yujiahan

yujiahan 查看完整档案

填写现居城市  |  填写毕业院校  |  填写所在公司/组织填写个人主网站
编辑
_ | |__ _ _ __ _ | '_ \| | | |/ _` | | |_) | |_| | (_| | |_.__/ \__,_|\__, | |___/ 该用户太懒什么也没留下

个人动态

yujiahan 赞了文章 · 2月20日

社区一周年 | 周年好文回顾

Alt

眼看着,在家办公的第一周就要结束了

在家办公的每一天是不是和想象中的有些不一样?

一边刷手机一边晨会

一边刷手机一边群聊

一边刷手机一边工作

一边刷手机一边吃饭

一边刷手机一边睡觉

......

远程办公的这几天,你总共被@了多少次?

又有多少信息没有来得及回复呢?

Alt
来自我司小仙女的手机截屏

相信不少人当下都是沉浸在各种文字流视频流里

不断刷新着手机里的各种信息

当放下手机,已是深夜

你也许会认为这是我们花了太多的时间在手机上的原因

但其实这并不是长时间使用屏幕的问题

而是碎片化的屏幕使用方式,让工作和生活都变得难以专注

因此,今天我们特地将过去一年中技术社区发过的内容

帮大家做了一个全方位的盘点

我们理解工作与学习远没有刷视频、玩游戏来得那么高兴

但我们依旧希望近期被淹没在各种信息里的你

可以在这里,看完这些内容后拥有清晰的获得感和安全感

而不是无边际的空洞与焦虑

TOP 10 电子设备散热技术详解

随着5G、人工智能、物联网、智慧城市的蓬勃发展以及大数据、云计算技术的深入发展和应用,作为数据计算、存储或连接交换的基础支撑与驱动技术进步的基石,数据中心是中国推进新一代信息技术产业发展的关键资源,数据中心的发展将持续强劲增长。

Alt
服务器能力的递增,随之而来的就是整体功耗的上涨;而机房布局面积限定与机架尺寸限定使得服务器的体积不能有太大的变化,要在有限的空间里装进无限可能,服务器只能在“功耗胖子”的路上越走越远·····

功耗的增加必然会导致服务器的散热需求的增加,那么这个越来越胖的家伙怎么才能进行有效地散热呢?

🔗点击阅读原文

TOP 9 如何搭建视频点播网站

视频点播是二十世纪90年代在国外发展起来的,英文称为“Video on Demand”,所以也称为“VOD”。顾名思义,就是根据观众的要求播放节目的视频点播系统,把用户所点击或选择的视频内容,传输给所请求的用户。视频点播业务是近年来新兴的传媒方式,是计算机技术、网络通信技术、多媒体技术、电视技术和数字压缩技术等多领域融合的产物。目前,在完善的技术平台支持下,通过互联网向用户在线流畅的发布视频作品成为主流

Alt
视频点播网站建设分为域名的注册、服务器的准备、视频资源的准备和网站的搭建几个部分,本文详细地介绍了如何进行小型视频点播网站的搭建,为小型企业或个人用户提供了指导与帮助。

🔗点击阅读原文

TOP 8 从概念到架构——详细解析态势感知系统

安全态势感知可以理解为客户的安全大脑,是一个集检测、预警、响应处置为一体的大数据安全分析平台。其以全流量分析为核心,结合威胁报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,实现威胁可视化、攻击与可疑流量可视化等功能。可有效帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。

Alt
企业级用户一旦遭受攻击威胁将直接影响业务正常运营,造成难以计量的严重后果。而企业和组织对自身业务及其对应的安全威胁的感知与发现能力不足,是网络安全问题不断、安全响应和处置严重滞后的关键短板。

🔗点击阅读原文

TOP 7 重磅|京东云区块链数据服务(BDS)正式开源

BDS是国内首款提供区块链数据在线分析服务的开源产品,也是完成国家网信办区块链信息服务备案的唯一一款产品。通过BDS,用户可以方便快捷地查询主流公链的全节点实时数据,提供了一个交互式的数据可视化 BI 工具,支持通过点击和拖拽的交互方式进行简单的条件查询和自行编写 SQL 语句的方式执行复杂查询;并且能够实时生成各类数据报表、图形化界面,满足小白到极客用户的区块链公链数据查询及使用需求。

Alt
如何将多个区块链项目的信息孤岛连接起来,将无序、离散的区块数据整合成有序、可方便查询的关系型数据,将链上透明、共识、可信的数据和信息聚合在一起,提供分析、建模服务,赋能产业互联网发展,是区块链技术产业价值的重要体现,也是京东云BDS产品的目标。

🔗点击阅读原文

TOP 6 京东网络开放之路——自研交换机探索与实践

自从软件定义网络(SDN)出现以后,市场对白盒交换机的需求越来越大,特别是超大规模云服务提供商的出现,其自建云数据中心将需要大量的白盒交换机。白盒交换是SDN的副产品,它是将物理网络交换机硬件和网络操作系统(NOS)进行解耦的结果。

Alt
相比传统商业交换机,白盒交换机具有更好的开放性和灵活性,解决了运维管理方面的诸多痛点,随着SONiC的不断完善和白盒交换机市场的成熟,京东基于SONiC研发了自己的白盒交换机,更加适合京东数据中心的应用场景,为整体基础设施提供更好的服务和支持。

🔗点击阅读原文

TOP 5 API网关,让您和Serverless再近一步

从软件行业诞生之日起,技术和业务总是相辅相成。业务的创新促进着软件架构从最早期的单体架构、分布式架构,转变到了如今火热的微服务架构,以及云时代下诞生的Serverless架构。API网关作为单体应用和微服务架构中流量的入口和API的管理者,对于Serverless架构来说依然扮演着重要的角色。

Alt
未来,京东云与AI API网关还将提供基于微信小程序、京东小程序的鉴权方式,同时对外开放API中心,促进API商品化,为您在企业Serverless的进程中提供尽心尽力的服务,帮助您的企业和业务更好的利用云计算的浪潮提高效率,实现价值!

