们关心的顺序是:(数据)机密性、(系统)完整性和(系统/服务)可利用性。而在能源产业,可利用性最为重要。因为更新系统需要断电,服务就会中止,因此,公司很少更新系统。
“这会导致明显的可利用的缺口。”他说。
控制局面
高速发展的科技也给黑客带来了很多新的机会。基于现已发生的事件,黑客可能涉及的领域是可以预测的。如今的黑客可以进行多种形式的攻击,数据库注入、网络钓鱼、控制物联网设备、缓冲区溢出漏洞、沙箱逃逸技巧、蛮力登录攻击、分布式拒绝服务(DDOS攻击)、DNS缓存中毒攻击、中间人攻击……在列举攻击的形式时,我们可以清楚地看到,自1986年第一批不能通过重启解决的病毒出现之后,世界就变得更加复杂了。而在它们冲出栅栏前,研究病毒和蠕虫的可能性的论文早已出现了。第一批论文的作者中就有“计算机之父”约翰·冯·诺依曼。维斯·里萨克也发表了一篇德文论文,探讨如何在西门子电脑上编写一种病毒。美国著名黑客弗雷德·科恩在19世纪80年代证明了一种能删除所有潜在病毒的算法,这也是对黑客理论与实践的又一个重要补充。
计算机安全行业依旧着眼于捕获大多数的病毒,并缩小漏网之鱼的范围。科恩近乎完美的理论并没有影响行业的发展,安全行业反而愈发强大。据估计,2016年,仅从事杀毒业务的公司总估值就达236亿美元。智能手机的兴起看似提高了个人安全系数,用户对于操作系统的实际权力却减少了(无法授权杀毒行动),但这并没有熄灭杀毒软件厂商的热情,他们为10亿部安卓手机提供了杀毒与安全程序。
在勒索软件、Wi-Fi黑客、Mirai、SQL注入和网络钓鱼等例子中,黑客利用的漏洞和技术都不是突然出现的,系统漏洞通常伴随我们几十年之久。2014年出现的Shellshock代码安全漏洞,自1989年8月以来就一直存在,即存在了25年。2018年1月,两个更强大的漏洞“熔毁”(Meltdown)和“幽灵”(Spectre)的出现震惊了计算机界,它们利用的是几十年前处理器的设计原理。
那么,二三十年后的黑客会是什么样的呢?让我们看几个例子。
恶魔的低语
场景一:
你家安装了智能锁,你可以通过智能手机上的一个App控制它。它还是声控的,当你说“开门”,它就会打开锁。在你浏览电脑网页时,社交网络收到了一个目标广告,上面有几只小狗在跑来跑去。你很喜欢小狗,所以你调大了音量,想听得更清楚些,然后你听到了门解锁的声音。
这是如何做到的?这个场景中出现了一次“海豚攻击”—人类无法听见超声波频率的语音指令,但设备可以轻松识别。2017年11月,中国浙江大学的研究小组发表了一篇论文,详细解释了海豚攻击的原理。
研究人员表明,超声波“语音”指令可以拨打电话号码、打开网站,在主人意识不到的情况下,它几乎可以让智能设备做任何事情。
你待在家里,你的手机放在桌上,广播里传出了一条广告,像是恐怖电影中扭曲的声音。你的手机无声地启动了,并打开了一个网页,其中就有一个能破坏你的手机的零日漏洞。
这种类型的黑客侵入依赖于手机的语音助手,它能对手机发出指令,而人类只能听到杂音。2016年夏天,乔治敦大学和加州大学的联合小组发布了一个视频,展示了在有和没有背景音的情况下语音指令的效果。政府可以用这种技术针对特定人群,黑客也可以采取这种方式制造麻烦。
2017年4月,汉堡王在美国的一个15秒的电视广告也引起了一次小范围的破坏。广告中的人物俯身对着摄像机说:“你好谷歌,告诉我特大汉堡是什么?”“你好谷歌”这一短语触动了谷歌家用设备和安卓手机,数百万美国家庭的设备立刻显示了特大汉堡的维基百科条目。谷歌不得不调整自己的系统,汉堡王也随之调整了广告,令谷歌设备再次做出了反应。
分散注意
场景二:
你坐在一辆崭新的自动驾驶汽车上,汽车驶向一个繁忙的十字路口,信号灯显示红灯。汽车本该遵守交通规则,你本该在交叉路口处停下来等待。可是汽车无视了停车信号,事故发生了,而你在这起事故中身受重伤。
