美国联邦调查局早就拿到了 REvil 解密密钥但并没有用来解锁

据称，尽管美国联邦调查局已经秘密从 REvil 黑客组织的服务器上得到解密密钥，但在近三周的时间里，他们没有帮助解锁今年夏天受到重大勒索软件攻击的数百家企业和机构的计算机。如果立即部署这些密钥可以帮助受害者，以避免估计的数百万美元的恢复费用。但是，联邦调查局没有帮忙解锁，而是正计划开展一项行动来瓦解 REvil 黑客组织，以免打草惊蛇。不过，在联邦调查局有机会执行其计划之前，7 月中旬 REvil 的平台就自行下线了，该组织就消失了。

最终蛇也跑了，鸡也没了。

Ubuntu 14.04/16.04 LTS 支持期延长至十年

Ubuntu 18.04 LTS 和 Ubuntu 20.04 LTS 已经有了十年的支持计划，而 Canonical 宣布将 Ubuntu 14.04 LTS 和 Ubuntu 16.04 LTS 也支持十年，这意味着它们现在将分别支持到 2024 年 4 月和 2026 年 4 月。原本这些早期的 LTS 版本在 5 年支持期结束后，Canonical 提供了 3 年的对个人免费的扩展安全服务（ESM）。

确实，有很多生产环境的 Linux 服务器没法做升级，这也说明了 Ubuntu 在企业用户中保持了大量的长期用户。

安全部门成功阻止最大的 DDoS 僵尸网络 1/5 的设备

Meris 僵尸网络在今年早些时候首次被发现，是目前互联网上最大的 DDoS 僵尸网络，其规模估计约为 25 万个受感染的系统，绝大多数受感染的系统都是 MikroTik 网络设备，如路由器、交换机和接入点。Meris 今年两次打破了最大容量 DDoS 攻击的记录，一次是在 6 月，另一次是在 9 月。俄罗斯电信巨头 Rostelecom 旗下网络安全部门周一表示，他们发现并利用恶意软件创建者的一个纰漏，提前占位了一个 C&C 域名，成功阻止了 Meris 僵尸网络约 1/5 的设备获取攻击指令。

说到底，这些联网设备的厂商没有更新设备的主动性，这种僵尸网络会越来越庞大。

Google 的标志性口号“不作恶”在劳工审判中受到质疑

上个月，软件工程师 Kyle Dhillon 在美国国家劳工关系委员会（NLRB）的审判中说，Google著名的企业口号“ 不作恶 Don't be evil ”，在五年前吸引了他加入这家科技巨头。近年来，Google 不再强调这一口号，但现在却成了 NLRB 对该公司投诉案的焦点，公众对该公司的行为准则进行了反思。2015 年，Google 成立新的 Alphabet 母公司之后，这句口号从 Google 行为准则的开头被移到了结尾。而 Alphabet 的更广泛的行为准则没有提到这句话。

终究还是“作恶”更容易一些。

Linux 基金会调查显示企业急于招聘开源人才

在西雅图举行的开源峰会上，Linux 基金会和 edX 发布了 2021 年开源工作报告。其中有几个值得注意的数据：92% 的经理人说难于找到足够的人才；在该调查历史上第一次，云和容器技术技能比 Linux 更受招聘经理的青睐，分别是 41% 和 32%；几乎所有的开源专业人士（88%）都报告说在他们的工作中使用 DevOps 实践；大多数雇主（88%）优先雇用经过认证的专业人员，而 2020 年为 57%，2018 年为 47%。

开源和云技术已经成为技术人的必备技能。

Apache OpenOffice 发现安全漏洞，能被恶意文件劫持

Apache OpenOffice（AOO）目前存在远程代码执行漏洞，虽然该应用的源代码已经打了补丁，但该修复程序只作为测试版软件提供，等待正式发布。该漏洞的公开披露日期是 8 月 30 日，这意味着大多数运行这个开源办公套件的人可能拥有该软件的脆弱版本，该套件已被下载数亿次，最后一次更新是在 5 月。

还有人用 OpenOffice 吗？赶快离开它吧。

Linus Torvalds 表态 9.17 才是真正的 Linux 内核生日

关于 Linux 内核的诞生日有几个不同的意见，比如 Linus Torvalds 第一次在 USENET 宣布开发消息、第一个出现的版本，第一个宣布的版本等等。Linux 内核 0.01 是 1991 年 9 月 17 日上传的，但该版本从来没有公开宣布过。不过，Torvalds 认为，这才是 Linux 内核真正的纪念日，“虽然没有宣布，但在许多方面，这是实际代码的真正的 30 周年纪念日。”

