安全公司 FireEye 表示，政府背景的黑客组织 Conference Crew 正把目标对准那些保存有大量数据的机构，同时攻击中国周边多个国家的电信基础设施。FireEye 表示，该组织在印度、印度尼西亚、菲律宾和越南等国家都有发起过攻击的记录，同时香港和澳门地区的机构也是其攻击目标。在一个案例中，黑客伪造了一封电子邮件，邀请收件人在雅加达参加一个网络安全峰会，诱导他们下载恶意软件。该组织安插的恶意软件包括在受害人的系统内发出命令或收集信息的程序。新加坡国防部今年称，在一起 “目标明确、精心策划的” 攻击中，约 850 名军人和雇员的个人资料被窃取。该部称，此次攻击的真正目的可能是想获取官方机密。不过，相关机密都储存在一个不联网的独立系统内。

比特大陆的蚂蚁矿机算力据估计占到了整个比特币网络算力的很大一部分，矿机使用的固件被发现有内置后门，允许比特大陆远程关闭矿机。该后门被命名为“Antbleed”。固件会随机的每隔 1- 11 分钟核查一下中央服务，每一次核查都会传输矿机的序列号，MAC 地址和 IP 地址，比特大陆可以利用这些数据交叉检查客户的销售和交付记录，而该远程服务可以返回“false”去关闭矿机挖矿。标准的防火墙入站规则无法防止这一后门，因为矿机使用的是出站连接。即使比特大陆没有恶意，但它使用 API 没有身份验证，容易遭到中间人攻击、DNS 或域名劫持，被用于在全球范围内远程关闭矿机。受影响的蚂蚁矿机包括了 S9 系列、 L3、T9 和 R4 系列，如果矿机使用日期在 2016 年 7 月 11 日之后的固件，都有可能受到影响。最简单的保护方法是在 /etc/hosts 中将比特大陆的域名指向 127.0.0.1（127.0.0.1 auth.minerlink.com）。

HardenedLinux 写道 " 由于诸多因素，PaX/Grsecurity 最终决定于 2017 年 4 月 26 日关闭 test patch，4.9 成为了最后一个公开发布的 PaX/Grsecurity 的版本，这次的关闭公开下载并非是闭源，而是只针对商业用户开放源代码，PaX/Grsecurity 未来会继续研究下一代的防御技术包括防止 data-only attack 的 KERNSEAL，ARM64 平台以及 Android 系统的更多防御机制，针对 stable patch 的 RAP 以及 STRUCTGUARD。目前 Linux 内核的安全依然堪忧，PaX/Grsecurity 的 test patch 的关闭在可以遇见的未来几乎不可能出现替代品。不管怎么样，我们怀着感恩的心接受 PaX/Grsecurity 的决定，感谢 PaX team，Spender 以及所有的 PaX/Grsecurity 的贡献者在过去 16 年中为自由软件安全以及内核防御所作出的卓越贡献。虽然我们不知道 PaX/Grsecurity 是不是这个领域的 OMEGA，但众所周知，PaX/Grsecurity 必然是 ALPHA。"

Shadow Brokers 泄漏的 NSA 后门 DoublePulsar 正在广泛传播，安全公司的扫描发现至少有数万台 Windows 电脑感染了 DoublePulsar。软件巨人上周发表声明对这一数字表示怀疑，之后它就不再作出回应。安全公司 Countercept 本周释出了新版的  DoublePulsar 检测脚本，允许任何人远程移除探测到的被感染电脑上的 DoublePulsar。研究员  Kevin Beaumont 介绍说，检测工具发送一系列 SMB 信息去查询联网的计算机， 通过修改查询的两个字节，执行扫描的人可以远程删除感染。DoublePulsar 设计不向计算机写入文件，因此重启后就消失了。

2014 年 2 月，FBI 指控一名佛罗里达男子 Marc Heera 销售克隆版的本田汽车引擎计算机插入式模块 Hondata s300，它被用于读取传感器数据，自动调整燃油混合气、空转速度和其它因素去改进性能。克隆电子元件外形看起来像是真品，但里面的电路板可能是在中国制造的。本田警告使用伪造电子元件可能会引起一系列问题，包括随机限制引擎转速，无法启动等。连接到引擎控制单元的设备还存在安全隐患。安全研究人员已经演示通过访问引擎控制单元能劫持汽车的刹车和制动。除了汽车零件外，路由器或路由器组件也是克隆的流行目标，美国驻扎在伊拉克的海军陆战队就曾是伪造思科路由产品的受害者。IEEE Spectrum 发表了一篇文章谈论了克隆电子元件的危害，称克隆产品除了可靠性问题外，还可能包含恶意的软件、固件和硬件。