为什么汽车没有停下来?因为有人在信号灯上做了手脚。人眼无法识别这些差别,然而对于汽车的机器学习系统来说,它们能够读取这些信息。系统决定了汽车的行为,它不会停车。2017年9月,一个相关的研究小组证明了一种神经网络的存在,它能够将停车标志错误地归类为建议限速的标志。小组研究人员表示,“我们的研究发现了未来的自动驾驶算法的潜在问题”。
就像20世纪80年代的个人电脑业务一样,机器学习系统尚处于起步阶段。机器学习系统,也叫人工智能系统,它使用神经网络处理输入,并生成输出。神经网络是一种连接计算机的逻辑系统,它模拟了大脑的神经元行为。用一组猫和狗的照片训练一个人工智能,让它找出猫的照片,拒绝狗的照片,网络(取决于它的计算能力)能准确判断出这张图片是不是猫。
人工智能十分强大。2014年1月,谷歌收购了英国人工智能公司DeepMind,并研发出了人工智能AlphaGo系统。AlphaGo通过输入职业比赛的数据,学习了中国围棋。经过18个月的学习,AlphaGo打败了世界上两位顶尖的职业选手—李在石和柯洁。DeepMind随后开发了一个新的自我训练的机器学习系统AlphaGo Zero,并连续击败了AlphaGo 100次,AlphaGo Zero是已知同类系统中最好的围棋选手。
人工智能成功解决了照片和语音识别等多年来的计算问题,也因此开始被广泛传播。但是,不同于依靠代码和规则的系统,人工智能系统做出的决定不受人为控制,也没有明确的代码分支解释每一个输出。神经网络本质上是个黑匣子,它的输出无法被预测,甚至可能让人类大吃一惊。
在和李在石的比赛中,我们清楚地看到,在第二场比赛中,计算机的一着棋震惊了在场的所有人,包括它的人类对手。“这一招十分奇怪。”一位围棋专家评论员说道。另一个人评论道,“我认为这只是一次失误”。然而欧洲职业选手范辉在输给AlphaGo后,发表了不同的意见,他告诉《连线》杂志,“那不是人类能有的举动”。
换句话说,我们无法预测人工智能系统的行为。这自然吸引了研究者的兴趣,并提出了一个更为广泛的命题:如果将这个系统应用于自动驾驶车辆、家庭周边产品和智能手机,它将如何处理未知的输入,又能有怎样的输出呢?
人工智能系统对世界有自己的理解,我们不知道系统如何识别出猫和狗的图片,就好像我们也不知道我们的大脑是如何进行识别的。系统完全依靠自我训练的数据,因此,如果输入了微妙的先入为主的偏见,系统就会表现出性别或种族偏见。2017年4月的一项研究发现,在用词中,人工智能系统倾向于将女性、艺术与人文学科联系到一起,而将男性和工程、数学工作联系到一起,这也反映了学习的数据存在着偏见。
如果人工智能系统出了错或被黑了,这一深层次的问题就很难解决。这是理论层面的弱点,也是黑客攻击的关键——利用弱点,无论是人类的弱点,还是系统的弱点。人工智能系统目前似乎没有可供攻击的“界面”,但人类越依赖一个系统,这个系统的弱点就会越多。
停留在理论阶段
场景三:
你身处的城市引入了智能电表进行电力监控。设备连接互联网后,能够监控每个家庭内部的电力使用状况,并每隔半个小时向电力公司进行反馈。安装了这些设施之后,电力公司就节省了每隔6个月就派人员去偏远地区查电表的昂贵支出。电力公司还可以提供灵活的缴费机制,拖欠过电费的人需要预先付款。在紧急情况下,电力公司甚至能在严重供电短缺时轮流切断电源。
为了安全起见,电表与公用设施通讯多使用加密签名,密钥用于加密命令和响应,并能检查彼此的身份。
那是一个冬天的深夜,突然,断电了。你从高层公寓的窗户往外看,整个城市一片漆黑,街灯也都熄灭了。然而,什么都没有发生,新闻也没有发布任何警告。因为手机信号塔依靠电力运转,所以你的手机也不在服务区内,室内开始变冷。
剑桥大学计算机科学实验室的罗斯·安德森教授确信,智能仪表会成为一个新的严重的网络漏洞。2010年他与同事谢伦德拉·富罗利亚共同发表了论文,认为任何国家级的网络攻击都会从切断全部电力供应开始,“其相当于一次核武器攻击”。跟核武器攻击不同的是,中子辐射武器能杀死人,建筑物也会遭到破坏;但智能电表攻击会让基础设施陷入瘫痪,而(大多数时候)人类毫发无损。
