REvil：有史以来最大的一次全球勒索软件攻击

此次 REvil 通过 Kaseya VSA 供应链进行的勒索攻击已经影响到了 17 个国家的数千客户，大部分都是小型企业。这此事件被称之为“有史以来最大的一次全球勒索软件攻击”。Kaseya 公司周五呼吁客户立即关闭他们的 VSA 服务器，并在周日表示，希望在未来几天内推出补丁。据美联社采访的专家称，这些攻击可能是为了利用美国庆祝建国的三天周末。

一个好的迹象是，在过去的 48 小时内，从互联网上可以到达的 Kaseya VSA 实例的数量已经从超过 2200 个下降到最后一次扫描中的不到 140 个。

正如我们昨天说到的，利用供应链进行的勒索攻击难以防范，也会愈演愈烈。

自由软件基金会宣布改进董事会治理的下一步举措

FSF 董事会宣布，他们聘请了一位专业顾问，以帮助自由软件基金会设计和执行所需的变革。将在半年内实现：一个透明的由社区支持的确定新董事会成员和评估现有董事会成员的过程；一份明确列出所有董事会成员责任的董事会成员协议；一套道德准则，阐明 FSF 的价值观；更加集中和精简的董事会程序。

FSF 董事会还在评估自 2002 年以来对其章程的首次修改建议。这些修订的目标是确保用户自由不会因董事会、成员或敌对法庭的变化而受到影响，特别是关注各种 GPL 许可证的未来。

作为最老牌的自由软件方面的基金会，FSF 在开放治理方面却并不“先进”，很高兴 FSF 能看到并改进这一点。

著名开源软件被收购后开始收集用户数据

著名开源音频处理软件 Audacity 于两个月前被一家叫作 Muse Group 的公司收购。该公司同时还拥有其它著名音乐电子项目。一个月前其隐私政策的变化显示该工具正在收集其用户的数据，并与其他公司共享，同时还将数据发送到俄罗斯。虽然 Audacity 并不是一个手机应用，但程序设计者依然试图利用该软件从用户电脑上获取数据。

在各大开源社区中出现了许多愤怒的回应，GitHub 和 Reddit 上的用户纷纷呼吁尽快分叉该软件。

当一个开源软件易主之后，对它之前积累的信任需要重新评估。

DuckDuckGo 成为美国、加拿大、澳大利亚的第二大移动搜索引擎

DuckDuckGo 发布公告称，在过去的 12 个月里，其应用程序被下载了 5000 多万次，比以前所有年份的总和还要多，其月度搜索流量增加了 55%，在许多国家的移动搜索引擎中成长为第二名。DuckDuckGo 说，“我们不跟踪我们的用户，所以我们不能确定我们有多少用户，但根据市场份额的估计、下载量和国家调查，我们相信有 7000 万至 1 亿 DuckDuckGo 用户。”

DuckDuckGo 现在每年的收入超过 1 亿美元。2020 年底，他们还获得了超过 1 亿美元的投资。

然而，我没有使用过它，不是我不想用……

使用虚拟机来隐藏勒索软件攻击正变得越来越流行

2020 年初，安全研究人员发现，一个勒索软件团伙想出了一个创新的招数，允许它在受感染主机的虚拟机内运行其有效载荷，作为绕过安全软件的技术解决方案。勒索软件团伙在受感染主机上有了一个小的立足点之后可以下载和安装虚拟机软件，启动一个虚拟机实例共享主机的存储空间，然后从虚拟机内继续加密受害者的文件。在执行过程中，主机的反病毒软件无法到达并检测到勒索软件。一年后，这种技术已经在地下网络犯罪中传播，现在被多个勒索软件运营商使用。

没想到虚拟化还被运用到这个方面，不过这也并非无迹可查。

GitHub 漏洞赏金激增超过 150 万美元大关

GitHub 表示，2020 年是漏洞披露方面“最繁忙的一年”。GitHub 安全漏洞赏金计划已经运作了 7 年，而在过去的一年里，发放了超过 50 万美元的奖励，使支付的总金额超过 150 万美元。GitHub 的计划范围包括众多 GitHub 拥有的域名和目标，研究人员每份报告可获得高达 3 万美元。GitHub 的安全漏洞赏金计划在安全港原则下运作，遵守负责任的披露政策的漏洞赏金猎人受到保护，不会因其研究而产生任何潜在的法律后果。

