以色列本·古里安大学的研究人员开发出恶意程序，当安装到路由器或网关上时它能控制设备上的 LED 灯，使用 LED 以二进制格式向附近的攻击者传输数据，攻击者可以使用视频记录设备来接收数据。研究人员此前还发现能利用目标电脑上的机械硬盘声音以及硬盘 LED 灯等方法窃取不联网设备上的数据。在最新的研究中，路由器和网关上的 LED 灯更多，因而窃取效率能更高。研究人员称，他们能以每个 LED 每秒 1000 比特的速度窃取数据。研究人员还公布了一则视频（Youtube）演示攻击。

日本警方逮捕了该国第一位勒索软件作者——一名 14 岁的中学生。这位少年利用可公开获取到的源代码开发了一个勒索软件，托管在海外网站上，通过社交媒体进行传播。这位嫌疑人估计大约有 100 人下载了他的勒索软件。他表示开发勒索软件只是为了测试他作为一名程序员的技能有多高，表示结果显示他确实能开发程序。警方没有透露感染勒索软件的人有没有向他支付赎金。

勒索软件 WannaCry 上个月引发了全球的关注，它利用 Shadow Brokers 泄漏的 NSA 漏洞利用代码 EternalBlue 进行传播。EternalBlue 主要针对的是 Windows XP 和Windows 7。现在，RiskSense 的研究人员宣布他们已经将 EternalBlue 移植到 Windows 10，但短时间他们不会公开 Windows 10 版本的源代码。研究人员在一份报告（PDF）中解释说，开发 Windows 10 版本是必要的，此举旨在帮助防御者更好的理解利用链，为漏洞利用构建防御机制。研究人员称，安装微软释出的补丁 MS17-010 仍然是目前防御 EternalBlue 的最佳方法。

一个俄语 ATP 组织 Turla 被发现使用了巧妙的方法隐藏痕迹。Turla 主要针对政府机构、大使馆、军方、研究机构和制药公司窃取敏感信息，其同名恶意程序能感染 Windows 和 Linux，它的 Linux 模块大量使用了开源的静态链接库，曾被发现劫持卫星链路与指令控制中心通信。根据安全公司 Eset 研究人员的最新报告，Turla 发布了一个含有后门的 Firefox 扩展，使用一个 bit.ly 缩址访问指令控制中心获取指令，但扩展代码中没有发现网址路径，它是通过小甜甜布兰妮官方 Instagram 账号上的一个留言获得指令控制服务器的路径。扩展会检查小甜甜每一张照片下的留言，计算一个定制的哈希值，如果哈希值匹配，它会运行正则表达式得到 bit.ly 缩址。

美国安全部门认为，是俄罗斯通过植入一篇假新闻引发了卡塔尔目前的危机。CNN 报道，FBI 的调查人员正在帮助卡塔尔政府调查这起疑似黑客攻击事件。报导表示，美国情报人员收集的信息显示攻击源自俄罗斯。美国官员认为俄罗斯此举是为了引发美国与其盟国之间的不合。虽然几年来卡塔尔与其阿拉伯盟国之间的关系因该国被指资助海湾地区的恐怖组织而日益紧张，但引发最近的这场危机是卡塔尔通讯社 5 月 23 日的一篇新闻。新闻称，卡塔尔领导人发表了对伊朗和以色列友好，以及批评美国总统特朗普的言论。卡塔尔政府称该报道是假新闻，是被黑客植入的。

The Intercept 根据泄漏的 NSA 机密文件发表了一篇独家报告，但报道刚上线，美国就宣布逮捕了泄密者，一名 25 岁女合同工。根据逮捕令，Reality Leigh Winner 使用打印机打印了机密文件，在文件打印之后情报机构就展开了调查，发现有六个人打印，再调查这六个人的计算机，只有这位合同工与 The Intercept 有电子邮件往来。The Intercept 公布的文档就是文档的扫描图。即便当时 NSA 没有发现泄密者，那么在扫描图公开之后她的身份也很容易暴露——因为今天的许多打印机器含有几乎看不见的秘密指纹，能披露文档是在何时何地在哪台打印机打印的。根据 The Intercept 公布的文档扫描图，该机密文件是在 2017 年 5 月 9 日 6:20 打印的，打印机的型号是 54 ，序列号是 29535218。NSA 显然记录了打印日志，可以轻而易举的跟踪到个人。

