分析发现xz后门黑客可能生活在东欧 但试图冒充中国用户发起攻击

分析发现xz后门黑客可能生活在东欧但试图冒充中国用户发起攻击现在已经有不少开源社区成员在分析xz后门中的黑客JiaTan的真实身份，尽管想要真正追查到他的真实身份很难，不过现在已经有推测表明JiaTan可能是一个生活在东欧的黑客，并且他还故意冒充东八区的用户(该时区包括中国全部地区、俄罗斯/马来西亚/新加坡/澳大利亚部分或全部区域)开源社区成员RHEA对JiaTan的GitHub提交记录进行分析，主要观察他是在哪些时间进行活动的，需要注意的是提交时间是可以修改的，前提是你每次操作时都修改时间，这是一个比较难坚持的事情，毕竟比较麻烦。冒充东八区用户：一般来说黑客的工作时间集中在下午或深夜比较合理，毕竟很少有人愿意早晨五点就起来干活(尽管早睡早起也确实是个好习惯)。JiaTan这名字听起来就像是东亚人，而他的Github大部分提交都带有UTC+8时间戳，也就是东八区用户，东八区用户配合亚洲名字，那么想要冒充谁其实已经很明显。然而黑客显然不会使用自己的真实名字，所以这招祸水东引本身就存在漏洞，所以每次提交都修改时区为东八区似乎有助于提高可信度。有几次忘记修改时区：正如前面提到的每次修改系统时区其实是个很麻烦的事情，毕竟一年提交那么多次代码每次修改会让人无比烦躁。因此分析就发现在UTC+2和UTC+3时区分别有过3次和6次调提交，这与UTC+8的440次提交来说显得很少，但却是个关键证据。毕竟如果真是生活在东八区，那为什么有几次要修改成UTC+2或者UTC+3呢？要么他是去东欧旅游了，顺手在那里写的代码并提交。那旅游这事河里嘛？也不河里，因为有两次提交时区发生变更，但中途有11个小时的时间差，也就是说他在UTC+3提交代码后立即飞往UTC+8，但这两个时区之间的飞机通常要10~12个小时的飞行时长，这还是直达的情况下，如果考虑中转时间会更长，因此这看起来并不合理。还有一次提交时UTC+3和UTC+8只差几分钟，马斯克的星舰也没这么快，所以必然有一个时区是造假的。然而谁会在逢年过节还继续干活呢？在分析中有个很有趣的现象引起RHEA的关注，那就是他对比了中国2023年的节假日，发现JiaTan竟然在中国农历新年以及中秋节等假期提交代码。倒不是说不能在法定节假日期间继续干活并提交代码，但RHEA发现这名黑客在东欧假期(UTC+2和UTC+3都包括部分东欧国家)的时候却没有提交代码。东欧假期与中国的法定节假日并不重叠，在中国节假日期间提交代码而在东欧节假日却没有提交代码，因此从代码提交时间来看，JiaTan的工作安排和假期更适合东欧人，而不是东亚或东南亚地区的人。另一方面，JiaTan的主要工作时间是周二、周三、周四和周五，如果他是个业余爱好者那有自己的工作，不可能工作日还如此活跃的提交代码。除非他是受雇于人，也就是这就是他的主要工作，所以周六、周日都是休息的，至于周一，想必全世界打工人都一样，刚刚过了周末周一脑袋不够清醒不是很想干活吧。基于我们可以初步认为JiaTan很有可能是生活在东欧的人，而发起攻击就是他的主要工作，使用东亚名称和修改UTC+8就是想要规避追踪，不过打工人偶尔偷懒也是正常的，所以总有几次提交泄露了他所在的真实时区。...PC版：https://www.cnbeta.com.tw/articles/soft/1425890.htm手机版：https://m.cnbeta.com.tw/view/1425890.htm