🔗点击阅读原文

TOP 4 微服务基础——厉害了!API网关

微服务刚刚诞生的时候,人们将服务进行拆分,实现服务之间的松耦合,并且每个服务有专门的团队维护,然后客户端直接和各个子服务进行交互。比如,订单,商品,会员服务。

Alt
当引入API网关后,API网关接管了所有的入口流量,就像nginx,将请求路由到对应的后端服务。这样客户端无需关心后端服务地址,只需调用网关即可。不仅如此,网关还针对这些流量做了功能的扩展,包括鉴权、限流、日志监控、告警、访问控制、协议转换等功能,这样后端服务只需关注自身的业务逻辑。

🔗点击阅读原文

TOP 3 DevOps专题 |监控,可观测性与数据存储

对于DevOps而言,监控是其中重要的一环,本文从另一个角度探讨了互联网工程技术领域的监控设计(monitoring):系统的可观测性(observerbality)。

Alt
对工程师而言,监控/可观测性工程存在的意义,是帮助工程师发现问题,定位问题,解决问题。

对系统自身而言,这些工作都是通过数据的采集/存储/分析,以及进一步迭代来完成。

🔗点击阅读原文

TOP 2 异构去堆叠 | 一种完美提升网络高可用SLA的方案

近几年来云市场迅速发展,越来越多的用户把关键应用甚至全部应用部署到公有云上。云服务商在产品收入快速增长同时,也深刻体会到产品的高可用性对用户发展和用户留存的重要性。面向用户的产品SLA的实现效果取决于其依赖的各个环节,而基础网络是所有产品需要依赖的一个重要环节,因此,提升网络高可用SLA对整体提升产品整体SLA有着重要促进作用。

Alt
本文通过详解京东云与AI在异构去堆叠提高网络高可用SLA方面的新技术研究。为面临同样问题的用户提供了一个很好的参考案例,使得有提高网络可靠性需求的用户可以在自有网络中考虑参考使用类似方案。

🔗点击阅读原文

TOP 1 这大概是今年介绍云原生最清晰明了的文章!

计算机领域每过几年都会产生一些新的概念出来,网格计算、云计算、物联网、微服务、区块链、边缘计算…… 每一个新概念都很难从名称直接看出来它的含义,所以一开始大家都会问到底什么是X计算,几年后再说起X计算大家却似乎都知道了,但是如果让他们解释一下,大多数人还是会解释不清楚。

Alt
正如文章题目,本篇内容从概念到构成再到应用,深入浅出且非常清晰地为大家介绍了云原生。

相信看完,你也许依旧在云里,但对于云原生一定不会再云里雾里。(这是一个不成熟的冷笑话......)

🔗点击阅读原文

Hold on

Hold on

Hold on

Alt

还有彩蛋!?

Alt

每一种数据库都有着自己的独特风格和个性,如果把数据库与比作漫威中的超级英雄,你觉得它们都会是谁呢?来自“MaNong Studio”(程序员影业)的“数据库之战”为大家做了详细盘点——《数据库之战| 寻找你心中的数据库漫威英雄》

🔗点击阅读原文

英雄是在危难时刻被推出来不怯场、有技能的平凡人。希望我们都能好好积累,为成为英雄而时刻准备着。

欢迎点击“京东云”了解更多精彩内容

Alt

Alt

查看原文

赞 1 收藏 0 评论 0

yujiahan 赞了文章 · 2月18日

我为什么要做一个没人阅读没人点赞的公众号?

image

首先,这是日更的第137天了……

跟思否上写了十几万字的大神来说,真是九牛一毛,无法媲美。

但是,只有坚持日更的人才会懂吧,坚持有多不容易,尤其是一天十几次打开思否,发现所有的文章阅读量都还只是一位数,更别提点赞了,真是凤毛菱角,有时候,傻傻的坚持,只感动了自己。

当然,公众号的阅读量也同样惨淡,哎。

我算是很早就接触到了微信公众号了,应该是16年,但那个时候啥也不懂,更万万不会想到,这会是一个巨大的风口,多少人因为这个实现了财务自由,或者说是职业自由。

现在想想,如果16年就开始坚持写文章,现在的命运会不会完全不一样?

所以说啊,人生缺的根本就不是机遇,而是识别机遇的眼光。

当然,后面几年也因为各种各样的原因没有再度迎风而上,没准那时候也能赶得及做一个风口上的小猪,哈哈哈。

如今到了19年年中,无数人都在说:自媒体红利期早已过了,现在做自媒体根本做不起来。

但是,还是想试试,人生没有太晚的开始,哪怕你已经到花甲岁月、年过古稀。

所以,为什么不试试呢?

image

但是,结果真的啪啪打脸。

连续注册了一些自媒体的APP,包括简书、头条、掘金、思否、知乎、博客园和微信公众号,写了几篇文章,没有阅读,每天都在想:这样到底有没有意义呢?就这么差劲吗?耗在这上面是图什么呢?

然后,开始想一些歪路,加了一些互阅互粉的群,妄想增加一些关注度,结果证明,带有目的性的互粉都是耍流氓。

甚至有一些人一上来就发一个自己的公众号二维码,赤裸裸一句:互粉请回复,不回复直接取关!

