BUF早餐鋪丨計算機科學家發佈不會被黑的加密代碼；百變語音等35個鎖屏勒索類惡意程序變種被曝光；國家發改委將虛擬貨幣”挖礦”列爲淘汰類產業

各位Buffer早上好，今天是2019年4月9日星期二。今天的早餐鋪內容主要有：計算機科學家發佈不會被黑的加密代碼；英特爾芯片新漏洞暴露計算機上所有數據；百變語音等35個鎖屏勒索類惡意程序變種被曝光；國家發改委將虛擬貨幣”挖礦”列爲淘汰類產業；網約車平臺推新用戶獎勵機制遭薅羊毛，被騙80萬報警。

計算機科學家發佈不會被黑的加密代碼

程序員都是凡人，但數學則是不朽的。通過讓編程變得更數學化，計算機科學家希望能消除向黑客敞開大門的編程錯誤。

研究人員在GitHub上發佈了加密工具EverCrypt，向這個目標邁出了一大步。

就像證明畢達哥拉斯定理那樣，他們能證明EverCrypt可完全避開多種黑客攻擊。EverCrypt沒有采用常見的編程方法編寫，而是利用了形式化驗證。他們首先明確代碼能做什麼，然後證明只能這麼做，排除了代碼在特殊情況下偏離的可能性。

EverCrypt始於2016年，是微軟研究院項目Project Everest的一部分，當時加密庫是許多軟件的薄弱環節，存在大量bug。[solidot]

英特爾芯片新漏洞暴露計算機上所有數據

安全研究人員報告稱，透過流經某些計算機系統主板的信號，黑客可利用英特爾VISA芯片漏洞窺探主機數據。

3月28日，研究人員在亞洲黑帽大會上披露了自己的發現，聲稱他們之前發現的可利用來自IME內執行未簽名代碼的漏洞(INTEL-SA-00086)，同樣可以用於訪問VISA硬件。商用計算機系統上VISA功能通常是禁用的，但 Positive Technologies團隊可利用IME來啓用VISA功能。一旦得以訪問，便能探知PCH細節，也就可以從計算機中找到那些數據，並可以讀取外圍設備數據。

基本上，該漏洞能令黑客獲得對計算機的完全訪問權。

作爲迴應，英特爾宣稱，2017年對IME的一次更新已經修復了該漏洞。但研究人員表示，如果將該固件降級至早期版本，仍能訪問VISA硬件及其能讀取的數據。面對質疑，研究人員向媒體透露，該漏洞僅影響第6代及以後的英特爾處理器，包括Skylake和 Kaby Lake，且將來的英特爾處理器中仍將存在該漏洞。[secrss]

百變語音等35個鎖屏勒索類惡意程序變種被曝光

通過自主監測和樣本交換形式，國家互聯網應急中心近日發現35個鎖屏勒索類的惡意程序變種，該類病毒通過對用戶手機鎖屏，勒索用戶付費解鎖，對用戶財產安全造成了嚴重的威脅。

這35個被曝光的鎖屏勒索類的惡意程序變種包括拉圈圈神器、卡鑽助手、秒搶紅包、百變語音、吃雞輔助、刺激戰場輔助、酷跑刷鑽助手、絕地求生最新輔助等。爲了索取贖金，惡意程序製造者還預留了聯繫方式、暱稱和頭像。

國家互聯網應急中心天津分中心安全專家介紹說，這些鎖屏勒索類病毒惡意行爲包括，強制將自身界面置頂，致使用戶手機處於鎖屏狀態，無法正常使用；私自重置用戶手機鎖屏PIN密碼；監測開機自啓動廣播，觸發開機自啓動廣播後，便會啓動鎖屏代碼；惡意程序預留聯繫方式，提示用戶付費解鎖。　　

安全專家提醒說，廣大手機用戶不要下載這些惡意程序，避免手機操作系統受到不必要的安全威脅。對於無緣無故出現的鏈接或文件，尤其是陌生用戶通過短信、微信等發送的鏈接或文件，不要點擊或接收。[xinhuanet]

國家發改委將虛擬貨幣”挖礦”列爲淘汰類產業

近期比特幣價格漲回5000美元，讓2018年底經歷“礦機輪斤賣”和關機潮的礦圈稍微鬆了一口氣。不過，這口氣可能鬆不了多久，產業政策的“利劍”又來了。

4月8日，國家發改委發佈《產業結構調整指導目錄（2019年本，徵求意見稿）》，涉及鼓勵類、限制類、淘汰類三個類別的產業活動，，虛擬貨幣“挖礦”活動（比特幣等虛擬貨幣的生產過程）赫然出現在淘汰類之中。

該指導目錄還顯示，未標淘汰期限或淘汰計劃的條目爲國家產業政策已明令淘汰或立即淘汰。而虛擬貨幣“挖礦”活動這一條沒有標上“淘汰期限或淘汰計劃”，側面反應出國家產業政策鮮明態度。

摩根士丹利曾在2018年初給出數據，挖比特幣成本大約三分之一來自電費，2018年比特幣乃至其他數字貨幣的挖礦用電需求將達到120-140萬億瓦時（terawatt-hours），而全球電動車的能源消耗到2025年預計纔不過125萬億瓦時。根據國際能源署2015年的數據，阿根廷全國一年的用電量也纔不過125萬億瓦時。2018年10月發表在期刊Nature Climate Change上的一篇論文顯示，僅挖比特幣一項就將導致2033年全球氣溫上升2℃。

對於下一步的工作安排，互金整治辦提出兩點要求：一是積極引導轄內企業有序退出“挖礦”業務，並請積極協調轄內有關部門，多措並舉，綜合採取電價、土地、稅收和環保等措施，引導相關企業有序退出；並要求各地整治辦於1月10日前上報目前轄內“挖礦”企業基礎情況及引導退出情況。二是爲及時掌握各地工作進展，要求各地整治辦每月10日前填報轄內“挖礦”企業有關情況。[sina]

網約車平臺推新用戶獎勵機制遭薅羊毛，被騙80萬報警

近日上海公安局浦東分局搗毀一個網絡詐騙團伙，該團伙利用網絡漏洞騙取網約車獎勵金，目前已逮捕4人，涉案金額80餘萬元。

許多網約車平臺爲了吸引新用戶下載客戶端並進行使用，會推出一系列獎勵機制，如首次充值50元送50元等。這成了不法分子的“生財之道”。

2019年2月，某知名網約車公司工作人員報案稱：2018年8月至今，有多名司機利用網絡漏洞騙取公司獎勵金，總價值累計80餘萬元。接報後，民警迅速展開調查。在相關部門的支持下，民警通過數據比對、人員分析、賬單查控，基本掌握了該案的主要證據。最後，民警先後在上海各地抓獲嫌疑人童某等人。

據童某等人交代，他們利用首衝獎勵機制，通過虛擬手機號註冊大量的乘客賬號，充值一次後進行下單。然後使用事先利用親戚、朋友等不同身份實名註冊的網約車司機賬戶進行接單，最後在手機上用虛擬定位軟件形成假的行程，足不出戶，完成刷單，騙取獎勵費。

警方表示，此類違法“薅羊毛”行爲並不是偶發事件。隨着互聯網的不斷髮展，許多企業的日常業務都離不開互聯網運用。如果有人發現網絡漏洞並加以利用，常常會造成公司重大損失。所以，相關企業應該經常通過安全部門進行數據檢查或進行內部數據自查，如發現有不法分子企圖利用漏洞進行犯罪，及時向公安機關報案。[澎湃新聞]