各位Buffer早上好，今天是2019年4月9日星期二。今天的早餐铺内容主要有：计算机科学家发布不会被黑的加密代码；英特尔芯片新漏洞暴露计算机上所有数据；百变语音等35个锁屏勒索类恶意程序变种被曝光；国家发改委将虚拟货币"挖矿"列为淘汰类产业；网约车平台推新用户奖励机制遭薅羊毛，被骗80万报警。

计算机科学家发布不会被黑的加密代码

程序员都是凡人，但数学则是不朽的。通过让编程变得更数学化，计算机科学家希望能消除向黑客敞开大门的编程错误。

研究人员在GitHub上发布了加密工具EverCrypt，向这个目标迈出了一大步。

就像证明毕达哥拉斯定理那样，他们能证明EverCrypt可完全避开多种黑客攻击。EverCrypt没有采用常见的编程方法编写，而是利用了形式化验证。他们首先明确代码能做什么，然后证明只能这么做，排除了代码在特殊情况下偏离的可能性。

EverCrypt始于2016年，是微软研究院项目Project Everest的一部分，当时加密库是许多软件的薄弱环节，存在大量bug。[solidot]

英特尔芯片新漏洞暴露计算机上所有数据

安全研究人员报告称，透过流经某些计算机系统主板的信号，黑客可利用英特尔VISA芯片漏洞窥探主机数据。

3月28日，研究人员在亚洲黑帽大会上披露了自己的发现，声称他们之前发现的可利用来自IME内执行未签名代码的漏洞(INTEL-SA-00086)，同样可以用于访问VISA硬件。商用计算机系统上VISA功能通常是禁用的，但 Positive Technologies团队可利用IME来启用VISA功能。一旦得以访问，便能探知PCH细节，也就可以从计算机中找到那些数据，并可以读取外围设备数据。

基本上，该漏洞能令黑客获得对计算机的完全访问权。

作为回应，英特尔宣称，2017年对IME的一次更新已经修复了该漏洞。但研究人员表示，如果将该固件降级至早期版本，仍能访问VISA硬件及其能读取的数据。面对质疑，研究人员向媒体透露，该漏洞仅影响第6代及以后的英特尔处理器，包括Skylake和 Kaby Lake，且将来的英特尔处理器中仍将存在该漏洞。[secrss]

百变语音等35个锁屏勒索类恶意程序变种被曝光

通过自主监测和样本交换形式，国家互联网应急中心近日发现35个锁屏勒索类的恶意程序变种，该类病毒通过对用户手机锁屏，勒索用户付费解锁，对用户财产安全造成了严重的威胁。

这35个被曝光的锁屏勒索类的恶意程序变种包括拉圈圈神器、卡钻助手、秒抢红包、百变语音、吃鸡辅助、刺激战场辅助、酷跑刷钻助手、绝地求生最新辅助等。为了索取赎金，恶意程序制造者还预留了联系方式、昵称和头像。

国家互联网应急中心天津分中心安全专家介绍说，这些锁屏勒索类病毒恶意行为包括，强制将自身界面置顶，致使用户手机处于锁屏状态，无法正常使用；私自重置用户手机锁屏PIN密码；监测开机自启动广播，触发开机自启动广播后，便会启动锁屏代码；恶意程序预留联系方式，提示用户付费解锁。　　

安全专家提醒说，广大手机用户不要下载这些恶意程序，避免手机操作系统受到不必要的安全威胁。对于无缘无故出现的链接或文件，尤其是陌生用户通过短信、微信等发送的链接或文件，不要点击或接收。[xinhuanet]

国家发改委将虚拟货币"挖矿"列为淘汰类产业

近期比特币价格涨回5000美元，让2018年底经历“矿机轮斤卖”和关机潮的矿圈稍微松了一口气。不过，这口气可能松不了多久，产业政策的“利剑”又来了。

4月8日，国家发改委发布《产业结构调整指导目录（2019年本，征求意见稿）》，涉及鼓励类、限制类、淘汰类三个类别的产业活动，，虚拟货币“挖矿”活动（比特币等虚拟货币的生产过程）赫然出现在淘汰类之中。

该指导目录还显示，未标淘汰期限或淘汰计划的条目为国家产业政策已明令淘汰或立即淘汰。而虚拟货币“挖矿”活动这一条没有标上“淘汰期限或淘汰计划”，侧面反应出国家产业政策鲜明态度。

摩根士丹利曾在2018年初给出数据，挖比特币成本大约三分之一来自电费，2018年比特币乃至其他数字货币的挖矿用电需求将达到120-140万亿瓦时 （terawatt-hours），而全球电动车的能源消耗到2025年预计才不过125万亿瓦时。根据国际能源署2015年的数据，阿根廷全国一年的用电量也才不过125万亿瓦时。2018年10月发表在期刊Nature Climate Change上的一篇论文显示，仅挖比特币一项就将导致2033年全球气温上升2℃。

对于下一步的工作安排，互金整治办提出两点要求：一是积极引导辖内企业有序退出“挖矿”业务，并请积极协调辖内有关部门，多措并举，综合采取电价、土地、税收和环保等措施，引导相关企业有序退出；并要求各地整治办于1月10日前上报目前辖内“挖矿”企业基础情况及引导退出情况。二是为及时掌握各地工作进展，要求各地整治办每月10日前填报辖内“挖矿”企业有关情况。[sina]

网约车平台推新用户奖励机制遭薅羊毛，被骗80万报警

近日上海公安局浦东分局捣毁一个网络诈骗团伙，该团伙利用网络漏洞骗取网约车奖励金，目前已逮捕4人，涉案金额80余万元。

许多网约车平台为了吸引新用户下载客户端并进行使用，会推出一系列奖励机制，如首次充值50元送50元等。这成了不法分子的“生财之道”。

2019年2月，某知名网约车公司工作人员报案称：2018年8月至今，有多名司机利用网络漏洞骗取公司奖励金，总价值累计80余万元。接报后，民警迅速展开调查。在相关部门的支持下，民警通过数据比对、人员分析、账单查控，基本掌握了该案的主要证据。最后，民警先后在上海各地抓获嫌疑人童某等人。

据童某等人交代，他们利用首冲奖励机制，通过虚拟手机号注册大量的乘客账号，充值一次后进行下单。然后使用事先利用亲戚、朋友等不同身份实名注册的网约车司机账户进行接单，最后在手机上用虚拟定位软件形成假的行程，足不出户，完成刷单，骗取奖励费。

警方表示，此类违法“薅羊毛”行为并不是偶发事件。随着互联网的不断发展，许多企业的日常业务都离不开互联网运用。如果有人发现网络漏洞并加以利用，常常会造成公司重大损失。所以，相关企业应该经常通过安全部门进行数据检查或进行内部数据自查，如发现有不法分子企图利用漏洞进行犯罪，及时向公安机关报案。[澎湃新闻]