微软正式宣布推出 Windows 11 操作系统

这是微软六年来首次推出新的 Windows 系统，也是微软系统十年来最重要升级。Windows 11 将在今年晚些时候发布，会对所有 Windows 10 用户免费更新。Windows 11 最大的变化是它的用户界面，引入了几个大的变化，包括重新设计的开始菜单，抛弃了从 Windows 8 起引入的动态磁贴，新的主题，带有小部件的个性化推送，以及新的多任务菜单。微软还将推出一个全新的微软商店，提供 Win32、PWA、UWP 应用以及安卓应用。其中安卓应用是通过微软商店中的亚马逊 Appstore 平台在 Windows 上安装的。

这个新的 Windows 11 有很多值得注意的变化，具体请正式推送时大家自行体会吧。

谷歌扩展开源漏洞数据库以纳入更多数据

虽然开源软件存在诸多优势，但其漏洞问题也日益凸显。绝大多数开源代码库至少包含一个已知的开源漏洞，而 92% 的开源库缺陷可以通过简单的更新轻松修复。今年 2 月，谷歌推出了开源漏洞数据库（OSV），并扩展 OSV 以包括来自主要开源项目的漏洞数据库，包括 Python、Rust、Go 和 DWF。从多个开源数据库汇总数据的主要挑战之一是，它们可能遵守不同的格式。因此，谷歌研究了一个“漏洞交换模式”，以人类和自动化工具都能使用的格式来描述各开源项目的漏洞。

这对于开源软件的安全缺陷状况会有直接的改善，但是要真正形成影响，还需要更多的工作和推广。

官方 Python 存储库被发现六款加密货币挖矿恶意软件

专注于软件供应链安全管理的研究公司 Sonatype，刚刚在官方的 Python 软件存储库（PyPI）上发现了六个包含不同恶意软件的 Python 包。这些恶意代码被藏于 setup.py 中，继而导致加密货币挖矿类恶意软件被下载并安装到受害者的系统上。过去数月，这几款恶意软件包被下载量将近 5000 次。此类恶意软件主要是针对那些拥有高性能 Linux 机器的机器学习研究人员们。

这真是精准“打击”，我觉得类似 PyPI 这样的公共软件库需要有更主动的恶意代码防范手段。

Ubuntu 21.04 发布，进一步和微软密切关系

这个新版本代号是“多毛河马”，Wayland 取代 X.org 成为默认显示服务器桌面。不过 X.Org 会话仍然保留，在需要时可以切换。Ubuntu 21.04 使用的是 GNOME 3.38 桌面，没有换到最新的 GNOME 40 上，但是官方带来了一个新的暗色主题。Ubuntu 21.04 使用的是 Linux 5.11 内核。Ubuntu 21.04 可在此下载，需要说明的是，这个版本不是长期支持版。

另外，Canonical 和微软已经宣布对 Ubuntu 上的微软 SQL 服务器进行性能优化和联合支持。Canonical CEO Mark 说，“在 Ubuntu 上提供原生的活动目录集成和认证的微软 SQL 服务器对我们的企业客户来说是重中之重。”我认为，这些出现在一个非 LTS 版本中，更多还属于一种试水的感觉吧，或许到下一个 LTS 版本才会有企业正式使用。

Sophos 称第一季度的恶意软件流量中有一半是 TLS 加密的

英国信息安全公司 Sophos 估计，仅在 2021 年的前三个月，它观察到的恶意软件流量中就有仅一半是使用 TLS 来加密其 C&C 流量以及数据渗出的。而 2020 这一数字是 23%。TLS 是支撑 HTTPS 网络连接等的加密协议，它隐藏了网络流量的内容，使其免受外部检查。恶意者对 TLS 的滥用意味着防御者的生活变得更加艰难。

Sophos 说，“恶意软件使用 TLS 的总体增长，很大一部分与越来越多地使用受 TLS 保护的合法网络和云服务，如 Discord、Pastebin、GitHub 和谷歌的云服务作为恶意软件组件的存储库有关。”