做个白帽子挣赏金真香，可惜 20 年前没有这样的环境。

Linux 创始人怒斥反疫苗言论

有人在 Linux 内核邮件列表上发表了一些荒唐的疫苗言论，这激怒了 Linux 创始人 Linus Torvalds。他在邮件列表中回复道：“请不要发表你那疯狂的、技术上不正确的反疫苗言论。……该死的是，不管你从哪里得到的错误信息，在 Linux 内核讨论列表内都不会让你的白痴的胡言乱语从我这里毫无争议的通过。”并且，他对 mRNA 疫苗做了一些科普，倡导大家去接种疫苗，“疫苗已经拯救了数千万人的生命。……你需要停止相信反疫苗的谎言，你需要开始保护你的家人和你周围的人。去接种疫苗吧。”

果然是耿直 Boy，这一次我们得说还好 Linus 自己的邮件过滤器没发挥作用。（之前 Linus 因为其直率的言论招致了社区批评，反省之后他表示要给自己安装一个过滤粗话的邮件过滤器）

谷歌在 Chrome 中显示简化 URL 的实验失败

谷歌本周从 Chrome 中删除了隐藏网站部分 URL 的实验功能。这意味着，它在打击欺骗性网站方面实际上并不有效。该实验持续了一年，这是为了遏制网络钓鱼骗局而进行的一项实验。它包括谷歌添加到 chrome://flags 选项页面的一系列选项，当启用时，只显示一个网站的主域名，而不是完整的页面 URL。

这个实验一开始就觉得不靠谱，不过各种努力和尝试是值得肯定的。

美国每小时遭受超过 7 次勒索软件攻击

美国去年遭受了 6.5 万次勒索软件攻击，即每小时超过 7 次，而且情况可能会变得更糟。由于网络犯罪分子瞄准了美国基础设施的关键部分，以前被视为讨厌的事情正迅速成为一个国家安全问题。恶意软件攻击使管理人员陷入困境。首先，一个公司失去了对其系统或敏感数据的访问。然后，还有连锁反应。如果黑客攻击被公开，它可能会影响公司的股价，或者更糟糕的是，造成全国性的问题。

如今，美国已经被勒索软件盯上了，接下来，我觉得全世界都该担忧这个问题。

Google 用自己的专用芯片取代了数百万英特尔的芯片

今年早些时候，YouTube 披露了自己设计的芯片 Argos VCU，它专门用于将视频转码成十多个版本。YouTube 称相比以前使用软件在传统服务器的转码，Argos 的视频转码芯片性能提升了 20-33 倍。相比使用英特尔 Skylake CPU 或 Nvidia T4 Tensor core GPU 的方案，VCU 能节省大量的钱。分析师估计，Google 可能已经用 VCU 替代了 400 万到 3300 万的英特尔 CPU。Google 已经在设计第二代 Argos VCU，支持 AV1、H.264 和 VP9 编解码器。

有芯片设计能力的大企业就是豪横，这种专用芯片往往能在特定领域取得非常好的效果。

openSUSE Leap 15.3 现在与 SUSE 企业版的二进制软件包完全相同

openSUSE Leap 是一个稳定版本，其核心是由与 SUSE 企业版（SLE）相同的源代码构建的。Leap 与 SLE 并不完全相同；它更像是一个超集，因为它从相同的 SLE 核心开始，并进一步增加了自己的软件包。

SUSE 说，openSUSE Leap 15.3 与以前的版本相比有一个巨大变化：它不仅是由 SLE 源代码构建的，而且其二进制包完全相同。该公司将 openSUSE 定位为用于运行和测试工作负载，可以迁移到 SLE 进行长期维护。它也适合在不需要 SLE 支持的情况下用于生产环境。

就像红帽最近对 CentOS 所做的那样，SUSE 的做法也是为了提高 SLE 的市场份额，但 SUSE 的努力对社区来说更容易接受。

美国将勒索软件攻击视为恐怖主义

美国司法部的一位高级官员表示，在 Colonial 石油管道网络遭黑客攻击以及网络犯罪分子造成的损害日益严重之后，司法部正在将勒索软件攻击的调查提升到与恐怖主义类似的优先地位。FBI 将政府对勒索软件的打击比作美国在 9/11 之后面临的情况。他补充说，FBI 已经确定了近一百种不同类型的勒索软件。美国司法部发出的备忘录称，“任何涉及加密货币交易所、僵尸网络、数字洗钱、非法在线论坛、‘防弹托管服务’和攻击反病毒服务的网络犯罪案件都需要通知司法部高级官员。”

