科技产业悄然补丁FragAttacks Wi-Fi漏洞泄漏数据，削弱了安全性

根据安全研究员Mathy Vanhoef的说法，十几个Wi-Fi设计和实施缺陷使误解为窃取传输的数据并绕过防火墙以攻击家庭网络的设备。

在周二，纽约大学阿布扎比的计算机安全博士后研究员Vanhoef发布了一篇标题，＆＃34;片段和伪造的文件：通过帧聚集和碎片和＃34打破Wi-Fi; [PDF]。

计划于今年晚些时候在USENIX安全会议上展示，该文件描述了一套无线网络漏洞，包括三个Wi-Fi设计缺陷和九种实现缺陷。

Vanhoef于2017年与Co-Auther Frank Piessens一起确定了WPA2协议的关键重新安装攻击（Kracks）（用于保护Wi-Fi通信），称他的最新研究项目FragAttacks碎片，它代表了碎片和聚集攻击。

自1997年通过WPA3的WEP从1997年首次亮相，十几个漏洞影响了所有Wi-Fi安全协议。

＆＃34;一个设计缺陷在帧聚合功能中，另外两个是帧碎片功能，＆＃34;在他的论文中解释了Vanhoef。 ＆＃34;这些设计缺陷使敌人能够以各种方式伪造加密帧，这又可以实现敏感数据的exfiltation。＆＃34;

他还确定了帧聚合的缺陷 - 将多个网络数据帧 - 以及帧分段分割网络数据帧组合成较小的碎片 - 实现潜在攻击的影响。

802.11帧聚合漏洞涉及在帧头中翻转未经身份验证的标志，这允许加密的数据有效载荷被解析，就像它是多个聚合帧而不是简单的网络分组一样。

＆＃34;我们滥用它来注入任意帧，然后通过使其使用恶意DNS服务器，＆＃34拦截受害者的流量;本文解释说。 ＆＃34;实际上我们测试的所有设备都容易受到此攻击的影响。＆＃34;

总共，75个设备 - 网络卡和操作系统组合（Windows，Linux，Android，MacOS和iOS） - 被测试，所有人都受到一个或多个攻击的影响。

NetBSD和OpenBSD不受影响，因为它们不支持接收A-MSDU（聚合MAC服务数据单元）。

至于两个帧碎片设计缺陷，一个人必须这样做，而帧的所有片段都是用相同的密钥加密，数据的接收器areN＆＃39; t验证这一点。 ＆＃34;我们展示了对手可以滥用这种缺失的检查，以通过混合在不同键下加密的碎片和＃34加密的碎片来伪造框架和exfiltrate数据;在他的论文中解释了Vanhoef。

另一个设计缺陷与帧接收器ISN＆＃39;连接到不同的网络时强制从内存中删除不完整的碎片。 Vanhoef通过将恶意片段注入片段缓存来滥用这一点，这量才能进入任意数据包。

同时，各种实施缺陷包括数据接收器等问题，这些问题不检查片段是否属于同一帧，它允许攻击者混合和匹配伪造的帧，而不是检查是否帧片段是否被加密，以及操纵握手消息以注入纯广告文本聚合帧。

为了基于这些缺陷进行攻击，对手必须在受害者和适用的Wi-Fi接入点范围内。然后，对手将使受害者欺骗某些网络交互，例如从对手控制的服务器下载图像。

此后，对手可以通过网络发送恶意IPv4数据包。数据包像往常一样加密，但是对手将设置一个标志，以便数据将被视为聚合帧，这使得可以是任意的数据包注入，如路由器通告使用恶意DNS服务器。

Vanhoef在GitHub上发布了一个工具，以测试Wi-Fi客户端和接入点是否易受攻击，并且还在YouTube上发布了PoC攻击演示。

CVE-2020-26144：接受以EtherType EAPOL（在加密网络中的RFC1042标题开头的明文A-MSDU帧。

CVE-2020-26139：即使发件人尚未经过身份验证（仅限APS），即使发件人也要转发EAPOL帧。

由于Wi-Fi联盟和行业财团在互联网上的安全进程（ICASI），已经部署了许多受影响的设备和软件的补丁，因此已经部署了九个月长的协调负责披露。

Linux补丁已应用，内核邮件列表注意提到Intel在不提及的情况下解决了最近的固件更新中的缺陷。微软于3月9日发布了它的补丁，2021年3月9日当披露延迟时，雷德蒙德已经致力于出版。

