德国当局正着手起草法律强制性要求所有设备制造商在其产品中包含后门，允许执法机关在法律调查中根据需要使用。法律将针对所有现代设备，包括汽车、手机、计算机、物联网产品等等。官员预计将会在本周递交法律提议进行辩论。德国内政部长 Thomas de Maizier 支持这项立法，他在过去几个月对此谈及了执法机构调查恐怖分子袭击和其它犯罪活动上的困难。

一名密歇根州男子上周承认为入侵了该州 Washtenaw 县监狱的计算机网络尝试提前释放一名囚犯。27 岁的 Konrads Voits 利用了钓鱼邮件和社会工程技术诱骗监狱雇员下载和运行恶意程序。他首先以 Daniel Greene 的名义发去钓鱼邮件，声称要获得法庭文件，他注册了域名 ewashtenavv.org，与监狱的官方域名 ewashtenaw.org 相似。这次钓鱼没有成功，他因此改用了电话社会工程技术，伪装成 IT 部门员工打电话给监狱雇员要求他们下载和安装一个可执行文件以“升级监狱系统”。监狱雇员上了当，在计算机上安装了恶意程序，让 Voits 获得了监狱网络的完整访问权限，包括能访问监视和跟踪囚犯的 XJail 系统。他访问了 XJail，搜索了多名囚犯的记录，修改了至少一个条目以让囚犯能提前获释。监狱雇员注意到了这次修改，通知了 FBI。Voits 将面临最高 10 年徒刑和 25 万美元罚款。他用于发动攻击的计算机设备被扣押，其中包括了数量未披露的比特币。

印度情报局以威胁到国家安全为由，要求部署在中印边界的军队士兵格式化智能手机，卸载 42 款中国应用。这 42 款应用大都来自中国主要互联网和科技公司，包括腾讯、奇虎 360、阿里巴巴、百度和小米。情报局在通知中称，这些中国公司开发或与中国相关的 Android/IOS 应用是间谍软件或其它恶意软件，个人使用这些应用会危及国家安全。42 款中国应用包括微博、微信、360 安全、UC 浏览器、百度地图、QQ 邮箱和安全中心等。

过去几个月，在数字货币的热潮下，部分网站开始嵌入脚本来利用浏览者的 CPU 挖掘数字货币如门罗币，提供广告之外的新收入来源。这一做法引发了争议，因为此举并没有征得用户的同意。现在安全研究人员发现，一些网站在悄悄挖矿上做法更恶意了。即使用户关闭了浏览器窗口，网站会通过打开一个隐形弹出式窗口的方式继续挖矿。安全公司 Malwarebytes 的研究人员报告称，要终止这一策略，用户需要打开任务管理器，强行关闭仍然在运行的浏览器进程。研究人员称，主要受影响的是 Windows 7 和 10 上的 Chrome 浏览器。

22 岁的加拿大男子 Karim Baratov（图四）周二在加州旧金山法庭承认在雅虎 5 亿用户帐户失窃事件中帮助了俄罗斯联邦安全局特工。美国司法部在今年初指控了 Baratov 和其他三名俄罗斯人，后三人仍然在俄罗斯没有被逮捕。Baratov 承认侵入了联邦安全局感兴趣的个人的 webmail 账号，然后将密码发送到同谋 Dmitry Aleksandrovich Dokuchaev。针对性的攻击让四人能访问雅虎内部网络，渗透到雅虎内网后，Alexsey Belan 进行了侦查，在此过程中发现了两个关键的资源：雅虎用户数据库 Yahoo's User Database (UDB) 和管理工具 Account Management Tool。UDB 中的内容让 Belan 和两名联邦安全局特工能定位他们感兴趣的目标账号，而 Account Management Tool 让他们可以改变目标账号的密码。他们随后还发现了一个工具让他们可以伪造目标用户账号的 cookies，无需修改密码就能访问账号。

