利比里亚 ISP Lonestar Cell MTN 指控竞争对手雇黑客攻击其网络，它向英国商业法院起诉了黑客 Daniel Kaye 和竞争对手 Cellcom (现在的 Orange Liberia），以及竞争对手的高管 Avishai Marziano 和 Ran Polani。Cellcom 的高管在 2016 年秋季雇佣了 Kaye 的 Mirai 僵尸网络对 Lonestar 的基础设施发动了拒绝服务攻击。Kaye 已经被判两年八个月徒刑。攻击导致了 Lonestar 的移动网络无法处理所有传入流量而下线，还导致连接利比里亚的海底光缆拥堵，影响了该国的其它电信服务。Orange Liberia 则声称指控是虚假的。

HackenProof 报告，网络风险研究总监 Bob Diachenko 于 12 月 28 日分析 BinaryEdge 搜索引擎数据时发现了一个公开的没有任何保护或身份验证的 MongoDB 数据库，数据库容量为 854 GB，包含了 202,730,434 名中国求职者的数据，数据包括了详细的求职者信息如技能、工作经验、电话号码、电子邮件、婚姻状况、子女状况、政治面貌、身高、体重、驾照、文化水平和薪水期望等等。Diachenko 不知道谁创建和拥有该数据库，但一个已经删除的 Github 库被发现使用了与泄露数据库相同的数据结构，该仓库已有 3 年历史，包含了来自中国不同分类广告网站的数据，如 58 同城。但不清楚它究竟是官方的还是非法收集的。58 同城的安全团队认为该数据库是抓取数据的第三方泄露的。访问日志显示在泄露的数据库下线前它被几十个 IP 访问过。

开源渗透测试框架 Metasploit 释出了 5.0 版本。这是 2011 年以来释出的首个大更新版本。Metasploit 5.0 的新特性包括：使用 PostgreSQL 数据库作为 RESTful 服务，改进数据库并行处理和 msfconsole 终端操作，用户可通过 JSON-RPC API 整合其它工具和语言，加入了一个通用的 Web 服务框架，新的 Evasion 模块和库，等等。

James Griffiths 即将在今年 3 月出版一本新书谈论中国如何构建和控制一个不同版本的互联网。MIT 技术评论摘录了其中有关网络大炮的一段，发生在 2015 年的这次事件，劫持了百度的脚本利用访问嵌入百度脚本网站的中国网民，对 GitHub 发动了规模在其历史上没有前例的 DDoS 攻击。迎战的 GitHub 的工程师花了 120 个小时，期间网站下线了 9 次，攻击规模一次比一次大。一位不愿透露姓名的 GitHub 工程师说，这种攻击他们从未见过。

研究人员对劫持域名的 DNS 攻击发出了警告，称攻击规模史无前例。攻击者首先设法窃取目标 DNS 服务商管理面板的登录凭证，然后修改目标域名的 IP 地址，将其指向攻击者控制的服务器。攻击者之后再利用 Let’s Encrypt 自动生成合法证书。当用户访问目标域名，他们会先访问攻击者的服务器然后再重定向到合法服务器，整个过程用户唯一的感觉可能就是延迟略微增加。攻击者之后能收集到用户名和密码，而终端用户对此几乎一无所知。研究人员称攻击者主要针对北美、欧洲、中东和北非实体的域名，认为攻击者可能与伊朗有关联。

TCL 制造的部分阿尔卡特手机被发现预装了恶意版天气应用。TCL 拥有阿尔卡特、黑莓和 Palm 等知名品牌。它在阿尔卡特手机上预装了自己开发的天气应用 Weather Forecast-World Weather Accurate Radar，该应用也通过 Google 应用商店提供给其他用户。但在去年的某个时候，设备上预装的和 Play Store 里提供的应用都感染了恶意程序，恶意程序如何进入应用目前还不得而知。移动安全公司 Upstream 发布报告称，应用会收集用户数据并将数据发送到中国的一台服务器。收集的数据包括了地理位置、电子邮件地址和 IMEI 码。Upstream 还发现在某些地区，应用隐藏的恶意代码会尝试订阅收费号码。除此之外，应用在后台运行时候还会启动隐藏的浏览器窗口，加载网页去点击广告。受到影响的阿尔卡特手机型号是 Pixi 4 和 A3 Max。