此外，Torvalds 承认 -Werror 的决定使得 Linux 内核的工作混乱，这个决定让他陷入了“按下葫芦起了瓢”的境地，但他愿意承受这种痛苦，“我仍然相信，这一切都是为了一个好的目的。”他说，“rc2 这周对我来说往往是相当安静的，所以这周我接着看奇怪的‘警告变成错误’的报告也不是太糟糕。”

感谢您！脱袜子先生！

微软 Exchange 将默认阻止某些新文件类型

近年来，攻击者的技术纯熟度日渐增长，甚至能够将恶意软件隐藏在 .ISO 文件中，以使之更隐蔽地躲过 Windows 与反病毒软件的深层扫描。为解决这一问题，微软计划在 10 月份增加 Exchange 服务器默认自动阻止的附件类型和数量。新添加的文件类型包括 .iso、.cab、以及 .jnlp，带有这些附件的邮件将被自动隔离，目前总计有 96 种文件类型被阻止。

这种阻止只能是带来越来越的不便，而最终导致阻止被跳过。

在虚拟机运行 Windows 11 也要求 TPM 2.0

之前，在虚拟机中安装 Windows 11 预览版没有任何特殊要求。但最近在开发和测试频道中提供给用户的 Windows 11 预览版，即使是在虚拟机上也开始要求 TPM 2.0，以使它们与单独运行操作系统的设备保持一致。所以在理论上，除非 TPM 2.0 可用，否则你将不能再在虚拟机中运行 Windows 11。而 Oracle 已经开始为 VirtualBox 添加 TPM 2.0 设备支持了。

好吧，有人要在虚拟机中安装 Windows 11 吗？

英特尔准备为 Linux 引入无需重启更新固件功能

“英特尔无缝更新”是英特尔平台即将推出的一项功能，在其最新的 Linux 内核补丁中暴露出了这一新功能，它能够避免重新启动而进行系统固件更新，如 UEFI 更新。其目标是那些在停机时间方面有高服务水平协议（SLA）的客户。由于系统固件更新通常需要重新启动，这可能会使服务中断几分钟，从而可能影响服务水平协议，或者给这些服务的用户带来不便。英特尔可能会在明年发布的 CPU 上推出这项功能。

这下好了，内核更新不用重启，固件更新也不用重启了。

Android 6 以上版本将重置不使用应用的权限

谷歌周五宣布将向后移植 Android 11 系统的隐私功能，将应用权限自动重置机制引入到 Android 6 及以上版本。该功能旨在自动限制用户不使用的应用，当我们在一段时间内未使用某应用时，Android 会自动剥离该应用已被授予的一切权限，从而限制它在后台跟踪你的动向或访问数据。在再次打开该应用时，系统会再次请求所有权限。该功能是去年推出的 Android 11 版本带来的。

这是一个不错的功能，可以让你随时被提醒收回那些不必要的权限。

全球计算的碳足迹比以前估计的要大

根据一项新研究00188-4)，信息和通信技术（ICT）在温室气体排放中的比例比之前估计的要大。之前的估测没有考虑到 ICT 产品和基础设施的整个生命周期和供应链，这包括 ICT 组件制造商产生的排放，或与 ICT 产品的处置有关的排放。之前估计 ICT 在温室气体排放中的份额定为 1.8% 至 2.8%。但最新的研究结果表明，全球计算更有可能达到 2.1% 至 3.9% 的温室气体排放比例。这一比例要比占 2% 的航空业要高。

随着信息化的增加，ICT 的碳足迹可能还会更高。

Kali Linux 2021.3 带来了一些重要的功能改进以及一些新工具。此外还有一个惊喜，他们还宣布正在开发他们的第一个 NetHunter 智能手表。

Kali Linux 是 用于渗透测试的最佳 Linux 发行版 之一。它是基于 Debian 的，但它可能不适合替代你的成熟的桌面操作系统。

最新的 2021.3 版本带来了一些重要的功能添加和改进。让我们来看看它们。

有何新变化？

OpenSSL 兼容性

重新配置了 OpenSSL，以扩大 Kali 可以连接的服务。因此，老式过期的协议，如 TLS 1.0 和 TLS 1.1 以及更旧的加密算法，在默认情况下是允许的。也就是说；它将让 Kali 可以连接到更多过时的服务器。然而，如果你不需要它，你可以改变这个选项。

虚拟化的改进

众所周知，Kali 可以作为一个虚拟机完美地工作。首先，无论你的访客机是在 VirtualBox、VMware、Hyper-V 还是 QEMU+Spice 下运行，宿主机和访客机系统之间的拖放、复制和粘贴等操作都比以前更顺畅。