伦敦再次发生了袭击事件，英国领导人的第一反应却是监管互联网，而这位担任过内政大臣的首相此前还削减了 2 万名警察。特里莎·梅表示，网络平台为恐怖主义意识型态提供一个“安全空间”，因此一些网络空间需要被关闭。非政府组织公共权利表示，社交媒体公司不是问题来源。研究极端化的专家也批评特里莎·梅的想法“没有仔细思考而只是想找个简单的解决方案”。Twitter、Facebook、Google 均表示他们努力与极端份子对抗。公共权利警告政府，更多的限制可能将恐怖份子“恶性利用网络”的行为往“更黑暗的网络角落”推进。“网络和像Facebook等等的公司并不是暴力和仇恨发生的原因，而只是个能被滥用的工具。”公共权利说：“政府和公司应该对滥用误用更敏感，想出方法来制止。但控制网络这个想法并不如特里莎·梅声称的这么简单。

反竹川 写道 "安全专家通常会建议用户在开放网络环境下使用网络代理服务规避可能的安全风险，但如何保证这些网络代理服务本身的安全？中国一家提供收费「网游加速」的流行网络代理服务商 unlockACGWeb（aka. 島風 GO）被用户爆出存在擅自篡改网页并插入商业广告的行为（见上图）。而该服务要求用户于使用过程中导入其自行签发的根证书「ShimakazeGo! HTTPS ROOT」被质疑「一个专注游戏加速的业务根本用不到 CA，只是单纯代理 HTTPS 根本不需要解密流量内容」。服务的运营者  magami（备案名为康建军） 反驳称被篡改的网页未使用 HTTPS 加密，插入广告无需证书，并宣称自己插入的广告能「帮用户找到想要的东西」。两个月前，magami 曾指责中国电信悄悄替换了其自签名证书。

另据该用户反应，另一款用户数较大的代理 ACG Power 也有自签 CA，出于安全角度考虑建议不要使用。"

安全公司 Check Point 研究人员报告，总部位于北京海淀的中国数字营销公司卿烨科技的广告程序感染了全世界 2.5 亿台计算机，而这个广告程序可以很容易转变成恶意程序下载器。恶意的广告程序叫 Fireball，能在受害者的计算机上执行任意代码，下载任意文件或恶意程序，能劫持和操纵 Web 流量产生广告收入。目前 Fireball 主要是在受害者的计算机上安装浏览器插件去产生广告收入，还没有转变和执行恶意程序功能。研究人员称，Fireball 还能监视受害者，收集用户的私人信息。它主要通过捆绑传播，最主要的捆绑程序是 Deal WiFi、野马浏览器、Soso Desktop 和 FVP Imageviewer。最主要的两个感染国家是印度和巴西，分别占到了 10.1% （2530 万）和 9.6%（2410 万），其它主要感染国家包括墨西哥和印尼。

提供单点登录和身份管理服务的 OneLogin 通过官方博客发表声明，称遭到黑客入侵。官方博客一开始没有披露事故的任何细节，但之后更新称，攻击者获得了一组 AWS 密钥，然后从一个中间主机使用这些密钥访问 AWS API，攻击始于 5 月 31 2 am PST ，该公司雇员在 7 个小时后察觉了攻击者在数据库内不同寻常的活动，迅速将之关闭。根据发送给客户的信息，OneLogin 承认客户数据泄漏，而加密数据可能能被解密，它建议客户生成新的 API 密钥和 OAuth 令牌，创建新的安全证书和凭证，要求终端用户更新他们的密码。基于云端的单点登录虽然方便了用户登录，但也容易成为单一的故障点。

