九维我操你爹
【曾被指控性騷或性侵的他們,被「取消」了嗎?】https://bit.ly/3r54dcl
5月底,MeToo運動在台灣遍地開花,席捲了藝文、政治、媒體、娛樂等領域。
而回顧全球運動進程,歐美經歷MeToo六年,如今,這些曾經被指控的人,現在在哪裏?
有多少個案,真正進入司法程序?被指控的人,是否真的被「取消」了?
美國媒體《Vox》整理了262名,曾經被指控性侵犯或性騷擾的名單,追蹤他們的去向。當中不乏名人、政客、企業家,甚至大學教授等。
端傳媒根據此名單及公開資料,整理了他們被指控性侵後的發展以及他們的現況。
★立即成為端傳媒訂閱會員,支持華文世界不可或缺的深度報導和多元聲音:http://bit.ly/2wVfM6g
5月底,MeToo運動在台灣遍地開花,席捲了藝文、政治、媒體、娛樂等領域。
而回顧全球運動進程,歐美經歷MeToo六年,如今,這些曾經被指控的人,現在在哪裏?
有多少個案,真正進入司法程序?被指控的人,是否真的被「取消」了?
美國媒體《Vox》整理了262名,曾經被指控性侵犯或性騷擾的名單,追蹤他們的去向。當中不乏名人、政客、企業家,甚至大學教授等。
端傳媒根據此名單及公開資料,整理了他們被指控性侵後的發展以及他們的現況。
★立即成為端傳媒訂閱會員,支持華文世界不可或缺的深度報導和多元聲音:http://bit.ly/2wVfM6g
端傳媒 Initium Media
#MeToo六年後,被指控性侵的人現在去了哪裏?|數洞|端傳媒 Initium Media
他們真的被「取消」了嗎?
Z-library 也开始搞纸质书了!
具体来说,用户可以把闲置的书发给 Z-Point,然后通过 Z-Library 分享给其他人,未来甚至还可以进行数字化保存。
https://zlibrary-global.se/inter-library
以及惊奇地发现汕头居然是国内邮寄点之一,惊了!
具体来说,用户可以把闲置的书发给 Z-Point,然后通过 Z-Library 分享给其他人,未来甚至还可以进行数字化保存。
https://zlibrary-global.se/inter-library
以及惊奇地发现汕头居然是国内邮寄点之一,惊了!
Boot Unguarded: 泄漏的OEM签名密钥导致x86/intel信任体系崩塌
2023-09-08 09:19 by 人性分解
Shawn the R0ck 写道:2023年3月,微星国际(MSI)遭受了由Money Message勒索软件组织发起的一次重大攻击。不幸的是,这不仅仅是一次随机泄露。事后的调查揭示了内部数据的泄露,包括高度敏感的信息,如BootGuard私钥。该私钥是英特尔硬件信任和加密密钥管理系统的核心组成部分,意味着存在一个难以轻易修复的漏洞,使得特定设备型号的主要安全机制可以被绕过。此外,泄露的数据还暴露了UEFI固件镜像签名密钥,进一步加剧了这次安全漏洞的严重性。
BootGuard安全机制与CPU微码和CSME共同构成了英特尔核心安全机制的基础。它作为硬件信任系统中的关键完整性保护机制,而UEFI固件则是计算机系统中重要的底层软件组件。通过成功攻击漏洞(例如:CVE-2020-8705)或获取来自OEM/ODM制造商的私钥,BootGuard的被破坏使得威胁行为者可以利用UEFI实现的缺陷、配置错误和其他漏洞来绕过多个已建立的安全措施和缓解措施,例如:SMM_BWP、BWE/BLE、PRx硬件安全机制、SecureBoot以及内核安全缓解技术,如HCVI、PatchGuard、kASLR、KDEP、SMEP、SMAP。此外,主流的杀毒软件和EDR/XDR系统变得无效,使攻击者持久控制被入侵的设备。Hardcore Matrix团队经过广泛研究,重建了制造商缺失的内部工具,并成功执行了针对MSI Modern-15-B12M笔记本电脑(配备英特尔第12代CPU:i5-1235U)的全面攻击链。演示涵盖了BootGuard私钥重签名、胶囊更新重签名和SMM根套件部署等活动。这个令人信服的演示视频凸显了供应链威胁的严重性,展示了它们在现实世界中的影响。该演示不涵盖操作系统内核攻击技术或SMM启动套件,因为这些技术已经有多个开源实现进行了文档化。
当前,全球面临严峻形势,恶意软件/勒索软件攻击中使用引导套件的情况日益增多。微星国际泄露的OEM签名密钥进一步加剧了x86固件安全本就脆弱的状态。尽管如此,许多人(包括安全专业人员)仍然难以理解源自操作系统以下层面的威胁的重要性。考虑一下,如果引导套件被植入加密托管密钥管理服务节点的固件中,可能造成的后果。这样的攻击可以通过利用内存扫描和钩子来轻松实现弱熵作为一种服务。在这种情况下,攻击者可以通过轻微的暴力攻击从公共链中窃取私钥,而无需实际接触托管基础设施。
然而,没有必要因此陷入恐慌,也不明智地寄希望于像RISC-V或Rust这样的“未来技术”。相反,尝试掌控每个设备的安全供应过程是一个可行的计划。听起来像个好计划!坚持这个该死的计划!这是一个很好的起点,不是吗?
