物联网设备以不安全著称，利用物联网僵尸网络，攻击者可以发动各种攻击，其中最常见的是流量令人叹止的 DDoS 攻击。在上周举行的 USENIX 安全会议上，普林斯顿大学的研究人员介绍了一种新型物联网攻击 Manipulation of demand via IoT (MadIoT)（PDF） ，它能造成更严重的破坏。攻击者不是利用低功率的常见物联网设备而是高功耗的设备如空调（1千瓦）和取暖器（1.5 千瓦），利用设备的高功耗攻击者能对电网发动协调式攻击，操纵电网的电力需求。此类的攻击能导致本地电网发生电力中断，在更严重的情况下，级联故障能导致电网的大规模停电。研究人员希望他们的工作能引起电力公司、智能设备制造商和系统安全专家的注意，共同合作让电网能抵御 MadIoT 攻击。

利用 1980 年代定义传真信息格式的协议漏洞，恶意传真图像能让黑客悄悄潜入企业内网。企业使用的传真机通常会与内网相连。两名研究人员在上周拉斯维加斯举行的 Def Con 安全会议上演示了这项发现。他们认为可能有数百万企业面临风险，这些企业在确保传真线路安全上做得非常少。 Check Point 的研究员 Yaniv Balmas 称，传真没有内置任何安全保护措施。他与同事 Eyal Itkin 发现了传真协议的安全漏洞，他们对今天传真使用的规模感到“惊讶”。Balmas 称，传真协议在 1980 年标准化之后就没有任何改变。该协议仍然被惠普制造的多用途打印机使用，惠普已经推送了补丁去修复漏洞。

“一夜醒来，卡上存款不翼而飞。”近期，全国多地接连发生银行卡被盗刷案件，引起了网民广泛关注。官媒报道，深圳龙岗警方经过一个多月的缜密侦查，辗转四省六市，打掉了一个全链条盗刷银行卡团伙，抓获 10 名嫌疑人，查缴伪基站等电子设备 6 套，笔记本 10 部、手机 30 余部，带破同类案件 50 余宗，涉案金额逾百万元。罪嫌疑人首先用伪基站、短信嗅探器等电子设备采集手机号码、接收短信。相关设备启动后，附近 2G 网络下的手机就会轮流被“吸附”到设备上，同时接收这些手机的短信。这样，就可以获取受害者手机号码，及一些银行、APP 发来的验证码，进而登录受害者账户。随后，通过一些黑客手段，以受害者手机号码为基础，利用网站、APP 存在的漏洞匹配受害者姓名、银行卡、身份证号等信息。有了上述两步，犯罪嫌疑人就可以伪装成受害者身份进行盗刷、消费。实现盗刷首先需要机主手机处于 2G 制式，且保持静止状态，所以嫌疑人每天从深夜 12 点到次日清晨六七点作案。

互联网工程指导委员会(IETF)释出了传输层安全性协议的最新版本 TLS 1.3。TLS 被广泛用于创建安全连接，TLS 1.3 是基于 TLS 1.2，主要区别是移除了较少使用的弱加密算法，移除 MD5 和 SHA-224 哈希支持，请求数字签名，集成 HKDF，移除许多不安全或过时特性的支持，不再支持静态 RSA 密钥交换，握手将默认使用前向安全 Diffie-Hellman，客户端只需要一次往返就能与服务器建立安全和验证的连接，等等。Firefox 和 Chrome 都已经支持 TLS 1.3 的草拟版本。

德国 Saarland 大学的两名研究人员公布论文《ret2spec: Speculative Execution Using Return Stack Buffers》（PDF），披露英特尔处理器的新漏洞“逆 spectre 攻击”，允许攻击者未经授权读取数据。漏洞是名叫“运行时优化返回地址”的 CPU 预测导致的。如果攻击者能操纵这一预测，他将能控制预测执行编程代码，通过旁路读取本应该禁止访问的数据。比如一个恶意网页能访问和拷贝重要数据如密码。研究人员称，他们在五月份通知了厂商，90 天的保密期已过，所以他们现在公开了论文。研究人员表示，ARM 和 AMD 的处理器可能也受到该漏洞的影响。