呵呵算了吧,还是取关吧,我实在不需要你这样的假粉丝,而且,我也不想关注你的公众号。

但同时,在另一些自媒体交流群里,看到的是一些年纪比我轻,经验比我低的人,有的甚至刚刚读大学。他们利用业余时间,更新着自己的公众号,不套路,不矫情,只发一些自己的心情感悟或者生活趣事。

然后,有些怯生生地说:求阅读,希望大家给点意见哈!

每个人都在以自己的方式,用文字来抵抗这个世界,试图告诉所有人:你看你看,你们都说自媒体红利期过去了,可是,我做到了!

希望,所有还在默默坚持的朋友,都能有这份初心吧!

image

希望自己还能默默坚持日更吧,哪怕再过半年、一年,还是没有多少人看,就算是给没及时抓住机遇的自己一个交代吧!

共勉!希望所有默默在坚持的朋友,最后都能实现自己最初的梦想!

也欢迎小伙伴们过来交流交流心得和经验,风雨中,做个同行人。

image

记录生活,其实也并不孤独。一个热爱生活的人,必定热爱记录生活。记录每一天的点滴琐事,沉淀每一刻的生活感悟,分享每一秒的喜怒哀乐。

记录工作,每天总结经验。不断总结、反思,每天进步一点点。1年后或者n年后,或许你会突然发现,自己甩别人几条街。是不是有一种柳暗花明的感觉,康庄大道就在眼前!

经典前端面试题每日更新,欢迎参与讨论,地址:https://github.com/daily-inte...


更多angular1/2/4/5、ionic1/2/3、react、vue、微信小程序、nodejs等技术文章、视频教程和开源项目,请关注微信公众号——全栈弄潮儿

image

查看原文

赞 1 收藏 0 评论 0

yujiahan 收藏了文章 · 2月17日

再揭秘一场阴谋!半岛APT“趁势之危”对我国商贸相关政府机构发动攻击!阴险狡诈!

​屋漏偏逢连夜雨,船迟又遇打头风。
祸不单行!

【导读】1月14日,微软正式宣告Windows 7系统停止更新。此次停服,引爆全网危机,不仅顺机突发全球首例复合0day漏洞——“双星”漏洞,令国内超六成用户曝光在其阴霾之下;更有别有用心者“趁势追击”,利用“双星”发动猛攻。近期,作为全球首家捕获该漏洞的狙击者——360安全大脑继续对其分析溯源,判定:“双星”漏洞已被活跃近十余年的半岛APT组织Darkhotel(APT-C-06)所利用,并瞄准我国商贸相关的政府机构发动攻击。针对此事,本文,不仅对事件进行了抽丝剥茧、逐层深入的分析,更首次独家揭秘了该APT组织,阴险、刁滑、狡诈的攻击手法。
  
在开启正文前,先向读者交代下背景:

2020年1月14日,微软正式宣告Windows 7系统停止更新。

在Win 7正式停服关键节点的首日,360安全大脑就在全球范围内捕获首例时利用IE浏览器和火狐浏览器两个0day漏洞的复合攻击,由于是全球首家捕获到此次攻击,360安全大脑将其命名为“双星”0day漏洞攻击,其编号分别是:CVE-2019-17026(火狐)和CVE-2020-0674(IE)。

“双星”漏洞不仅影响了最新版本的火狐浏览器和IE浏览器及使用了相关浏览器内核的应用程序;值得警惕的是,该漏洞可致使用户在毫无防备的情况下,就被植入勒索病毒,甚至被黑客监听监控,执行窃取敏感信息等任意操作,其威胁性可谓是史无前例。

然而,别有用心者仍在“趁势之危”。近期,360安全大脑经分析溯源判定:“双星”漏洞不仅已被活跃十余年的半岛APT组织Darkhotel(APT-C-06)所利用,更是针对我国商贸相关的政府机构发动主要攻击。

又一起针对我国的APT攻击,此次攻击者是“何方妖孽”?

Darkhotel(APT-C-06),中文名为黑店。是一个有着东亚背景,长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。其相关攻击行动最早可以追溯到2007年。2014年11月,被卡巴斯基实验室的安全专家首次发现。此后,360高级威胁团队就对该团伙的活动一直保持着持续跟踪。

2018年4月,360安全大脑就曾在全球范围内,率先监测到了该组织使用0day漏洞进行APT攻击。从其溯源分析报告来看,该APT组织瞄准中、俄、日、韩等国政府及组织机构或企业单位,尤其针对中国重点省份外贸企业单位和相关机构展开攻击。

“一个经验老道的惯犯”来形容Darkhotel APT组织一点不为过!长期被国家级APT组织盯上,本就如一颗随时可爆发的炸弹,随时面临一国网络被瘫痪的风险。然而,这一次,Darkhotel APT组织还还携“重磅利器”——“双星”漏洞而来,于它简直是“如虎添翼”;但于我国,简直是恶魔梦魇的降世!