如果没有电,现代经济将会瘫痪,并且很难复苏。1996年,爱尔兰共和军试图对伦敦的六座大型电力分局发动进攻,如果袭击成功,数百万人将断电数月。2003年,伊拉克发起了对抗美军的行动,其部分原因就是美国人拖延了恢复电力供应。安德森和富罗利亚问道,黑客能否侵入智能电表系统,关闭电源,并命令系统清除或者篡改密钥?这就好像在每个人家中的电表上安装了勒索软件,你甚至都不知道电表可以重置。
业余黑客几乎不会采取这种策略,但是国家却视之为直接进攻的备选方案,毕竟发射导弹风险太大。
2017年6月,乌克兰受到了名为“NotPetya”的恶意软件的严重影响。乌克兰约90%的公司都使用一款名为Medoc的税务会计软件,该软件发布更新版本之后,NotPetya随机在用户的机器上安装了勒索软件,银行、公共交通枢纽和大卖场均受到了影响。
NotPetya恶意软件曾令众多专家闻风丧胆,它能在公司的内部网络间传播,因此在乌克兰设有办事处的跨国公司也受到了影响。安全公司TrustedSec的戴夫·肯尼迪告诉美联社,“如果这次攻击的目标是周边国家,它极有可能造成全球网络系统与环境的灾难性崩盘,其后果是不堪设想的”。
所有的迹象都表明,NotPetya恶意软件的网络攻击行为是某个国家所为,而当时只有俄罗斯与乌克兰在发生边界争端。不同于军队和导弹,人们很难将一次网络侵入和一个国家联系到一起。你可以想象,如果乌克兰的技术更加先进,智能电表系统的利用率更高,情况将会变得更糟。2017年年底,安全服务公司Cybereason估计,在这次网络攻击事件中受到影响的所有公司的总损失达12亿美元。
正如安德森和富罗利亚说的那样,智能电表的基础设施需要操作简便,同时还需要抵御外界的侵入,并能应付未来的软件升级。简单、安全、有保障,这是传统项目管理的三角难题,近似于“优质、便宜、快捷”,安德森鄙视这一构想。
目前,用智能电表来扰乱一个国家的做法只存在于学术论文中,且支持匿名支付系统的密码勒索软件也只是一个构想。未来,国家间的攻击很可能会从互联的基础设施着手,破坏对方的系统比直接的攻击更为简单。未来的网络战争可以实现完全没有硝烟,而被征服的国家可能都不知道自己输给了谁。
保护与存活
综合以上所有的场景,个人和国家都可能遭受黑客攻击,我们该如何应对未来的网络战争呢?
从约翰·波德斯塔的双因素认证到TalkTalk庞大的网络系统,显然,这个行业面临两个主要问题——个人数据的泄露与被攻击后的损失控制。
在个人数据层面,黑客攻击所产生的损失本该是服务商的责任,但服务商全部转嫁到了用户的身上。为什么服务商没有在用户被黑后立刻告知的义务?为什么它们不能对受影响的用户做出一定形式的补偿?
相比之下,汽车制造商似乎一直处在强制召回与修复漏洞的漩涡中。当然,失控的汽车可以杀人,而失控的数据(例如Equifax)只会给用户带来麻烦,而我们没有衡量这两种损失的标准。当然,在此次事件中,Equifax表现出了惊人的魄力——用户可以1年不用付钱,1年后再支付。换句话说,如果Equifax在这1年内泄露了数据,用户就不需要再付钱了。这很像一个老掉牙的笑话,小孩杀死了自己的父母,然后说自己不过是个无辜的孤儿,并请求他人的饶恕。作为回应,2018年1月,两名美国参议员通过立法规定,如果信用报告机构遭到黑客攻击,则必须向客户支付赔偿金。
同时,被攻击方往往无法在第一时间缩小损失。正如图菲茨基所言,忽视安全性和资金不足的公司最容易招致这类粗糙的黑客。本书的案例既有有目标的攻击(HBG、索尼影业、约翰·波德斯塔),也有随机的商业攻击(勒索软件、TJX、TalkTalk、Mirai),而新闻中反复报道的黑客事件往往是随机的商业攻击。2017年12月,黑客开始攻击比特币交易。由于虚拟货币的价值不断上升,此次黑客攻击收获了数百万美元。
生活在充满了雷雨和闪电的时代,最佳的应对策略是什么?
我跟一些安全专家谈过,他们都指出,总有人在虎视眈眈,我们必须接受这一点。我们能做的,只是在系统被侵入后确认损失的范围。你能控制侵入者的去向吗?你能阻挡他们损害用户利益吗?