Coinbase 报告数字货币 Ethereum Classic 遭遇了双花攻击，攻击者窃取了大约价值 50 万美元的数字货币。Ethereum Classic 官方账号则对此存疑，称矿机制造商 Linzhi 正在测试它的第一款 Ethereum ASIC 矿机。 Coinbase 安全工程师 Mark Nesbitt 称，他们观察到了 Ethereum Classic 区块链反复的深度重组，有大约 88,500 个 ETC 被双花。双花或回滚攻击通常是指 51% 攻击，即攻击者在控制了大部分区块链算力之后可以创建任意分支，用新的区块链取代旧的区块链，逆转已完成交易，从而实现相同数字货币的多次花费。

根据 RSA 会议网站提供的信息，NSA 将在 RSA 2019 会议上首次演示它开发的逆向工程框架 GHIDRA，并免费提供给公众。GHIDRA 能运行在 Windows、Mac OS 和 LINUX 上，支持多种处理器指令集，包含了你预计会在高端商业工具看到的所有功能。RSA 2019 将于 3 月 4 日到 8 日在旧金山举行。有 reddit 用户介绍了 GHIDRA 的功能。

万豪酒店去年 11 月底发出警告，称旗下的喜达屋酒店预订系统遭到黑客入侵，有多达五亿用户的信息泄露，而黑客的入侵至少始于 2014 年。万豪酒店是在去年 9 月收到预警，随后展开的调查发现从 2014 年起未经授权的第三方访问了喜达屋网络，复制并加密了某些信息。现在，万豪酒店更新了信息，称黑客最多访问了 3.83 亿客户信息，有 525 万客户的未加密护照被窃取，黑客还窃取了 2030 万加密的护照数据。黑客所使用的工具、手法和程序被认为与中国有关。

数百名德国政界人士、艺术家的大量个人数据被泄露，据称其中也包括总理默克尔的部分信息。对攻击对象的选择似乎非常随意。谁是此次黑客攻击的幕后黑手以及将这些数据放到网络上的意图目前尚不清楚。除德国选项党（AfD）之外，联邦议院几乎所有政党的政治家显然都是黑客攻击的目标。此外，一些州议会的政治家和艺术家也受到攻击。在圣诞节之前, 这些泄露的资料已经以基督降临节日历的形式在网上被每日发布, 但直到 1 月 3 日晚上才引起注意。

来自没有了 写道 "北京市公安局网络安全保卫总队与西城分局于 2018 年 12 月 29 日抓获网名为 deepscorpions 贩卖 12306 铁路订票网站用户数据的陈某。供述 60 余万条用户注册信息为网上非法购买所得。其余 410 余万条铁路乘客信息，系其利用上述用户注册信息，通过第三方网络订票平台非法获取。 值得一提的是，贩卖者使用的新浪微博图片网址其实隐含 UID（User ID）。"

