BUF早餐铺 | 斯诺登称公共账本是比特币最大缺陷;谷歌要构建自己的区块链技术;北京市首例比特币被盗案件;TLSv 1.3 网络安全标准通过

各位 Buffer 早上好,今天是 3 月 26 日星期一。三月份最后一周过完,意味着2018年已经过去1/4,不得不说这几个月里,互联网安全领域还真是没平静过。来看下今天的早餐铺内容吧:斯诺登称公共账本是比特币最大缺陷;谷歌要构建自己的区块链技术;北京市首例比特币被盗案件;TLSv 1.3 网络安全标准通过,带来更安全的网络环境;Netflix公开漏洞奖励项目,Dropbox修改漏洞披露政策。

timg.jpg

timg.jpg

2013年曝光了美国国家安全局(NSA)大规模监听计划的斯诺登,在近期Blockstack活动上表示,比特币的核心缺陷可能不在于其交易速率限制,而在于其公共账本。

斯诺登通过网络摄像头向观众讲话时,  第一次向听众介绍了他对新兴技术的详细观点。尽管同意比特币将会持续很长一段时间,但斯诺登表示他不相信“比特币将永远持续下去”。

timg (1).jpg

timg (1).jpg

“每个人都将注意力集中在比特币的交易速度限制上,这是它的主要缺陷,但只是其一,”他补充说,“实际上,”更大的结构性缺陷、长期的缺陷,是公共账本。 “

斯诺登还表达了一种担忧,即比特币拥有一个记录每一笔交易历史的公共账本,尽管它可能会吸引全球消费者,但这样也可能吸引那些希望禁止这项技术的政府的注意。

这些评论与斯诺登于昨天公布的泄露文件相符,他泄露的文件显示,美国国家安全局可能正在利用其强大的监控技术来进行追踪,追踪的应该不仅仅是区块链的分类账簿,还有分布式网络的比特币个人用户。[来源:coindesk]

谷歌的母公司Alphabet正在开发自己的分布式数字分类账,供第三方发布和验证交易。到时还将有白标版本。这样,企业客户可以重新包装,把自家的用户数据托管在谷歌的服务器和数据中心上。

这对于谷歌扩展云服务的竞争力来说,是很重要的一步。不过,该产品发布的时间还没定。

5ab4a4c8b9981.jpg

5ab4a4c8b9981.jpg

谷歌广告主管Sridhar Ramaswamy在本周三的全球广告周伦敦会议上表示,他的部门有一个小团队正在研究区块链。但现有的核心技术无法快速处理大宗交易。

“像其他新技术一样,谷歌有不同团队的人员在探索区块链的潜在用途。现在还说不好未来会推出什么功能,也暂时没有产品计划。”谷歌发言人告诉彭博。从2012年开始,谷歌就在密切关注区块链。在CB Insight的报告《2012至2017年间区块链领域最活跃的企业投资者》中,谷歌位于名单中位列第二,排在软银的后面。[来源:搜狐]

互联网工程师近日通过了一个安全框架,它将使网络上的加密连接更快,更耐窥听。它被称为 Transport Layer Security version 1.3(TLSv 1.3),这并不是一次大版本更新,而是一次迭代改进,它可以让 Web 在任何有恶意操作或程序存在时正常工作。

tls-1.3.png

tls-1.3.png

 IETF 是由来自世界各地的工程师组成的团队,他们在此标准上进行合作 – 用了超过四年,起草了 28 份草案后,才通过 TLS 1.3。

TLS 1.3 主要支持四种握手模式

(1)基于(EC)DHE密钥交换的握手模式;

(2)基于PSK的会话重启,由预共享密钥PSK进行快速简短的握手;

(3)会话重启与(EC)DHE结合的握手,可以提供前向安全性;

(4)基于PSK的0-RTT(round-trip time)握手,客户端利用PSK导出密钥,在第一轮就发送秘密数据,降低了握手的延迟。在此之后还可以继续进行(EC)DHE的密钥交换完成完整的握手(该步为可选)。

整个标准长达 155 页,如果您想仔细阅读或详细了解其中一项新功能,可在此处找到。 [来源:cnBeta]

本周三,Netflix 宣布在 Bugcrowd 平台公开其漏洞奖励项目,单个漏洞奖金高达 15000 美元。此外,Dropbox 也修改了其漏洞披露政策,承诺不会起诉漏洞研究员。 

过去 5 年里,Netflix 也一直有自己的漏洞披露政策,并在 2016 年上线了非公开的漏洞奖励项目,一共帮助 Netflix 修复了 190 个漏洞。其非公开的漏洞奖励项目原本是面向 Bugcrowd 排名前 100 的研究员,而面向公众公开之后,累计有 700 多名白帽子加入了这个阵营。

按照项目规定,只要研究员能找到影响 Netflix 域名或 iOS 和 Android 上 Netflix 应用的漏洞,就能获得 100 美元到 15000 美元不等的奖金。有记录表明,Netflix 曾为一个严重的漏洞发放了 15000 美元的奖金,至今最高的单项奖金。而可提交的漏洞类型则包括 XSS、CSRF、SQL 注入、认证与授权、数据泄露、远程代码执行、重定向、业务逻辑漏洞、MSL 协议问题以及移动 API 问题。Netflix 表示,审核并认证漏洞报告的时间平均不超过三天,效率较高。

在线云协助系统 Dropbox 近日也修改了其漏洞披露政策。Dropbox 的漏洞奖励项目开设在 HackerOne 平台,并没有设置奖金上限。目前,Dropbox 为 220 多个漏洞提供了超过 20 万美元的奖金。[来源:FreeBuf]

海淀区某互联网科技公司员工仲某利用职务便利,通过使用管理员权限插入代码以修改公司服务器内应用程序的方式,盗取该公司100个比特币,价值数百万元,后被北京市公安局海淀分局抓获。近日,海淀检察院以涉嫌非法获取计算机信息系统数据罪对犯罪嫌疑人仲某批准逮捕。本案也是北京市首例比特币被盗案件。

timg (2).jpg

timg (2).jpg

检察官表示,比特币等“虚拟货币”作为一个新兴互联网金融概念,受到人们热炒,央行曾就“虚拟货币”发布风险提示强调:我国尚未发行虚拟货币,也未授权任何机构公司发行,更无推广团队,目前市场上的“虚拟货币”均为非法定的虚拟货币。

本案系北京市首例比特币被盗案件,虽然难以从法律角度对比特币价值进行定性,但如果超越权限,非法对计算机信息系统功能进行修改,造成维修等经济损失,也同样会触犯法律。[来源:cnBeta]

*本文由Andy编译整理,转载请注明来自FreeBuf.COM