让照片形成点头、眨眼等动作，两人破解人脸识别技术牟利获刑

据澎湃新闻报道，上海虹口区检察院通报了一起从特大虚开增值税普通发票案中牵出的非法人脸识别案。由于在注册“皮包公司”用于虚开发票的过程中，人脸识别是关键环节，犯罪分子为注册工商营业执照，联系上了吴某和周某二人。之后，二人通过破解人脸识别技术等方式，将从别处购买的他人高清头像和身份证信息利用“活照片”App 进行处理，让照片“动起来”，形成包括点头、摇头、眨眼、张嘴等动作视频，然后利用特殊处理的手机“劫持”摄像头，使得在人脸认证环节手机系统获取的是之前做好的视频。经查，二人以此方式致使犯罪分子虚开发票超过 5 亿元。虹口区法院以侵犯公民个人信息罪，判决两人分别获刑三年和二年，并处以罚款。

这真是用到了邪处的技术，但是另外一方面，AI 技术也应该不断迭代以抵御这些恶意欺骗。

Twitter 提供比特币小费功能

几个月以来，Twitter 一直在提供小费功能，但之前只处于受限测试阶段。周四 Twitter 公司表示将在全球范围内推出小费选项，此举是作为帮助用户赚钱的更广泛努力的一部分，并为部分创作者提供名为“超级粉丝”的订阅工具、用于向观看者收取独家内容阅览费。Twitter 还表示正在研究验证用户在 Twitter 使用的非同质化代币（NFT）。

利用闪电网络和 Twitter 广泛的用户群体，对比特币的推广应用很有意义。

Chrome 安全团队希望将指针错误消灭在编译阶段

谷歌已经为 Chrome 打造了基于沙箱和站点隔离的多进程架构，但 Chrome 安全团队称，模糊测试的结果表明，这些措施的防护效果已达到极限，意味着浏览器开发商无法再单纯依靠单纯的策略来抵御野外攻击。数据表明，去年的时候，有超过 70% 的严重安全漏洞都与内存相关，尤其是 C / C++ 编程语言中的指针错误会导致内存误解。Chrome 安全团队将在 C++ 安全解决方案上倾注心力，希望消除相当一部分可被利用的安全漏洞，但预计也会造成一些性能损失。同时，Chrome 安全团队将探索未来是否能够把 Chrome 的某些部分用“内存安全语言”进行重构，比如 Rust。

确实，从根本上抓住问题的根源是一个解决方案。

谷歌终于转向“上游优先”方式来实现安卓功能

安卓系统以其在 Linux 内核树外携带的下游补丁而臭名昭著，并且各种供应商/设备的树外补丁更加剧了这一状况。而近年来，谷歌在向安卓通用内核镜像（GKI）转变，上游化更多的安卓代码，将其作为他们所有产品内核的基础，以进一步减少碎片化的现象。在 Android 12 和基于 Linux 5.10 开发的的 GKI 中，谷歌进一步减少了碎片化，做到了“几乎消除”。在 GKI 中，大部分供应商/OEM 的内核功能现在要么被上游到 Linux 内核中，要么被隔离到供应商模块/钩子中，要么被合并到安卓公共内核（ACK）中。谷歌还承诺“努力将 ACK 中的所有树外补丁上游化”。

谷歌最初就想着自己的小算盘，现在终于领悟了“大家好才是真的好”。

GNOME 41 发布

新版本带来了很多新的变化，例如增强多任务设置和一个全新的远程桌面客户端 “Connections”。最重要的是，GNOME 41 带来了明显的性能改进，特别是对于那些使用 Wayland 的用户。新版本还为开发者带来了重大改进，包括一个新的开发者文档网站，一个重要的新版人机界面指南，Builder IDE 的新功能，GTK 4 增强等等。GNOME 团队表示：“GNOME 41 对系统进行了全面的修改，无论是外观还是交互都比此前更好。几乎系统的每一个部分都以某种方式进行了打磨或改进。”

作为 Linux 的两大桌面环境，可以说，GNOME 已经越来越尽善尽美了。

Ubuntu Touch OTA-19 发布

本周二，UBports 发布了 Ubuntu Touch OTA-19 版本更新。这是一款适用于智能手机和平板的 Ubuntu Linux 发行版本。本次 OTA-19 更新依然基于过时的 Ubuntu 16.04 LTS 代码库，后续版本将会过渡到 Ubuntu 20.04 LTS，但是估计移植工作会很多。Ubuntu Touch 适用于多种设备，包括小米、魅族和索尼、LG 及其他安卓设备。