俄罗斯总统普京暗示，导致俄罗斯与美国和其他国家关系紧张的多起网络攻击事件，幕后主使可能是他口中的俄罗斯爱国黑客，此言让他多次否认俄罗斯政府牵涉其中的说法更加耐人寻味。普京在圣彼得堡出席投资大会时对国际媒体表示，从理论上讲，那些黑客的确可能出于爱国情怀，针对出言诋毁俄罗斯的各方发起正当攻击；不过在政府层面上，俄罗斯从不参与其中。在被问及俄罗斯黑客是否可能干预今年德国大选时，普京暗示称，袭击者可能藉助所使用的技术，让攻击看上去是由俄罗斯发起。

阿里云的一位客户认为该公司监控了客户主机的端口流量。这位客户从事境外游服务，需要及时了解各大使馆网站的最新消息和签证进度，而使馆网站都托管在境外的服务器上，为了避免防火长城的干扰他们在阿里云上设立了一个隧道连接到日本服务器上再使用爬虫抓取信息。但在特定时候抓取时内网服务器报连接重置错误，错误日志显示重置是某些关键词触发的。问题是出口连接是加密的，唯一的明文传输发生在本机端口之间，这位客户因此怀疑阿里云监控了客户主机的端口流量。阿里云官方微博账号发表声明，否认该公司查看客户的密钥和服务器证书，否认监控客户服务器的端口流量数据。

神秘黑客组织 Shadow Brokers 宣布将向支付 2.1 万美元 0day 订阅服务的个人公布最新一批的 NSA 工具，这一声明给全世界的白帽子黑客或安全研究人员造成了一场伦理危机。一方面，Shadow Brokers 此前释出过创造出勒索软件 WannaCry 的 NSA 工具，如果这次它公布了 Windows 10 或主流浏览器的 0day 漏洞，安全研究人员需要尽可能快的访问这些代码以及时发布补丁修复漏洞防止类似的攻击发生。另一方面，付钱给 Shadow Brokers 这样组织是不道德的，虽然 2.1 万美元并不是很高的价格。Hacker House 的联合创始人 Matthew Hickey 认为，付钱相当于发出了支持犯罪行为的错误信息。Shadow Brokers 使用的付费方式不是比特币，而是匿名数字货币零币（ Zcash），这种数字货币难以跟踪，订阅者需要支付相当于 2.1 万美元 的 100 零币。

对感染设备的统计显示，勒索软件 WannaCry 的绝大部分受害者运行的是 Windows 7，原本认为是重灾区的 Windows XP 基本不受影响。为什么会出现这一局面？安全公司 Kryptos 的研究发现，原因是 WannaCry 会导致 XP  崩溃或蓝屏死机，无法成功安装或传播。WannaCry 的核心是利用 Windows 文件共享系统 SMB 中的漏洞无需用户干预就能在未打上补丁的系统之间快速传播。但当勒索软件传播到 XP 计算机时，勒索软件要么安装失败要么导致了蓝屏死机，要求硬重启计算机。在 XP 系统上手动安装 WannaCry 仍然是可能的，但勒索软件使用的方法对这款已经停止支持的旧操作系统并不那么有效。

招商银行官方博客称，“5 月 26 日晚，我行服务器出现短暂通讯异常，导致少量客户在网上银行专业版查询其个人信息时，系统偶发性显示了服务器缓存的错误信息，相关异常已于 26 日当晚修复，不会对客户信息安全及业务造成影响。”官方没有透露问题持续了多长时间，以及解释什么通讯异常。根据社交媒体上流传的信息，所谓通讯异常是指 A 用户登录时显示了 B 的账号，包括 B 完整通讯信息，此外每次刷新会显示另一个人的账号。一些人声称在 5 月 27 日登录招商银行网银专业版仍然遭遇了相同的问题。

