配置错误的Windows域服务器放大了DDoS攻击

配置错误的Windows域服务器放大了DDoS攻击根据黑莲花实验室最近发表的一份报告，超过12000台运行微软域控制器与活动目录的服务器经常被用来放大DDoS攻击。多年来，这一直是一场攻击者和防御者的战斗，很多时候，攻击者所要做的就是获得对僵尸网络中不断增长的连接设备列表的控制，并利用它们进行攻击。其中一个更常见的攻击方法被称为反射。反射是指攻击者不是用数据包淹没一个设备，而是将攻击发送到第三方服务器。利用第三方错误配置的服务器和欺骗数据包，使攻击看起来是来自目标的。这些第三方服务器在不知情的情况下，最终将攻击反映在目标上，往往比开始时大十倍。在过去的一年里，一个不断增长的攻击来源是无连接轻量级目录访问协议（CLDAP），它是标准轻量级目录访问协议（LDAP）的一个版本。CLDAP使用用户数据报协议数据包来验证用户，并在签署进入活动目录时发现服务。黑莲花公司的研究员ChadDavis在最近的一封电子邮件中这样说。"当这些域控制器没有暴露在开放的互联网上时（绝大多数的部署都是如此），这种UDP服务是无害的。但是在开放的互联网上，所有的UDP服务都容易受到反射的影响。"攻击者自2007年以来一直在使用该协议来放大攻击。当研究人员第一次发现CLDAP服务器中的错误配置时，数量达到了几万个。一旦这个问题引起管理员的注意，这个数字就会大幅下降，尽管自2020年以来，这个数字又急剧上升，包括根据黑莲花实验室的数据，在过去一年中上升了近60%。黑莲花为运行CLDAP的组织提供了以下建议：网络管理员应考虑不要将CLDAP服务（389/UDP）暴露在开放的互联网上。如果CLDAP服务暴露在开放的互联网上是绝对必要的，则需要努力确保系统的安全和防御。在支持TCPLDAP服务上的LDAPping的MSServer版本上，关闭UDP服务，通过TCP访问LDAPping。如果MSServer版本不支持TCP上的LDAPping，请限制389/UDP服务产生的流量，以防止被用于DDoS。如果MS服务器版本不支持TCP的LDAPping，那么就用防火墙访问该端口，这样就只有合法客户可以到达该服务。安全专业人员应实施一些措施来防止欺骗性的IP流量，如反向路径转发（RPF），可以是松散的，也可以是严格的，如果可行的话。黑莲花公司已经通知并协助管理员，他们在Lumen公司提供的IP空间中发现了漏洞。微软还没有对这些发现发表评论。...PC版：https://www.cnbeta.com.tw/articles/soft/1331447.htm手机版：https://m.cnbeta.com.tw/view/1331447.htm

马克龙击败勒庞 赢得第二个法国总统任期

马克龙击败勒庞赢得第二个法国总统任期（早报讯）根据法国多家媒体星期天（4月24日）晚公布的出口民调，马克龙在法国总统选举第二轮投票中击败了极右派对手勒庞，成功连任。勒庞已承认败选。路透社和彭博社综合报道，法国商业调频电视台援引埃拉贝民调公司的统计数据显示，马克龙的得票率为58.6%，勒庞的得票率为41.4%。现年44岁的马克龙成为20年前的希拉克之后，首位赢得第二任期的法国总统。不过马克龙此次的得票率比他在2017年首次参选低得多，当时他的得票率高达66.1%，勒庞仅得33.9%。马克龙在巴黎埃菲尔铁塔前向支持者发表胜选讲话，感谢选民在“经历了艰难的五年后”仍继续信任他。他承认，许多人投票给他只是为了阻止极右派掌权，还有一些人投了弃权票。马克龙说，法国社会陷入怀疑和分裂，他希望成为“所有法国人的总统而非某个阵营的总统”。他承诺在未来五年任期内创新施政举措，更好地服务国家。马克龙的第二任期没有蜜月期，因为他马上将面对的一个重大挑战就是6月的国民议会选举，他必须掌握足够议席以落实其施政计划。第三次竞选总统失败的勒庞在巴黎向支持者说，虽然她败给了马克龙，但其政党在此次决选中赢得了空前的选票份额，并称之为一个“了不起的胜利”。53岁的勒庞告诉支持者，接下来她将投入到国民议会的选战中，并誓言将“继续”她的政治生涯，永远不会抛弃法国人。法国总统任期五年，选举采用“多数两轮投票制”。在第一轮投票中，如无候选人获得逾半数选票，得票率居前两位的候选人参加第二轮角逐；在第二轮投票中获得多数选票的候选人赢得总统选举。在4月10日举行的法国总统选举第一轮投票中，马克龙和勒庞是得票率居前的两位，分别获得27.85%和23.15%的选票，4月24日进入第二轮角逐。发布：2022年4月25日6:35AM