我一度以为这个系统已经消亡了。

微软 Exchange 曝出安全漏洞，可获取全球 Windows 域和应用凭证

该漏洞存在于 Exchange 电子邮件服务器的 Autodiscover 协议中，允许电子邮件客户自动发现电子邮件服务器，提供凭证，然后接收适当的配置。为了获得这些自动配置，电子邮件客户通常会探测一系列预先确定的 URL，这些 URL 中采用客户域名和 autodiscover 等关键字组合而成。然而问题就在这里，在找不到这些预制域名时，Exchange 客户端会寻找 autodiscover.com、autodiscover.com.cn 等域名。也就是说，谁拥有这些域名，就会收到所有这些失败的请求，其中包含有用户的凭证。研究人员注册了一些这种域名，搭建了蜜罐，四个多月里收到了数百个请求和成千上万的凭证，其中还包括一些来自中国上市公司的凭证。

微软滥用默认域名已经不是第一次了。当年 corp.com 域名就是最臭名昭著的一个，最后微软花了 160 万美元才把这个域名买下来。

树莓派基金会获 4500 万美元融资，估值 5 亿

非营利机构树莓派基金会于昨日宣布，其已完成新一轮 4500 万美元的融资。本轮融资由一家私人慈善基金会领投，融资后估值为 5 亿美元左右。树莓派打算将这笔资金用于扩展丰富的 Pi 微处理器产品线，另外计划在面向广大消费者群体的“自建 PC”和面向工业应用的物联网领域加大营销投入。目前树莓派的年设备出货量超过 700 万台，且树莓派基金会正在向 100 多个市场区域投放超过 4200 台由 Pi 驱动的 PC 。

这是最成功的单板机了，你要是没有一块吃灰的树莓派，你都不好意思说自己是个计算机爱好者。

MIT 新研究表明 43% 的算法改进速度超过摩尔定律

MIT 的两位研究人员对来自 57 本教科书，超过 1137 篇研究论文的数据进行了分析，统计了从 1940 年到现在的各种算法的改进，他们发现，在 110 个算法家族上，对中等规模（n=1000）的问题来说，只有 18% 的算法改进率快于硬件；当规模达到百万、亿、甚至万亿级别时，算法的改进速度就超过了硬件性能；甚至有 14% 的算法家族的改进率超过 1000%，远超硬件改进所带来的性能提升。

硬件的更新毕竟需要更多时间和投入，还是人类大脑做成的改进毕竟快。

美国联邦调查局早就拿到了 REvil 解密密钥但并没有用来解锁

据称，尽管美国联邦调查局已经秘密从 REvil 黑客组织的服务器上得到解密密钥，但在近三周的时间里，他们没有帮助解锁今年夏天受到重大勒索软件攻击的数百家企业和机构的计算机。如果立即部署这些密钥可以帮助受害者，以避免估计的数百万美元的恢复费用。但是，联邦调查局没有帮忙解锁，而是正计划开展一项行动来瓦解 REvil 黑客组织，以免打草惊蛇。不过，在联邦调查局有机会执行其计划之前，7 月中旬 REvil 的平台就自行下线了，该组织就消失了。

最终蛇也跑了，鸡也没了。

Ubuntu 14.04/16.04 LTS 支持期延长至十年

Ubuntu 18.04 LTS 和 Ubuntu 20.04 LTS 已经有了十年的支持计划，而 Canonical 宣布将 Ubuntu 14.04 LTS 和 Ubuntu 16.04 LTS 也支持十年，这意味着它们现在将分别支持到 2024 年 4 月和 2026 年 4 月。原本这些早期的 LTS 版本在 5 年支持期结束后，Canonical 提供了 3 年的对个人免费的扩展安全服务（ESM）。

确实，有很多生产环境的 Linux 服务器没法做升级，这也说明了 Ubuntu 在企业用户中保持了大量的长期用户。

安全部门成功阻止最大的 DDoS 僵尸网络 1/5 的设备

Meris 僵尸网络在今年早些时候首次被发现，是目前互联网上最大的 DDoS 僵尸网络，其规模估计约为 25 万个受感染的系统，绝大多数受感染的系统都是 MikroTik 网络设备，如路由器、交换机和接入点。Meris 今年两次打破了最大容量 DDoS 攻击的记录，一次是在 6 月，另一次是在 9 月。俄罗斯电信巨头 Rostelecom 旗下网络安全部门周一表示，他们发现并利用恶意软件创建者的一个纰漏，提前占位了一个 C&C 域名，成功阻止了 Meris 僵尸网络约 1/5 的设备获取攻击指令。