杀毒软件供应商 Webroot 最近释出的一次更新将数以百计 Windows 和应用程序运行所需的良性文件标记为恶意程序，导致其全世界的客户遭遇巨大麻烦。该公司声称，错误的病毒定义更新只上线了 13 分钟就被下线。但 13 分钟的时间足以让无数客户中枪。Webroot 的这次更新还将 Facebook 标记为钓鱼网站。它通过官方论坛表示仍然在寻找解决方法。类似误杀合法文件的事件其它杀毒软件供应商也犯过。

HTTPS 网站利用浏览器信任的证书确保用户浏览器与网站服务器之间建立安全连接，防止被网络中间人监听。但如果网站使用自签名证书，那么访问这些网站的用户需要在浏览器添加例外或安装根证书（如火车票网站 12306），这就留下了极大的安全隐患。一位提供游戏网络加速服务的用户在微博上报告，中国电信悄悄替换了其自签名证书，“为何有的地区访问我的 HTTPS 网站，获得的证书并不是我签发的。你们很聪明，只替换掉自签发的证书，因为自签发证书浏览器本来就有警告加上大部分信息都一样，神不知鬼不觉，用户很难发现自己的 HTTPS 访问被监听了，要不是我的软件对证书指纹有验证根本不会发现这问题 ​​​。”原证书是 RSA-2048，伪造的证书是 RSA-1024。中国电信客服表示可以“协调处理”。

在线教程中的示例代码经常会被人直接拷贝到程序中，然而问题是并非所有的在线教程示例代码经过了充分的安全评估。德国的研究人员检查了 GitHub 上 6.4 万多个项目的 PHP 代码，发现了 117 个与有缺陷的在线教程相关的漏洞。研究人员随后在 Google 上搜索“mysql tutorial”，“php search form”、 “javascript echo user input”等关键词后分析和评估了前五个搜索结果的教程示例代码，发现有 9 个教程含有 SQLi 和 XSS 漏洞。他们的研究报告（PDF）发表在预印本网站上。

WikiLeaks 公布了最新的 CIA 机密文件，披露了入侵三星 F 系列智能电视的 Weeping Angel 工具的用户手册 。Weeping Angel 并非是 CIA 原创，而是基于 MI5/BTSS 的 Extending 工具，设计利用内置麦克风记录数据。该工具需要通过物理接触方法使用 U 盘安装到目标的智能电视上，记录下的音频数据再通过物理接触方法收回，但利用附近的 WIFI 热点远程获取记录的音频数据也是可能的。运行在 Windows 上的另一个工具 Live Liston Tool 可用于实时获取监听的数据。Extending 还可以伪装电视屏幕关闭下继续监听。Weeping Angel 是 CIA 和 MI5/BTSS 在一个联合开发研讨会期间合作开发的。

安全专家相信有数万台 Windows 电脑可能感染了 NSA 后门。该后门包含在神秘黑客组织 Shadow Brokers 最新泄漏的 NSA 黑客工具中。该后门被称为 DoublePulsar，安全公司 Binary Edge 的扫描发现了 10.7 万台电脑感染了 DoublePulsar（上图是感染电脑的分布图），但这一结果被认为并不精确。其他安全研究人员的扫描给出了不同的数字，但都超过一万台。DoublePulsar 设计不向计算机写入文件，因此重启后就不见了。这可能是扫描结果存在差异的原因。安全研究人员的持续监视发现，在 24 小时内感染数量在持续增加，因此一种可能解释是模仿者拿着 Shadow Brokers 泄漏的 DoublePulsar 去感染未打补丁的 Windows 电脑。微软官方发表声明对这一数字表示怀疑，认为存在误报。

中国政府强烈反对韩国部署反导防御系统萨德(THAAD)去防御朝鲜的导弹，两国关系因为萨德而陷入了僵局。现在，安全公司 FireEye 报告，自韩国宣布部署萨德起中国黑客就对韩国的相关目标发动了攻击，其中包括对韩国外交部网站发动拒绝服务攻击。与中国军方相关联的黑客组织主要针对与部署萨德相关的目标。黑客主要使用的攻击手段包括了钓鱼攻击，向目标发送含有恶意附件的邮件；以及水坑攻击，入侵军方、政府和行业官员经常访问的网站部署恶意程序。FireEye 称，攻击是两个中国军方关联黑客组织发动的，其中之一被称为 Tonto Team，另一个则是 APT10 或 Stone Panda。