国家互联网信息办公室等三部门发布《互联网信息服务深度合成管理规定》

国家互联网信息办公室等三部门发布《互联网信息服务深度合成管理规定》近日，国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》(以下简称《规定》)，自2023年1月10日起施行。国家互联网信息办公室有关负责人表示，出台《规定》，旨在加强互联网信息服务深度合成管理，弘扬社会主义核心价值观，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。近年来，深度合成技术快速发展，在服务用户需求、改进用户体验的同时，也被一些不法人员用于制作、复制、发布、传播违法和不良信息，诋毁、贬损他人名誉、荣誉，仿冒他人身份实施诈骗等，影响传播秩序和社会秩序，损害人民群众合法权益，危害国家安全和社会稳定。出台《规定》，是防范化解安全风险的需要，也是促进深度合成服务健康发展、提升监管能力水平的需要。《规定》明确了深度合成数据和技术管理规范。要求深度合成服务提供者和技术支持者加强训练数据管理和技术管理，保障数据安全，不得非法处理个人信息，定期审核、评估、验证算法机制机理。深度合成服务提供者对使用其服务生成或编辑的信息内容，应当添加不影响使用的标识。提供智能对话、合成人声、人脸生成、沉浸式拟真场景等生成或者显著改变信息内容功能的服务的，应当进行显著标识，避免公众混淆或者误认。要求任何组织和个人不得采用技术手段删除、篡改、隐匿相关标识。——节选