安全公司 Check Point 报告在 Google 官方应用商店发现了 41 款含有广告软件 Judy 的应用。这些应用的下载量在 450 万到 1850 万次之间，它们都由一家韩国公司开发，但真正的开发者难以识别，因为除了这家公司外，还有其它公司开发的应用也被发现含有 Judy。广告程序通过利用被感染的设备自动点击广告，为恶意程序作者带来大量收入。研究人员表示，他们不清楚广告程序在应用中存在的时间有多久，因此也不清楚真实的扩散规模。在 Check Point 通知了 Google 之后，相关应用已经下架。

在互联网上，人人都可能知道你在做什么，至少对于 HTTP 流量是如此。ISP 知道你访问的网站、浏览的内容，甚至还会在你浏览网页时插入脚本，展示自己的广告，它们还可能有更恶意的行为。HTTPS 能加密服务器到浏览器之间传输的内容，但访问的域名仍然会被 ISP 知道。为了确保你的隐私，你需要 VPN，如果你不信任商业 VPN 供应商，你可以选择自建 VPN。自建 VPN 并不难，Ars 发表了一篇详细的指南，介绍如何在 DigitalOcean 上设置一个虚拟机安装和配置 OpenVPN 服务。中文世界也有很多类似的指南，更流行的是配置 SS 或 SSR 服务。

加拿大多伦多大学的公民实验室披露了俄罗斯利用虚假泄密设法败坏批评者声誉的方法——它将该方法命名为 Tainted Leaks。俄罗斯攻击者首先利用钓鱼攻击窃取政府批评者的电子邮件密码，然后将窃取的文件进行选择性的修改，将修改后的文件以泄密的名义披露。俄罗斯黑客攻击的目标是知名的政府批评者 David Satter 的 Gmail 账号，钓鱼方法类似对希拉里竞选主席的攻击，谎称有人使用了他的密码，建议他点击一个链接去修改密码。Satter 信以为真，结果密码被窃取，攻击者窃取了他的邮件进行选择性修改，将修改后的文件公布在一个自称亲俄的黑客组织 CyberBerkut 的网站上，试图让 Satter 失去声誉，俄罗斯的国有媒体随后跟进报道这一“泄密丑闻”，声称这些泄漏的文件证明 CIA 试图在俄罗斯掀起一场颜色革命。公民实验室称，俄罗斯黑客的目标除了 Satter 外，还有一位俄罗斯前总理、欧洲和欧亚国家的政府内阁成员，高级军方官员和能源公司的 CEO。

Samba 团队发布安全通知，释出补丁修复了一个七年历史的远程代码执行漏洞。该漏洞编号为 CVE-2017-7494，在某些条件满足的情况下仅仅只需要一行代码就能利用该漏洞执行恶意代码。这些条件包括：445 端口可通过互联网访问，配置共享文件有写入权限，文件的服务器路径能被猜出。恶意攻击者之后只需要上传一个共享库，就能让服务器加载和执行恶意代码。Samba 团队称，该漏洞影响 3.5.0 之前的所有版本，督促用户尽可能快的更新。

日经发表了一篇文章揭秘朝鲜网军。在勒索软件的全球攻击之后，朝鲜的网络战部队引起了越来越的关注，报道称 1998 年根据当时朝鲜总书记金正日的指示，在侦察总局内设立了核心网络部队 “121 局”，此后网络攻击变得活跃。朝鲜将成绩优秀的学生集中于平壤的科学英才学校 “金星第一” 和“金星第二”，实施全方面的 IT 教育。每年有 500 人左右成为网络士兵，据推算目前达到 7000 人。这些人有机会住上一般人无法入住的高档住宅，为提高技术，还能经常前往海外。此外，这些人还能获得想阅读的书籍和想使用的计算机。如果以第一名的成绩毕业，能够将家人从地方叫到平壤，并且获得加入朝鲜劳动党的资格。朝鲜的网络士兵将根据作战行动组成团队。以中国的丹东、沈阳、长春和青岛等为基地，通过网吧等发动攻击。此外还伪装成外出打工者，在马来西亚等地展开活动。