Vanhoef建议使用Wi-Fi设备的供应商了解是否已解决碎片。 ＆＃34; [f]或一些设备的影响是少量的，而其他人则＆＃39; s灾难性，＆＃34;他说。 ®

另一个星期，另一个问题：处女木质Mulls测试飞行重启，因为VSS Unity固定 - 但VM eve可能会被禁止

维珍银河批读它已经处理了电磁干扰（EMI）问题，其中最近的测试飞行就像另一种技术格林林左右。

该消息在Q1投资者呼吁期间出现了130米的损失，从去年同期亏损3.77亿美元。

迈克摩西太空任务和安全，告诉参与者，在2020年12月中止之后，其中火箭电机丢失的连接和统一被迫在遇到麻烦空间之前迫使返回安全着陆，团队一直在努力处理新的飞行控制计算机引入的EMI。

继续阅读

Cyber​​uk 21英国是在培训非洲和印度的国家花费2200万英镑，以防止网络影响与＃34的影响;专制政权＆＃34;外交秘书多米尼克·拉布斯今天说。

＆＃34;我很高兴地宣布英国政府将投资2200万英镑的新资金来支持那些脆弱国家的网络能力建设，＆＃34;今天早上在Cyber​​uk会议上说Raab，使他的单一政策承诺在演讲中。

外交部长说，这笔钱将走向＆＃34;国家网络响应团队＆＃34;大多是非洲的，具有指定的意图和＃34;改善网络调查的合作＆＃34;进入潜在国家的国立支持对公司和数字依赖基础设施的攻击。

继续阅读

Rackspace CEO：离岸外包，房地产封口等成本削减措施。纳斯达克欢呼吗？出色地？不

有两件事通常使华尔街投资分析师在膝盖上康塞时疲软，季节会议呼叫技术执行委员会：扩大云服务和成本修剪的血腥细节。

Trackspace本周在黑桃中交付，但其股份仍然在纳斯达克遭到竞争，在其每股每股1美元收益的全年指导下，近30％的速度下跌，低于分析师预期的1.10美元的共识。减缓利润增长吓坏了它们。

顶级黄铜使用Q1呼叫（抄本）来讨论重创的私有云组合，包括完全托管的VMware云服务，以及CEO Kevin Jones作为＆＃34描述的Rackspace Elastic工程;我们的服务块的下一次迭代＆＃34 ;。

继续阅读

开源JavaScript Project Babel＆＃39;耗尽钱＆＃39;雇用付费维护者后，赞助商退出

根据其核心团队的说法，开源Babel JavaScript编译器项目耗尽了大量的赞助商。它昨天的创造者通过声称在他认为资金的推特上将扳手扔进了作品中，他认为是＆＃34;误和＃34;

Babel将现代JavaScript（ECMAScript 2015+）编译为在旧的Web浏览器上运行的代码。它还可以编译JSX（由React Framework使用的语法）和CypeScript，键入的JavaScript型号。使用Babel对开发人员来说，尝试在多个平台上支持多个浏览器是一个巨大的好处。它的GitHub储存库有39,000颗恒星，并且已经叉4800次，表现出其受欢迎程度。

核心团队现在表示，该项目耗尽了金钱，尽管从Airbnb，Facebook，Salesforce，Gitpod，Gatsbyjs，Discord，Elastic，Vercel等用户赞助。

继续阅读

纤维通道Hasn＆＃39; T一直令人兴奋，因为存储区域网络年轻，热，漂亮。但协议仍在周围，仍然有奉献者，刚刚升级。

多年来，第七代光纤通道已经在工作年份，具有64Gbit / s的理论速度。但是，虽然Broadcom的喜欢于2020年9月在2020年9月发出了64G光纤通道交换机，但根据我们的兄弟站点块和文件，虽然，缺乏更新工作是一个可以连接服务器或可以连接服务器的主机总线适配器（HBA）的TAD棘手数组到第七型开关。

直到昨天，当Broadcom交付了世界上一部分非常小部分的HBA等待，并且吹嘘它现在可以提供＆＃34;一个完整的产品组合，使端到端的64G数据路径能够。＆＃ 34;

继续阅读

不热衷于你街上的5克桅杆？至少是它＆＃39; d更努力地烧伤碎屑＆＃39;在轨道上的飞行细胞塔＆＃39;