黑客正在利用友讯路由器漏洞的改变 DNS 设置诱骗用户访问假的银行网站窃取登录凭证。受影响的路由器型号是过去两年没有打上补丁的 DLink DSL-2740R、DSL-2640B、DSL-2780B、DSL-2730B 和 DSL-526B。除非有自动更新，大部分路由器用户不太可能会手动更新固件。路由器的漏洞允许攻击者远程修改 DNS 域名解析服务器的设置。安全公司 Radware 发现，当巴西用户尝试访问两家银行网站——Banco de Brasil 的 www.bb.com.br 和 Unibanco 的 www.itau.com.br—— 时会被重定向到恶意网站。解决这个问题其实很简单，用户需要确保路由器安装最新固件或使用信任的 DNS 服务器。

台积电本周早些时候解释了上周发生的病毒感染事件，称病毒是因为操作失误而不是黑客攻击。官方声明称，此次病毒感染的原因为新机台在安装软件的过程中操作失误，因此病毒在新机台连接到公司内部电脑网络时发生病毒扩散的情况。台积电是世界最大的芯片制造商之一，其客户包括了 Apple、Nvidia、AMD、Qualcomm 和 Broadcom。公司 CEO 后来告诉彭博社，未透露身份的供应商提供的生产工具感染了病毒，被带进了台积电。但究竟是什么病毒台积电一直没有澄清，媒体声称是去年在全世界爆发的勒索软件 WannaCry 感染了没有打补丁的 Windows 7 电脑。微软早已释出了相关补丁，但生产环境的电脑通常很少更新系统，没有更新也并不令人感到意外。安全公司估计仍然有数百万电脑或服务器没有打上补丁堵上 WannaCry 利用的漏洞。

在拉斯维加斯举行的 Black Hat 安全会议上，奥地利 Graz 理工大学的两名研究人员演示了利用三星 Galaxy S7 手机 Meltdown 漏洞的攻击。研究员 Michael Schwarz 表示，他们在研究 Meltdown 对其他手机型号的影响，预计近期将发现更多会受到影响的设备。三星表示它已经在今年 1 月 和上个月推送了补丁抵御 Meltdown 攻击。 Meltdown 和 Spectre 漏洞在今年初首次披露，影响英特尔、AMD 和 ARM 处理器，该漏洞可被利用绕过保护获取敏感信息。目前尚无黑客利用这些漏洞进行现实攻击的案例，但大范围硬件缺陷被暴露，已撼动了电脑行业，迫使芯片制造商和设备生产商纷纷行动控制负面影响。

微软正在构建新的 Windows 10 沙盒功能，让用户在虚拟化环境中运行不信任的应用程序，可以在程序运行结束之后将其丢弃。该功能被称为 InPrivate Desktop，主要针对的是启用虚拟化的企业版用户。相比启动虚拟机去运行可疑程序，InPrivate Desktop 将整个过程自动化和简单化。该功能尚未提供给外部测试者，暗示其开发可能处于早期阶段，不太可能会包含在 Windows 10 的下一次重大更新中。

安全研究人员称，心脏起搏器制造商 Medtronic 没有使用加密保护固件更新，让黑客能远程安装恶意固件危及患者的生命。在美国拉斯维加斯举行的 Black Hat 安全会议上，Billy Rios 和 Jonathan Butts 称，他们早在 2017 年 1 月就将漏洞报告给了 Medtronic，然而至今他们开发的概念验证攻击仍然有效。他们演示了对控制心脏起搏器的设备 CareLink 2090 programmer 的攻击。由于 Medtronic 没有使用 HTTPS 加密连接和数字签名固件，研究人员能迫使设备安装恶意固件，利用这个控制设备改变治疗方法去危及患者生命，比如增加电击次数。Medtronic 随后发表声明声称该攻击只对旧型号有效，而且需要改变默认设置启用远程功能。

台湾威盛电子（VIA）的一款旧 x86 CPU 被发现存在硬件后门。VIA C3 CPU 有将近二十年历史，它被用于工业自动化、POS 终端、ATM 和医疗设备，以及台式机和笔记本电脑，使用该 CPU 的桌面电脑可能早已淘汰，但嵌入式设备的使用寿命通常很长，因此这一发现仍然具有现实意义。研究人员发现，后门允许用户空间代码绕过处理器的保护自由的读写内核代码。大部分系统该后门已经关闭，但少数系统被发现默认启用。这不是第一次威盛电子的芯片被发现存在后门。

