Nature:麦卡锡关于科学写作的宝贵建议

摘要:这是一篇最新来自Nature的文章,小说家马克麦卡锡这位普利策奖得主向全世界科学家与读者分享了他如何写作的一些宝贵建议,这些建议必然对全世界从事科学研究的工作者具有极大启发意义。 在过去的二十年里,科马克•麦卡锡的十部小说,包括《路》、《老无所依》和《血色子午线》,为新墨西哥州圣达菲研究所(Santa Fe Institute, SFI)的众多教职工和博士后在编辑写作过程中提供了广泛的借鉴意义。他也协助编辑了一些科学家的著作,如哈佛大学的第一位终身女理论物理学家丽莎•兰德尔和物理学家杰弗里•韦斯特。 范•萨维奇是一名理论生物学家和生态学家,他在2000年第一次见到麦卡锡,他们在SFI共事了四年,当时萨维奇是一名研究生,后来是一名博士后。在过去的20年里,萨维奇从麦卡锡那里得到了很多宝贵的建议。2018年冬季,萨维奇在SFI休假期间,每周与麦卡锡共进午餐。他努力把麦卡锡的建议浓缩成最重要的要点,并与大家分享。这些建议与进化生物学家叶的想法结合在一起。麦卡锡最重要的建议是,在讲述一个连贯、引人入胜的故事时要保持简单。以下是更多麦卡锡的智慧之言,由萨维奇和叶所总结转述(原文基础上,稍作修改)。 使用极简主义以使表达更清晰。当你写作的时候,问问你自己:有没有可能在没有标点符号、没有那个单词、没有那个句子、没有那个段落、没有那个段落的情况下保留我最初的信息?尽可能去掉多余的单词、短语或逗号。 提炼你论文的主题和你想让每个读者记住的两三个要点。这个主题和这些要点构成贯穿你文章的主线。单词、短语、句子和段落组成了一个整体。如果有些内容不能帮助读者理解主题,就省略掉。 将每个段落限制为一条信息。一个句子可以是一个段落。每一段都应该先问一个问题,然后发展成一个想法,有时是一个答案。在一段话中提出问题而不回答也可以,但可以给出设想或者为读者留出想象空间。 保持句子简短,结构简单,直接。简洁明了的句子可以很好地用于科学解释。尽量少用从句、复合句和转折词,比如however或thus,这样读者就能集中在主要信息上。 内容不要过于复杂。你的论文不要过多讨论不确定的问题,所以不要过度预测。不要在任何一个单独的部分用两三种不同的方式说同一件事。不要已经阐明了又去详细说明。选择一个就可,否则读者可能会厌烦。 在语法方面,不用刻意那么严格。做不到很严格书写时,接地气的常识性语言就可以了,让读者理解比形成一个语法完美的句子更重要。 注意正确使用标点符号。逗号表示说话停顿。比如句子开头的词组In contrast需要一个逗号来强调即将引出的句子与前一个句子的区别,而不是将句子的前两个单词与其余部分割裂开。破折号应该强调或解释重要的内容,尽量不使用粗体或斜体,而且不只是用于定义术语。括号比逗号更能平静、委婉地表达从句,不要依靠分号来连接松散的结论。不要用感叹号来强调一个观点的重要性。你可以用“令人惊讶的”或“有趣的”来代替,但不要说得太多。每篇论文只用这些词一到两次。 插入问题和不太正式的语言来打破严肃刻板的语气,保持令人阅读友好的感觉,这有助于吸引读者。 选择具体的语言和例子。例如你在谈论一个抽象球体的颜色时,把这个球体称为红色气球或蓝色台球会更详实生动。 避免把方程放在句子中间。数学和英语不一样,要从文本中分离方程,可以使用换行符、空白、补充部分、直观的符号以及方程式结束后返回文本的清晰说明。 反复修改才能写出论文的最佳版本。你无法取悦一个匿名读者,但你应该能够取悦自己。你的论文你希望是为了子孙后代。记住当你遇到写作的挫折时,想想那些激励你的家人、朋友和同事。 最后,投稿时要严格遵守期刊的出版风格和章节规则,没有任何例外与讨价还价。 总之,当你让你的文章更生动、更容易理解时,人们会愿意花时间来阅读,不管我们是新手还是老司机,这都是我们写文章时要做到的,您觉得呢?欢迎大家讨论!

