美国正在起诉被指泄露 CIA 黑客工具集 Vault 7 和 Vault 8 的前雇员 Joshua A. Schulte。审讯透露的信息显示，CIA 内部的信息安全措施称不上有多严密，储存机密黑客工具的虚拟机密码是 123ABCdef，DevLAN 服务器的 root 登陆密码是 mysweetsummer，而这些密码在内部是共享的，发布在局域网内。聊天记录显示，每个人对这些薄弱的信息安全实践都心知肚明，并对此开玩笑。

一家美国大型国防承包商在 1 月中旬遭勒索软件攻击，至今未完全恢复。位于加州的 Communications & Power Industries (CPI)为雷达、导弹导引头和电子战技术提供配件，其客户包括了美国国防部及其研发机构 DARPA。事故发生在一月中旬，一位具有域管理权限的用户点击了恶意链接，触发了勒索软件对文件进行加密，数千台计算机都在同一域内，勒索软件快速扩散到每一个 CPI 办公室，包括现场备份（on-site backups）。该公司之后向攻击者支付了约 50 万美元赎金。部分包含敏感军事数据的计算机用解密密钥恢复数据，其中之一包含了与洛克希德马丁公司神盾系统相关的文件。到二月底只有四分之一的计算机恢复运行。许多计算机都重新安装了操作系统。CPI 发言人证实遭到了攻击，但拒绝提供更多信息，因此目前不清楚它感染了什么勒索软件。

VPN 是重要的安全隐私工具，它本质上是加密两个或多个设备之间的连接，通过安全隧道路由流量。VPN 连接的安全性与软件息息相关，如果软件不安全，那么连接也不可能有多安全。然而由于现有的 VPN 软件的复杂性，安全审计的工作相当困难。这是为什么 WireGuard 进入内核主线的消息如此备受瞩目。相比其它 VPN 软件动辄数万行代码，WireGuard 首个版本的代码不到 4000 行，代码少不意味着它安全，但意味着问题更容易发现和修复。WireGuard 由安全研究员 Jason A. Donenfeld 创造，他从事渗透测试工作，WireGuard 的前身是一个数据渗漏工具。他在 2012 年移居到法国，想通过一个安全的方式连接美国家中的计算机，他不信任现有的 VPN 软件，意识到可以使用自己开发的数据渗漏工具通过父母家中的计算机安全路由流量。用于网络进攻的工具也能用于网络防御。为了降低复杂度，WireGuard 提前为用户设定了部分选项，IPsec 和 OpenVPN 功能更丰富但也过于复杂，简单的 WireGuard 则能减少犯错的几率。对这一观点，OpenVPN 的作者 James Yonan 有异议，认为 VPN 软件复杂性的恐惧被夸大了，他强调在 OpenVPN 诞生的近二十年里没发现任何严重的漏洞。

Let's Encrypt 宣布在 CAA（Certification Authority Authorization）代码中发现 bug，它将从美国东部时间 3 月 4 日下午 3 点开始撤销受到影响的客户证书。Let's Encrypt 使用的 CA 软件叫 Boulder。一台有多个独立域名的服务器可以通过 Let's Encrypt 签发的一个证书去覆盖所有域名，而不是每个域名一个证书。但 CAA 中的 bug 导致 Boulder 没有检查每一个域名的有效性而是同一个域名检查 N 次。Let's Encrypt 可能对 CAA 记录中不有效的域名签发了证书，它决定撤销没有正确检查 CAA 记录的所有证书。在 Let's Encrypt 签发的 1.16 亿活跃证书中有 3,048,289 个证书受到影响需要替换。Let's Encrypt 客户如果使用 Certbot 可以输入命令 certbot renew --force-renewal 去更换证书。你也可用访问这个网址 https://unboundtest.com/caaproblem.html 检查自己使用的证书是否受到影响。

