黑客们都想要的域名corp.com，被微软确认收购

04-24 4599阅读 0评论

今年2月份的时候，国外域名投资人迈克·奥康纳(Mike O'Connor)曾表示将以 170 万美元的起拍价拍卖危险域名，并直言希望微软能买下该域名，因为他认为这一切都是微软的“历史性错误”。

目前最新消息显示，微软正在确认购买危险域名，目的是避免这个域名被居心不良的人员买走，但是还没有透露具体价格。

为什么说是一枚危险域名?因为多年的测试结构表明：无论谁使用它，都可以从全球各大公司的数十万台 Microsoft Windows PC 中获得数十万系统的密码、电子邮件和其他敏感数据流。

而造成这个结果的主要原因就是因为在微软开发的Windows 早期版本中，默认或示例 Active Directory 路径都被指定为“corp”，并且有许多公司显然采用了此设置，且没有对其进行修改。所以如果有公司采用了这一设置，那么当该公司员工试图在公共网络中访问该路径时，Windows 就会尝试将"corp"解析为""公有域。

在2019年的时候，国外安全专家杰夫·施密特(Jeff Schmidt)和其他专业人士做了一个“危险的实验”。他们每天记录并分析流向的企业内部流量，八个月后，施密特发现超过375000台Windows电脑端正在尝试发送信息，包括尝试登录内部公司网络以及访问网络上特定共享文件。

通过这次实验，施密特等人得出了一个结论：最终控制的人可能会立即拥有一个开箱即用的遍布全球的企业计算机僵尸网络。

目前因为微软已经确认收购，所以广大用户也松了一口气。微软还发布了一份书面声明称，“为了帮助保持系统安全，我们鼓励客户在规划内部域名和网络名称时养成安全的安全习惯。我们在 2009 年 6 月发布了安全建议和安全更新，帮助客户保持安全。在我们对客户安全的持续承诺中，我们还收购了域名。”

据悉，奥康纳曾经被问道为何不直接把送给微软，他说：“这家软件巨头应该对其产品和错误负责。毕竟最初是微软建议大家在内网地址中统一使用 Corp，填坑还需挖坑人。”

令人惊讶的是，数年前微软曾出价2万美元购买，但被奥康纳拒绝了，因为他认为这个出价不是买，是抢，于是这一次的交易就不了了之。如今奥康纳以170万美元起拍，微软也确认收购了，不得不说这一次微软承担起了一家全球知名企业的社会责任感。

本文内容转载自“聚名头条（)——域见全球新鲜事儿”

免费ML平台Kubeflow正式升级1.0！亚马逊、英特尔、阿里都在用

智东西3月3日消息，据外媒报道，由谷歌、思科、IBM等公司共同创办的免费机器学习平台Kubeflow目前已经升级到1.0版本。Kubeflow能够让工程师和数据科学家更容易利用云端资源来运行机器学习工作负载。

Kubeflow平台在2017年年度Kubecon会议上首次亮相，目前参与组织已经超过30个，使用该平台的公司包括美国合众银行、亚马逊、英特尔、阿里巴巴、戴尔、沃尔沃等。

一、三年磨一剑，众多科技巨头参与

由谷歌、思科、IBM、红帽、CoreOS和CaiCloud等公司共同创办的免费机器学习平台Kubeflow在2017年年度Kubecon会议上首次亮相，经过三年打磨，现在已经升级到1.0版本。

随着Kubeflow项目的发展壮大，目前参与组织已经超过30个，参与人数过百。目前使用该平台的公司有美国合众银行、美国大通银行、亚马逊、Uber、GitHub，英特尔、阿里巴巴、戴尔、沃尔沃等。

据报道，项目的合作者在近日的新闻发布会上表示，“ Kubeflow的目标是使机器学习工程师和数据科学家更容易利用云端资源来运行机器学习工作负载。” “有了Kubeflow，数据科学家就无需学习新概念或平台来部署他们的应用程序。

二、Kubeflow 1.0的核心部分有哪些？

Kubeflow 1.0包括一系列核心组件，这些组件是在Kubernetes上有效开发、构建、训练和部署模型所必需的，而Kubernetes是谷歌开发的用于实现应用程序部署、扩展和管理自动化的开源容器编排系统（container-orchestration system）。

除了Kubeflow的主UI和Jupyter Notebooks控制器之外，Kubeflow 1.0还附带了Web应用程序Tensorflow Operator（TFJob）、PyTorch Operator（用于分布式训练）、kfctl（用于部署和升级）以及配置控制器和多用户管理UI。