卡巴斯基:2022年隐私技术预测

近日,卡巴斯基在其官方博客上发布了《2022年隐私预测》,给出了对2022年隐私安全威胁的五大趋势预测。 隐私保护技术是2021年热门话题之一,尽管对某些实现(如NeuralHash或Federated Learning of cohort)的意见不一。 然而,像Siri的设备上声音处理和Android的私有计算核心,都是向用户隐私迈出的一大步。 我们也看到了许多新的私人服务,许多关注隐私的公司开始向货币化迈出了第一步,同时在iOS和Android平台上,在技术和营销方面都对隐私进行了更大的推动。 Facebook(Meta)也为用户提供了更多的隐私,在WhatsApp上提供端到端加密备份,并从Facebook上完全删除了面部识别系统。 1. BigTech将为人们提供更多的隐私管理工具 由于企业必须遵守全球范围内更加严格和多样化的隐私规定,它们在用户使用服务时为他们提供了更多的工具来控制自己的隐私。 有了更多的旋钮和按钮,有经验的用户也许能够将自己的隐私设置到适合自己需要的程度。 对于不太懂电脑的人来说,不要指望默认的隐私:即使在法律上有义务默认提供隐私的情况下,依赖于数据收集的企业也会继续寻找漏洞,诱使人们选择不那么隐私的设置。 2. 各国政府对商业形态的数据囤积保持谨慎态度 随着政府建设自己的数字基础设施,让更简单和更广泛的政府服务,希望,更透明和问责,以及更深入地了解人口和更多的控制, 他们会对流经大型商业生态系统的公民数据表现出更大的兴趣,这并不奇怪。 这将导致更多的监管,如隐私法、数据本地化法,以及执法部门对哪些数据和何时可获取的更多监管。 苹果CSAM扫描隐私难题恰恰表明,要在加密和用户隐私之间找到平衡,并找出犯罪行为是多么困难。 3. Machine Unlearning 机器遗忘 现代机器学习通常需要训练具有惊人数量参数的巨大神经网络(虽然这并不完全正确,但人们可以将这些参数视为大脑中的神经元),有时达到数十亿的数量级。 正因为如此,神经网络不仅能学习简单的关系,还能记忆整块数据,这可能导致私人数据和版权材料的泄露,或社会偏见的重现。 此外,这导致了一个有趣的法律问题:如果一个机器学习模型使用我的数据进行训练,例如,在GDPR下,我是否可以要求删除我的数据对模型的所有影响? 如果答案是肯定的,那么这对数据驱动的行业意味着什么? 一个简单的答案是,公司将不得不从头开始对这种模式进行再培训,这有时可能代价高昂。 这就是为什么我们期待更有趣的发展,无论是在防止记忆的技术(如差异化的私人训练),还是那些使研究人员能够从已经训练过的系统中删除数据的技术(机器遗忘)。 4. 监管机构将提高对算法的透明度的要求 从信用评分到人脸识别再到广告,机器学习等复杂算法越来越多地被用于在各种情况下对我们做出决策。 虽然有些人可能喜欢个性化,但对其他人来说,这可能会导致令人沮丧的经历和歧视。 想象一下,一家在线商店根据一些模糊的LTV(终身价值)预测算法,将用户分成价值更高和价值更低的两类,并为其更有价值的客户提供实时客户支持聊天,而将不那么幸运的购物者留给一个远非完美的聊天机器人。 如果电脑认为你是一个劣等客户,你想知道为什么吗? 或者,如果你被拒绝使用信用卡? 抵押贷款吗? 肾移植? 随着越来越多的行业被算法所触及,我们期待更多关于解释、竞争和修改自动化系统所做决策的讨论和法规,以及对机器学习可解释性技术的更多研究。 5. “在家工作”促使更多人关注个人隐私 如果你因为疫情而在家工作,你很可能已经学会了很多新的IT俚语:虚拟桌面基础设施、一次性密码、双因素安全密钥等等——即使你在银行或网上零售工作。 即使大流行结束,在家工作的文化也可能会持续下去。 由于人们在工作和个人需求上都使用相同的设备,企业安全服务将需要更多具有安全意识的用户来保护这个更大的边界免受攻击和泄露。 这意味着更多的安全和隐私培训,以及更多的人将这些工作技能,如使用2FA,应用到他们的个人生活中。 来源:Kaspersky predictions on privacy trends in 2022 | Securelist

