理权限打开命令提示符窗口，执行一系列命令，调整分区大小，将恢复分区大小扩大到 250 MB。用户抱怨 Windows 什么时候变成了 Linux。
    
    https://www.theregister.com/2024/01/12/microsoft_update_for_bitlocker_vuln/
    https://support.microsoft.com/en-gb/topic/kb5028997-instructions-to-manually-resize-your-partition-to-install-the-winre-update-400faa27-9343-461c-ada9-24c8229763bf
    
    #Bug

11. 12:05 · Jan 18, 2024 · Thu

    3人同时买同趟航班票价不同质疑大数据杀熟，飞猪回应
    
    近日，有乘客报料称在飞猪订机票时发现同一航班显示了差异巨大的不同价格，该乘客质疑大数据杀熟。1月18日，飞猪方面回应记者称，昨日起正在尝试联系视频中客户核实情况，不排除为代理商价格投放错误或视频中账号领取过大额优惠券，若消费者发现价格异常可第一时间联系飞猪处理。
    
    一一澎湃新闻

12. 00:16 · Jan 17, 2024 · Wed

    联合国报告称USDT是电诈和洗钱行业的核心
    
    根据联合国毒品和犯罪办公室周一发布的一份报告，Tether币（泰达币，USDT）是诈骗行业爆炸式增长的核心，其中包括虚假婚恋诈骗 —— 通常被称为“杀猪盘”。
    
    联合国毒品和犯罪办公室的杰里米·道格拉斯告诉英国《金融时报》：“有组织犯罪实际上利用新技术有效地创建了一个平行的银行体系，而松散地或完全不受监管的在线赌场的激增，加上加密货币，加剧了该地区的犯罪生态系统。”
    
    联合国报告指出，近年来，当局捣毁了几个负责转移非法Tether资金的洗钱网络，其中包括去年8月新加坡当局追回7.37亿美元现金和加密货币的行动。报告称，去年11月，在与美国当局和加密货币交易所OKX进行联合调查后，Tether 冻结了与东南亚“杀猪盘”和人口贩卖集团有关的价值 2.25 亿美元的加密货币。
    
    英国《金融时报》看到的文件显示，缅甸掸邦的一个也在柬埔寨开展业务的洗钱集团甚至在一条繁忙的街道上悬挂了一个标牌，宣传可用Tether币黑钱兑换现金。
    
    —— 金融时报

13. 12:26 · Jan 14, 2024 · Sun

    

    ×

    

    https://zhuanlan.zhihu.com/p/676267027?utm_psn=1728555680456441856

14. 12:14 · Jan 14, 2024 · Sun

    研究表明分布式社交网络服务高度集中在Hetzner
    
    研究人员通过统计“联邦宇宙”（fediverse）站点背后的机房服务商发现超过一半的流量最终指向了德国IDC运营商Hetzner的服务器。
    
    为统计更完整，研究者还设法获得了CDN背后的真实服务器地址。他通过建立一个新的域名和HTTPS服务器，向ActivityPub站点服务器发送签名请求，然后在公钥验证过程中关联返回的IP地址，从而获得了Fastly 和 Cloudflare背后网站的真实IP地址。这种方法使他们能够揭示Mastodon、GoToSocial和Akkoma实例的后端服务提供商。为防止滥用，研究者没有公开具体方法。
    
    研究者再根据这些站点公布的用户数量进而统计到特定服务商对应的用户数量，最终他发现德国服务商 Hetzner 承载着整个网络的 51% 以上的用户，OVH占10.7%，DigitalOcean 占3.3%，它们是“联邦宇宙”中最为重要的三大独立IDC运营商。Hetzner之所以占比如此之高，是因为它的服务中托管着mastodon.social这个庞然大物。但即便去除Mastodon（长毛象），Hetzner依然占有33.8%的用户。服务高度集中暴露了分布式社交媒体网络的脆弱性。 完整统计
    
    值得注意的是使用Cloudflare的“联邦宇宙”站点有近三分之一在使用家庭宽带连接后端服务器。
    
    [消息等级 Level C · 一般]

15. 23:24 · Jan 10, 2024 · Wed

    祝您2024年0月1日快乐

16. 23:24 · Jan 10, 2024 · Wed

    

    ×

    

    via 匿名

17. 08:23 · Jan 10, 2024 · Wed

    “安娜的档案”影子图书馆因出版商投诉而被意大利封锁
    
    2023年12月4日，意大利出版商协会 (AIE) 对安娜档案馆提出版权投诉。“网站‘安娜档案馆’自称是各种'影子图书馆'的镜像，声称拥有2500多万册图书和近1亿篇学术论文，通过传播每部作品的大量链接来提供这些内容。未经授权复制的属于意大利出版商的作品有几千件，”起诉书中写道。
    
    意大利数字服务局调查证实，投诉中列出的内容确实可以从安娜档案馆访问。 鉴于事实，调查人员认为这很可能是一起“严重的大规模侵权”案件。
    
    由于没有收到联系方的反诉，并且已确定该网站存在大规模侵权行为，因此向意大利 ISP 发出了通过 DNS 阻止禁用安娜档案馆的命令，如果安娜档案馆希望对这一决定提出质疑，他必须在二月中旬之前向意大利拉齐奥地区行政法院提交回应。
    