使用Kubeflow 1.0，开发人员可以使用Jupyter Notebooks工具和Kubeflow工具来开发模型、构建容器、创建Kubernetes资源来训练模型。开发人员可以选择通过Kubeflow的KFServing资源来对经过训练的模型进行漏斗化（funneled），以便在各种硬件上创建、部署、自动最佳化（auto-scale）推理服务器。

Kubeflow 1.0引入了一个命令行界面和配置文件，这使Kubeflow可以通过单个命令以及正在开发的模块（例如Pipelines）进行部署。Pipelines部分基于TensorFlow Extended库，该库在谷歌内部用于构建机器学习组件。

三、调配资源更灵活、公平、安全

Kubeflow让数据科学家和研究团队可以在命名空间（namespaces）内运行工作负载。命名空间提供了安全性和资源隔离，并且管理员可以使用Kubernetes资源配额来限制个人或团队可以消耗的资源数量，以确保公平的调度。

用户可以在Kubeflow的 UI界面中通过预置图像或输入自定义图像的URL两种方式启动Notebooks。然后，用户可以设置要连接到Notebooks的处理器和图形卡的数量，还可以设置存储库和数据库的配置和密码参数。

“这是一项重大的投资。”思科的杰出工程师、Kubeflow的贡献者Debo Dutta在博客中写道，“Kubeflow发展到目前这个阶段，已经花费了许多组织的大量宝贵资源。” “我们对Kubeflow的未来充满信心，并且非常期待。我们希望Kubeflow社区可以变得更强大、更多样化，我们希望更多的个人和组织加入Kubeflow。”

结语：Kubeflow加速各行业实现AI化

Kubeflow 1.0的推出，让工程师们可以更加方便地利用云端资源部署机器学习任务，这也一定程度上降低了企业利用机器学习技术实现业务AI化的门槛。

开源平台的发展需要的是更多开发者、更多组织和企业加入，共同开发、贡献、完善。我们也期待Kubeflow平台能够在机器学习基础设施领域有更多精彩表现。

英特尔、联想等服务器曝出难以修复的漏洞

近日，英特尔、联想等多个厂商销售的服务器硬件曝出一个难以修复的远程可利用漏洞。该漏洞属于供应链漏洞，源自一个被多家服务器厂商整合到产品中的开源软件包——Lighttpd。

Lighttpd是一款开源Web服务器，以轻量级、快速且高效而闻名，非常适合高流量网站，同时消耗较少的系统资源。该漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何服务器硬件中。

漏洞潜伏六年，服务器供应链安全堪忧

安全公司Binarly的研究人员近日证实，英特尔、联想和超微（Supermicro）等公司销售的服务器硬件中存在一个潜伏长达6年的漏洞，可被黑客利用泄露关键安全信息。研究人员进一步警告，任何使用美国佐治亚州Duluth公司（AMI）或中国台湾省AETN生产的特定型号的BMC（基板管理控制器）的服务器硬件都会受到影响。

BMC是焊接在服务器主板上的微型计算机，被云计算中心（有时也包括其客户）用于远程管理庞大的服务器集群。管理员可通过BMC远程重新安装操作系统、安装和卸载应用程序，并可几乎完全控制系统——即使服务器处于关闭状态。BMC成就了业界所称的“无灯”系统管理，AMI和AETN是众多BMC制造商中较为知名的两家。

多年来，很多品牌的BMC产品都集成了存在漏洞的开源软件lighttpd，后者是一个快速轻量级的Web服务器，兼容各种硬件和软件平台。lighttpd被广泛用于各种产品，包括嵌入式设备（例如BMC），允许远程管理员通过HTTP请求远程控制服务器。

2018年，lighttpd开发人员发布了一个新版本，修复了“各种释放后利用场景”，这是一个含糊其辞的描述，实际是修复了一个可远程利用的堆越界（OOB）读取漏洞，但由于开发人员并未在更新中使用“漏洞”一词，也没有按照常规操作分配CVE漏洞编号，这导致AMI Mega RACBMC的开发人员错过了修复并未能将其集成到产品中。结果，该漏洞沿着供应链蔓延到系统供应商及其客户：

Binarly研究人员表示，lighttpd的漏洞被修复后，包括AMI和ATEN在内的BMC制造商仍在使用受影响的lighttpd版本，并且这种情况持续了多年，多家服务器厂商在过去几年间继续将存在漏洞的BMC整合到硬件中。Binarly识别出其中三家服务器制造商：英特尔、联想和超微（Supermicro）。

“多年来，（lighttpd漏洞）一直存在于固件中，没有人关心更新用于BMC固件镜像的第三方组件，”Binarly研究人员写道：“这又是固件供应链管理缺乏一致性的典型案例，最新版本的固件中存在一个严重过时的第三方组件，为最终用户带来了额外的风险。估计业界还有更多使用易受攻击的lighttpd版本的服务器系统。”