美国司法部本周一指控三名中国黑客从事商业间谍活动。三名黑客都隶属于广州博御信息技术有限公司，他们被控入侵了 Trimble、西门子和穆迪分析。《华尔街日报》报道称，此案的焦点公司广州博御已在 11 月 17 日撤销注册。安全公司 FireEye 和 Recorded Future 将广州博御与中国黑客组织 APT3（或 Gothic Panda）联系起来，该组织此前曾利用 0day 漏洞侵入西方企业、政府和防务公司。美国司法部一名发言人周一称，今年 10 月美国官员在试图停止广州博御的活动方面寻求中国的协助，但未收到有意义的回应，因此决定公开这项指控。Recorded Future 称，除了与黑客组织 APT3 有关系，广州博御还与中国国家安全部有间接关系。根据官网上的信息，广州博御的合作伙伴包括了华为和广东信息安全测评中心。

美国司法部指控三名中国黑客从事商业间谍活动。三名黑客都隶属于广州博御信息技术有限公司，其中被告 Wu Yingzhuo，aka “mxmtmw”、“Christ Wu” 和“wyz”是公司的创始成员；第二名被告 Dong Hao， aka “Bu Yi”、“Dong Shi Ye”和“Tianyu” 也是公司创始成员兼执行董事；第三名被告 Xia Lei，aka “Sui Feng Yan Mie，则是公司雇员。广州博御的网站早已下线，根据互联网档案馆保存的网页，广州博御在 2015 年与广东省信息安全测评中心合作成立主动防御联合实验室，该公司的合作伙伴包括了华为和广东信息安全测评中心。美国司法部指控三人分别入侵了Trimble、西门子和穆迪分析，其中 Trimble 开发了改进移动设备定位精度的 GPS 技术， Wu 及其同谋从该公司窃取了至少 275 MB 数据；Dong 及其同谋从西门子窃取了 407 GB 的数据；Xia 及其同谋入侵了穆迪的邮件服务器，将该公司一名知名雇员的电子邮件转发到他们的邮箱。

世界最受欢迎的图像共享网站之一的 Imgur 证实它在 2014 年遭遇了黑客入侵的事件，有 170 万电子邮件地址和密码失窃，失窃密码用 SHA-256 算法加密，这种算法过去几年已经被更强的加密算法替代。Imgur 称没有用户个人信息泄露，因为它从未要求用户提供真实姓名、地址或电话号码。被窃的账号只占 Imgur 150 亿月活跃用户的很小一部分。此次黑客入侵直到今天才发现是因为有人向 Have I Been Pwned 的 Troy Hunt 提供了窃取的数据，Hunt 通知了 Imgur，该公司随后开始重置受影响用户的密码。首席运营官 Roy Sehgal 表示该公司正在调查数据是如何泄露出去的，表示他们的安全已经有了长足进步。

彭博社报道，黑客在 2016 年窃取了 5700 万 Uber 客户和司机的数据，打车巨头隐瞒这一数据泄露事件长达一年。因为这一事件的处理方法，其中包括支付给黑客 10 万美元封口费，本周 Uber 解雇了公司的首席安全官及其助理。事件发生在 2016 年 10 月，被窃取的数据包括 5000 万客户的姓名、电子邮件地址和手机号码，以及 700 万司机的数据，其中包括 60 万美国司机的车牌号码。Uber 称社保号码、信用卡信息、出行位置信息等数据没有失窃。Uber 称公司支付给黑客 10 万美元去删除窃取的数据，隐瞒这次数据泄露。Uber 表示，窃取的数据没有被使用，它拒绝披露黑客的身份。两位攻击者是通过访问 Uber 软件工程师使用的私有 GitHub 库获取到登录凭证，然后利用凭证登录 Uber 的 AWS 账号，访问储存的数据，从中发现了 Uber 客户和司机的信息，然后发邮件给 Uber 索要金钱。