    —— Torrentfreak

18. 03:51 · Dec 30, 2023 · Sat

    德国研究人员破解特斯拉的辅助驾驶系统解锁埃隆模式
    
    2023-12-29 22:03 by 追光的孩子
    
    在本周三举行的 37C3 会议上，德国柏林工业大学的三名研究人员演示了对特斯拉汽车的电压故障注入攻击，使用价值约 600 美元的工具，对特斯拉辅助驾驶系统 Autopilot 使用的电路板诱导 2 秒的电压下降，获取系统的 Root 权限，允许研究人员从系统中提取任意代码和用户数据。研究人员甚至提取出一则已删除的视频，但因为还没有覆盖仍然能恢复。他们还解锁了强大的埃隆模式（Elon mode）。该模式允许特斯拉汽车在没有任何人类监督的情况下完全自动驾驶。特斯拉的 Autopilot 系统有不同的级别，提供不同的功能，其中 FSD（full self-driving）需要额外付费 1.2 万美元。对汽车的电压故障注入攻击允许研究人员免费解锁 Autopilot 的高级功能。研究人员对特斯拉汽车容易被攻击而感到吃惊。
    
    https://cybernews.com/tech/berlin-researchers-hacked-tesla-autopilot/
    https://media.ccc.de/v/37c3-12144-back_in_the_driver_s_seat_recovering_critical_data_from_tesla_autopilot_using_voltage_glitching
    
    #安全

19. 08:53 · Dec 28, 2023 · Thu

    

    ×

    

    “有史以来最复杂”的iPhone攻击链—利用四个零日漏洞创建了一个零点击利用程序
    
    在2019年至2022年12月期间，一种极其先进的iMessage漏洞诞生，最终被发现它的卡巴斯基安全研究人员命名为“三角测量行动”。现在，他们分享了他们所知道的关于他们“见过的最复杂的攻击链”。
    
    今天在Chaos通信大会上，卡巴斯基安全研究员鲍里斯·拉林、列昂尼德·别兹维申科和格奥尔基·库切林进行了一场关于“三角行动”的演讲。这是他们三人首次“公开披露了在高级iMessage攻击中使用的所有漏洞和漏洞细节”。
    
    研究人员今天也在卡巴斯基SecureList博客上分享了他们的所有工作。
    
    以下是包括用于获取受害者设备根权限的四个零日漏洞在内的完整复杂攻击链：
    • 攻击者发送一个恶意的iMessage附件，应用程序在不向用户显示任何迹象的情况下处理该附件。
    
    • 此附件利用了未公开的、仅限苹果系统的ADJUST TrueType字体指令中的远程代码执行漏洞CVE-2023-41990。该指令自九十年代初就存在，直到一个补丁将其移除。
    
    • 它使用返回/跳转导向编程和多个用NSExpression/NSPredicate查询语言编写的阶段，通过修补JavaScriptCore库环境来执行用JavaScript编写的权限提升漏洞利用程序。
    
    • 这个JavaScript漏洞利用代码被混淆处理，以使其完全无法阅读并尽可能减小其大小。尽管如此，它大约包含11,000行代码，主要用于JavaScriptCore和内核内存解析与操作。
    
    • 它利用JavaScriptCore的调试功能DollarVM（$vm）来获得从脚本操作JavaScriptCore内存和执行原生API函数的能力。
    
    • 它旨在支持新旧款iPhone，并包含了一个指针认证码（PAC）绕过功能，用于对近期型号的利用。
    
    • 它利用了XNU内存映射系统调用（mach_make_memory_entry和vm_map）中的整数溢出漏洞CVE-2023-32434，在用户级别获得对设备全部物理内存的读/写访问权限。
    
    • 它使用硬件内存映射I/O（MMIO）寄存器来绕过页面保护层（PPL）。这一问题已作为CVE-2023-38606得到缓解。
    
    • 在利用了所有漏洞之后，JavaScript漏洞利用程序可以对设备做任何它想做的事情，包括运行间谍软件，但攻击者选择：(a) 启动IMAgent进程并注入一个清除设备上的利用痕迹的有效载荷；(b) 以隐形模式运行Safari进程，并将其转发到带有下一阶段内容的网页。
    
    • 网页中有一个脚本，用于验证受害者，如果检查通过，就会接收下一个阶段：Safari漏洞利用。
    
    • Safari 漏洞利用 CVE-2023-32435 来执行 shellcode。
    
    • Shellcode执行了另一个以Mach对象文件形式存在的内核漏洞利用程序。它使用了相同的漏洞：CVE-2023-32434和CVE-2023-38606。就大小和功能而言，它也是庞大的，但与用JavaScript编写的内核漏洞利用程序完全不同。与上述漏洞利用相关的某些部分是这两者共有的。然而，它的大部分代码也致力于解析和操作内核内存。它包含了各种后期利用工具，这些工具大多未被使用。
    
    • 该漏洞获取了根权限，并继续执行其他阶段，这些阶段会加载间谍软件。我们在之前的帖子中介绍了这些阶段。
    
    标签: #Apple #零日漏洞 #iPhone
    频道: @GodlyNews1
    投稿: @GodlyNewsBot

20. 08:52 · Dec 28, 2023 · Thu

    免费提供Netflix剧集鸭奈飞网站作者被抓明日开审
    
    鸭奈飞影视公众号作者发声称，因提供免费 Netflix 剧资源，将于周五接受法律审判，可能面临 24 万元罚金或两年以上有期徒刑。作者表示，即便入狱，出狱后仍将继续坚持初心，将鸭奈飞带入合法合规的道路。
    
    —— 鸭奈飞影视公众号