TPM Sniffing

来源:https://pulsesecurity.co.nz/articles/TPM-sniffing 工程师Denis Andzakovic在2019年3月实现了对bitlocker 加密密钥的提取公积,基本方法是TPM嗅探(TPM sniffing)攻击。 Bitlocker介绍 Bitlocker 是 Microsoft 为其从 Windows Vista 开始的 Windows 操作系统提供的全盘加密 (FDE) 解决方案,以保护用户的静态数据。该解决方案提供了多种配置,包括多种存储解密密钥的方式。最常见的配置包括将卷主密钥 (VMK) 存储在嵌入在最近的计算机中的可信平台模块 (TPM) 中。 这个设置很有趣,因为解密对用户是完全透明的。由于许多公司不愿意为用户配置额外的密码/PIN 以启动其计算机,因此这一优势超越了其他公司。缺点是它为多种攻击打开了大门,包括本文中描述的 TPM 嗅探以及 DMA 或冷启动攻击。 在幕后,TPM 在启动期间检查各种系统属性,以确保启动顺序未被更改。如果验证成功,VMK 被释放并传输到 CPU,CPU 可以开始解密磁盘并加载操作系统。 根据硬件的不同,TPM 可以通过多个通信通道连接到主板,包括 LPC、I2C 或 SPI。这些总线有一个共同的特性,即传输速度低(时钟一般在 25Mhz 左右)。这对解决方案来说不是问题,因为只需要传输有限数量的数据,但由于所需的硬件便宜,因此它使信道嗅探更容易。 攻击思路 默认情况下,可以通过嗅探 LPC 总线、检索 TPM 返回的卷主密钥并使用检索到的 VMK 解密受保护的驱动器来访问受 Microsoft BitLocker 保护的操作系统驱动器。这篇文章将着眼于通过使用逻辑分析仪或廉价的 FPGA 板嗅探 LPC 总线从 TPM […]

WIRED:2021年安全事件

来源:https://www.wired.com/story/worst-hacks-2021/ 一、Colonial Pipeline 5 月初,勒索软件袭击了 Colonial Pipeline。该公司运营着一条 5,500 英里的管道,将东海岸近一半的燃料(汽油、柴油和天然气)从德克萨斯州一直运送到新泽西州。攻击导致使其计费系统脱机,该公司因此不得不关闭部分管道。随着美国东南部加油站的线路越来越多,交通部发布了一项紧急命令,允许扩大卡车燃料分配。联邦调查局认定勒索软件团伙 DarkSide 为该攻击事件的肇事者。 Colonial Pipelines 支付了 75 比特币的赎金——当时价值超过 400 万美元——试图解决这一事件。执法部门后来能够追回部分资金,DarkSide 转入地下以避免审查。去年 11 月,美国国务院宣布悬赏 1000 万美元,以获取有关该组织头目的实质性信息。这次攻击是有史以来黑客对美国关键基础设施造成的最大破坏之一,也是 2021 年一系列令人震惊的黑客攻击的一部分,这些攻击最终似乎为全世界敲响了警钟,提醒人们全面解决和阻止勒索软件攻击。 二、Kaseya SolarWinds 黑客狂潮是 2020 年和 2021 年最令人难忘的软件供应链攻击,但 IT 管理软件公司 Kaseya 的入侵是今年供应链攻击史册上的另一个重要补充。 7 月初,与俄罗斯勒索软件团伙 REvil 相关的黑客利用了 Kaseya 的虚拟系统管理员工具中的一个漏洞。 VSA 在托管服务提供商中很受欢迎,这些公司为不想自己做的组织运行 IT 基础设施。由于这种相互依存的生态系统,攻击者能够利用 VSA 中的缺陷,用勒索软件感染全球多达 1,500 个组织。 REvil 为许多下游受害者设置了约 45,000 美元的赎金,为托管服务提供商本身设置了高达 500 […]