另一种卫星星座为发射准备，这是针对物联网设备的下一个连接

5G IOT运营商OQ技术用卫星公司纳米瓦斯造成了谈判，以构建OQ BOSS OMAR Qaie描述为A＆＃34;在轨道中的飞行细胞塔。＆＃34;

假设细胞塔的体积为30厘米×20cm×10cm并称重6kg。

6U卫星是纳米瓦斯与OQ技术的第二个任务，将是后者的最新添加和低地球轨道星座。该计划是将基本的商业IOT和机器提供给机器（M2M）服务，使用5G连接，以非洲，中东，亚洲和拉丁美洲专注于专注的客户。

继续阅读

AWS赢得了另一个英国公共部门合同 - 这次为NHS苏格兰提供1500万英镑的健康数据系统

苏格兰的NHS教育已获得AWS为1500万英镑的合同，以举办其国家数字平台，这是跨国公司分享数据的架构和卫生服务。

NHS苏格兰内部的教育和培训机构表示，该平台将设计为＆＃34;在护理点创建和部署实时数据＆＃34;＆＃34;操作到可预测的架构，以实现新的和创新产品开发和实施＆＃34;以及＆＃34;按规模使用数据以进行质量改进，并根据招标通知支持研究和创新。

云基础架构Biz设置为托管数据平台，包括结构化和非结构化临床数据的存储库，Web服务到电源Web和移动应用程序，集成层和Web应用程序。该平台旨在在2018年在苏格兰的数字健康和护理战略出版后，可以在源中创建和使用信息并促进现有和新的医疗保健技术的互操作性。

继续阅读

香港浮动Doxxing法律，让它强制大型技术来取消内容

香港立法局提出了对当地法律进行修正，以加强对Doxxing的处罚，并授权其隐私专员要求从平台和合法执行遵守方案中删除内容。

2019年2019年引入法律后，在香港成为香港的问题，这将使当地人更容易在中国法院审判。抗议法律的抗议活动师活动人员发布有关警察和法院员工的个人信息。

从2019年6月到2020年9月，隐私专员办公室为个人数据处理超过4,700名Doxxing案件。在那些被犯下的人，35％的警察或其家庭，4％的公共仆人和政府官员，对政府或警方的支持30％，并对政府或警方的反对表达了32％。在2020年9月20日和2021年4月之间发生了另外1,000个案件。

继续阅读

保护隐私很难。我知道因为当我尝试时，我很快就学会了不玩武器

第几十年前栏决定将我的手作为密码。它达到了你可能期望的。我会疯狂的想法编写一个加密Twitter的直接邮件的工具 - 在清除中发送 - 以便您的私人通信将真正私有，可见，包括Twitter，包括Twitter。

写作代码结果很令人惊讶;当我在Python中写下它时，我有图书馆来处理Twitter集成以及加密。我读出了一个理论上的一点，把碎片放在一起，并用一点调试“cryptweet”升起并运行。

下一步：与世界共享我的全新代码，将其兴起作为每个Twitterer所需的隐私解决方案。

继续阅读

IBM编译数据集以教授软件如何制作软件：14米代码样本，其中一半实际上工作

认为IBM已经组装了一个大规模筒仓的源代码，了解有关编程的机器学习计划。

被称为项目代码，该集合包含，我们＆＃39;重新告诉，1400万代码样本以超过55个编程语言总计5亿行，来自Java，C，并转到Cobol，Pascal和Fortran。说实话，超过四分之三的东西都是C ++和Python。

此源代码是从生产或开发中获取的：它是从提交给日本组织的两个编程竞赛的条目中收集的：Aizu和AtCoder。在这些比赛中，竞争对手受到挑战，以编写必要的代码，以将一组给定的输入集转为一组所需的输出。大约一半的样品按预期工作，其余的标签为错误的解决方案，非建筑物或越野车。

继续阅读 印度和新加坡是第一个目的地，与西联汇款团队，聪明为目标200个国家 动词“到谷歌”可能很快有新的含义，因为广告和搜索巨头已经增加了与其付费应用程序的“谷歌”金钱的能力。 目前，新产品仅适用于我们基于美国的用户，并允许付费应用程序挂钩以西联汇款和明智的支付网络。 谷歌尚未解释如何为收件人提供经验。 登记册将假设它与西联汇款的选择没有因代理人或存入银行账户中存放的现金，或者智慧要求开设账户。 对于付费用户来说，西联汇款和明智将只是另一个目的地选项。 继续阅读 注册 - 对科技界的独立新闻和意见。 部分情况出版