奇虎 360 安全博客发表英文文章称，过去 11 年 CIA 黑客入侵了中国的公司和政府机构。CIA 的黑客行动发生在 2008 年 9 月到 2019 年 6 月之间，主要目标位于北京、广东和浙江。奇虎称，它是根据黑客使用的恶意程序 Fluxwire 和 Grasshopper 将黑客行动与 CIA 关联起来。这些恶意程序随 Vault 7 工具集而曝光。奇虎称，Fluxwire 的编译时间与美国的时区一致。它表示这一行动的代号为 APT-C-39。

John Strand 以破坏为生，作为渗透测试员，他被机构聘用去破坏它们的防御系统，在真正的坏人前面发现漏洞。Strand 通常亲自或其 Black Hills 的同事去执行渗透任务。但在 2014 年 7 月，他在执行南达科他州监狱渗透测试时派他母亲去了。这其实是他母亲 Rita Strand 的想法。她在餐饮服务业工作三十年后开始担任 Black Hills 的财务官。她对自己的专业很有信心，可以扮作卫生检查员去监狱检查卫生。John Strand 在 RSA 安全会议上讲述了其母亲渗透监狱的经历，他说，“那是我妈，我能怎么说？”他们准备了假的徽章和名片，以及一个有恶意程序的 U 盘，Rita 的主要任务就是在监狱联网计算机上插入 U 盘。她在监狱里没有遭遇任何非难。在进行所谓的卫生检查时候狱方甚至允许她保留手机，她检查冰箱冰柜，寻找过期食物并拍照。她还要求检查网络中心，服务器机房，甚至自由在监狱里行走。在结束之际，监狱长请她过去询问如何改善饮食的建议，她递过了一个 U 盘，让监狱长查看里面的文件。当狱长点击文件，他无意中让 Black Hills 的黑客访问了他的计算机。Rita 在 2016 年因癌症去世，她没有机会再参与渗透测试。

去年六月，Have I Been Pwned?（HIBP）维护者 Troy Hunt 宣布他正在积极寻找买家。HIBP 是知名的数据泄露通知网站，储存了各个网站和服务已知的泄露数据。Hunt 称至今 HIBP 的每一行代码、每一个配置和数据泄露记录都是他一个人做的，不存在 HIBP 团队之说，他一个人做了所有的事情。现在是时候壮大 HIBP，从一个个人维护的服务转变到由一个资源和资金更充足的机构维护的服务。在将近一年之后，在与上百意向购买者协商之后，Troy Hunt 宣布 HIBP 将会继续独立运营。他发表了长篇博文解释了自己决定，称买家商业模式带来的意料之外的变化令交易变得不可行。

Ghostcat 漏洞影响过去 13 年发布的所有 Apache Tomcat 版本，该漏洞允许攻击者控制系统。Ghostcat 是中国安全公司长亭科技发现的，存在于 Tomcat AJP 协议中，攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件，例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下，配合文件包含的利用还可以达到远程代码执行的危害。

研究人员披露了一个影响数亿设备的 Wi-Fi 芯片漏洞，大部分设备已经打上了补丁。漏洞存在于 Cypress Semiconductor 和 Broadcom 制造的 Wi-Fi 芯片中，影响的设备包括了 iPhone、 iPad、Mac、Amazon Echo 和 Kindle、Android 设备、Raspberry Pi 3，以及华硕华为制造的 Wi-Fi 路由器。发现漏洞的安全公司 Eset 将其命名为 Kr00k，厂商已经为大部分受影响设备提供了补丁，但不清楚有多少设备安装了补丁。漏洞发生在设备与无线访问点解离过程中，附近的攻击者可以发送解离封包触发漏洞。苹果表示去年 10 月它就释出了补丁。