HardenedLinux 写道 "近日，GCP(谷歌云平台)终于推出了VM加固服务项目Shielded VM的beta版本，目前Shielded VMs提供了基于UEFI v2.3.1的verifiedboot和作为measuredboot方案的vTPM实现，vTPM实现了TPM v2.0规范以及通过了FIPS 140-2 Level 1认证，GCP使用了自己研发的芯片TITAN作为物理机的信任根，TITAN项目除了解决传统的固件攻击平面问题外也把通用TPM存在的LPC总线中间人攻击给一并解决掉了，配合硬件信任根以及Hypervisor(类似coreos的定制实现)，GCP的用户可以方便的在管理平台上开启vTPM后在Guest VM中使用vTPM完成整个VM启动过程的可信链条构建，用户可以定制自己的策略比如一旦有固件或者内核镜像完整性不满足健康基线则停掉VM展开取证工作或者调查是否因为运维失误导致的故障。自从2013年开始，不少人认为云基础架构安全中remote attestation(远程证明)和Enclave(飞地计算）是刚需，Google为了满足前者开源了go-tpm作为TPM的实现参考以帮助用户更好的融入GCP的基础设施安全，对后者的自由软件实现的推动主要体现在Asylo框架的开源，如果目标是Enclave的通用框架其工程复杂度可见一斑，以Intel SGX为例，不同的实现其安全防护的侧重点完全不同，HardenedLinux社区完全赞同可信计算顶级团队ITL关于Intel SGX的评估。除此之外，GCP对于基础架构安全的设计已经不局限在常规固件领域，对于私有固件和外设的风险也有考量包括BMC，Intel ME以及OEM UEFI等，希望GCP未来能开源更多的项目让整个自由软件/固件社区收益，HardenedLinux社区的hardenedboot也会持续进化不久的将来会完成TPMv2的迁移。"

《华尔街日报》报道称（付费墙），在经济停滞的背景下伊朗黑客开始转向了勒索软件和数字货币。美国正威胁对伊朗实施更严厉的经济制裁。安全公司 Accenture 的研究人员过去两年跟踪了五种被认为由伊朗黑客构建的勒索软件。勒索软件通过加密计算机中的文件勒索比特币等数字货币赎金。Accenture 发现的软件包含了一系列与伊朗相关联的数字线索。一些样本包含了波斯语信息并且连接到伊朗的电脑，另一些样本设计避免锁定伊朗的计算机系统。除了勒索软件外，Accenture 还发现安装在客户网络的挖矿程序也包含来自伊朗的数字线索。

用户名为 i5xx 的黑客在 GitHub 上创建了一个项目叫 Source-Snapcha，将其描述为 SnapChat 源代码。这名黑客据信来自巴基斯坦信德省的 Tando Bago，他的代码库在 GitHub 收到来自 Snap 公司的 DMCA 删除请求后已经移除。Source-Snapcha 库中的代码是用苹果 Objective-C 编程语言写的，因此很有可能包含的是部分或完整的 SnapChat 的 iOS 版本源代码。泄漏的代码据称最早是一名研究人员发现的。这名研究人员试图联络 SnapChat 但没有成功。i5xx 通过其 Twitter 账号表示于是他们就决定在 GitHub 上公开源代码。Snap 公司发言人表示，SnapChat 五月份的一次更新暴露了少量源代码，他们发现这一错误后立即进行了纠正。他们发现部分源代码被发布在网上，这些代码已经移除。源代码曝光没有危及应用程序，对社区也没有影响。

旨在让所有网站启用 HTTPS 的 Let's Encrypt 项目宣布，它的 Root 证书 ISRG Root X1 于 7 月底获得了所有微软产品的信任，这意味着现在它的 Root 证书被所有主要 Root 程序的信任，包括微软、Google、Apple、Mozilla、Oracle 和 Blackberry。对这个非赢利机构来说这是一个重要的里程碑。Let’s Encrypt 称，虽然所有较新版本的操作系统、浏览器和设备都直接信任它的证书，但许多旧版本仍然没有直接信任 Let’s Encrypt CA，其中一部分会升级到信任其证书的新版本，但还有很多不会升级。要等待它们彻底消失可能至少需要五年时间。

