“不再索取赎金” 项目的免费解密工具节省了 10 亿美元

“不再索取赎金” 项目提供了 121 个免费的勒索软件解密工具，可以解密 151 个勒索软件家族。他们已经帮助 600 多万勒索软件受害者免费恢复了他们的加密文件。该网站允许用户上传加密文件，以帮助确定他们成为哪种形式的勒索软件的受害者，然后在有免费解密工具的情况下将他们引向该工具。

它建议，尽管勒索软件攻击造成了破坏，但受害者不应该屈服和支付。这不仅是因为没有理由相信犯罪分子会提供合法的解密密钥，而且支付赎金只是表明勒索软件的作用，鼓励进一步的攻击。

这是一个非常有意义的措施，而且已经看到了很好的效果。

谷歌搜索返回的 PHP 教程一半含有 SQL 注入漏洞

在谷歌上搜索 PHP 编程问题，返回的结果包含了教程、技巧和代码片段，但绝大部分结果包含了有缺陷的数据库语句。据研究，30 个结果中有 16 个含有 SQL 注入漏洞。如果搜索者将这些代码包含在其编写的程序中，那么最后产生的程序将是不安全的。

可能很多刚刚学习编程的人都有过 “ICP”（互联网复制与粘贴）编程阶段，但是这应该只是一个提示思路的方法，而不是编程方法。

BLAKE3 哈希算法发布，比 SHA 算法更快更安全

去年宣布的 BLAKE3 是基于其前身 BLAKE2 的加密哈希函数，现在其官方实现发布了 1.0 版本。BLAKE3 比 BLAKE2 快得多，也比 SHA-1/SHA-2/SHA-3 甚至 MD5 等快得多，同时更加安全。它在如今拥有 SIMD 指令集扩展和高核数的 CPU 上是高度可并行的。

虽然比 SHA 哈希更好，但是得到推广依然需要 SHA 像 MD5 一样逐渐被淘汰才行。

可维修的模块化“框架笔记本电脑”开始发货

作为“维修权运动”的一部分，“框架笔记本电脑”被设计为在技术上尽可能地可定制、可升级和可维修。它有四个扩展卡插槽、可卡入 USB-C 连接器的滑入式模块、插座式存储和内存、一个可更换的带有固定的 CPU 和风扇的主板模块、电池、屏幕、键盘等。这款笔记本电脑现在正在美国和加拿大进行预购，起价 999 美元。它还发布了所有必要的信息，让维修店或 IT 部门不仅可以交换零件，还可以进行维修，PCWorld 称其为“终极维修权笔记本电脑”。

最初电脑就是组装起来的，到了笔记本时代逐渐变成一体化的而不可拆卸，现在又回到了组装时代。

首位公众人物因在线活动的聚合数据而暴露

移动运营商会向数据中介出售位置数据，数据中介在聚合不同来源的数据之后将其出售给不同类型的买家。一家报道天主教的新闻媒体获得了 24 个月的应用使用和应用位置数据，其中就包括了 Grindr。这些数据并不是真正的匿名数据，因为其中包含唯一标识符。大多数人在他们的生活中基本上都有一个位置指纹。他们的家庭地址、工作地点，他们去的某些有限的地方。已经有研究表明，仅仅根据我们在某一周内去的几个关键位置点，我们就可以被唯一识别。

进行去匿名化之后，从中发现美国天主教主教会议的秘书长在其经常活动的位置频繁登录 Grindr，这些位置包括了天主教主教会议办公室、住宅和会议室等等。该媒体通知了天主教主教会议，该会随后宣布了秘书长辞职。

大数据之下，人人无可遁形。

Twitter 删除了对 FLoC 的支持

Twitter 是为数不多的支持谷歌 FLoC 广告技术的网站之一，尽管这种利用 Chrome 浏览器浏览习惯来描述用户的跟踪技术受到广泛的抨击。美国 15 位总检察长已经指责谷歌试图将其“ Chrome 置于跟踪和定位的中心”；服务于世界上 40% 网站的 WordPress 已经宣布，他们将把 FLoC 视为一种安全风险。在遭到监管机构的强烈反对后，谷歌自己也放弃了在短期内强制实施 FLoC 的计划，推迟到 2023 年。根据对 Twitter 网站的分析，Twitter 从其网站上删除了对 FLoC 的支持。