https://hardenedlinux.org/blog/2023-09-07-boot-unguarded-x86-trust-anchor-downfalls-to-the-leaked-oem-internal-tools-and-signing-keys/
#安全
2023-09-08 09:19 by 人性分解
Shawn the R0ck 写道:2023年3月,微星国际(MSI)遭受了由Money Message勒索软件组织发起的一次重大攻击。不幸的是,这不仅仅是一次随机泄露。事后的调查揭示了内部数据的泄露,包括高度敏感的信息,如BootGuard私钥。该私钥是英特尔硬件信任和加密密钥管理系统的核心组成部分,意味着存在一个难以轻易修复的漏洞,使得特定设备型号的主要安全机制可以被绕过。此外,泄露的数据还暴露了UEFI固件镜像签名密钥,进一步加剧了这次安全漏洞的严重性。
BootGuard安全机制与CPU微码和CSME共同构成了英特尔核心安全机制的基础。它作为硬件信任系统中的关键完整性保护机制,而UEFI固件则是计算机系统中重要的底层软件组件。通过成功攻击漏洞(例如:CVE-2020-8705)或获取来自OEM/ODM制造商的私钥,BootGuard的被破坏使得威胁行为者可以利用UEFI实现的缺陷、配置错误和其他漏洞来绕过多个已建立的安全措施和缓解措施,例如:SMM_BWP、BWE/BLE、PRx硬件安全机制、SecureBoot以及内核安全缓解技术,如HCVI、PatchGuard、kASLR、KDEP、SMEP、SMAP。此外,主流的杀毒软件和EDR/XDR系统变得无效,使攻击者持久控制被入侵的设备。Hardcore Matrix团队经过广泛研究,重建了制造商缺失的内部工具,并成功执行了针对MSI Modern-15-B12M笔记本电脑(配备英特尔第12代CPU:i5-1235U)的全面攻击链。演示涵盖了BootGuard私钥重签名、胶囊更新重签名和SMM根套件部署等活动。这个令人信服的演示视频凸显了供应链威胁的严重性,展示了它们在现实世界中的影响。该演示不涵盖操作系统内核攻击技术或SMM启动套件,因为这些技术已经有多个开源实现进行了文档化。
当前,全球面临严峻形势,恶意软件/勒索软件攻击中使用引导套件的情况日益增多。微星国际泄露的OEM签名密钥进一步加剧了x86固件安全本就脆弱的状态。尽管如此,许多人(包括安全专业人员)仍然难以理解源自操作系统以下层面的威胁的重要性。考虑一下,如果引导套件被植入加密托管密钥管理服务节点的固件中,可能造成的后果。这样的攻击可以通过利用内存扫描和钩子来轻松实现弱熵作为一种服务。在这种情况下,攻击者可以通过轻微的暴力攻击从公共链中窃取私钥,而无需实际接触托管基础设施。
然而,没有必要因此陷入恐慌,也不明智地寄希望于像RISC-V或Rust这样的“未来技术”。相反,尝试掌控每个设备的安全供应过程是一个可行的计划。听起来像个好计划!坚持这个该死的计划!这是一个很好的起点,不是吗?
https://hardenedlinux.org/blog/2023-09-07-boot-unguarded-x86-trust-anchor-downfalls-to-the-leaked-oem-internal-tools-and-signing-keys/
#安全
throw the book at someone
施以重刑
punish someone as severely as possible
e.g. Japanese court throws the book at YouTuber who uploaded copyrighted game clips and spoilers: Two years in the slammer and ¥1m fine.
施以重刑
punish someone as severely as possible
e.g. Japanese court throws the book at YouTuber who uploaded copyrighted game clips and spoilers: Two years in the slammer and ¥1m fine.
PC Gamer
Japanese court throws the book at YouTuber who uploaded copyrighted game clips and spoilers: Two years in the slammer and ¥1m fine
Japan's copyright protection agency really hates spoilers.