哈佛新研究：外星人可能已生活在地球上

哈佛新研究：外星人可能已生活在地球上哈佛大学人类繁荣项目的研究人员为“不明异常现象”提供了非传统的解读。他们指出，这些现象中的“A”代表的是“异常”（Anomalous），而非我们通常理解的“空中”（Aerial），因为某些UAP不仅出现在空中，还可能在水下或其他我们尚未察觉的环境中。在论文中，研究团队详细探讨了四种关于外星人与人类共存的理论。首先，他们提出了“隐秘地球”理论，认为可能有一个技术远超现代人类的古老文明，以某种方式秘密地存在于我们的世界中。其次，他们假设地球上可能存在着由类人生物或某种“未知智慧恐龙”所创造的先进非人类文明。第三，研究人员认为，这些不明异常现象可能源于来自未来的外星人或人类。最后，他们提出了一个充满神秘色彩的假设，即存在类似于“地球天使”的“神奇的神秘生物”，它们可能就像我们传说中的仙女、精灵和妖精。然而，尽管这项研究引发了公众的广泛关注，但大多数该领域的专家对此持保留态度。波士顿大学电子与计算机工程教授、空间物理中心主任约书亚·塞梅特在接受采访时表示：“这些目击事件无疑激发了人们的丰富想象。作为一名技术专家，我认为这些现象可能是某种先进技术的产物，但更可能的是，这些我们尚未理解的现象来自于人类自己的技术。我们观察到的飞行特性或许可以通过下一代推进系统得到解释。”...PC版：https://www.cnbeta.com.tw/articles/soft/1436251.htm手机版：https://m.cnbeta.com.tw/view/1436251.htm

MS-DOS 4.00源代码公开过程中的Git转储失误会破坏构建并删除元数据

MS-DOS4.00源代码公开过程中的Git转储失误会破坏构建并删除元数据正如OS/2博物馆的软件策展人MichalNecasek所指出的那样，正确的做法是将源代码转入Git仓库，而不是提供原始存档。他提出了一个很好的观点："历史悠久的源代码应该以ZIP、tar或7z等文件归档的形式发布，并保留所有时间戳和每个字节的原样。Git根本就不是一个合适的工具"。将源代码扔进Git后，微软可能以多种方式破坏了文件，例如，Git忽略了原始时间戳，带走了关于每个文件最后修改时间的潜在有价值的元数据。更糟糕的是，UTF-8编码的转换把一些代码变成了乱码，破坏了构建过程。正如Necasek所强调的，几十年前的源代码不仅仅是文本，它本质上是二进制数据，需要完全保存，不能做任何修改。重新编码会导致程序崩溃，因为像MASM5.10和MicrosoftC5.1这样过时的工具自然无法处理像UTF-8这样的Unicode格式，而当时还不存在这种格式。虽然MS-DOS4.00代码的可用性对于研究从MS-DOS到Windows发展历程的软件历史学家来说无疑是一个福音，但GitHubbing方法可能会不必要地破坏将代码作为真实档案材料进行构建和分析的努力。不过，一位用户名为"starfrost"的评论者声称，他们与微软合作发布了这一版本，并在原文中表示，他们有可能获得原始ZIP文件。不过可能无法获得时间戳，因为"数据保护法规定源文件必须匿名"。此外，Necasek还表示，他可以通过将代码复制到PCDOS2000虚拟机并在其中运行构建过程来成功构建整个代码。因此，如果你想构建代码，这是一个不错的选择。微软更明智的做法是直接从内部备份中以干净的ZIP或7z压缩包形式提供源代码，并进行适当编码，以原始形式保留每个字节。计算机的遗产对于业余爱好者来说实在是太珍贵了。值得称赞的是，微软还额外提供了来自RayOzzie档案的测试版二进制文件、原始文档和磁盘映像，以方便用户进行仿真。...PC版：https://www.cnbeta.com.tw/articles/soft/1429228.htm手机版：https://m.cnbeta.com.tw/view/1429228.htm

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门多个Linux发行版中招日前该项目被发现存在后门，这些恶意代码旨在允许未经授权的访问，具体来说影响xz-utils5.6.0和5.6.1版中，而且这些受影响的版本已经被多个Linux发行版合并。简单来说这是一起供应链投毒事件，攻击者通过上游开源项目投毒，最终随着项目集成影响Linux发行版，包括FedoraLinux40/41等操作系统已经确认受该问题影响。恶意代码的目的：RedHat经过分析后认为，此次黑客添加的恶意代码会通过systemd干扰sshd的身份验证，SSH是远程连接系统的常见协议，而sshd是允许访问的服务。在适当的情况下，这种干扰可能会让黑客破坏sshd的身份验证并获得整个系统的远程未经授权的访问(无需SSH密码或密钥)。RedHat确认FedoraLinux40/41、FedoraRawhide受该问题影响，RHEL不受影响，其他Linux发行版应该也受影响，具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本：如果你使用的Linux发行版受上述后门程序影响，RedHat的建议是无论个人还是商用目的，都应该立即停止使用。之后请查询Linux发行版的开发商获取安全建议，包括检查和删除后门程序、回滚或更新xz-utils等。孤独的开源贡献者问题：在这里还需要额外讨论一个开源项目的问题，xz-utils尽管被全世界的Linux发行版、压缩软件广泛使用，但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因，在遇到一名新的贡献者时，随着时间的推移，在获取信任后，这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目，知道这种情况下可能更容易获取控制权，于是从2022年开始就贡献代码，直到成为主要贡献者后，再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加，这对整个开源社区来说应该都是头疼的问题。...PC版：https://www.cnbeta.com.tw/articles/soft/1425585.htm手机版：https://m.cnbeta.com.tw/view/1425585.htm