还记得WannaCry勒索病毒吗?2017年5月12日,它利用Windows系统“永恒之蓝”高危漏洞席卷全球,引爆网络世界的“生化危机”。以迅雷不及掩耳,横扫150国家几十万台计算机,不止政府机关、高校、医院的电脑屏幕都被“染”成了红色,能源、通信、交通、制造等诸多关键信息基础设施也在这场风暴中,遭遇到前所未有的重创。

以至于,自那日起,它所带来的恐惧就如不散的“阴魂”盘桓在人们的心中,久久不能散去;然而,与不断加深恐惧相对应的是,其危害影响仍在持续。

2019年5月,也就是在WannaCry 爆发两年之后,堪比“永恒之蓝”的Bluekeep高危远程漏洞高调来袭,一时间,全球400万台主机再次暴露在漏洞的暴风眼下,一旦该漏洞被黑客成功利用,世界将再次陷入不尽的黑暗。

单纯利用Windows系统漏洞,就足以拥有了“毁天灭地”的力量,然而,作为IE浏览器和火狐浏览器两个0day漏洞的“结合体”,“双星”漏洞所蕴含的巨大威胁性、爆发力、破坏力不敢想,不敢想!

继医疗机构、视频监控系统被锁定后,这一次的攻击者瞄准的是谁?

然而,屋漏偏逢连夜雨,船迟又遇打头风。

6天前的热门推文,印度APT组织趁火打劫对我国医疗机构发起定向攻击,还历历在目;

3天前的重磅警告,境外黑客组织又蠢蠢欲动,公然扬言欲对我国视频监控系统痛下毒手,还萦绕在耳;

而今,半岛APT组织Darkhotel又早已携手“双星”漏洞,对我国发动猛烈攻击。在具体攻击目标上,这一次,它再次瞄准与商贸相关的政府机构。

这一点非常好理解。“双星”漏洞本就爆发于Win7停服之际,其攻击之目标早已昭然若揭。而与此同时的关键是,当前我国的情况:

第一,国内超六成用户曝光在“双星”漏洞阴霾之下

直至2019年10月底,国内Windows7系统的市场份额占比仍有近6成。Windows 7的终结,无疑意味着这些庞大的用户失去了微软官方的所有支持,包括软件更新、补丁修复和防火墙保障,将直面各类利用漏洞等威胁进行的攻击。蓄谋而来的“双星”0day漏洞也不在Windows7的修复范围内,所以,攻击者完全可以凭借该漏洞重击所有使用Windows 7系统的计算机,并像野火一样蔓延至整个网络,

第二,升级系统未纳入采购清单,Win7仍是政府企事业单位主力

而另外一端,出于国家安全考量,我国政府至今未将Win 8、Win 10系统纳入政府采购清单,也就是说,目前Win7仍被广泛应用于政府企事业单位中。而随着Win7的正式停服,这些单位的系统无疑在网络世界中裸奔。

所以,此次半岛APT组织Darkhotel携手“双星”漏洞对商贸相关的我国政府机构发动攻击,于它简直是“如虎添翼”;但于我国,简直是毁灭世界的恶魔!

第三,疫情大敌当前,医疗战役与稳定国民经济发展同重要

尤其,在当前我国倾一国之力,对抗疫情的当下,除了要打赢这场医疗疫情之战,还要在这紧要关头稳住国民经济的发展。此时,半岛APT组织Darkhotel对我国商贸领域下手,此举不亚于印度APT组织,它不仅在趁火打劫!更是居心不良!

阴险、刁滑、狡诈六字揭秘,Darkhotel APT组织如何发动攻击?

能利用“双星”、双浏览器0day漏洞,足见Darkhotel(APT-C-06)的攻击技术早已骤然升级,然而,在对其攻击流程和攻击细节分析中,发现Darkhotel APT组织更是阴险、刁滑、狡诈的代名词。

一.阴险!多种攻击方式相组合复合式攻击

从攻击流程图上来看,“双星”0day漏洞的攻击是:利用office漏洞文档、网页挂马和WPAD本地提权等多种攻击方式,相组合进行的复杂组合攻击。透过此,足见其攻击路数之阴险!
1.png

二.刁滑!“自主”识别判断并见机行事迫害

“双星”漏洞是有“嗅觉”的,其网页会判断当前浏览器为IE还是Firefox,操作系统为32位还是64位;“双星”漏洞还是“触觉”的,在完成判定后,它还能根据不同的浏览器、不同操作系统加载相应的exploit攻击代码。其“道行”,可谓是刁滑!
2.png

三.杀人于无形,配合office漏洞文档发动攻击

攻击者可以直接利用双星漏洞进行网页挂马攻击,有意思的是我们发现了一例Office漏洞文档触发的双星漏洞,是默认打开IE浏览器进行攻击。
3.tif
在此案例中,初始攻击使用了office公式编辑器漏洞(CVE-2017-11882),并根据目标精心制作了诱饵文档。
4.jpg
一旦用户“上钩”,运行漏洞文档、触发漏洞,便会启动公式编辑器,并利用公式编辑器进程打开IE浏览器,进而访问恶意网页,最终触发“双星”漏洞。
5.png

如何避免被Darkhotel APT组织荼毒?,请“对症”领取“锦囊修复建议”

一面是国家级APT利用高危漏洞的攻击,一面是Win7系统停服官方保护体系的缺失,政企用户安全将何去何从?尤其是在这个特殊非常时期里。针对此,智库针对不同的浏览器漏洞、不同的操作系统提出了不同的应对措施:

第一, 针对火狐浏览器使用者:

由于目前,火狐浏览器已经发布了Firefox 72.0.1 and FirefoxESR 68.4.1,所以,火狐浏览器用户及相关使用机构请尽快更新到最新版本。

第二, 针对Windows系统的使用者:

广大政企用户可联系360公司获取360安全大脑Windows 7盾甲企业版。
联系方式如下:
联系人:赵文静;
邮箱:zhaowenjing1@360.cn;
座机 :(010) 5244 7992;
应急 :yingji@360.cn;