玄铁 VirtualZone:基于 RISC-V 架构的安全扩展

来源:玄铁VirtualZone:基于RISC-V架构的安全扩展-阿里云开发者社区 (aliyun.com) 摘要 随着互联网和物联网的快速发展,全球联网设备数量高速增长,“万物互联”成为全球网络未来发展的重要方向。但移动平台业务繁荣的同时也催生了多样化的安全问题,目前应用普遍存在被破解、数据被窃取篡改等安全风险,对金融数据安全、个人隐私数据保护、业务数据完整性等造成极大的威胁。 为了解决智能设备、物联网设备所面临的安全威胁,终端芯片通常需要提供可信执行环境(Trusted Execution Environment,TEE),确保芯片内的系统程序、终端参数、安全数据和用户数据不被篡改或非法获取。可信执行环境目前在移动、支付、DRM、汽车、无人机、物联网等应用领域已基本经成为标配。目前较为成熟的处理器可信执行环境技术主要有 ARM 的 TrustZone、Intel 的 SGX 以及 AMD 的 SEV 等。 本文主要描述基于 RISC-V 架构的玄铁 C 系列处理器的安全扩展,该扩展主要基于 RISC-V 架构提供的 PMP 保护机制和多层特权模型,虚拟出多个相互隔离的可执行域(Zone),从而实现了 RISC-V 架构上的可信执行环境(TEE),并保护 Zone 内的软硬件信息,包括软件、内存、外设、I/O 等免受其他 Zone 的非法访问。处理器资源包括 Cache、中断、内存、代码执行等经过隔离之后,处理器将分时地运行在不同的 Zone 内,配合 SoC 其他的保护机制如 IOPMP,共同构建一个基于软硬件协同工作的安全系统。

[2021.08.16] [ISSTA 2021] An Infrastructure Approach to Improving Effectiveness of Android UI Testing Tools

Source: An infrastructure approach to improving effectiveness of Android UI testing tools | Proceedings of the 30th ACM SIGSOFT International Symposium on Software Testing and AnalysisAuthors: Wenyu Wang, Wing Lam, Tao Xie Download Note: https://jbox.sjtu.edu.cn/l/EFFCSrContributor: YZY Overview:现有的UI测试工具对流行工业app进行测试时代码覆盖率很低,甚至不如最简单的monkey,一种随机生成和注入UI事件测试工具。经过motivating study发现,现有的工具在测试时主要进行两种操作:UI层级捕捉和UI事件执行。调用安卓框架内的UIAutomator进行这两种操作效率很低。因此本文提出了TOLLER,一种对安卓操作系统进行底层增强的工具。

IO and FE

Describe an example of indistinguishability obfuscation or functional encryption source: https://security.stackexchange.com/questions/50937/describe-an-example-of-indistinguishability-obfuscation-or-functional-encryption/50972#50972 IO: Indistinguishability Obfuscation FE: Functional Encryption The second one using the first one as a building tool. The first construction provides indistinguishability obfuscation while the second one is functional encryption. Indistinguishability obfuscation is a rather esoteric property, which is not what non-academic think about […]