这就是道高一尺魔高一丈，TLS 保护了隐私和安全的同时，也保护了恶意软件流量。

ARK 称比特币挖矿可能对地球有好处

比特币挖矿通常被抨击为大量消耗能源，但女股神 Wood 麾下的 ARK 投资管理机构称，“加密货币挖矿可以推动对太阳能的投资，拥有比特币的世界，在处于均衡状态时，会从可再生的无碳能源中产生更多的电力。”鉴于 ARK 在加密货币领域的大量投资，其在推广加密货币的绿色节能方面具有明显的利益动机，上述观点未被其他研究人员广泛接受。花旗集团最近就表示，比特币挖矿的功耗自 2015 年以来已跃升 66 倍；BCA 研究公司则表示，对环境的担忧可能会随着时间的推移侵蚀比特币的价值。

环保只是用来攻击比特币的一个方面，重点其实还是比特币这些加密货币对世界是否有意义。我觉得，这需要时间来证明。

阿里云成立十一年来首次盈利

据报道，2 月 2 日晚间，阿里巴巴发布了 2021 财年第三季度（也就是自然年 2020 年第四季度）财报，云计算业务收入同比增长 50% 至人民币 161.15 亿元，调整后息税折旧摊销前利润为 2400 万元人民币。这是阿里云首次实现了盈利。而 2019 年同期亏损 3.56 亿元人民币。

作为国内最早投入的云服务商，阿里云曾连续多年在阿里内部拿到低绩效。但在阿里的大力支持下，阿里云成为国内乃至亚洲市场份额第一的云服务商。终于在 11 年之后，守得云开日出，实现了盈亏平衡！阿里云加油！

互联网安全研究小组准备用 Rust 重写 Apache 的 SSL/TLS 模块

作为 Let's Encrypt 加密倡议的发起者之一，互联网安全研究小组（ISRG）刚刚宣布，他们将使用 Rustles 库取代 OpenSSL，为 httpd 重写一个新的 TLS 模块（mod-tls），并希望在将来可以取代 Apache httpd 默认使用的 mod\_ssl。

经历了十年的发展，Rust 编程语言已经变得相当成熟，默认情况下仅允许编译内存安全型的应用程序。这一宣布得到了 Apache httpd 联合创始人的支持：“我意识到这项重大改进可对许多人提供保护，并且能够让 httpd 在不久的将来继续发光发热。”

在关键性的基础设施方面，Rust 已经展现出了取代 C 语言的潜力。有志于从事基础软件开发的同学，可以考虑尽快学习和使用 Rust 进行开发了。

Linux 恶意软件 Kobalos 可利用 OpenSSH 软件后门窃取证书

ESET警告称，一款被挂有木马的 OpenSSH 软件，被用于从 HPC 高性能计算集群中窃取 SSH 证书。它渗透了一些主要目标，包括美国政府、欧洲大学、以及亚洲某些大型 ISP 的系统，受害者主要集中在大型系统和超级计算机领域。除了 Linux、FreeBSD 和 Solaris，安全专家还发现了能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。

无论是否是因为这个恶意软件，都建议为 SSH 服务器连接同时启用双因素身份验证。

恶意软件开发人员通过将恶意代码嵌入到硬件固件中让其更加狡猾，但北卡罗来纳州立大学和德克萨斯大学奥斯汀分校的研究人员已经开发出一种可靠的识别此类入侵的方法。通过测量系统及其中每个组件的功耗，可以确定存在恶意软件的类型。研究由洛克希德马丁公司和国家科学基金会赞助。

微架构攻击的本质使它们很难被发现，但研究人员找到了一种方法来检测它们。台式电脑不是这种创新的主要应用。物联网设备和工业嵌入式系统是重要的用例，这多这种设备没有操作系统，并且仅执行存储在非易失性存储器的一小部分机器代码。在部署到现实世界的大多数嵌入式系统中，防病毒软件甚至都不实用。

