根据国会发布并抄送媒体的一封通知函，情报界决定部署广告拦截技术。不少使用广告拦截器的用户表示，他们主要是为了拦截恶意广告内容。这些广告有时会入侵他们的设备，或者收集关于设备的敏感信息。NSA、CIA 以及美国情报界其他机构也因为类似的理由部署广告屏蔽工具。包括 FBI、DEA 和 DHS, 以及国防部多个部门在内的美国情报界大规模部署了广告拦截技术。媒体此前通报了数据经纪人如何通过实时竞价机制获取用户信息。在向用户的应用程序或浏览会话推送广告之前，企业会通过竞标争夺广告展示位的使用权。在此过程中，参与企业可以收集关于当前用户的数据，即出价流数据。换句话说，即使没有赢得广告展示权，用户的数据同样会落入每一家参与经纪商手中。这些信息将成为外国情报机构眼中的宝藏，他们可以借此支持并强化黑客入侵、勒索攻击以及舆论造势等活动。

Epik 的大规模数据泄露已影响到部分人的日常生活。《华盛顿邮报》报道了 Pompano Beach 一位房地产经纪人的遭遇，他在 Facebook 上敦促买家前往这片最美丽的州。但发票上的姓名与个人资料显示他曾为 racisminc.com、whitesencyclopedia.com、christiansagainstisrael.com 和 theholocaustisfake.com 等网站付款。他所在的房地产经纪公司撤销了他的经纪人身份。公司老板在接受采访时表示“不想跟任何抱有这种想法或者动机的人有所牵连。” 某些用户似乎依靠 Epik 过着双重生活。截至目前，已经有大量线索表明某些在现实中从事正常工作的人们往往会在网上疯狂传播仇恨言论。总部位于西雅图郊区的 Epik 公司在向缅因州总检察长提交的数据泄露通报中表示，全国有 11 万用户的财务账户、信用卡号、密码与安全码遭到泄露。仇恨与极端主义资深研究者 Heidi Beirich 表示，她曾经投入数周甚至数月时间开展“侦探工作”，希望了解各个极端主义领域的幕后黑手。在她看来，此次外泄的 Epik 数据集“就像有人直接把所有调查结果摆在桌面上——姓名、账户背后的真实所有者等等……” 不少信任 Epik 为自己隐藏身份的网站所有者因此遭到曝光，但仍有一些采取了额外预防措施（例如支付比特币并使用假名）的网站所有者仍能保持匿名身份。安全研究员兼 Anonymous 联合创始人 Aubrey “Kirtaner” Cottle 拒绝分享关于此次攻击的来源信息，但表示攻击的诉求是为了打击 Epik 这个极右翼极端分子的避难所。Cottle 坦言，“人们已经对仇恨感到厌倦。这些极右翼分子玩得太阴了，必须加以打击。他们的认知里甚至没有底限这个概念。现在……潮流正在转向，一波攻势正朝着他们涌动。”

因为苹果的推诿拖延，安全研究员披露了四个 iOS 漏洞，其中一个已修复(14.7)，另外三个都是尚未修复的 0day(15.0)。这些漏洞早就报告给了苹果，其中时间最长的达到了半年，但苹果要么不在安全公告中披露修复的漏洞，要么承诺处理但没有兑现，Google Project Zero 的披露政策是报告后 90 天（不管漏洞有没有修复），这位安全研究员认为等待的时间已经够长了，因此决定全部公开。他不是唯一一个对苹果 Security Bounty 项目不满的安全研究员。

至少五名法国现任内阁部长的手机上发现了以色列间谍软件 Pegasus 的痕迹。在这之前，根据一份泄露的 Pegasus 项目数据，法国总统 Emmanuel Macron、前总理 Édouard Philippe 以及多达 20 名内阁成员被发现是 Pegasus 的攻击目标。遭到攻击并不意味着成功入侵，目前还没有确凿证据表明攻击成功了。如果攻击者成功入侵手机，Pegasus 能将手机变成远程监听工具。成为攻击目标的五名法国内阁部长分别是：Jean-Michel Blanquer、Jacqueline Gourault、Julien Denormandie、Emmanuelle Wargon 和 Sébastien Lecornu。