说到底，这些联网设备的厂商没有更新设备的主动性，这种僵尸网络会越来越庞大。

Google 的标志性口号“不作恶”在劳工审判中受到质疑

上个月，软件工程师 Kyle Dhillon 在美国国家劳工关系委员会（NLRB）的审判中说，Google著名的企业口号“ 不作恶 Don't be evil ”，在五年前吸引了他加入这家科技巨头。近年来，Google 不再强调这一口号，但现在却成了 NLRB 对该公司投诉案的焦点，公众对该公司的行为准则进行了反思。2015 年，Google 成立新的 Alphabet 母公司之后，这句口号从 Google 行为准则的开头被移到了结尾。而 Alphabet 的更广泛的行为准则没有提到这句话。

终究还是“作恶”更容易一些。

Linux 基金会调查显示企业急于招聘开源人才

在西雅图举行的开源峰会上，Linux 基金会和 edX 发布了 2021 年开源工作报告。其中有几个值得注意的数据：92% 的经理人说难于找到足够的人才；在该调查历史上第一次，云和容器技术技能比 Linux 更受招聘经理的青睐，分别是 41% 和 32%；几乎所有的开源专业人士（88%）都报告说在他们的工作中使用 DevOps 实践；大多数雇主（88%）优先雇用经过认证的专业人员，而 2020 年为 57%，2018 年为 47%。

开源和云技术已经成为技术人的必备技能。

Apache OpenOffice 发现安全漏洞，能被恶意文件劫持

Apache OpenOffice（AOO）目前存在远程代码执行漏洞，虽然该应用的源代码已经打了补丁，但该修复程序只作为测试版软件提供，等待正式发布。该漏洞的公开披露日期是 8 月 30 日，这意味着大多数运行这个开源办公套件的人可能拥有该软件的脆弱版本，该套件已被下载数亿次，最后一次更新是在 5 月。

还有人用 OpenOffice 吗？赶快离开它吧。

Linus Torvalds 表态 9.17 才是真正的 Linux 内核生日

关于 Linux 内核的诞生日有几个不同的意见，比如 Linus Torvalds 第一次在 USENET 宣布开发消息、第一个出现的版本，第一个宣布的版本等等。Linux 内核 0.01 是 1991 年 9 月 17 日上传的，但该版本从来没有公开宣布过。不过，Torvalds 认为，这才是 Linux 内核真正的纪念日，“虽然没有宣布，但在许多方面，这是实际代码的真正的 30 周年纪念日。”

此外，Torvalds 承认 -Werror 的决定使得 Linux 内核的工作混乱，这个决定让他陷入了“按下葫芦起了瓢”的境地，但他愿意承受这种痛苦，“我仍然相信，这一切都是为了一个好的目的。”他说，“rc2 这周对我来说往往是相当安静的，所以这周我接着看奇怪的‘警告变成错误’的报告也不是太糟糕。”

感谢您！脱袜子先生！

微软 Exchange 将默认阻止某些新文件类型

近年来，攻击者的技术纯熟度日渐增长，甚至能够将恶意软件隐藏在 .ISO 文件中，以使之更隐蔽地躲过 Windows 与反病毒软件的深层扫描。为解决这一问题，微软计划在 10 月份增加 Exchange 服务器默认自动阻止的附件类型和数量。新添加的文件类型包括 .iso、.cab、以及 .jnlp，带有这些附件的邮件将被自动隔离，目前总计有 96 种文件类型被阻止。

这种阻止只能是带来越来越的不便，而最终导致阻止被跳过。

在虚拟机运行 Windows 11 也要求 TPM 2.0

之前，在虚拟机中安装 Windows 11 预览版没有任何特殊要求。但最近在开发和测试频道中提供给用户的 Windows 11 预览版，即使是在虚拟机上也开始要求 TPM 2.0，以使它们与单独运行操作系统的设备保持一致。所以在理论上，除非 TPM 2.0 可用，否则你将不能再在虚拟机中运行 Windows 11。而 Oracle 已经开始为 VirtualBox 添加 TPM 2.0 设备支持了。

好吧，有人要在虚拟机中安装 Windows 11 吗？