Web 开发者 Xudong Zheng 通过其博客报告了利用同形字符的域名钓鱼攻击。该攻击影响 Chrome(57)、Firefox 和 Opera 用户。域名代码 Punycode 让使用不同语言的字母注册域名成为可能，它的工作原理是将其它语言的字符转变成 ASCII 字符，举例来说，域名 “xn--s7y.co” 等价于“短. co”。但许多语言中的字符与常用 ASCII 字符外形极其相似，人眼很难区分。举例来说，域名 xn--pple-43d.com 等价于 аpple.com，这不是苹果公司的官网，аpple.com 中的 а 是西里尔字母中的 а（U+0430），不是 ASCII 中的 a (U+0061)。现代浏览器引入了机制限制同形攻击。但如果一个域名中的每一个字符都用同一种外国字母的相似字符替代，Chrome、Firefox 和 Opera 中的保护机制就失效了。比如 xn--80ak6aa92e.com 在这些浏览器地址栏上显示的就是 аррӏе.com。

根据卡巴斯基的一份报告，被用于传播 Stuxnet 蠕虫的 Windows 漏洞过去两年仍然是利用率最高的软件 bug。该漏洞编号为 CVE-2010-2568，微软早已释出了补丁修复。漏洞存在于显示 U 盘图标的.LNK文件中，通过在.LNK 文件中隐藏恶意代码，一个恶意的 U 盘可用于自动的感染联网的电脑，即使电脑关闭了自动运行。它被用于在伊朗的铀浓缩工厂传播 Stuxnet 蠕虫，微软是在 2010 年 8 月释出了修复补丁。排在该漏洞之后的利用率第二高的漏洞是用于在 Android 设备上获取 root 权限的漏洞。

感染物联网设备然后发动大规模拒绝服务攻击的僵尸网络 Mirai 遇到了一个攸关其生死的对手：名为 Hajime 的僵尸网络感染了至少 1 万个路由器、网络摄像头和其它物联网设备。Hajime 使用 P2P 的去中心化网络向感染的设备发送指令和更新，它使用了与 Mirai 相同的用户名和密码组合，但感染物联网设备不是为了发动攻击而是为了发出安全警告，它每隔 10 分钟左右会在终端显示警告信息：“Just a white hat, securing some systems.”Hajime 设计破坏 Mirai 和其它类似的僵尸网络，会屏蔽 4 个被 Mirai 等用于发动攻击的端口。除了发出警告和感染设备外，Hajime 并不具备发动分布式拒绝服务攻击的能力。

神秘黑客组织 Shadow Brokers 上周公开了一批新的 NSA 黑客工具和漏洞利用代码。安全研究人员在其中发现了 NSA 与 Stuxnet 蠕虫存在联系的证据，虽然证据并非确凿无疑。Stuxnet 蠕虫被称为是世界上第一种数字武器，它设计破坏伊朗 Natanz 铀浓缩工厂的离心机，增加其故障率，放缓伊朗核武器发展脚步。Stuxnet 被认为由 NSA 和以色列合作开发。赛门铁克的研究员 Liam O'Murchu 在最新曝光的代码中发现了 Windows MOF 文件的漏洞利用脚本，该脚本最早是在 Stuxnet 中发现的，之后被逆向工程加入到开源黑客工具 Metasploit 中，但 Shadow Brokers 公开的 MOF 文件漏洞利用工具的最后编译日期是 2010 年 9 月 9 日，早在脚本被加入到 Metasploit 之前。其他安全研究人员也从中发现了 NSA 与 Stuxnet 存在联系的其他证据，如一个 ASCII 艺术图的名字叫 WON THE GOLD MEDAL，Stuxnet 行动的官方代号据称是 Olympic Games。

我们知道政府收集了海量的公民个人信息，但政府如何保护这些信息不外泄呢？目前看起来并无答案。官媒最近报道了一起多达数亿的个人信息泄漏案件。报道称，泄密源头是两名黑客，而黑客则是通过入侵政府网站窃取到这些信息。报道称，两位黑客分别入侵了某部委的医疗服务信息系统和某省扶贫网站，窃取了该系统内数个高级管理员的账号和密码，下载公民个人信息数据进行贩卖，其中部分信息被转手给了台湾等地的犯罪团伙。报道称，黑客窃取了多达 7 亿条个人信息，数据容量高达 370 GB。