谷歌在推行 FLoC 的道路上过于暴露太多的私心。

第一款龙芯架构的芯片的性能测试一般

本周发布的龙芯 3A5000 是第一款龙芯架构的芯片，四核，时钟速度高达 2.3~2.5GHz。据称龙芯 3A5000 的性能比之前基于 MIPS 的芯片提高了 50%，同时功耗更低。

据 phoronix 报道，龙芯 3A5000 已经在 OpenBenchmarking.org 上传了一些 Phoronix 测试套件的基准测试结果，总的来说，如果与现代英特尔/AMD 甚至 ARM 的竞争对手相比，性能并不那么令人印象深刻。龙芯 3A5000 上的简易 C-Ray 基准测试 大约为 393 秒，在排名上与基于 ARM 的飞腾 FT-2000 或 Core i3 8109U / Core 2 Quad Q9500 / Core i5 750 差不多。甚至用于服务器的龙芯 3A5000LL 的 Perl 基准测试也是 OpenBenchmarking 上所看到的最慢的结果之一。在几个其它基准测试中，龙芯 3A5000 也只能与飞腾 ARMv8 SoC 相比较。

这还只是龙芯架构迈出的第一步，让我们多给它一些时间。

Linux 防火墙 Firewalld 十年后发布了 1.0

Firewalld 是红帽公司十年前开始的，用于通过 Netfilter 管理 Linux 的防火墙功能。在首次发布十年半之后，发布了 Firewalld 1.0。

Firewalld 1.0 带来了一些突破性的变化，包括放弃对 Python 2 的支持，默认支持区内转发，NAT 规则被移到 iNet 系列，默认目标现在类似于拒绝，废弃了旧的 IPTables 后端等等。对于终端用户来说，它可以普遍减少规则集大小。预计将在 Fedora 35 上推出。

Linux 界的传统就是这么谦虚，都在生产环境用了 10 年了才发布 1.0，不过现在这个传统已经逐渐被那些飙版本号的抛弃了。

GitHub 提高了 Go 模块的供应链安全性

GitHub 宣布对基于 Go 编程语言的模块进行了一系列供应链安全升级。Go 现在是该平台上最流行的编程语言之一。根据 2020 年 Go 开发者调查，76% 的受访者表示，Go 现在已经以某种形式在企业中使用，96% 的受访者表示这些模块被用于包管理。

GitHub 为 Go 模块主要提供了如下供应链安全改进：咨询建议数据库，目前包含 150 多个建议；依赖关系图，可以通过 go.mod 来监控、分析项目的依赖关系，在发现有漏洞的依赖关系时提醒用户；依赖机器人，启用自动拉动请求来修补有漏洞的 Go 模块。

通过软件仓库来解决软件供应链攻击风险是一个好的思路。

iDOS 2 模拟器收到苹果商店的下架通知

iDOS 2 允许用户在 iPhone 或 iPad 设备上运行几十年前的 DOS 游戏和软件。但据开发者所述，苹果正要求其作出改变，否则将下架这款模拟器。苹果说，该应用安装或启动了 App Store 不允许的可执行代码。受苹果对于捆绑游戏文件的限制，开发者曾被迫四年没有更新过 iDOS 2。目前苹果要求 iDOS 2 在 14 天内整改，以剔除该应用能够运行可执行代码的能力。但这么一来，也无异于让 iDOS 2 自废武功。

这就是封闭系统的问题，他们会封杀一切他们认为可能带来威胁的东西。

Keseya 已获得 REvil 勒索软件的通用解密器

利用 Kaseya VSA 远程管理软件漏洞开展的大规模勒索软件攻击，受该事件影响的设备数量达到了百万级。勒索团伙 Revil 在各方的联合打击下从暗网上消失，但这也意味着受害者缺乏被加密数据的解锁秘钥。

不过，Kaseya 现已从“受信任的第三方”那里拿到了通用解密密钥，使得受害者有机会重新获得相关数据的访问权，而无需支付任何赎金。Kaseya 表示不能披露其来源信息，至于是否向勒索软件团伙支付了赎金，Kaseya 既没承认也没否认。