最大 HTTPS 证书提供商 Let’s Encrypt 将在下周停止使用旧的根证书，用户可能需要升级设备以避免出现问题。Let’s Encrypt 是一家提供免费证书的非营利性组织，负责颁发证书以加密设备与互联网之间的连接，确保无人能拦截及窃取传输数据。目前全球有数百万个网站依赖 Let’s Encrypt 作为安全保障。但正如安全研究员 Scott Helme 的警告，Let’s Encrypt 当前使用的根证书 IdentTrust DST Root CA X3 将于 9 月 30 日到期。在此之后，您的计算机、设备及网络客户端（例如浏览器）将不再信任该机构颁发的证书。对绝大多数网站用户来说，这倒并不是什么问题，9 月 30 号仍将是平静的一天。但是某些旧设备可能会出现问题，今年 5 月到期的 AddTrust External CA Root 就是实例，当时 Stripe、Red Hat 与 Roku 都因此出现了服务中断。

立陶宛国家网络安全中心（NCSC）对三款中国产手机进行了安全审查（PDF）：华为 P40 5G、小米 Mi 10T 5G 和 一加 8T 5G。NCSC 发现小米手机预装的非标准浏览器 Mi Browser 包含了两个值得注意的模块：其一是读取浏览和搜索历史并将数据发送到小米服务器的 Google Analytics，该模块默认激活；其二是 Sensor Data 模块，它会收集与应用活动相关的 61 个参数，数据在加密之后发送到小米位于新加坡的服务器。小米用户的手机号码还会悄悄通过加密 SMS 短信注册到新加坡的服务器激活云服务，这一短信对用户是不可见的。多个小米系统应用会从新加坡服务器下载 MiAdBlackListConfig 文件，该文件包含了 449 个与宗教、政治和社会团体相关的记录。MiAdBlackListConfig 的内容过滤功能在欧洲地区默认关闭，但由于手机会定期下载该文件，小米能在任何时候远程激活该功能。

今年夏天 REvil 勒索软件攻击中，FBI 曾控制了其解密密钥但没有披露给受害者，原因是它担心这会对 REvil 打草惊蛇，而它试图摧毁这一组织。但 REvil 最终还是察觉了，它在 7 月 13 日销声匿迹，在短暂蛰伏之后过去几周又重新归来，但已经更改了它的网络基础设施。FBI 是通过渗透 REvil 的服务器获得其密钥的。局长 Christopher Wray 本周告诉国会，他们是在与其它机构讨论之后做出了这一决定，不是单方面做出的。安全公司 Bitdefender 上周发布了 REvil 解密密钥，但只适用于 7 月 13 日之前的受害者，不适用于新一轮的受害者。

HardenedVault 写道 "当前固件的主流方案依然是UEFI，由于技术架构设计并没有考虑其复杂的供应链生态，tianocore/EDK2的参考实现和OEM出厂实现差异过大，通过测试和逆向分析可以发现某些厂商的OEM固件中DXE模块有大量基于SMM的实现，这也是导致固件安全的高风险环节之一，因为SMM是x86平台下Host CPU的最高权限运行模式，俗称“Ring -2"，操作系统难以检测Ring 0以下的威胁的原因很简单：根本在不同维度上作战。而OEM固件的设计和实现的缺陷导致了诸多固件安全风险。通常厂商的OEM固件具备不可审计性，由于主流的OEM并不对用户开放源代码，所以源代码级别的审计是无法实现的，漏洞的审计只能依靠二进制审计或者模糊测试进行，而没有源代码对于发现后门或者具有后门性质的调试特性会极高的增加成本，虽然Intel在2019年尝试以Minimum平台解决开放性的问题，但目前而言其覆盖度不及预期。

1999年冬天，洛斯阿拉莫斯国家实验室的研究员Ron Minnich发起了一个叫LinuxBIOS的项目，其目标是用自由软件去替代私有的固件，LinuxBIOS设计思路是让尽量少的代码做硬件初始化的工作，当硬件初始化完成后就加载一个基于Linux内核的执行载荷，这个项目后来更名为coreboot，今天的coreboot支持除了Linux以外的多种执行载荷，这种架构也成为了2020年代当业界重新审视固件问题和探讨”下一代“固件时的重要基础，这或许是必然性和偶然性并存所致。aultBoot 是一个专注于固件安全，可信计算以及高级防御的固件载荷执行体，其设计可以在coreboot平台上发挥出最卓越的防护效果，包括CBnT和多种ACM的开箱过程都可以基于coreboot完成，此外VaultBoot完成诸多安全特性，包括本地/远程证明，基于TPMv1.2/v2.0的全盘加密，测量启动等。"