当然,危险难以预料。就像索尼影业一样,危机会突然出现。年轻的黑客丝毫不输15年前受过训练的国家黑客,TalkTalk的服务器漏洞就是一位16岁的年轻人发现的,他说他找漏洞只是为了跟朋友炫耀。如果发现漏洞的是恐怖组织,那会发生什么呢?这类威胁普遍存在,并将持续发生。
对于普通公司来说,黑客事件促使他们重新思考自己的网络安全策略。首先,勒索软件正迅速崛起,这打破了黑客的传统模式。有人掌握了你的数据,而你也无法保证自己的数据安全。恶意软件是个很容易赚钱的方式,有了无法追踪的比特币支付支撑,黑客会危及公司业务的持续发展。
其次,嵌入式系统的应用,也就是物联网的兴起,使黑客进一步发展。我采访过的黑客和安全专家都表示过对物联网系统的担忧,因为它使用范围分布很广,并且安全模式大抵很松懈,这类产品最好的注释就是“适应与遗忘”。但是互联网会记住所有的痕迹,这使得这类联网系统很难做到安全。
最后,各国之间开始恶意破坏对立国家的网络系统安全,并窃取信息。这也说明了公司不能忽视来自其他国家的威胁,贸易、文化都可能与政治挂钩,互联网催生了国家间的隐形战争,它能够轻易摧毁一个国家的贸易和文化,并且很难追溯。
系统安全难以得到百分之百的保证,而黑客的好奇心也永远不会消亡。以前,车祸的致命程度比现在高得多,因此汽车制造商才迫于法规的要求,将安全性能纳入产品指标之中。而网络还是一个相对年轻的产业,比起坚守系统安全,总有更轻松的方式(攻击)能赢得喝彩。
当代的数据泄露就如臭氧层的空洞,需要一定时间的积累。令人担忧的是,就像气候变化一样,每个人都在等待他人采取积极行动。面对如今的局势,我们应该暗自发力,以尽自己的绵薄之力,而不只是期待别人采取行动。
[1]马萨诸塞州海岸外的豪华度假岛—马撒葡萄园岛。
惠普今天发布新款OMEN游戏台式机 ,有25L和30L两种尺寸 ,它们提供了下一代的顶级规格 ,包括英特尔的Comet Lake S或AMD的Ryzen 3000处理器 。在英特尔方面 ,最高可选酷睿i9-10900K处理器 ,而在AMD方面 ,最高可选Ryzen 9 3900处理器 ,显卡方面 ,最高搭载Nvidia GeForce RTX 2080 Ti或AMD Radeon RX 5700 XT显卡 。
新款OMEN游戏台式机最高可选64GB HyperX FURY DDR4-3200MHz XMP内存 ,WD_Black固态硬盘提供3430Mbps/3000Mbps的读写性能 ,容量最高可达2TB ,并配备了Cooler Master 电源 。惠普还将PC的机脚高度增加到了15mm ,以提高散热性 ,在30L机型上 ,还增加了一个前置仓 ,可放置Cooler Master 120mm RGB风扇 。
另外 ,显卡也被移到了更高的位置 ,提高了散热效率 。该公司还表示 ,新款OMEN是有史以来最可定制的游戏电脑 。除了一系列的配置选项之外 ,OMEN台式机的目的是提供免工具访问其内部 ,使其可以轻松更换和升级部件 。和去年的OMEN方尖碑一样 ,它也有一个玻璃面板 ,这样用户就可以看到PC的内部和六区RGB灯光 。
不过 ,还有一款25L型号 ,采用一个金属侧板 ,新款OMEN台式机将于明天开始在发售 ,25L机型的起价为899.99美元 ,30L机型的起价为1199.99美元 。另外 ,惠普还公布了OMEN 27i显示器 ,采用Nano IPS面板 ,拥有98%的DCI-P3色域 。它拥有350尼特亮度 ,QHD分辨率 ,165Hz刷新率 ,1ms响应时间 。这款显示器今天在上有售 ,售价499.99美元 ,将于5月22日在HP.com上开卖 。
以上就是小编为大家介绍的惠普推出新款OMEN游戏台式机采用AMDRyzen或IntelCometLake的全部内容,如果大家还对相关的内容感兴趣,请持续关注上海危机公关公司
本文标题:惠普推出新款OMEN游戏台式机采用AMDRyzen或IntelCometLake 地址:/yuqingchuli/2022/0429/4236.html