监控电源使用本身并不是一个新概念，但是能够与各种系统一起工作的即插即用解决方案的想法很有趣。唯一需要注意的是，写得非常仔细的恶意软件可以尝试表现出正常的功耗。在这些情况下，有时研究人员的工具无法检测到恶意软件的存在。然而，恶意软件窃取数据的速度会减慢 86% 至 97%，这对善于掩盖其踪迹的黑客来说是一个重大损失。

来源：cnBeta.COM

更多资讯

人民日报海外版：对 App 乱象“零容忍”

不同意授权某 App（移动互联网应用程序），许多功能就无法使用；在某 App 留下个人信息后很快收到骚扰电话；打开一款社交软件却看到大量涉黄信息……部分 App 乱象令许多用户苦不堪言。日前，国家网信办等相关部门果断出手，对 App 乱象“零容忍”，为网民营造风清气正的网络空间。

来源： 人民日报海外版

详情： http://t.cn/EaFhRjx

泄露 5 千万用户数据？京东回应：请勿造谣传谣

昨今日京东官方微博@京东发言人针对外界谣传“京东泄露的 5 千万用户数据”一事，回应称：这些数据不是京东账号数据，请勿造谣传谣。京东称，经过示例数据查验，确认这些数据不是京东账号数据，另外还提醒：买卖公民个人隐私数据涉嫌触犯刑法。

来源： 凤凰网科技

详情： http://t.cn/EaFhE3e

美军警告日本：F35 或遭黑客攻击，飞行员驾机会昏迷

日本首架坠毁的 F-35A 隐身战斗机和机上飞行员至今仍未找到，但由美国方面主导的事故调查却取得重大进展。日本经济新闻社 4 月 25 日披露，美国军方向日本防卫省发出紧急警告，称 F-35 战机可能受到了黑客攻击。目前美方已将战机坠毁的原因归结为“突发性系统故障”，其中机载氧气生成系统出问题的可能性最大。也就是说，至今仍失联的 41 岁空自少校飞行员在驾机时可能因缺氧而昏迷，F-35A 战机在失去人工控制后坠毁。

来源：新浪军事

详情： http://t.cn/EaFhmyX

马国 VEP 网站漏洞 新加坡驾车人士资料或遭泄露

马来西亚陆路交通局的外国车辆入境准证（VEP）网站存在安全漏洞，包括新加坡驾车人士在内的数以千计的外籍驾车人士的个人资料，可能遭泄露。

来源： 联合早报

详情： http://t.cn/EaFhucK

（信息来源于网络，安华金和搜集整理）

7 月 7 日，有一个 AUR 软件包被改入了一些恶意代码，提醒 Arch Linux 用户（以及一般的 Linux 用户）在安装之前应该尽可能检查所有由用户生成的软件包。

AUR（即 Arch（Linux）用户仓库）包含包描述，也称为 PKGBUILD，它使得从源代码编译包变得更容易。虽然这些包非常有用，但它们永远不应被视为安全的，并且用户应尽可能在使用之前检查其内容。毕竟，AUR 在网页中以粗体显示 “AUR 包是用户制作的内容。任何使用该提供的文件的风险由你自行承担。”

这次发现包含恶意代码的 AUR 包证明了这一点。acroread 于 7 月 7 日（看起来它以前是“孤儿”，意思是它没有维护者）被一位名为 “xeactor” 的用户修改，它包含了一行从 pastebin 使用 curl 下载脚本的命令。然后，该脚本下载了另一个脚本并安装了一个 systemd 单元以定期运行该脚本。

看来有另外两个 AUR 包以同样的方式被修改。所有违规软件包都已删除，并暂停了用于上传它们的用户帐户（它们注册在更新软件包的同一天）。

这些恶意代码没有做任何真正有害的事情 —— 它只是试图上传一些系统信息，比如机器 ID、uname -a 的输出（包括内核版本、架构等）、CPU 信息、pacman 信息，以及 systemctl list-units（列出 systemd 单元信息）的输出到 pastebin.com。我说“试图”是因为第二个脚本中存在错误而没有实际上传系统信息（上传函数为 “upload”，但脚本试图使用其他名称 “uploader” 调用它）。