勒索软件愈演愈烈，确实需要提高对勒索软件的重视。

美国最大的燃油管道运营商遭攻击之后，美国宣布进入紧急状态

燃油管道运营商 Colonial 每日输送 250 万桶燃油，占到了美国东海岸供应量的 45%。在遭遇勒索软件网络攻击后，Colonial 被迫关闭了超过 8850 公里的整个管道系统。多个消息源证实 Colonial 遭到的是 DarkSide 勒索软件的攻击，Colonial 并未透露是否已经支付赎金，而输油管线何时恢复运营也尚不可知。这是有报告的最具破坏性的勒索事件之一。受此影响，美国宣布进入国家紧急状态，将允许燃油通过公路运输。

这一惊人事故充分暴露出美国大基建体系网络安防的脆弱性，同时也是在挑衅美国白宫。就在上个月下旬，美国拜登政府才刚刚出台一项提振能源供应体系网络安全的“百日计划”。

Linux 5.10 LTS 维护期限将持续到 2026 年底

Linux 5.10 LTS 作为最新的长期支持版本在发布时只打算维护到 2022 年底，但是之前的内核如 Linux 5.4 LTS 被维护到 2024 年，甚至 Linux 4.19 LTS 和 4.14 LTS 也会进入 2024 年，这就让人觉得比较奇怪。

Linux 5.10 LTS 的生命周期很短是因为帮助测试与发布候选程序和承诺使用这个内核 LTS 系列的资源的开发者及组织的数量有限。但是现在有足够多的公司加紧帮助测试，Linux 5.10 LTS 确认可以被维护到 2026 年底。

Debian 11、安卓的下一个版本都会因此而获益。

勒索软件团伙已在暗网上泄露了 2 千多家公司的数据

现代化勒索软件行动始于 2013 年，攻击者的方式主要是对企业数据进行加密，然后要求支付赎金来获得解密。不过自 2020 年年初以来，勒索软件开始进行一种新的战术，称为双重勒索，即不但会加密企业数据来获取赎金，而且会威胁企业公开这些数据，迫使受害者支付赎金。暗网安全研究人员追踪了 34 个勒索软件团伙的数据泄露网站，发现已经有多达 2103 个组织的数据被泄露。

数据勒索行业已经成为勒索软件团伙的一个重要盈利点，受害者更担心他们的数据被泄露，而不是加密文件的丢失。

AI 赢得填字游戏冠军

上周，今年的美国填字游戏锦标赛（ACPT）落下了帷幕，共有 1300 多名人员线上参与。但是官方认定的冠军并不是得分第一名。此次参赛一位选手 Dr.Fill，以 12825 分高居榜首，高出人类冠军 65 分，但并没有得到冠军。为什么最高分反而不是冠军？因为 Dr.Fill 是一“只” AI。AI 又一次在比赛中，战胜了人类。

Dr. Fill 诞生于十年前，不过刚开始的排名并不尽如人意。多年以来，它的排名一直稳步上升，但是最高只达到第 11 名。今年它得到了伯克利 NLP 小组的协助，并运行在一台更好的服务器上，因此，Dr. Fill 只用了 49 秒就完成了谜题，而人类冠军用了三分钟。

以后的棋牌类游戏可能应该分成两个榜单：硅基榜单和碳基榜单。

勒索软件已经成为影响国家安全的全球性威胁

微软、亚马逊和 FBI 等加入了全球的勒索软件任务组（RTF），呼吁对勒索软件采取积极和紧急的行动，他们警告称，短短数年内勒索软件变成了一个严重的国家安全威胁、公共健康和安全问题。

勒索软件黑帮经常将学校和医院作为攻击目标。FBI 称，去年有接近 2400 家美国公司、地方政府、医疗机构和学校成为勒索软件的受害者。英国国家网络安全中心称去年处理的勒索软件事故数量是之前任何一年的三倍以上。安全公司 Emsisoft 估计去年全球勒索软件造成的损失在 420 亿美元到 1700 亿美元之间。

勒索病毒已经不完全是技术的问题了。应该引起全世界的警惕和打击。

微软准备更换 Office 软件的默认字体

微软上次改变 Office 的默认字体是在 2007 年，用 Calibri 取代了 Times New Roman。当时微软说它想要一种在屏幕上看起来更好的字体。而现在，在 Calibri 没有明显缺点的情况下，微软委托制作了五种新字体，准备从中选择一个作为新的默认字体。

默认字体也许最值得注意的是它们没有给人留下印象，这样人们就可以直接进入创意过程，而不是考虑这些想法的形式。不过默认字体也可以在不打搅人们的同时，传达一些个性。

还是英文字体比较简单，总共也没多少字形。