美国国土安全部网络安全和基础设施安全署的公告显示，有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施，攻击始于钓鱼邮件内的恶意链接，攻击者从其 IT 网络渗透到作业 OT 网络，其 IT 和 OT 网络都被勒索软件感染。感染没有扩散到控制压缩设备的可编程逻辑控制器，因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天，但由于管道传输的依赖性，它的关闭连带影响到了其它地方的压缩设施。

安全公司 Talent-Jump 和 Trend Micro 报告，从去年夏天起，一群中国专业黑客入侵了东南亚的赌博公司，目的是窃取公司数据库和源代码而不是钱。发动攻击的黑客组织被称为 DRBControl，其行动可能与中国政府没什么联系。FireEye 去年称部分中国黑客组织在空闲时间会出于自己的兴趣和利益展开攻击行动。 DRBControl 首先对目标发动钓鱼攻击，当目标打开嵌入恶意程序的文件之后安装后门，然后下载各种工具展开行动。

上个月，加密专家和程序员 Moxie Marlinspike 刚在飞机上就座，他的领座、一名 60 多岁的中西部男子请他帮忙把 Android 手机切换到飞行模式。当 Marlinspike 看了下手机屏幕，他错愕了下，他发现手机上安装的一个应用是 Signal。Marlinspike 发布的 Signal 被广泛认为是最安全的端对端加密消息应用。Marlinspike 在接受采访时表示，他们构建 Signal 应用时就希望它能被不知道如何启用手机飞行模式的用户使用。今天，Signal 真的将安全消息服务带给了大众，而不只是隐私加密死忠和活动人士。Signal 的进化始于两年前，WhatsApp 联合创始人 Brian Acton 向 Signal 项目投资 5000 万美元，成立了 Signal 基金会并担任执行主席。Signal 项目从只有 3 名全职雇员到今天有 20 名雇员。

Google Project Zero 安全博客上周发表博文称，三星对 Android 内核的改动让手机不那么安全。安全研究员 Jann Honn 讨论了三星在 A50 手机上对 Android 内核进行的改动。三星改动了限制攻击者读取或修改用户数据的安全功能，这一改动不是增加了安全性而是引入了漏洞，可能增加了攻击者执行任意代码的能力。三星的保护机制没有提供有意义的保护，而只是屏蔽了没有为三星手机进行定制的 root 工具。Google 称它努力减少攻击者访问设备驱动和增加内核代码的能力，但三星的改动削弱了这些努力。安全研究人员认为，设备特定的内核改动要么递交到上游要么转移到用户空间，否则最好不要乱动。

使用 ThemeGrill 商业主题的 WordPress 网站站长需要尽快更新随主题一起安装的插件，以修复可能导致网站所有内容归零的严重 bug。bug 存在于 ThemeGrill Demo Importer 中，该插件用于导入演示内容到 ThemeGrill 主题内，它被安装在 20 多万个网站上。WordPress 安全公司 WebARX 报告，旧版本 ThemeGrill Demo Importer 允许远程攻击者发送特质负荷到存在漏洞的网站触发插件功能。该功能会将所有网站内容重置为零，事实上清空启用 ThemeGrill 主题的网站所有内容。

安全研究员在去年举行的 Black Hat 安全会议上披露 Fortinet 和 Pulse Secure VPN 产品的漏洞，随后有政府背景的黑客就迅速利用漏洞去攻击企业目标。以色列网络安全公司 ClearSky 报告，伊朗政府黑客也迅速行动起来，向 IT、电信、石油天然气、航空、政府和安全领域的目标发动攻击。伊朗黑客的技术通常被认为弱于俄罗斯、中国和朝鲜，但 ClearSky 推翻了这一观念，称伊朗的 APT 组织能在极短时间内利用 1 day 漏洞，他们观察到伊朗黑客在漏洞披露数小时内就开始利用漏洞。报告称，至少有三个伊朗黑客组织  APT33 (Elfin，Shamoon)、APT34 (Oilrig) 和 APT39 (Chafer) 对 VPN 服务展开了攻击，攻击的目标主要是执行侦察和植入后门进行监视。