HardenedLinux 写道 "斯诺登揭露了老大哥在2010年的供应链攻击后不少人开始关注供应链攻击，2018年10月的Bloomberg关于硬件/固件供应链后门植入事件的曝光再次让供应链安全问题进入公众视野，不论此次事件是否属实但从技术的角度问题的确存在。特别在EVIL MAID（注：俗称“黑心保姆攻击”）的场景（Section 3.3.4.2中有具体描述）中，从后门植入（或者是post-exploitation）的角度，固件（BIOS/UEFI/SMM，Intel ME/SPS，microcode）后门无论是成本以及持久化的便捷性都比硬件有着无法比拟的优势，但从防御的角度，软件/固件在具有可审计的前提下（闭源除外），reproducible builds，针对固件供应链的场景化加固（MRC/SPD信息和固件以及Linux内核的联动防御至少能做到tamper evidence/detection）以及一些合规指南的实现都可以防御绝大部分常规攻击。但在嵌入式IoT领域，针对信任根(Root of Trust)物理攻击的防护会更难，在近日的35C3上由德国安全咨询公司PHYSEC的研究人员在演讲Enclosure-PUF Tamper Proofing Commodity Hardware and other Applications中谈到了当前物理安全的一些问题，比如PCB级别的防篡改电路因为成本问题只能局部覆盖，FIPS-140-2 Level 4认证（开源的软件实现一般是基于OpenSSL的FIPS模块）非常难以达到（目前全世界14个达到FIPS-140-2 Level 4的密码模块中只有3个是HSM）以及现有方案难以适配到已经大规模部署的嵌入式设备上，而PHYSEC给出了被称为Enclosure-PUF的方案，使用固定的电磁波频段和功率（传输距离<100cm）在Enclosure中搜集的信号作为随机和唯一的deviation，另外和基于RISC-V的MIT Sanctum使用了类似的fuzzy extraction获得密钥过程，演示中使用了两组硬件分别是：Raspberry Pi + PHYSEC防御模块（两个窄带无线电，已经建立的1*1的spatial channel[ user vs. base station]，2MHZ带宽和868MHZ工作频率），APU + PHYSEC防御模块（两个宽带无线电各带两个天线，2*2 spatial channels，40MHZ带宽和5.5GHZ工作频率。Enclosure都是使用廉价的饭盒和铝箔纸模拟的。这个方案一方面可以扩展到PCB/IC领域，另外一方面为现有的嵌入式设备是陪PUF成为可能，关键是，它是一个非常低成本的解决方案。"

研究人员报告首个已知的 UEFI Rootkit 与俄罗斯网络间谍组织 Sednit APT（aka Sofacy、Fancy Bear 和 APT28)）有关联。安全公司 ESET 的恶意程序研究员 Frederic Vachon 在上周举行的 35C3 会议上谈论了这一发现(PDF)。此类的恶意程序具有持久性和隐身性，能在主板刷 BIOS 后继续留在系统里。研究人员称，UEFI Rootkit 过去几年热烈讨论过和研究过，但真正用于实际攻击的案例不多。该 Rootkit 被称为 LoJax，它的底层代码使用了修改版的 Absolute Software 恢复软件 LoJack。合法的 LoJack 软件藏身于 UEFI 内，旨在帮助失窃笔记本电脑的受害者访问他们被盗的设备，让受害者有机会重新找回电脑。

被认为源自美国之外的网络攻击干扰了主要纸媒洛杉矶时报、芝加哥论坛报和巴尔的摩太阳报，以及西海岸版的华尔街日报和纽约时报的印刷和发行，受到影响的媒体都使用了位于洛杉矶的报纸印刷工厂。Tribune Publishing 称它在周五监测到了恶意程序，病毒影响了它的印刷后台系统，没有证据显示客户的信用卡信息或个人身份信息泄露。美国国土安全部发言人表示正在研究这一情况。

2014 年开源加密库 OpenSSL 项目爆出的高危漏洞 Heartblood 让世人意识到一些鲜为人知的开源项目对整个互联网和其它基础设施的完整性和可靠性至关重要，随后 Linux 基金会发起了 Core Infrastructure Initiative（CII）倡议，向包括 OpenSSL 在内的开源基础设施项目提供资助。今天，OpenSSL 等项目的经济状况有了很大改善，安全审计也在有条不紊的推进。现在，欧盟议会的德国海盗党成员、Greens-European Free Alliance 联盟副总裁 Julia Reda 宣布向开源项目提供 Bug 悬赏去改进开源项目的安全性。欧盟提供资助的 14 个开源项目包括：Filezilla，Apache Kafka，Notepad++，PuTTY，VLC Media Player，FLUX TL，KeePass，7-zip，Digital Signature Services (DSS)，Drupal，GNU C Library (glibc)，PHP Symfony，Apache Tomcat 和 WSO2。根据 Bug 的严重程度提供 2.5 万欧元到 9 万欧元的奖励。开源项目有千千万万，欧盟资助的这些项目都是它使用的。