360安全大脑Windows7盾甲企业版可一键管理全网终端,支持Windows全平台已知漏洞的补丁修复,结合针对漏洞威胁全新推出的360微补丁功能,在面对“双星”0day漏洞等突发性高危漏洞时,360微补丁可通过先行自动覆盖漏洞,解决防护能力滞后问题,全天候守护PC安全。

正如原公安部第一研究所长严明在“面对Win7停服,我们如何应对”研讨会上所说,对于广大政企用户来说,选择360安全大脑Win7盾甲企业版等第三方服务,无疑是当前有效避免Win7停服安全威胁的策略之一。

第三, 其他应急措施:

限制对JScript.dll的访问,可暂时规避该安全风险,但可能导致网站无法正常浏览。

对于32位系统,在管理命令提示符处输入以下命令:
takeown/f %windir%\system32\jscript.dll
cacls%windir%\system32\jscript.dll /E /P everyone:N

对于64位系统,在管理命令提示符处输入以下命令:
takeown/f %windir%\syswow64\jscript.dll
cacls%windir%\syswow64\jscript.dll /E /P everyone:N
takeown/f %windir%\system32\jscript.dll
cacls%windir%\system32\jscript.dll /E /P everyone:N

实施这些步骤可能会导致依赖jscript.dll的组件功能减少。为了得到完全保护,建议尽快安装此更新。在安装更新之前, 请还原缓解步骤以返回到完整状态。

如何撤消临时措施

对于32位系统,在管理命令提示符处输入以下命令:
cacls%windir%\system32\jscript.dll /E /R everyone

对于64位系统,在管理命令提示符处输入以下命令:
cacls%windir%\system32\jscript.dll /E /R everyone
cacls%windir%\syswow64\jscript.dll /E /R everyone

其他资料补充:

关于360高级威胁应对团队(360 ATA Team):
专注于APT攻击、0day漏洞等高级威胁攻击的应急响应团队,团队主要技术领域包括高级威胁沙盒、0day漏洞探针技术和基于大数据的高级威胁攻击追踪溯源。在全球范围内率先发现捕获了包括双杀、噩梦公式、毒针等在内的数十个在野0day漏洞攻击,独家披露了多个针对中国的APT组织的高级行动,团队多人上榜微软TOP100白帽黑客榜,树立了360在威胁情报、0day漏洞发现、防御和处置领域的核心竞争力。

关于《Darkhotel(APT-C-06)使用“双星”0Day漏洞(CVE-2019-17026、CVE-2020-0674)针对中国发起的APT攻击分析》报告链接:
http://blogs.360.cn/post/apt-...

本文为国际安全智库作品 (微信公众号:guoji-anquanzhiku)
如需转载,请标注文章来源于:国际安全智库
freebuf封底.png

查看原文

yujiahan 收藏了文章 · 2月17日

支付宝人脸识别被“破解”,我们的钱不安全了么?

clipboard.png

常在河边走,哪有不湿鞋。
支付宝这个支付老大哥,也在小阴沟里翻了个船。

窃取 2000 万个人信息,“骗过”支付宝人脸验证

根据浙江省衢州市中级人民法院的判决书显示,从 2018 年 7 月份开始,张x的团伙雇佣姚xx,使用其购买的公民个人身份信息注册支付宝账号,并使用软件将公民头像照片制作成公民 3D 头像,从而通过支付宝人脸识别认证。

该团伙通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励,每个新注册支付宝至少可以获取 28 元收益。

从 2018 年 7 月份至今,共使用他人公民个人身份信息注册成功至少 547 个通过人脸识别认证的实名支付宝账户,从中非法获利 15316 元。

支付宝不安全了么?

首先要说的是,支付宝还是目前安全性最高的支付平台之一。

早在 2017 年央视披露人脸支付漏洞的时候,支付宝的人脸识别技术就已经可以结合眼纹等多因子验证,达到 99.99% 的准确率。在实际应用场景中,也采用了活体检测算法进行检测(判断采集到的人脸是活体信息而不是照片伪造、视频伪造或者其他软件模拟生成的)。

但技术总归是不断发展进步的,坏人掌握的技术也是一样。并且,任何一个技术都有被黑被破解的可能,只是成本问题。

在人脸识别的破解这块儿,这两年兴起了两种新技术,即便加了活体检测,也一样可以绕过:

1.3D人脸仿真面具

clipboard.png

顾名思义,就是通过 3D 打印技术打印出一张“人脸面具”,从而通过人脸检测识别。这种方式可以通过大部分的人脸识别技术,门槛就在于制作成本较高。

2.人脸模型实时重建

clipboard.png

这种方式对于技术能力的要求更高一些。通过仿真的人脸建模,实时进行面部动作调整,从而实现真人动作模拟。

看到这里大家就知道了,平常保护自己的生物信息隐私也是很重要的,随着技术的发展,这些违法的操作成本和难度下降,不法分子们拿走我们的脸就像拿走我们的手机号一样简单。

那么支付宝的人脸识别就不安全了么?