IOTA 不是基于区块链而是基于有向非循环图这一数学概念的加密货币，它诞生于比特币最为火热的 2017 年。上周，在得知黑客正利用官方钱包应用漏洞窃取用户资金之后，管理 IOTA 的基金会关闭了整个加密货币网络。攻击发生在 2 月 12 日，IOTA 基金会在收到报告 25 分钟内关闭了用于批准交易的最后一个节点 Coordinator，阻止黑客窃取用户资金，但事实上也关闭了整个网络。攻击者被认为针对了 10 个高价值的用户，利用官方钱包应用 Trinity 的漏洞窃取资金。据非官方消息称，有大约价值 160 万美元的 IOTA 币被窃取。IOTA 团队在周日发布了 1.4 版本，修复了被利用的漏洞。目前网络仍然下线，开发者正在敲定补救计划。

奇虎 360 的一位安全研究员披露了流行 SOCKS5 代理 Shadowsocks 的流密码重定向攻击漏洞。流密码是一种对称加密算法，加密和解密双方使用相同伪随机加密数据流作为密钥，明文数据每次与密钥数据流顺次对应加密，得到密文数据流。流行的流密码算法包括 ChaCha、RC4、A5/1、A5/2、Chameleon、FISH、Helix 等。研究人员发现 Shadowsocks 协议存在漏洞，会破坏流密码的保密性。利用重定向攻击被动攻击者可以轻松解密所有 Shadowsocks 的加密数据包。中间人攻击者还能实时修改流量，就好像加密根本不存在。受影响的版本包括 shadowsocks-py、shadowsocoks-go 和 shadowsocoks-nodejs，shadowsocks-libev 和 go-shadowsocks2 不受影响，研究人员还建议使用 AEAD 加密算法。漏洞是在 2018 年 12 月发现的，2019 年 3 月发布了概念验证攻击。

微软周二释出的二月例行安全更新修复了 99 个漏洞，其中之一是上个月披露的 IE 0day 漏洞。另外 98 个中 11 个漏洞属于高危漏洞。大部分高危漏洞是远程代码执行和内存损坏，位于 IE 脚本引擎、Remote Desktop Protocol 远程桌面协议服务、LNK 文件、Media Foundation 组件中。Adobe 也在同一天释出了多个安全更新修复 Adobe Flash Player 等产品中的漏洞。

Emotet 是最具危险性的恶意程序之一，它能窃取银行账号，安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播：通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA，然后使用一个常用用户名密码组合列表尝试登陆。如果成功登陆，被感染的设备会枚举所有连接到该网络的非隐藏设备，然后使用第二个密码列表去猜测连接设备的凭证。它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码，那么它就会加载 Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。

数十年来，全世界许多国家都依赖于瑞士公司 Crypto AG 制造的加密设备保护通信安全。但它们不知道的是，数十年来，Crypto AG 已被 CIA 和西德的情报机构秘密控制，控制了该公司的情报机构纂改了加密设备使他们能更容易的破解加密信息。《华盛顿邮报》和德国 ZDF 披露，这一行动先后有两个代号，分别为 Thesaurus 和 Rubicon。CIA 在其报告形容这是情报界的世界政变，外国政府甚至花更多的钱购买设备以获得优先权让它们最秘密的通信能被美国和德国阅读。从 1970 年起，CIA 和 NSA 就几乎控制了 Crypto AG 的方方面面，从招聘决策到设计技术、破坏算法和指导销售目标。之后美国和西德的间谍就坐享其成进行监听。在 1979 年人质危机期间他们监视了伊朗的毛拉，马岛战争期间向英国提供阿根廷情报，跟踪了南美独裁者的暗杀行动，抓捕对 1986 年柏林迪斯科舞厅爆炸事件进行庆祝的利比亚官员。它也有限制，苏联以及中国都没用过 Crypto AG 的设备。