匿名读者 写道 "12306 网站于 2014 年发生过用户信息泄露。据新华社 2016 年旧闻，2014 年 11 月 4 日，被告人施某从陈某处购得一款软件，随后利用该软件和网上搜集、购买的数据，从铁路 12306 购票系统中非法提取用户身份认证信息共计 60 余万组，并将提取到的信息传输给蒋某，后蒋某将该数据上传至某网站供会员下载。"

有人在中文暗网交易网站 deepmix5e3vptpr2.onion（访问需要经过 Tor 且需要注册）发帖出售 12306 网站用户数据，数据包含了 60 万账户和 410 万联络人，包括了用户 ID、手机号、密码、身份证、邮箱、问题答案等等。价格很低，只需要价值 20 美元的比特币。12306 是铁道部火车票官方售票网站，2014 年曾发生过用户数据泄露，但 12306 一直否认自己发生信息泄露。对于刚刚发生的用户数据泄露，铁道部给出了与四年前几乎一模一样的回应：网传信息不实，铁路 12306 网站未发生用户信息泄漏。铁路部门提醒广大旅客，请通过铁路 12306 官方网站（www.12306.cn）和 “铁路 12306” 客户端（在 “铁路 12306” 字体上方标有路徽和 “中国铁路” 字样的图标）购票，避免非正常渠道购票带来的风险。

黑客或黑客组织通过攻击 Electrum 比特币钱包的基础设施窃取到了 200 多比特币，价值大约 75 万美元。攻击者针对的是 Electrum 钱包应用的弱点，Electrum 钱包网络可以加入服务器，而服务器可以对钱包应用弹出警告信息。攻击者首先给网络加入了几十台恶意服务器，当用户进行比特币交易时如果交易通过了一个恶意服务器，他们的钱包会收到更新通知，当用户从黑客的 GitHub 库里下载恶意更新重新启动后会要求输入二步认证代码，黑客窃取了二步认证代码后就能转移走用户钱包里的比特币。攻击始于 12 月 21 日，在 GitHub 移除恶意库之后停止。由于漏洞尚未修复 Electrum 警告类似的攻击可能会再次发生。

印尼狮航的一架波音 737 MAX8 客机十月底坠毁，机上 189 人全部遇难。根据公开的飞机黑匣子数据，纽约时报制作了互动图，还原了飞行员如何失去对飞机的控制的。这架客机的状况被认为根本不适合飞行，已经多次发生传感器问题，但不清楚飞行员在起飞前是否知道飞机的故障，但起飞之后他们就立即意识到了飞机存在问题。飞机在继续爬升，但飞行员不知道空速和高度。他们向航管中心寻求帮助。机长和副驾驶之间的两个关键传感器显示了不同的读数。接着飞机突然掉落了 700 英尺，而机载计算机系统还强迫飞机俯冲，飞行员设法从俯冲中恢复了过来。但这时飞机外面的迎角传感器错误指示机鼻角度过高可能会失速。这一错误警告触发了自动系统 M.C.A.S.，让机尾稳定器前边缘向上，迫使机鼻向下。飞行员可能不熟悉或不知道飞机的这个新自动系统，他们再次尝试让机鼻向上，与自动系统展开了一场拔河战，机头向上向下的摆动持续了几十次。飞行员使用的是临时性的手动控制方法，10 秒之后自动系统就会再次接管。关闭自动系统就可以解决这个情况，但飞行员可能完全搞不清楚波音的新系统。在飞行的最后一分钟，飞行员在与自动系统的拔河中失利，飞机冲入了爪哇海。

中国帮助建造的厄瓜多尔科卡科多辛克雷水电站坐落在一座活火山下，地质学家警告一场地震就可能将其抹去。该水坝没有帮助当地居民降低电价，反而带来了更多问题。根据政府的数据，由于钢材质量不合格和中国水电的焊接不当，大坝的机械设备目前已经出现了 7648 处裂缝。泥沙淤积也是一大问题，因为它们会损坏重要设备。在最近的一次巡查中，一名工程师紧张地看着显示沙子流入大坝的读数。但工人们表示，有时糟糕的翻译让他们很困惑。有一块牌子上的中文是正确的：“直流泵组压力”。西班牙语则变成了：“来自华盛顿特区的压力组”。