其次，使用 Kali-Tweaks 可以更容易为 Hyper-V 增强会话模式（一种虚拟化管理程序）配置 Kali。

简而言之，Kali Linux 2021.3 使得在设置虚拟环境时的体验更加完美。

Kali 工具

每一个 Kali 版本都包含新的工具，这是理所当然的。同样的，这个版本也不例外。Kali 加入的工具有：

• Berate\_ap - 编组 MANA rogue Wi-Fi 接入点
• CALDERA - 可扩展的自动对手模拟平台
• EAPHammer - 针对 WPA2-Enterprise Wi-Fi 网络的 evil twin 攻击
• HostHunter - 使用 OSINT 技术发现主机名的侦察工具
• RouterKeygenPC - 生成默认的 WPA/WEP 无线密钥
• Subjack - 子域接管
• WPA\_Sycophant - EAP 中继攻击的邪恶客户端部分

Kali ARM 更新和 Kali-Tools

在 Kali 2021.3 中，对 ARM 设备的支持得到了更多的改进。我发现最吸引人的是：

• en\_US.UTF-8 是所有镜像的默认语言。
• 重新构建了 Kali ARM 构建脚本，以更好地支持一些设备。
• 树莓派镜像现在可以使用 /boot 分区上的 wpa_supplicant.conf 文件。

此外，Kali 刷新了其信息域 Kali-Tools，以提供简洁的工具概述、整洁的界面和快速的系统。

其他变化

Kali 还有其他一些不错的改进，包括：

• 改进了 Xfce 和 Gnome 版本的布局。Kali 并没有忘记 KDE，因为这是它最喜欢的桌面环境之一，已经内置了 KDE 5.21 是新的版本。
• 他们的文档网站中的一些重要页面进行了大幅更新。
• 与 Ampere 合作，让其 ARM 包构建机运行在 Ampere 的硬件上。因此，其大幅的提速使得 Kali 受益。

Kali 增强了针对安卓设备的移动渗透测试平台。换句话说，你现在可以在 Android 11 设备上安装 Kali NetHunter，而不需要完整的可工作的 TWRP（Team Win Recovery Project）。最重要的是，由于其方便的安装程序，这一更新很有希望。

除了这个版本之外，他们还宣布了他们的第一个 NetHunter 智能手表，TicHunter Pro。但是，它仍然处于开发的最初阶段。

要了解更多关于这次升级的所有技术变化，请参考 官方公告。

总结

总的来说，这是一个重要的版本，提供了重要的改进和令人兴奋的新工具。从它的官方网站上下载它，就可以开始了。

• 下载 Kali Linux 2021.3

via: https://news.itsfoss.com/kali-linux-2021-3-release/

作者：Omar Maarof 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

一笔 BTC 交易将产生至少 272g 的电子垃圾

根据荷兰央行和 MIT 经济学家的分析，专门用于 BTC 挖矿的 ASIC 矿机的生命期只有 1.29 年。这些 ASIC 矿机除了用来挖矿而别无用处，为了追上算力增加，这些矿机需要不断升级，每年比特币网络需要更换重达 3.07 万吨的矿机，这个数字与荷兰这样的国家产生的小型IT和电信设备垃圾量相当。在 2020 年比特币网络共处理了 1.125 亿笔交易，即每笔交易产生至少 272g 的电子垃圾，与两部 iPhone 12 mini 手机的重量相当。

这种代价不可谓不高，但是我认为 BTC 重要的不是它本身的价格，而是它所揭示的新思想。

微软必应可能很快成为 Firefox 的默认搜索引擎

Mozilla 目前正在测试将微软的 Bing 作为 Firefox 的默认搜索引擎。自本月 6 日以来，约有 1% 的 Firefox 桌面用户群接受了这种早期测试。Mozilla 预计这个测试阶段将持续约五个月，并在明年一月前完成。目前，Mozilla 与 Google 的搜索协议预计将在明年结束，所以必应可能是 Mozilla 的备胎，以防与 Google 的搜索合同没有进一步延长。

其实，做浏览器挺赚钱的。

研究人员用化妆打败了先进的面部识别技术

一项新研究发现，软件生成的化妆图案可以用来持续绕过最先进的面部识别软件，这些通过通过数字和物理施加的化妆的成功率高达 98%。他们使用一个自拍应用程序，根据面部最易识别的区域对进行数字化妆。然后，一位化妆师用自然的妆容将数字妆容模仿到参与者身上，以测试目标模特在现实情况下的识别能力。论文称，在物理实验中，他们只在 1.2% 的画面中被识别到。

虽然之前也有一些在面部绘制特定条纹的方式来欺骗 AI，但是反而容易被人类注意到，而这种化妆术却可以做到不引起人类注意的同时欺骗 AI。