也不尽然呐~

虽然都叫人脸识别,但不同平台、不同操作步骤的识别算法和活体检测算法是不完全一样的。不能因为个例,就认定人脸识别都不可靠、认定支付宝的人脸识别不可靠,能得出的结论只是技术仍有漏洞、同志仍需努力。

也是因为考虑到人脸识别不能 100% 保证安全,支付宝其实也有一些其他的应对措施。

比如只对在当前手机上用密码登录成功过的用户才开放人脸登录(上述犯罪团伙也是同步掌握了相关账户和密码信息才破解成功),换句话说,人脸识别是为风控多加的一把锁,而不是唯一的一把锁。从数据上看,正是因为新增了人脸校验,一些通过撞库的盗刷才得以避免。

生物识别为解决撞库这一安全行业经典难题提供了解决的新思路和新方式,带来的价值是不可忽视的。

另外,如果因为人脸登录出现状况导致账号资金损失,支付宝也会进行全额赔偿。所以,我还是愿意相信支付宝的~

人脸识别的现状

现在的人脸识别从技术方案上分为 2D 和 3D 两种。在 2D 方向上,一般会有活体识别技术(就像银行系统需要眨眼抬头张嘴之类的)、声纹识别技术等配合人脸识别,这就确保了不会被低廉的技术手段来破解,比如下图这个小学生用照片破解丰巢的人脸识别。

clipboard.png

关于丰巢这个事儿,要为顺丰说一句,这真不是他们技术的问题。我曾经在一次采访中问过这件事,丰巢的这个设定从产品角度来讲,因为存到丰巢中的快递价值,并不值得添加活体检测,快递柜应用的人脸识别只是为了用户使用更便捷而已,而安全性则是其次的。毕竟研发和应用活体识别价格不菲,这么做也可以理解。

说完正题。3D 方向以苹果的结构光为主流。人脸识别技术发展至今,公开的技术资料当中,3D 人脸识别目前仍然是业界安全系数最高的方案,3D 结构光、TOF 飞行时间、双目立体视觉识别是其中的三类主流方案。

个人认为未来人脸识别会让大部分的数据信息变得更加安全,技术本身的防破解能力更强、应用的实际意义更大。

但技术总归是一把双刃剑,虽然这项技术在日常生活中的某些方面保障了人的安全,但也不可避免的存在着各种各样的问题:个人信息被冒充、隐私信息被窃取等等。国外有媒体报道,人脸识别技术对我们隐私的侵犯或许让人无法想象。

因此,有很多声音呼吁“禁用人脸识别”。

但中国科学院人工智能伦理与安全研究中心负责人曾毅在一次采访中表示,仍有 83% 的中国人支持「合理使用」人脸识别。不过,由于没有具体的例子可表明何谓合理使用、何谓不合理使用,很难确定公众意见,何况这项技术仍处于发展的初期阶段。

人类不断地发明创造新的技术,目标是提高生产力,创造更先进便捷的新社会、新秩序,但在发展的过程中,难免有波动。所以还是应该多注意一下“弱势群体” —— 也就是我们这些被动接受社会发展的普通人。

我们期待社会发展进步,但不希望成为发展过程中的牺牲品。

部分参考资料:

1.浙江省衢州市中级人民法院 (2019)浙08刑终333号
2.《2018中国人脸识别行业前景研究报告》
3.知乎话题:支付宝人脸识别安全吗?

clipboard.png

查看原文

yujiahan 收藏了文章 · 2月17日

境外黑客组织再次蠢蠢欲动,欲对我国视频监控系统下手?

​防护网络空间这场安全战役,我们一直在!
每时每刻,未敢有片刻停息!

【导读】据国家网络与信息安全信息通报中心监测发现:近日,有组织发布推文扬言将于2月13日对我国视频监控系统实施网络攻击破坏活动,与此同时,有“匿名者”黑客声称已掌握我境内大量摄像头控制权限。而这并不是小事!万物互联之下,物联网成攻击入口,一个小小的设备,或将能引发全国设备宕机的重磅危机!这不是危言耸听,2016年10月美国遭遇史上最大一次IOT网络攻击,致使整个东海岸大断网。尤其在这个特殊紧急时期里,在这个前有印度APT组织,趁火打劫定点攻击我国医疗机构;后又有境外黑客大放厥词,公然宣布欲攻击我国IOT设备的特殊当下,严守网络空间变得比以往更加形势紧迫与重要。

真是一波不平,一波又起!
这一次告急的全国视频监控系统!

据国家网络与信息安全信息通报中心监测发现:近日,境外黑客组织发布推文扬言将于2月13日对我国视频监控系统实施网络攻击破坏活动。
1IPuHs.jpg
或许情况比我们想象的还要紧迫。与此同时之下,已有“匿名者”黑客声称已掌握我境内大量摄像头控制权限,不仅公布了一些闭路电视系统外围探测信息,还公开了70余个相关设备的IP地址,主要涉及辽宁、山东、河北、河南等地。
  

全国哪些地区、多少设备被重磅威胁,360 安全大脑Quake网络空间测绘数据直击

为防患于未然,通过360安全大脑 Quake网络空间测绘系统我们发现,涉及到的全国相关网络视频监控系统全国约78.9万个,并开放在互联网的相关监控设备中。
1IP04x.png
这些设备大多开放在如下端口:
21
80
81
82
83
443
554
9001
9999
8888

通常使用如下协议:
http
https
rstp
ftp
ipcam
sip
upnp

视频监控系统应用各行各业,牵扯甚广,万物互联之下,一旦陷落后果不堪设想

前刚有印度APT组织,趁火打劫定点攻击我国医疗机构;现就又有境外黑客大放厥词,公然宣布欲攻击我国视频监控系统实时网络攻击,可以说,在这个特殊的时期里,我们前有“豺狼”,后有“虎豹”,保证网络系统的稳定与安全,一刻都不能松。而由于视频监控系统的诸多特点,此次危机事件不亚于是另一场APT攻击!