SushiSwap 首席技术官表示，该公司的 MISO 平台遭到软件供应链攻击。SushiSwap 是一套社区驱动的去中心化金融（DeFi）平台，允许用户一站完成加密货币资产的交易、赚取、借出、借入及使用等操作。今年早些时候推出的最新产品 Minimal Initial SushiSwap Moffering（MISO）是一个代币启动板，允许各加密货币项目在 Sushi 网络上发布自己的代币。与需要原生区块链及实体基础设施的传统加密货币不同，DeFi 代币是一种更易于实现的替代方案，能够直接在现有区块链上运行。例如任何人都可以在以太坊区块链上创建自己的“数字代币”，且无需从零开始构建新的加密货币。 SushiSwap 首席技术官 Joseph Delong 在其 Twitter 帖子中透露 MISO 启动板的拍卖机制已遭供应链攻击劫持。化名为 AristoK3 的 GitHub 匿名合同工访问了项目代码库递交了恶意代码推送给了平台前端。攻击者在拍卖创建过程中插入了自己的钱包地址替换拍卖创建时的 auctionWallet。SushiSwap 已经要求加密货币交易所币安及 FTX 提供攻击者的记录，希望借此识别攻击者身份。币安方面表示正在调查这起事件，并提出与 SushiSwap 开展合作。攻击者共窃取了 864.8 个以太坊，价值约 300 万美元。

安全公司 Bitdefender 发布了免费的 REvil 勒索软件主解密工具（exe）。REvil 今年 7 月突然销声匿迹，当时它利用软件供应链同时对数千家公司发动了备受瞩目的勒索软件攻击。解密工具允许受害者免费恢复在 7 月 13 日前被加密的文件。该工具是 Bitdefender 与执法机构合作创造的，该公司披露它是从一个信任的执法机构合作伙伴获得了 REvil 的密钥，除此之外的信息无法公开。在执法部门的调查结束之后，如果它获得批准可能会公布更多信息。

在遭到勒索软件攻击之后，南非司法部正努力恢复计算机网络的正常运行，攻击导致内外电子服务全部瘫痪。南非司法和宪法发展部称，在系统恢复上线前儿童抚养费将暂停支付。攻击发生在 9 月 6 日，司法部随后启动了应急计划，以确保部分司法功能仍然能进行，如法庭改用了手动记录听证会，使用手动程序发布法律文件。司法部还无法确认何时能恢复正常，攻击者的身份目前也不清楚。勒索软件黑帮通常在加密系统会窃取数据，然后通过威胁公开数据来进行二次勒索。但在攻击之后，还没有一个组织声称对此负责或威胁公开数据。

面对黑客极富创造力的入侵以及用户立即更新手机和电脑的迫切需求，紧急软件补丁正变得愈发普遍。研究人员本周一就重大安全事件发出警报：以色列间谍软件公司 NSO Group 向多国政府出售能远程接管用户智能手机与计算机的程序，通过 iMessage 发送精心设计的 GIF动图即可成功入侵几乎所有苹果设备。唯一的防范之道就是安装苹果紧急发布的软件更新。这类紧急漏洞被称为零日漏洞，代表的是软件当中突然曝出漏洞、软件工程师只有“零天”时间为其编写补丁。一旦零日漏洞被黑客所把握，消费者除了等待软件更新或者暂时停用设备以外，再无其他应对之道。 以往只由政府精英黑客持有的高价值网络武器如今正流入犯罪市场，导致公开披露的零日漏洞开始急剧增加。Project Zero 是由 Google 组建的零日漏洞专项识别与编目团队，他们单在今年年内就记录下 4 4个零日漏洞，而黑客掌握这些漏洞的时间可能还更早。这一数字远高于 2020 年的 25 个。自 2018 年以来，曝光的零日漏洞数量可谓逐年递增。Luta Security 公司（主要业务是将网络安全研究厂商与具体漏洞联系起来）创始人兼 CEO Katie Moussoris 表示，零日漏洞的快速增长主要归结于当前软件编程的特定方式，也就是将安全性视为事后总结的基本思路。她强调，“在这样的思路之下，安全漏洞根本无法避免。只要不从头开始建立安全体系，我们就永远不可能彻底解决引发漏洞的根本原因。”但颇为讽刺的是，零日漏洞数量的增加映射出了一个真实但却荒谬的网络世界——攻击门槛降低导致某些高价值对象更易受到攻击，但大多数低价值人群反而不再受到黑客活动的影响。