Kaseya 总算是解决了这个问题，但是如何保证下一次呢？

16 年前的惠普打印机驱动程序漏洞影响了数亿台 Windows

研究人员公布了惠普打印机驱动程序（三星和施乐也在使用）中一个高严重性的特权升级缺陷的技术细节，该缺陷影响到数亿台 Windows 机器。如果被利用，网络攻击者可以绕过安全产品；查看、改变、加密或删除数据；或创建具有更广泛用户权限的新账户。这个漏洞已经在系统中潜伏了 16 年，但今年才被发现。它在 CVSS 量表上的评分为 8.8（满分 10 分），属于高严重度。

据分析，该漏洞存在于驱动程序内部的一个函数中，这个函数使用strncpy 从用户输入复制一个字符串，其大小参数由用户控制。

这就是典型的缓冲区溢出，这是早些年非常流行的安全缺陷，如果采用 Rust，就不会有这样的问题。

谷歌的推送更新少了一个 & 字符，致使 Chrome OS 设备无法登录

谷歌称，本周短暂推出的 Chrome OS 版本，使用户无法登录他们的设备。Chrome OS 会自动下载更新，并在重启后切换到新版本，因此重启设备的用户会突然被锁定。受该更新影响的用户可以等待设备再次更新。

由于 Chrome OS 是开源的，所以我们可以得到更多关于修复的细节。根据分析，在操作系统中保存用户加密密钥的部分，谷歌在更新中弄错了一个条件语句，在应该使用逻辑与运算符 && 的地方少了一个 &，变成了位运算符 &，从而破坏了条件语句的后半部分。由于这个错误，用户无法验证其密码。

这明显是程序员手误，但这么严重的错误，是如何进入产品渠道的推送的？

奇亚硬盘矿大热让希捷 6 年来单季营收首次冲上 30 亿

今年异军突起的奇亚硬盘矿给硬盘市场带来变数，尽管现在的价格不到之前高峰期的 20%，但它还是给硬盘厂商带来了一波红利：希捷 Q4 财季营收突破 30 亿美元，同比大涨 20%。希捷出货的硬盘总容量 152EB，同比增长 30%，其中 80% 的份额都是大容量硬盘市场贡献的。

硬盘挖矿本身是否有价值先不说，硬盘厂商倒是吃饱了。这就和加密货币让显卡厂商赚的盆满钵满一样。

MITRE 更新 25 个最危险的软件漏洞名单

MITRE 发布了 2021 年最危险的 25 个软件弱点榜单：CWE Top 25。CWE 团队利用了美国国家漏洞数据库（NVD）中的常见漏洞和暴露（CVE）数据，以及与每个 CVE 记录相关的通用漏洞评分系统分数。在这些数据中应用了一个公式，根据普遍性和严重性对每个弱点进行评分。

感觉这两年危险的安全漏洞越来越多了。

安全黑市中出售的一半以上的漏洞是针对微软产品的

一项新研究表明，地下网络犯罪论坛上出售的漏洞有 51% 是针对微软产品的。微软 Office 的漏洞占 23%，而 Windows 占黑客论坛上出售的漏洞的 12%。远程桌面协议（RDP）的漏洞占 10%。

所谓树大招风，公平的讲，其实 Linux 并不比 Windows 更安全，只是 Windows 影响面更大而已。

黑客团伙利用 SSH 暴力入侵来挖矿和 DDoS 攻击

据报告，从 2020 年开始活跃的一个黑客团伙正使用此前从未被记录的 SSH 暴力破解器（使用 Golang 编写），对使用 Linux 的设备发起加密劫持活动。在成功入侵之后，就会部署门罗币恶意挖矿软件。除了部署恶意程序用于挖矿之外，该团伙还连接了至少 2 个 DDoS 僵尸网络。

比较嘲讽的是，很多人使用 SSH 服务看似提供了安全连接，但是 SSH 本身并没有保护好。

谷歌正在测试基于机器学习的 DDoS 攻击防御功能

谷歌曾经历让人咋舌的大型 DDoS 攻击。比如 2017 年的那一次，就曾创下了 2.56 Tbps 的纪录。去年 11 月，谷歌推出了 Cloud Armor 自适应防护功能，并作为其 DDoS 防御和 Web 应用程序防火墙服务的一部分，为客户提供基于相同技术的防护。该技术在底层使用了机器学习模型，来分析网络服务中的信号是否存在潜在的攻击。

将机器学习用到这方面是一个好的方向，单纯按人工规则拼已经落后了。