11 月 7 日，Devin Patrick Kelley 在得州 Sutherland Springs 的一个教堂杀死了 26 人，另外还有 20 人受伤。现在得州当局获得了法官的搜查令搜查扣押的 Kelley 手机，并向苹果递交了访问 Kelley 的 iCloud 数据的正式要求。根据周一公布的法庭文件，得州警方要求搜查 Kelley 的两部手机，其中一部是 iPhone SE，此外还有与他相关四个电邮账号 thelifeofdevin@gmail.com、devinkelley1991@gmail.com、sevenup555@yahoo.com 和 kelleydevin1991@gmail.com。此前 FBI 公开表示无法访问扣押的 iPhone SE 中的数据。得州警方还要求苹果提供从 2016 年 1 月 1 日到 2017 年 11 月 9  日之间的 iCloud 数据。苹果尚未表示是否遵守或反对搜索令。法学专家认为苹果没有很好的理由抵抗搜查令。

Let's Encrypt CA 在 SSL 证书市场份额突破了 36%，远远超过排名第二的 COMODO CA，后者的市场份额只有前者的一半（19.21%），相比之下已经宣布将退出 CA 市场的 StartCom CA 份额仅为 0.02%，沃通 WoSign CA 份额为 0.06%。Let's Encrypt CA 的目标旨在让每个网站都启用 HTTPS 加密它在今年 6 月庆祝签发了 1 亿个证书，7 月宣布将于 2018 年 1 月免费提供通配符证书（Wildcard certificate）。

自 2008 年起，英特尔处理器平台内置了一个低功耗子系统 Management Engine(ME)，它包含了一个或多个处理器核心，内存，系统时钟，内部总线，保留的受保护内存，有自己的操作系统和程序，能访问系统主内存和网络。过去几个月，ME 引发了越来越多的关注，安全研究人员也在 ME 中发现了多个问题。英特尔因此对 ME、Server Platform Services (SPS)和 Trusted Execution Engine (TXE) 展开了深入的安全评估，发现了更多漏洞，主要为提权和缓冲溢出。芯片巨人已经释出了最新版本的固件修复发现的问题。受影响的产品包括了第6、7 和 8 代 Core 处理器，多款至强处理器，Atom C3000、Atom E3900、Apollo Lake 奔腾、赛扬 N 和 J 系统。

在内核邮件列表上，Linux 之父 Linus Torvalds 用其典型的措辞抨击了搞安全的那帮人——aka 内核加固社区。事情起源于 Google Pixel 安全团队的开发者 Kees Cook 递交了加固 usercopy 的 pull request，Torvalds 回答说，此类的加固他通常会在最后才会考虑，因为加固触及到了核心东西，他需要时间去检查，而且他不相信安全开发者会做理智的事情，而最初的 usercopy 加固就导致了很多问题。接着他明确表示不会在 4.15 中合并 usercopy 加固，他不想看到另一个加固导致的混乱。在邮件列表上的后续讨论中，Torvalds 开始鞭笞安全人员，称他们的许多行为是不可接受的。他强调安全问题主要是 bug，那帮搞安全的很多都是“傻瓜（f*cking morons）”。他认为加固项目真的应该首先在镜子里好好照照自己。加固项目应该将精力集中在调试上，这帮白痴“先杀再问问题”的做法是错误的。Robert Graham 写了篇文章解释为什么 Torvalds 是正确的。

奇虎 360 旗下的 CA StartCom 宣布将于 2017 年底停止签发证书，2020 年结束业务。主流浏览器都已经停止信任奇虎旗下的两个 CA 沃通和 StartCom。StartCom 在声明中表示无法恢复对其证书失去的信任，它称一年前主要浏览器开发商决定不信任 StartCom，移除 StartCom 的 Root CA，虽然过去一年它努力尝试恢复信任，但没有指示显示浏览器开发商会再信任 StartCom CA，它决定从 2018 年开始停止签发新证书，对现有证书提供两年服务，到 2020 年所有证书将会吊销。

今天的软件项目通常有大量的依赖库，而上游库的漏洞将会影响到下游软件。现在最大的开源软件开发平台 GitHub 宣布了安全警告服务，将搜索依赖寻找已知漏洞然后通过开发者，以便帮助开发者尽可能快的打上补丁修复漏洞。GitHub 将会识别所有使用受影响依赖的公开项目，使用私有库的项目则需要选择加入才能使用安全警告服务。