匿名黑客组织 Anonymous 泄露了数百 GB 的 Epik 数据。Epik 是一家受争议的域名注册和 Web 服务托管商，托管了多家知名的极右翼网站如 Gab、Parler 和 8chan。Anonymous 泄露的数据就包括了来自 Texas GOP、Gab、Parler 和 8chan 等右翼网站的域名购买、域名转移、WHOIS 历史、DNS 变更、邮件转发、支付历史、账号凭证、私钥、Git 库、一核心系统的 /home/ 和 /root/ 目录，以及一名雇员的邮箱其中包含了来自 Epik CEO Rob Monster 的邮件等等，容量高达 180 GB。Anonymous 称，这些数据集能用于跟踪到极右翼网站的实际所有者。Anonymous 还恶搞了 Epik 的网页，称“They claim we get hacked,Q says they're lying. ”

Travis CI 的一个漏洞可能导致数千开源项目的秘密如签名密钥、访问证书和 API 令牌漏出。Travis CI 是一个流行的软件测试工具，它提供了与源码托管平台如 GitHub 和 Bitbucket 的无缝整合，能直接克隆用户在 GitHub 中的代码库然后在虚拟环境中进行构建和测试。它被 90 万开源项目使用，有 60 万用户。研究员  Felix Lange 发现一个安全漏洞会导致 Travis CI 包含使用它测试的公开开源库的安全环境变量，环境变量含有通常敏感的信息如签名密钥、访问证书和 API 令牌。如果这些变量暴露，攻击者可借此进入组织的网络。编号为 CVE-2021-41077 的漏洞存在了大约 8 天，安全研究人员建议所有使用 Travis CI 的项目更换相关的密钥和令牌。而 Travis CI 处理这个问题的做法引发了广泛批评，它的安全公告对此问题的严重性轻轻带过。

奥林巴斯发表声明表示正在调查一起影响其欧洲、中东和非洲计算机网络的网络安全事故。而知情人士透露，奥林巴斯上周遭到了勒索软件攻击。攻击发生在 9 月 8 日凌晨，自称 BlackMatter 的勒索软件组织留下通知，要求支付赎金，并提供了只能通过 Tor 浏览器访问的暗网地址。BlackMatter 被认为与之前因攻击 Colonial Pipeline 引发广泛关注而短暂偃旗息鼓的 Darkside 勒索软件组织有关联。

这个网站简单但却醒目。白色背景之下，一个巨大的蓝色按钮邀请访问者上传一张人脸照片。按饼干下方，则是 4 个由 AI 生成、供用户测试的面部选项。网站上的标语大胆宣告：通过 deepfake 技术把人脸添加进成人视频，每个人都可以是色情明星。没错，只需要上传图片、按下按钮，定制化小黄片就此完成。MIT Technology Review 对该网站表示无语，我们则将其代称为Y。这里就不放具体内容或者截屏了，免得继续给该网站引流。这个网站是由 deepfake 研究员 Henry Ajder 所发现并上报的，他一直在跟踪在线合成媒体的演变与兴起趋势。 目前 Y 网站的名气还不是很大，只有小部分用户在积极通过线上论坛为创作者提供反馈。但研究人员担心这类应用的出现会打破早已脆弱不堪的道德底线。从一开始，deepfake（或者叫AI生成式合成媒体）的主要用途就是创建女性色情视频，但当事人往往会因此受到毁灭性的心理伤害。最初推广这项技术的 Reddit 创作者会将女性名人的面孔转换进色情视频。时至今日，研究公司 Sensity AI 估计网上的所有 Deepfake 视频中有 90% 到 95% 属于未经同意的色情内容，其中又有约九成以女性为主角。

苹果释出了一个安全更新，修复了被以色列间谍软件公司 NSO Group 利用的一个 0day 漏洞，该漏洞存在于 iMessage 的图像渲染库，无需用户点击就能入侵 iPhone、iWatch 或 Mac 设备。加拿大多伦大学公民实验室的安全研究人员将该漏洞命名为 FORCEDENTRY，认为它至少存在了六个月。漏洞影响 iOS v14.8、OSX Big Sur 11.6 和 watchOS 7.6.2 之前的所有版本。过去，受害者只有在收到发送到他们手机或电子邮件的可疑链接后，才知道自己的设备已被间谍软件感染。但是 NSO 间谍软件 Pegasus 的零点击功能不会给受害者这样的提示，就可以完全接触一个人的数字生活。这些功能可以在黑客工具的地下市场上赚取数百万美元。苹果发言人证实了公民实验室的评估，并表示该公司计划在今年晚些时候推出的下一次 iOS 15 软件更新中增加间谍软件屏障。