第一,视频监控系统遍布各行各业,牵扯甚广。

  
当下,我国涉及公共安全的视频监控设备约3300万台(此数据仅为网上不完全统计数据),视频监控系统的应用早已遍布全国的各行各业各场景之中,涉及包括城市安全、社会治安、城市交通、企业内部、医院、银行、家庭等生产生活的各个方面。

可以说,视频监控系统早已应用于各行各业各场景中,一旦它遭受攻击,牵扯甚广。

第二,网络视频监控设备暴露于公网等特点,成重大隐患。

  
一方面,视频监控系统涉及面之广极,已是棘手;而令一方面,也是更为值得注意的是,网络视频监控设备为了远程控制多数,所以选择直接暴露在公网中,而这为安全埋下了极大的风险隐患。因为此举,致使攻击者可以轻易地访问到这些设备并实施远程控制,以及用于从事网络危害活动。

此外,这些设备往往还具有:自身不具备防御性、固件版本十分老旧、不支持OTA自动更新、以产品功能为导向而非安全等特点,而这无疑为攻击者提供了便向的“便利”,为网络安全的严防、严守提出了更高的难题。

第三,万物互联之下,针对IOT设备的僵尸网络攻击,乃重磅威胁。

  
回顾历史上针对IoT设备的攻击,它们大多采取DDoS攻击形势,以僵尸网络的攻击之势迅速感染全国、乃至全球。而我们早已处在万物互联的时代里,或许仅仅是一个摄像头的沦陷,能掀起一场全国性IOT设备出现故障的海啸式风浪,而这并不是危言耸听。

2016年10月,备受瞩目的美国东海岸断网事件,就为全球大规模物联网攻击开了先河。根据360安全大脑显示:在这起攻击事件中,黑客先是入侵、控制了全世界十多万台智能硬件设备,组成了僵尸网络,进而对美国互联网域名解析服务商DYN进行DDoS攻击,导致了这场灾难。当时,不止Twitter、亚马逊、华尔街日报等数百个重要网站无法访问,美国主要公共服务、社交平台、民众网络服务瘫痪,严重影响当地人民生活秩序和社会稳定。

而此次事件爆发后,令360公司董事长兼CEO周鸿祎深忧:“十多万台设备被控制,发起的攻击已经让半个美国网络瘫痪;那么,数十亿设备如果被控制,是不是就足以让全球互联网瘫痪。”

所以,四年前的当时,他就提出:“在这种情况下,没有国家能够成为网络攻击的旁观者、幸存者,大家都将成为受害者。这就需要全球各个国家建立起协调和沟通机制,共同打击网络犯罪和网络恐怖分子” 的提议。

兵来将挡,水来土淹,360安全大脑“对症下药”严守网络空间安全

兵来将挡,水来土淹。通过以上网络空间测绘的数据及对当前视频监控系统的分析,可以看出:相关视频监控系统、摄像头在国内互联网中的分布十分广泛,而相关视频监控系统、网络摄像头曾出现的安全漏洞并未被及时修补,是造成当下被攻击的首要原因。

所以,针对本次事件,360安全大脑可提供针对性的安全服务及完整的解决方案,并提出相关建议如下:

1.建议各地监管单位,利用相关安全监测平台、态势感知系统,对辖区内的相关重点单位资产进行持续性监测,特别是其中相关视频监控、网络摄像头的安全监测,一旦发现有大规模的攻击行为,可以直接通过相关系统阻断其恶意流量;

2.建议各视频监控系统、设备生产厂商,尽快排查当前出售的各类软硬件产品是否存在相关安全漏洞,如果有发现请立即修复,第一时间内在官方渠道发布安全修复补丁。同时排查互联网内现存安全问题的设备,对发现安全问题的设备推出相应的安全修复和升级更新;

3.各企事业单位、个人用户,需要尽快对所有的相关视频监控、网络摄像头的设备及时进行安全加固和系统更新;各企事业单位也可通过相关安全监测平台、资产管理设备,对相应系统进行持续监控,一旦发现有可疑攻击行为,可以直接通过相关系统阻断其恶意流量。

泱泱大国,巍巍华夏。我们历来主张和平共处,我们不欺人,但也不能任人欺。

在防护网络空间安全这场战役,我们一直在、时刻不间断进行,未敢有片刻停息,我们一定能打赢这场网络空间守卫战,一定能护卫祖国网络空间领土的安全。

查看原文

yujiahan 收藏了文章 · 2月16日

【Python学习】Turtle库的学习

概述

turtle是海龟库。入门级的函数绘制库。是Python语言的标准库之一

【知识点】标准库
Python的库分为标准库和第三方库
标准库:随解释器直接安装到操作系统中的功能模块
第三方库:需要经过安装才能使用的功能模块。
库Library 、 包Package、模块Modole,统称为模块。

原理

turtle其实就是抽象了海龟的这一概念,在画布的正中心,有一只海龟,它受程序控制、四处游走,还能更改“海龟”本身的设置,如:画笔的粗细,画笔的颜色等等。它所走过的印记就绘制成了图形。

turtle的绘制窗体

所谓的绘制窗体就是绘制的程序生成的窗口的大小。
它可以使用turtle.setup(width,height,startx,starty)来进行初始化窗体的大小。后两个是可选的。

clipboard.png

如:turtle.setup(800,400,0,0)在电脑中是这样显示的:

clipboard.png

当把后两个去掉之后,是这样的:

clipboard.png

turtle的空间坐标体系

绝对坐标

clipboard.png

去往某一位置的函数:goto(x,y)在其行进过程中,会留下痕迹。

海龟坐标

对于海龟本身来讲,其的方向就是这样的:

clipboard.png

以海龟为参照,来让它移动可以使用turtle.bk(d)turtle.fd(d)turtle.circle(r,angle)

clipboard.png

关于circle的这个函数有必要再详细说明。它指的是以海龟左侧方向半径为r的圆心,旋转angle度留下的轨迹

turtle的角度体系

同样的turtle的角度也分为两种绝对角度、海龟角度

绝对角度

所谓绝对角度就是说明以画布中心为基准。

clipboard.png

使用turtle.seth(angle)来改变它爬行的角度。只改变角度。

海龟角度

另一种就是海龟角度,以海龟为基准

clipboard.png

以下就是实例:

import turtle
turtle.left(45)
turtle.fd(150)
turtle.right(135)
turtle.fd(300)
turtle.left(350)
turtle.fd(150)