国际空间站的工作人员会在一年的什么时候庆祝新年？

国际空间站的工作人员会在一年的什么时候庆祝新年？因为国际空间站不断围绕地球移动，它的时区和位置不断变化，甚至当它不得不躲避空间碎片的时候也会改变当前时间。为了说明这一点，官员们早在国际空间站首次开始运行时就决定，它将利用协调世界时（UTC），这个时间与格林威治时间直接对应，意味着每个新的一年都从美国东部时间1月31日晚上7点（北京时间次日8点）开始。因此，国际空间站上的乘员将在美国其他人开始庆祝新年前短短几个小时庆祝新年。然而，也有可能来自世界其他地方的宇航员希望在他们回家的同一时间庆祝新年，这可能意味着有多个庆祝活动。然而，最有可能的是，国际空间站上的宇航员将在同一时间庆祝新年，而且不喝任何种类的酒或饮料，因为在国际空间站上不允许喝酒。目前，国际空间站的工作人员由三名美国宇航员、三名俄罗斯宇航员和一名来自日本的宇航员组成。随着美国宇航局计划在2030年代使国际空间站脱离轨道，在空间站上庆祝新年的次数也已经所剩无几。不过，我们可以看到在不久的将来会有更多的国际空间站太空行走，因为美国宇航局将继续保持空间站尽可能顺利地运行。...PC版：https://www.cnbeta.com.tw/articles/soft/1336599.htm手机版：https://m.cnbeta.com.tw/view/1336599.htm

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃微软的PostgreSQL开发人员安德烈斯-弗罗因德（AndresFreund）在进行一些例行的微基准测试时，注意到ssh进程出现了600毫秒的小延迟。一波未平一波又起，Freund最终偶然发现了一种供应链攻击，其中涉及XZ软件包中被混淆的恶意代码。他将这一发现发布在开源安全邮件列表上，开源社区从此开始关注这一事件。开发社区迅速揭露了这一攻击是如何被巧妙地注入XZutils的，XZutils是一个小型开源项目，至少自2009年以来一直由一名无偿开发人员维护。与违规提交相关的账户似乎玩起了长线游戏，慢慢赢得了XZ开发人员的信任，这让人们猜测恶意代码的作者是一个老练的攻击者，可能隶属于某个国家机构。该恶意代码的正式名称为CVE-2024-3094，CVSS评分为最高的10分。红帽公司报告说，恶意代码修改了liblzma中的函数，这是一个数据压缩库，是XZutils软件包的一部分，也是几个主要Linux发行版的基础部分。然后，任何与XZ库链接的软件都可以使用这些修改过的代码，并允许截取和修改与该库一起使用的数据。据Freund称，在某些条件下，这个后门可以让恶意行为者破坏sshd身份验证，从而允许攻击者访问受影响的系统。Freund还报告说，XZutils5.6.0和5.6.1版本也受到影响。RedHat在Fedora41和FedoraRawhide中发现了存在漏洞的软件包，建议用户停止使用，直到有更新可用，但RedHatEnterpriseLinux(RHEL)仍未受到影响。SUSE已发布openSUSE（Tumbleweed或MicroOS）的更新。DebianLinux稳定版是安全的，但测试版、不稳定版和实验版由于软件包受损，需要xz-utils更新。在3月26日至3月29日期间更新的KaliLinux用户需要再次更新以获得修复，而在3月26日之前更新的用户不受此漏洞影响。不过，正如许多安全研究人员指出的那样，情况仍在发展中，可能会发现更多漏洞。目前还不清楚其有效载荷是什么。美国网络安全和基础设施安全局建议人们降级到未被破坏的XZutils版本，即早于5.6.0的版本。安全公司还建议开发人员和用户进行事件响应测试，查看是否受到影响，如果受到影响，则向CISA报告。幸运的是，这些受影响的版本似乎并没有被纳入任何主要Linux发行版的生产版本中，但安全公司Analygence的高级漏洞分析师WillDormann告诉ArsTechnica，这次发现可谓千钧一发。他说："如果没有被发现，这将给世界带来灾难。"...PC版：https://www.cnbeta.com.tw/articles/soft/1425712.htm手机版：https://m.cnbeta.com.tw/view/1425712.htm