多年来“零信任（zero trust）”概念一直是网络安全领域的流行口号，甚至向来迟钝的美国联邦政府 IT 部门也加入了进来。但要想推进这种下一代安全模型，首先需要破除目前人们对于“零信任”术语的广泛误解与混淆。面对持续升温的网络钓鱼、勒索软件攻击与商业电邮欺诈等恶意活动，相信这种转变很快就会发生。 从本质上讲，零信任的定义与组织为自身网络及 IT 基础设施制定的转变构想有关。在传统模式下，办公楼内的一切计算机、服务器及其他设备都位于同一套内网之下，因此相互之间保持信任。我们的工作计算机可以直接接入所在楼层的打印机，或者在共享服务器上查找团队文档。防火墙和反病毒软件等工具只负责阻挡外面的访问请求；网络之内的各项元素则不需要经过太多审查。 不过相信大家已经感受到，移动设备、云服务与远程办公的爆炸式增长正从根本上颠覆着以上假设。组织无法实际控制员工所使用的具体设备。即使可以，传统模式的灵活性与掌控能力也被大大削弱。一旦攻击者突破了外围防御，以远程或物理方式渗透到组织之内，网络也会立即赋予他们巨大的信任与自由空间。如今的安全保护再也不能遵循“外面的坏、里面的好”这种简单粗暴的理念。 Google 信息安全高级主管 Heather Adkins 表示，“大约 11 年前，我们遭遇过一场大规模、高复杂度网络攻击。”当时政府支持黑客闯入 Google 内网，尝试建立后门并不断提取数据和代码，确保在被 Google 将其驱逐出去后还有再次回归的机会。“我们意识到，以往大家所熟悉的网络构建方法已经没有任何意义。于是我们回归蓝图设计阶段，重新构思网安保护的本质。如今大家走进 Google 大楼就像走进了星巴克一样。即使有人能够访问某台 Google 设备，也没法再继续深入。我们改变了战场，所以攻击者就更难得手了。”

《卫报》报道了一个在全球黑社会中发生的病毒式营销故事。以高安全性为卖点的 An0m 手机发起了“草根营销”，根据美国一份起诉书所言，让众多黑社会中有影响力的人物——即掌握巨大权力及影响力的知名罪犯——为它背书。这款手机无法直接通过商店或网站购买，买家得先认识引荐人，再支付一笔“天文数字”——手机售价达 1700 美元，外加每年 1250 美元的年费。这对一部打不了电话也无法浏览网页的手机来说，实在是有些夸张。但全球仍有近 10000 名用户愿意为它买单。打开手机上的计算器，用户可以输入一条数字口令以启动一个秘密消息收发应用。手机卖家宣称，An0m 拥有世界上最安全的消息收发服务——不单每条消息都经过了加密、让窃听者无法读取，而且内容只能由另一位 An0m 用户接收，这就形成了一个与大部分文本消息传播渠道完全脱离的闭环系统。此外，An0m 无法从任何常见的应用程序商店处下载，唯一的获取方法就是购买预装此软件的手机…… 用户可以设置一个选项，即如果设备在指定时长内持续脱机，则自动擦除设备上的数据。用户还可以将特别敏感信息设置为阅后即焚，也可以录制并发送语音备忘录、由手机自动对说话者的声音做混淆处理。从营销与销售策略来看，与其说 An0m 面向的是高安全意识群体，不如说它是专供安全偏执狂使用…… An0m 手机应用事实上名不副实。自 2018 年推出以来，该应用上发送的总计 1937 万条消息全部被收集起来，其中大部分已被澳大利亚联邦警察（AFP）所掌握，这款设备从构思、制造、营销及销售，整个流程都是澳大利亚警方与联邦调查局（FBI）所精心策划。2021 年 6 月 7 日，警方终于收网，全球 800 多名用户落网……执法机构明显是把 An0m 作为一种针对无法破解的加密技术的创造性解决方案。“如果能以“保密”为噱头吸引到犯罪分子自投罗网，我们干嘛还要通过成本高昂的法律诉讼跟科技巨打隐私权官司？”

微软警告攻击者正在利用一个 Windows 10 和 Windows Server 中的 0day 漏洞控制计算机。微软目前还没有补丁释出，但给出了缓解问题的方法。编号为 CVE-2021-40444 的漏洞影响 Windows 10 和多个版本 Windows Server 中的 IE 组件 MSHTML，微软正逐渐用 Edge 替代 IE，但相同的组件也被 Microsoft Office 用于渲染基于 Web 的内容。攻击者可通过诱骗用户打开恶意 Microsoft Office 文档或恶意网站利用该漏洞。微软称，漏洞正被用于发动针对性攻击。补丁预计将在 9 月释出的例行安全更新中修正。