你花几千元买iPhone 但怎么修还是苹果说了算

你花几千元买iPhone但怎么修还是苹果说了算这些故障是因为苹果编写了相关软件。即使有人购买了iPhone，苹果仍然能控制手机。汽车可以由汽车修理店和自修爱好者维修，使用通用零件，但新款iPhone编码识别原装零件的序列号，如果更换零部件，可能会导致故障。根据分析iPhone零部件并销售自修配件的公司iFixit的数据，今年有7个iPhone零部件可能在维修过程中引发问题，而2017年只有3个。iFixit进行了一系列测试，确定了在同型号工作正常的iPhone之间互换哪些零部件会引发问题。结果显示，随着iPhone的更新换代，故障数量增加。这种被称为“零部件配对”的软件机制，鼓励苹果用户转向其专卖店或授权维修中心，这些地方的零部件和人工费用更高。近年来，只有经过批准的零部件和授权维修才能避免问题。更换破裂屏幕的成本通常接近300美元，比使用第三方屏幕的独立商店多出约100美元。苹果公司以旧换新服务对iPhone14的估价约为430美元。也就是说，更换iPhone14屏幕的成本几乎相当于这款手机的回收价格。苹果对维修的控制促使用户花费高达200美元购买设备保险AppleCare，提供免费更换电池和屏幕维修服务。苹果每年从该服务中获得约90亿美元的收入。这也引发了对苹果可持续发展承诺的质疑，独立维修倡导者表示，通过降低维修成本鼓励用户维护设备而不是购买新设备，苹果可以更有效地实现减少碳排放的目标。苹果发言人表示，公司支持顾客修理设备的权利，并创建了自助维修计划来提供帮助。他表示：“我们一直在创新，为客户在产品需要维修时提供最佳选择和方案。”从纽约到加利福尼亚的州议员已经通过旨在简化维修的法律。拜登政府鼓励联邦贸易委员会（FTC）推进规定，阻止智能手机制造商限制独立维修。但大多数规定没有明确限制“零部件配对”。2016年发布的iPhone7被誉为最后一款容易维修的机型。只有一个功能——TouchID——在非苹果授权维修中更换手机的Home键后停止工作。2017年发布的iPhoneX代表了iPhone设计的重大转变。但“零部件配对”也增加了，更换显示屏和前置摄像头，会无法正常工作。苹果最新款的iPhone15拥有更多功能，随之而来的是更多的“零部件配对”。随着芯片速度更快、内存价格更低，软件控制维修已经成为电子产品、家电和重型机械领域的常见做法。惠普利用类似的做法鼓励人们购买其墨盒，而不是价格更低的替代品。特斯拉将其应用于许多汽车中；农用机械商约翰迪尔(JohnDeere)则将其用于农业设备，让非公司维修工无法修复机器。苹果等公司辩称，这种做法是为了保护客户安全和公司品牌。苹果表示，劣质零部件（如有问题的面部扫描仪）可能会危及手机安全，而如果独立维修店出现问题，顾客往往会责怪苹果而不是维修店。这种做法还可以让苹果创建设备零部件的记录，对二手手机买家有帮助。但是，“零部件配对”数量的增加激发了降低维修成本、使维修更容易的运动。包括iFixit在内的支持者表示，延长设备寿命对环境和消费者都更好。他们敦促立法者简化维修，并提出这样的问题：“设备购买后是用户拥有还是制造商拥有？”“基本上在进行维修之前，你必须征得许可，”代表非营利组织游说美国各州就维修服务立法的内森·普罗克特（NathanProctor）说。苹果在2017年扩大了其软件限制，给维修业务造成了冲击。南旧金山的一家独立维修店的沙基尔·塔伊亚布（ShakeelTaiyab）表示，今年他的iPhone维修业务减少了约15%。一些屏幕破裂等问题的顾客因为维修或更换成本过高而继续使用破损的手机。俄勒冈州波特兰市的非营利组织FreeGeek致力于向贫困人群捐赠修复后的电脑和智能手机。FreeGeek技术总监安布尔·布林克(AmberBrink)表示，由于苹果的软件使iPhone的维修过程变得太复杂，他们决定不再修复iPhone。布林克表示，去年，FreeGeek收到了数千部捐赠的iPhone，但只有280部得到了修复。“这真是一件头疼的事情，”她补充说。对于不愿意为苹果授权维修支付高额费用的消费者而言，可能会面临一些不便。新罕布什尔州的15岁吉奥·格里马尔迪(GioGrimaldi)在滑雪旅行中摔碎了iPhoneSE的屏幕，他将其带到附近的一家维修店。他说，最近的苹果专卖店离家有90分钟车程，他们要求130美元更换屏幕，比独立维修店高出40%。他拿回家的手机工作正常，但缺少自动调节屏幕亮度和色彩的TrueTone软件功能。他说：“这真的很愚蠢。我一直很喜欢苹果，但他们对第三方维修真的很刻板。”在过去的一年里，纽约、明尼苏达和加利福尼亚等州通过法案要求电子产品制造商向第三方提供零部件、工具和手册。经过多年对抗此类规定的游说，苹果同意支持加州的法律，并在全美范围内遵守该法律。苹果负责维修服务的布莱恩·诺曼(BrianNaumann)说，苹果还鼓励联邦政府采取类似规定。他上个月在白宫举行的一次活动中谈到了维修权。诺曼表示，“苹果已经采取了重大措施，为消费者提供更多维修选择，这对消费者的预算和环境都有好处。”但加州的立法未能直接解决苹果使用软件控制维修过程的做法。在俄勒冈州，代表波特兰市外地区的民主党州参议员贾宁·索尔曼（JaneenSollman）是相关立法者的一员，他们旨在通过一项州法律禁止苹果和其他公司对维修进行限制。随着俄勒冈州的立法进展，苹果鼓励立法者减少限制。索尔曼表示，苹果今年支付了六名议员参观其硅谷总部，并试图向他们强调安全对维修的重要性。她表示，她对此没有被说服。“我说，‘你让维修更容易获得，但如果你拥有最终的控制权，这就不是真正的维修权利，’”索尔曼说。...PC版：https://www.cnbeta.com.tw/articles/soft/1396573.htm手机版：https://m.cnbeta.com.tw/view/1396573.htm