显示如图:

clipboard.png

Rgb的色彩体系

turtle库中采用的是最常用的RGB色彩体系,。
所谓RGB就是红绿蓝三种颜色混合构成的万物色

RGB每色取值范围0-255或者是0-1小数

常用RGB色彩

clipboard.png
clipboard.png

使用turtle.colormode(mode)来改变颜色模式。
其中mode可选参数为:
1.0:RGB小数值模式
255:RGB整数值模式

更多资料:
turtle库英文

查看原文

yujiahan 赞了文章 · 2月16日

【Python学习】Turtle库的学习

概述

turtle是海龟库。入门级的函数绘制库。是Python语言的标准库之一

【知识点】标准库
Python的库分为标准库和第三方库
标准库:随解释器直接安装到操作系统中的功能模块
第三方库:需要经过安装才能使用的功能模块。
库Library 、 包Package、模块Modole,统称为模块。

原理

turtle其实就是抽象了海龟的这一概念,在画布的正中心,有一只海龟,它受程序控制、四处游走,还能更改“海龟”本身的设置,如:画笔的粗细,画笔的颜色等等。它所走过的印记就绘制成了图形。

turtle的绘制窗体

所谓的绘制窗体就是绘制的程序生成的窗口的大小。
它可以使用turtle.setup(width,height,startx,starty)来进行初始化窗体的大小。后两个是可选的。

clipboard.png

如:turtle.setup(800,400,0,0)在电脑中是这样显示的:

clipboard.png

当把后两个去掉之后,是这样的:

clipboard.png

turtle的空间坐标体系

绝对坐标

clipboard.png

去往某一位置的函数:goto(x,y)在其行进过程中,会留下痕迹。

海龟坐标

对于海龟本身来讲,其的方向就是这样的:

clipboard.png

以海龟为参照,来让它移动可以使用turtle.bk(d)turtle.fd(d)turtle.circle(r,angle)

clipboard.png

关于circle的这个函数有必要再详细说明。它指的是以海龟左侧方向半径为r的圆心,旋转angle度留下的轨迹

turtle的角度体系

同样的turtle的角度也分为两种绝对角度、海龟角度

绝对角度

所谓绝对角度就是说明以画布中心为基准。

clipboard.png

使用turtle.seth(angle)来改变它爬行的角度。只改变角度。

海龟角度

另一种就是海龟角度,以海龟为基准

clipboard.png

以下就是实例:

import turtle
turtle.left(45)
turtle.fd(150)
turtle.right(135)
turtle.fd(300)
turtle.left(350)
turtle.fd(150)

显示如图:

clipboard.png

Rgb的色彩体系

turtle库中采用的是最常用的RGB色彩体系,。
所谓RGB就是红绿蓝三种颜色混合构成的万物色

RGB每色取值范围0-255或者是0-1小数

常用RGB色彩

clipboard.png
clipboard.png

使用turtle.colormode(mode)来改变颜色模式。
其中mode可选参数为:
1.0:RGB小数值模式
255:RGB整数值模式

更多资料:
turtle库英文

查看原文

赞 3 收藏 2 评论 1

yujiahan 回答了问题 · 2月14日

解决字符串输入函数

QQ截图20200214170408.png
如图,首先定义两个字符数组,进行存值,然后依次输出
原因是你只能通过遍历字符数组来重新赋值,不能直接进行赋值,其次指针实质上里面存的是变量地址(建议你尝试以下语句:#include <stdio.h> main{int i=0; printf("%d,%d",i,&i);}//注意:这不是错误! )而数组是一个特殊的指针:它里面存放的是实实在在的内容

qq:3038907312
因为篇幅、时间关系,无法具体详细阐述望谅解,如想深入理解欢迎与我讨论

关注 2 回答 2

yujiahan 收藏了文章 · 2月14日

用Python优雅的送上母亲节祝福

作者:xiaoyu
微信公众号:Python数据科学
知乎:python数据分析师


图片描述

今天是母亲节!

作为儿女,当然要送上满满的祝福。
人活着就需要感恩。

但是,并不是所有的母亲都在自己身边,
那么除了说一句:“妈妈,祝您节日快乐” 之外,
还有什么样的祝福呢?

今天我要用 Python
来实现对母亲节节日的祝福。

我在这里
祝自己的母亲
和关注我的朋友们
还有所有人的母亲们节日快乐!

图片描述

最后,cmdline 比心!

图片描述

获取代码,公众号后台发送 母亲节
谢谢大家!

https://www.imooc.com/article...

关注微信公众号Python数据科学,获取 120G 人工智能 学习资料。

图片描述
图片描述

查看原文

认证与成就

  • 获得 2 次点赞
  • 获得 4 枚徽章 获得 0 枚金徽章, 获得 0 枚银徽章, 获得 4 枚铜徽章

擅长技能
编辑

(゚∀゚ )
暂时没有

开源项目 & 著作
编辑

(゚∀゚ )
暂时没有

注册于 2月8日
个人主页被 37 人浏览