HardenedLinux 写道 "harbian-audit是两个安全部署合规参考实现STIG和CIS的合集，在发布了v0.1之后，社区用户测试给予了一些反馈后修复了一些bug，HardenedLinux于2018圣诞节正式发布harbian-audit v0.2版本，我们制作了满足harbian-audit安全部署的AMI云主机镜像，目前AWS的三个区（EU(Frankfurt), Asia Pacific(Tokyo), US East(Ohio)）的用户都可以免费使用，对于那些不愿意使用"Someone else's computer"的私有云用户我们也提供了QEMU镜像，至于那些无法信任HardenedLinux社区制作镜像的用户也没关系（毕竟镜像签名密钥的周期只有一年-_-），HardenedLinux社区已经公开了如何制作AWS和QEMU镜像以及如何把harbian-audit应用到云主机镜像的文档。 Btw：介于AWS的CIS镜像收费0.02刀每小时，harbian-audit v0.2应该可以算是HardenedLinux分发给社区的圣诞礼物吧，Merry Christmas! May the L0rd's hacking spirit guides us in 2019!"

印度政府扩大了 2000 年的 IT 法案 69 章节的范围，授权十个中央机构拦截、监视和解密任何计算机上的数据。新的条款要求服务提供商或任何负责计算机的人向政府提供必要的技术援助，不予配合的人将面临最高 7 年徒刑和未指定数额的罚款。新的措施引发了隐私方面的担忧。印度 IT 部长 Ravi Shankar Prasad 解释说此举是为了国家安全，他表示某种形式的监听早已存在多年，新的措施规范了这一流程。

路透社援引匿名消息来源报道，与国安有关联的中国黑客侵入了 HPE 和 IBM 的网络，然后再入侵其客户的计算机系统。HPE 和 IBM 拒绝对此置评，只是发表声明表示非常重要安全。这些攻击是被称为 Cloudhopper 行动的一部分。Cloudhopper 针对的是所谓的托管服务供应商，通过托管服务商入侵其客户的计算机网络获取商业机密。自 2017 年以来，网络安全公司和政府机构就 Cloudhopper 的威胁发出了多次警告，但没有披露网络受到攻击的科技公司的身份。

美国网络安全公司 Area 1 发表报告《PHISHING DIPLOMACY》(PDF)，称疑似中国黑客以塞浦路斯外交部为切入点，对整个欧盟进行了长达数年的网络间谍活动。攻击至少可追溯至 2015 年，黑客侵入了 100 多个组织，包括欧盟的 COREU 电子通信网络。其他目标包括联合国部分机构以及美国劳工联合会 - 产业工会联合会 (AFL-CIO)，后者参与贸易谈判，因此可能引起中方的兴趣。Area 1 表示，这些黑客最初使用简单的网络钓鱼方法侵入系统，即向塞浦路斯外交部人员发送带有恶意链接或附件的电子邮件。这些黑客访问过的外交电文涉及各种地缘政治事务，包括恐怖主义、跨大西洋关系、中东和平、军备控制、南中国海，以及亚洲和大洋洲工作组。

官媒报道了一起利用银行手机应用漏洞获利的案件。报道称，犯罪嫌疑人“长期在网上寻找全国各家银行、金融机构的安全漏洞。今年 5 月，他发现某银行 APP 软件中的质押贷款业务存在安全漏洞，遂使用非法手段获取了 5 套该行的储户账户信息，在账户中存入少量金额后办理定期存款，后通过技术软件成倍放大存款金额，借此获得质押贷款，累计非法获利 2800 余万元。为了在套现过程中躲避侦查和监管，嫌疑人将非法获利的账户存款余额，在某网络直播平台上全部购成点数卡，再折价卖给其他用户”。

意大利和阿联酋的石油和天然气公司遭到恶意程序 Shamoon 新变种的攻击，其中意大利公司的计算机上有十分之一的文件遭到破坏。Shamoon 是已知最具有危险性的恶意程序之一，最初针对的是沙特国有石油巨头沙特阿美，感染之后它会覆写某些目录中的文件和硬盘主引导记录。沙特阿美在 2012 年 和 2016 年两次遭到 Shamoon 的攻击，该恶意程序被认为与伊朗有关。这次遭到攻击的意大利公司是沙特阿美的承包商 Saipem。 新变种和旧版本存在差异，旧版 Shamoon 是覆写文件，而新变种则是加密文件。

安全公司 Certfa 研究人员报告，伊朗黑客最近针对美国政府官员、活动人士和记者的钓鱼攻击使用了能绕过二步认证的技术。这一事件凸显了基于短信的二步认证的风险。攻击者首先向目标发送钓鱼邮件，邮件嵌入了隐藏的图像，能在目标查看邮件时实时提醒攻击者。当目标在假的 Gmail 或 Yahoo Mail 登录页面输入密码，攻击者几乎能实时在真实的登录页面输入登录凭证。如果目标账号受到二步认证的保护，攻击者能将目标重定向请求一次性密码的新页面。黑客使用的钓鱼域名和 IP 地址与伊朗政府有关联的黑客组织 Charming Kitten 相关联。