IBM 、Global Cyber Alliance 和 Packet Clearing House 合作推出了免费的 Quad9 公共 DNS 服务（9.9.9.9），它将会屏蔽与僵尸网络、钓鱼攻击和其它恶意主机相关联的域名。Quad9 的工作与其它免费的公共 DNS 相似，但不会返回已识别为恶意的域名解析。测试显示，Quad9 相比 Google 的 公共 DNS 服务 8.8.8.8，其响应延迟时间更长，但 Quad9 项目成员表示通过缓存和增加节点将有助于减少延迟。GCA 的 Phil Rettinger 称，Quad9 注重隐私保护，不会记录发出请求的地址，只保存地理位置数据，目的是为了跟踪特定恶意域名相关的请求。

《华尔街日报》上月报道称俄罗斯政府黑客利用卡巴斯基从 NSA 合同工的家用计算机上窃取了美国情报机构的机密文件。这一事件导致美国国土安全部下令政府机构卸载卡巴斯基软件。今天，卡巴斯基官网公布了详细的调查报告为自己辩护，承认获得了 NSA 机密文件，但否认对泄密知情。最新的报告扩展了上个月的报告，增加了更多细节。卡巴斯基称事件发生在 2014 年 9 月 11 日，NSA 总部所在地马里兰州巴尔的摩的一个 IP 地址报告了与 NSA 黑客团队 Equation Group 相关的恶意程序，恶意程序样本被上传到卡巴斯基服务器供研究人员进行进一步分析。分析发现 7zip 压缩文件包含了属于 Equation Group 的恶意程序和源代码。分析人员将此事直接报告给 CEO，CEO 下令销毁了所有存档。随后该 IP 相关的计算机被发现在 2014 年 10 月 4 日当地时间 23:38 感染了恶意程序，原因是计算机安装了一个盗版的 MS Office 2013 程序，安装镜像“Office-2013-PPVL-x64-en-US-Oct2013.iso”包含了恶意程序。为了安装和运行盗版 Office，用户关闭了卡巴斯基，但卡巴斯基在随后的运行中探测到了恶意程序。

路透社和华尔街日报报道，大约六分之一的美国政府机构发现其电脑上安装了卡巴斯。 美国国土安全部负责网络安全和通信的官员表示，美国政府 102 个机构和部门中除了六个以外，其余均向国土安全部发送了卸载卡巴斯基产品的报告。六个未发送报告的部门规模太小，无法自行评估，正与国土安全部就此合作。96 个响应部门中，15% 的部门在其系统内发现了卡巴斯基的产品。联邦机构卸载卡巴斯基软件的最后期限是 12 月 12 日。美国情报机构认为卡巴斯基帮助俄罗斯政府监视美国机密文件，而卡巴斯基则对此坚决予以否认。

一加的 OnePlus 3、3T 和 5 等多种型号的手机安装了一个叫 EngineerMode 的系统应用，这个应用不是一加而是高通开发的，但由一加定制。该应用被用于诊断手机是否工作正常，如诊断 GPS 和 Root 状态，执行一系列自动测试。一名叫 Elliot Alderson 的开发者在调查和逆向工程后发现该应用有一个密码可用于 root 设备，获取系统的 root 访问权限。由于该应用来自高通，因此其它使用高通芯片的手机可能也会存在类似问题。Elliot Alderson 计划发布一个应用 root 一加手机。

在公开了 CIA 的机密文件之后， WikiLeaks 开始释出 CIA 间谍软件项目 Hive 的源代码和开发日志。WikiLeaks 过去几年披露的信息多针对美国，而很少针对其它国家如俄罗斯，它因此经常被指责是俄罗斯的代理人。Hive 用于控制安装在不同设备上的恶意程序，恶意程序在安装之后需要联络指令控制服务器，CIA 被发现主要是租赁商业 VPS 服务商的服务器作为指令控制服务器，它注册的域名包括了“perfectly-boring-looking-domain.com”。这些域名甚至能展示看起来无辜的内容，但通过 HTTPS 服务器选项 Optional Client Authentication，被植入的恶意程序能与隐藏的 CIA 服务器 Blot 通信。