台积电发表声明解释了上周发生的病毒感染事件，称病毒是因为操作失误而不是黑客攻击。台积电称，此次病毒感染事件将导致晶圆出货延迟以及成本增加，对公司第三季的营收影响约为百分之三，毛利率的影响约为一个百分点。公司有信心第三季晶圆出货延迟数量将于第四季补回。此次病毒感染的原因为新机台在安装软件的过程中操作失误，因此病毒在新机台连接到公司内部电脑网络时发生病毒扩散的情况。公司资料的完整性和机密资讯皆未受到影响，已采取措施弥补此安全问题，同时将进一步加强资讯安全措施。

台积电的多个工厂因感染计算机病毒而停产，部分工厂可能要到周日才能恢复生产。台积电称它已经找到原因，恢复了部分生产。该公司在声明中称病毒不是黑客引入的。台积电是世界上最大的芯片制造商之一，其客户包括苹果和高通，是苹果下一代 iPhone 芯片的唯一制造商。台积电表示会在周一提供此次事故的更多信息。台积电首席财务长何丽梅称该公司以前也遭到过病毒攻击，此次是第一次病毒攻击影响到了生产线。

Reddit 披露，一名黑客入侵了它的系统，访问了部分用户数据和一个旧的备份数据库。Reddit 是美国访问量最高的社交网站之一。Reddit 在声明中称，事故发生在 6 月 14 日到 6 月 18 日之间，黑客入侵了多名公司雇员在云端和源代码托管商的账号。虽然这些账号启用了二步认证 2FA，但黑客仍然设法访问了他们的账号。Reddit 称黑客利用了 SMS 拦截。在入侵账号之后，黑客访问了一个保存有 2005 年到 2007 年 5 月之间用户数据的备份数据库，获取了账号凭证（用户名和加盐哈希密码），电子邮件地址和所有公开及私有内容。如果用户是在 2007 年 之后注册的，那么他们的信息没有失窃。Reddit 正在通知受影响的用户，重置可能仍然有效的密码。

黑客从 KICKICO 平台窃取了价值 770 万美元的数字货币，采用的方法比较新颖——销毁现有的币创造同等量的新币到黑客控制的地址。这种方法逃脱了 KICKICO 的监视，因为它没有改变已发行的 KICKICO 令牌数量。黑客首先设法窃取了 KICKICO 智能合同控制的加密密钥。KICKICO 直到用户投诉钱包内价值大约 80 万美元的数字货币消失之后才知道密钥失窃。KICKICO 称它已经收回了窃取的令牌将其退还给了原拥有者。KICKICO 表示，黑客利用密钥销毁了 40 个地址的数字货币，在另外 40 个地址创造同等量的新令牌。它没有披露黑客是如何窃取到密钥的。

JPay 从 2002 年起成为美国监狱的支付服务商，向囚犯家属提供了快速转账的服务，但外界对其可能所知不多，直到上周一起囚犯变黑客的事件令该公司“名声大噪”。除了为囚犯提供转账服务外，该公司还提供娱乐和信息服务，但这些服务都要收费的，而且价格不菲，发一次电子信息收费 47 美分，下载音乐的花费则高达 3.5 美元。该公司向囚犯提供了平板电脑，通过 JPay 帐户囚犯可以听音乐、阅读电子书或玩游戏。爱达荷州监狱官员发现 363 名囚犯利用软件漏洞给自己增加了 JPay 账户余额。在利用 JPay 漏洞的 363 名囚犯中，有 50 人给自己充入了超过 1000 美元的余额。一名囚犯甚至利用软件漏洞，给自己充入了接近 1 万美元。是为什么动机促使如此多的囚犯修改账户余额的？如上所述，它的服务太贵了，囚犯的时薪仅为 10 到 90 美分，下载一首音乐就要花掉他们 5 小时的薪水。那么他们是如何修改余额的？为了限制数据传输， 账户余额很可能是储存在本地而不是远程服务器上，因此精通技术的囚犯可以在本地访问 SQLit 数据库然后修改余额。这些黑客囚犯受到了惩罚，他们仍然可以发送和接收信息，但其它形式的娱乐被临时禁止了。