船舶的 IT 系统并不像人们以为的那样是物理隔离的。根据船舶行业的一份报告，它也遭遇过各种安全事故，如感染勒索软件、蠕虫和病毒等，只是我们以前没有听说过罢了。行业组织和航运协会公布的《Guidelines on Cyber Security onboard Ships》列举了多起船舶感染病毒的案例：一艘新建的干散货船由于其电子海图显示与信息系统（ECDIS）感染病毒而推迟航行数天，这艘船是为无纸导航设计的，没有携带纸质海图，ECDIS 的故障最初并没有被视为是网络安全问题，直到技术人员花了大量时间排除故障后发现是 ECDIS 感染了病毒。病毒隔离后 ECDIS 计算机恢复了工作。延误加上维修费用损失了数十万美元。文件还披露了一艘船感染了两个勒索软件。在另一个勒索软件感染案例中，船主支付了赎金。

万豪上月底发出安全警告，它旗下的喜达屋酒店预订系统遭到非法访问，而且非法访问的时间长达四年之久，多达五亿客户的信息泄露。《纽约时报》援引两位知情人士的消息报道，黑客被怀疑与国家安全部有关联，旨在收集情报。万豪的数据库不仅包含了信用卡信息而且包含了护照数据，其中护照数据是非常有价值的情报，可以透露一个人的旅行习惯，加上从 Office of Personnel Management 获取的美国公民信息，中国可以构建美国人的庞大数据库，排除和发现间谍，以及招募间谍。中国黑客被认为从万豪窃取到了最多 3.27 亿护照数据。当然美国的黑客也在做类似的事情。

服务器主板制造商超微发表致客户的公开信，称外部调查团队进行的检测没有发现有证据显示主板嵌入了恶意芯片。彭博商业周刊今年 10 月引用多个匿名消息来源声称，中国军方利用在中国组装超微主板的机会秘密植入后门芯片，但相关企业以及美英情报和安全机构都否认了这一报道。据路透社报道，检测是由 Nardello & Co,  公司进行的，该公司检查了超微出售给苹果和亚马逊的主板样本，以及产品的软件和设计文档，它的测试和检测没有发现恶意硬件。超微 CEO Charles Liang 及其高级副总裁在声明中称，“自媒体报道这些指控以来，我们一再声明：没有任何政府机构通知我们它在我们的产品上发现了恶意硬件；没有客户告知我们它在我们的产品上发现了恶意硬件；我们也从未在我们的产品上发现恶意硬件的证据。”

信用巨头 Equifax 去年透露它遭到黑客入侵，大约有 1.48 亿美国用户的信息泄露，这是美国历史上规模最大的数据泄露事件之一。本周一美国众议院公布了 Equifax 数据泄露案调查报告（PDF），认为这起事件是完全可以避免的。报告认为，Equifax 没有采取足够的安全措施来保护敏感数据。报告指责该公司自满，技术过时，没有及时修复已知漏洞，导致其系统在 145 天内处于容易攻击的风险中。报告还披露了一个此前未知的信息：Equifax 没有发现攻击者将数据转移出去，原因是它监控网络流量的设备因为安全证书过期已经停止活动 19 个月；Equifax 有超过 300 个证书过期，其中包括 79 个监控关键域名业务的证书。

本周英国移动运营商 O2 网络发生大规模故障，导致数以百万计的手机用户失去了数据访问。O2 的核心网络设备由爱立信提供。爱立信发表声明称，故障是软件 SGSN–MME (Serving GPRS Support Node – Mobility Management Entity)的两个特定版本导致的，其根本原因是安装在客户设备上的软件使用的证书过期了。除了英国外，多个使用爱立信设备的国家也因为软件证书过期发生网络故障。

开源容器编排系统 Kubernetes 本周曝出了一个高危提权漏洞，影响从 1.0 到 1.12 的所有版本，但只有支持版本 1.10.11、1.11.5 和 1.12.3 得到修复。攻击者很快被发现利用该漏洞劫持 Kubernetes 集群。网络安全公司 BinaryEdge 报告，他们观察到很多 Kubernetes 集群被劫持挖掘数字货币，这些集群属于各个行业，企业规模从创业公司到财富五百强企业。

Sophos 公司的安全研究人员从 Google Play 官方应用商店发现了 22 款包含后门的应用，应用的总下载量超过 200 万，最流行的一款是手电筒应用 Sparkle Flashlight，其下载量超过一百万。应用含有的后门能悄悄从攻击者控制的服务器上下载文件。这些应用主要被用于广告欺诈，研究人员将它们命名为 Andr/Clickr-ad，通过欺骗性的广告点击获取收入，它给用户带来的问题是电池续航力的下降和数据流量的增加。后门潜在可用于下载任何恶意程序。Google 已经从商店里移除了这些恶意应用。

