1、物联网不安全？那就试着驾驭它！

知名安全专家 Charlie Miller 和 Chris Valasek 表示，物联网不可能是安全的，但可以被我们所驾驭。

汽车 hacking 曾给了他们很不一样的经历，两人很早就已经在思考更广的物联网安全领域了，因为总是会有成千上万的连接设备，所以物联网永远不会是安全的，应该优先关注那些与个人安全、汽车以及医疗相关的设备，例如智能的牙刷和门锁。

“我们的代码不会是完美的，且提高安全性的代价也很高昂，你不可能把时间都花在寻找漏洞上，所以你需要接受安全性是无法完全解决的这一事实。” Miller 在 Black Duck Software’s Flight 2017 大会上评论道，他和 Valasek 都是 Cruise Automation 公司的首席自动化车辆安全架构师。

他们解释说：“如果企业的核心价值没有落到安全性上，那么在所制造的设备中融入安全性就不会有成本效益，制造商不能将安全作为特性来吸引用户，也就无法做到成本的转移了。”

同时，那些 hacking 过胰岛素泵、起搏器和汽车的研究人员也都主张将关注点放在那些与个人安全紧密相关的设备上。

“我们需要不断从错误中学习，过去我们在很多服务器和浏览器的安全性方面做得很差，现在变得好多了，这很好，” Miller 说。 “人们都想要彻底的解决安全问题，但这是做不到的，你所能做的就是让 hacking 的过程变得更加困难。”

放眼未来，自动驾驶将面临着特殊的挑战。Miller 说：“实现自动驾驶将是汽车 hacking 下一步要做的事情。”

“我们在 hacking 吉普车的过程中如果出现了问题，还可以选择重新再来。但如果你的汽车真的被黑客攻击了，那么你就没有机会这样做了。安全性应该是自动驾驶需要首先考虑和解决的问题。” Valasek 补充道。

“另外，物联网设备的 hacking 的确很有意思，但是不要让这些过多分散你的注意力而导致忽略企业中那些正在被攻击的点，我们需要专注于实际的攻击，” Miller 说道，“如果智能牙刷被黑了，那么不要感到惊讶，要专注于那些重要的事情。”

原文链接：https://threatpost.com/iot-is-insecure-get-over-it-say-researchers/128826/

本文由看雪翻译小组 BDomne 编译

2、数亿美元以太币被冻结

直到今天，仍然有约1亿5千万到3亿美元的以太币被冻结。原因是一个用户“不小心”触发了以太币钱包Parity wallet的一个漏洞。

Parity 公司发表了一份公告提醒用户Parity Wallet library（钱包库）合约的一个漏洞，会影响在7月20号后应用的多重签名协议中的财产。这是短短几个月内Parity爆出的第二个重大漏洞。

攻击者可以将Parity钱包library（库）协议变成一个普通的多重签名钱包，并且通过调用initWallet函数变为其所有者。这个问题是在2017年11月6日下午02:33:47被偶然触发的，随后一名普通用户利用了该安全问题，将库变成了钱包（library-turned-into-wallet），并清理掉了库代码，致使大量的多重签名合约变得不可用，因为它们的逻辑（所有的状态修改功能）都在这个被删除的库中。

最新部署的协议，0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4 包含一个漏洞：用户未初始化。 虽然这个协议是一个库，但是仍然可以让用户“deveps199”将之转化为一个多重签名的钱包，因为以太坊的账户、库和协议都没有实质的区别。

CinDesk.com的一份报告认为，只有通过紧急更新以太坊区块链的硬分叉才能让冻结的资金再次流通起来。

来源：https://threatpost.com/hundreds-of-millions-in-digital-currency-remains-frozen/128821/
本文由看雪翻译小组 哆啦咪 编译

*本文由看雪翻译小组翻译，转载请注明来自看雪论坛

*加入我们：
请将你的看雪ID、手机号、邮箱地址、翻译文章链接发至cherie@kanxue.com
注意：说明您的申请理由
欢迎加入我们！