名叫 Large Bitcoin Collider（名字借用了欧洲粒子物理研究所的大强子对撞机） 的众包组织声称通过暴力破解攻击打开了部分比特币钱包，虽然没发现多少比特币。该组织利用类似比特币的分布式计算网络，邀请参与者共同对比特币钱包发动暴力破解攻击，然后分享破解后的钱包。他们至今破解了十多个钱包，但只有三个含有比特币。目前不清楚该组织是出于经济动机还是为了加密挑战而去破解钱包。一些人认为早期挖掘的比特币有很多遗失了，这些比特币今天价值超过十亿美元，这些遗失的比特币可能属于中本聪，或丢失私钥的早期矿工。如果真的能找回私钥，那么其回报将是巨大的。这相当于数字版的寻宝。

2013 年 1 月，DefenseCode 的安全研究人员发现，Cisco Linksys(现属于 Belkin)的路由器默认安装下存在一个远程 root 访问漏洞。漏洞后来发现实际上存在于 Broadcom 的 UPnP 实现中，这一实现被路由器广泛使用，也就是说漏洞不只是存在于思科的产品中，其它路由器厂商也受到影响，其中包括华硕、D-Link、 Zyxel、US Robotics、TP-Link、Netgear 等。受影响的设备数以百万计，研究人员因此没有公开他们的发现。直到四年后的今天，他们正式披露了这一影响广泛的漏洞。研究人员称，思科已经修复了漏洞，但他们不清楚其它路由器厂商有没有修复。鉴于大多数路由器用户并不更新固件，因此绝大多数路由器仍然容易被利用。

神秘黑客组织 Shadow Brokers 泄漏了最新的 NSA 黑客工具和漏洞利用代码，针对了多个版本 Windows，环球银行间金融通信系统 (Swift) ，IBM Lotus Domino、Outlook Exchange WebAccess，Oracle 数据库等。微软官方博客已经发表声明，称大部分被利用的漏洞已经修复，其中一个（MS17-010）是上个月修复的。从 Shadow Brokers 泄漏的信息来看，NSA 入侵系统主要借助的是 0day，与大部分黑客组织采用的方法相同，而不是阴谋论常说的系统内置后门。为什么 NSA 要入侵银行用于跨境交易的 Swift 系统？安全研究人员认为是出于防止恐怖分子洗钱，NSA 针对的机构主要是位于中东的 EastNets 和 Al Quds Bank for Development and Investment。

HardenedLinux 写道 " 经过数年的发展，数据中心，移动端（Android）以及嵌入式系统（IoT？）已经高度依赖于自由开源软件，过去 12 年的基础架构层面的攻防对抗来中，Attacking the Core 的那个 Core 早已从内核转移到了 Hypervisor 之后又转移到了 EFI/SMM 最后 Intel ME 成为了新的 Core。但在某种程度上讲，内核依然是一把基路伯之剑，它的一举一动 (比如早该实现的最佳实践) 依然会影响到更底层恶魔的行为，而这也是 HardenedLinux 社区把 PaX/Grsecurity 放在了极度重要的位置的原因，我们在过去的 4 年中无数次收益于 PaX/Grsecurity 的各种 features，至此我们专门为 x86 服务器打造了基础架构可信链条的加固方案，这个方案尝试对 RING -3 到 RING 0 的各个层级的防护，内核 (RING 0) 使用 PaX/Grsecurity，为了考虑数据中心分发过程中的风险，我们也开发了 Reproducible builds for PaX/Grsecurity 并且开源，虚拟化 (RING -1) 按照社区最佳实践，固件层面则给出了多个选择，最有价值的数据资产（比如密钥管理服务器）可以考虑使用老处理器比如 SandyBridge/IvyBridge，这样可以使用自由固件实现，最新的机器只能使用 OEM 的固件实现。建立从 UEFI secure boot 到 grub2 到内核以及内核模块的签名信任链条，对于 Intel ME 这个来自 RING -3 的恶魔，我们建议对于未启动 Boot Guard（服务器和工作站大部分未启动）的机器可以把 Intel ME 限制在最小的范围内，由于干掉了 ME 会潜在对 SGX 造成影响所以云环境下的 remote attestion 可以使用 TPM 完成。即使这样的方案也只是 x86 下的无奈之举，因为有太多的 binary blobs 即使 Coreboot 也必须使用很多闭源的固件，HardenedLinux 社区坚信长线来看开放比封闭更好，自由开放的系统是安全的基石，但即使在 2017 年的今天，100% 的自由软件 / 固件 / 硬件实现还有很远的距离，仍然需要黑客们的努力。"