一位毫无经验的勒索软件作者在身份曝光之后很快遭到当局的逮捕。官媒报道，12 月 4 日 18 时许，东莞网警支队接省公安厅网警总队通报称，腾讯公司举报，东莞一名男子向多个计算机信息系统传播木马病毒，锁定目标系统文件，利用微信支付勒索钱财后解锁。网警于 12 月 4 日 22 时查明嫌疑人真实身份为 22 岁的罗x泳，主要在东莞市东坑镇活动；12 月 5 日 15 时他们将嫌疑人抓获。互联网专家表示，找到该嫌疑人并不困难。因为勒索病毒作者在病毒代码里留下了能关联到身份的信息。经东莞网警审讯，嫌疑人对其制作新型勒索病毒破坏计算机信息系统，利用微信支付勒索钱财的事实供认不讳。

过去几天有超过 10 万台电脑感染了勒索软件，有意思是恶意程序作者建议受害者通过微信支付来支付赎金。微信支付是一个基于实名制的中心式支付平台，难以想象有经验的恶意程序作者会使用它。中国安全公司火绒报告，作者身份已经锁定，称作者在病毒代码里嵌入了自己的 Github 链接。报告称，勒索病毒是通过供应链污染的方式传播的，植入到易语言编写的程序里，被植入病毒的软件超过 50 款。病毒作者还利用豆瓣等平台充当 C&C 服务器，他们发现一台病毒服务器包含了两万余条窃取的淘宝、支付宝等账户密码。

万豪上周发表警告，它旗下的喜达屋酒店预订系统遭到非法访问，而且非法访问的时间长达四年之久，多达五亿客户的信息泄露。路透社援引知情人士的消息报道，黑客留下的信息暗示他们在为中国政府的情报搜集行动工作。三名消息人士表示，调查本案的私人侦探发现，黑客所使用的工具、手法和程序，在之前被认为是中国黑客所为的网络攻击案中也曾被使用。虽然中国的嫌疑最大，但上述消息人士警告也有可能是其他黑客所为，因为部分侵入工具此前已被发在网上，其他人也可以获得同样的侵入工具。

澳大利亚计划本周出台严格的加密新规，政府认为，假日季节期间，情报部门需要有更强大的力量来遏制激进分子袭击风险。在国会审议这项拟定的安全法案时，澳大利亚国家情报机构负责人 Duncan Lewis 对议员们表示，从恐怖分子角度来看，圣诞季向来是一个风险高点。他说，恐怖袭击策划者利用加密系统逃避侦测。对此科技公司持抵制态度，称他们有权保护客户隐私，而且调查人员提出的许多要求技术上并不可行。2016 年 12 月，英国议会批准了《调查权力法案》，允许得到授权的安全部门侵入电脑，但未强制科技公司创建后门。澳大利亚的新提议被认为是建立在英国该法案的基础上，科技公司可能被要求开发新工具（后门），在必要情况下绕开安全限制、破解密码。澳大利亚执政的保守派政府已同意与主要反对党工党达成妥协，限制该法案的权力，将仅适用于最严重的犯罪情形，例如恐怖阴谋。

东北大学和 IBM Research 的研究人员发现了 Spectre CPU 漏洞的一种新变种，能通过基于浏览器的代码利用。被称为 SplitSpectre 的新漏洞与其它 Spectre 变种的一个重要区别是它更容易利用。研究人员使用 Firefox 的 JavaScript 引擎 SpiderMonkey 52.7.4 对英特尔的 Haswell 和 Skylake 处理器，以及 AMD 的 Ryzen 处理器成功执行了 SplitSpectre 攻击。不过用户无需担心，因为现有的 Spectre 缓解方法也能阻止 SplitSpectre 攻击。研究报告发表在 IBM Research 网站上。

万豪喜达屋发表公告，称有最多五亿用户的信息泄露，而黑客的入侵至少始于 2014 年。公告称它在今年 9 月收到警告，随后展开的调查发现从 2014 年起未经授权的第三方访问了喜达屋网络，复制并加密了某些信息。11 月 19 日它解密了加密的信息，确认其来自喜达屋宾客预订数据库。它认为数据库包含了 9 月 10 日或之前曾在喜达屋酒店预订的最多约 5 亿名客人的信息，其中约有 3.27 亿人的信息包括：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG 俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。部分客户泄漏的信息还包括支付卡号和支付卡有效期。支付卡号使用 AES-128 加密，解密支付卡号码需要解锁两项密钥，万豪国际无法排除该第三方是否已经掌握这两项密钥。此次泄密事故已经报告给了执法部门和监管机构。