此外，将这些恶意脚本添加到 AUR 的人将脚本中的个人 Pastebin API 密钥以明文形式留下，再次证明他们真的不明白他们在做什么。（LCTT 译注：意即这是一个菜鸟“黑客”，还不懂得如何有经验地隐藏自己。）

尝试将此信息上传到 Pastebin 的目的尚不清楚，特别是原本可以上传更加敏感信息的情况下，如 GPG / SSH 密钥。

更新： Reddit用户 u/xanaxdroid\_ 提及同一个名为 “xeactor” 的用户也发布了一些加密货币挖矿软件包，因此他推测 “xeactor” 可能正计划添加一些隐藏的加密货币挖矿软件到 AUR（两个月前的一些 Ubuntu Snap 软件包也是如此）。这就是 “xeactor” 可能试图获取各种系统信息的原因。此 AUR 用户上传的所有包都已删除，因此我无法检查。

另一个更新：你究竟应该在那些用户生成的软件包检查什么（如 AUR 中发现的）？情况各有不同，我无法准确地告诉你，但你可以从寻找任何尝试使用 curl、wget和其他类似工具下载内容的东西开始，看看他们究竟想要下载什么。还要检查从中下载软件包源的服务器，并确保它是官方来源。不幸的是，这不是一个确切的“科学做法”。例如，对于 Launchpad PPA，事情变得更加复杂，因为你必须懂得 Debian 如何打包，并且这些源代码是可以直接更改的，因为它托管在 PPA 中并由用户上传的。使用 Snap 软件包会变得更加复杂，因为在安装之前你无法检查这些软件包（据我所知）。在后面这些情况下，作为通用解决方案，我觉得你应该只安装你信任的用户/打包器生成的软件包。

via: https://www.linuxuprising.com/2018/07/malware-found-on-arch-user-repository.html

作者：Logix 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

针对 Linux 系统的恶意软件正在增长，这主要是由于连接到物联网设备的激增。

这是网络安全设备制造商 WatchGuard Technologies 上周发布的的一篇报告中所披露的。该报告分析了全球 26,000 多件设备收集到的数据，今年第一季度的前 10 名恶意软件中发现了三个针对 Linux 的恶意软件，而上一季度仅有一个。

WatchGuard 的 CTO Corey Nachreiner 和安全威胁分析师 Marc Laliberte 写道：“Linux 上的攻击和恶意软件正在兴起。我们相信这是因为 IoT 设备的系统性弱点与其快速增长相结合的结果，它正在引导僵尸网络的作者们转向 Linux 平台。”

他们建议“阻止入站的 Telnet 和 SSH，以及使用复杂的管理密码，可以防止绝大多数潜在的攻击”。

黑客的新大道

Laliberte 观察到，Linux 恶意软件在去年年底随着 Mirai 僵尸网络开始增长。Mirai 在九月份曾经用来攻击部分互联网的基础设施，迫使数百万用户断线。

他告诉 LinuxInsider，“现在，随着物联网设备的飞速发展，一条全新的大道正在向攻击者们开放。我们相信，随着互联网上新目标的出现，Linux 恶意软件会逐渐增多。”Laliberte 继续说，物联网设备制造商并没有对安全性表现出很大的关注。他们的目标是使他们的设备能够使用、便宜，能够快速制造。

他说：“开发过程中他们真的不关心安全。”

轻易捕获

Alert Logic 的网络安全布道师 Paul Fletcher 说，大多数物联网制造商都使用 Linux 的裁剪版本，因为操作系统需要最少的系统资源来运行。

他告诉 LinuxInsider，“当你将大量与互联网连接的物联网设备结合在一起时，这相当于在线大量的 Linux 系统，它们可用于攻击。”

为了使设备易于使用，制造商使用的协议对黑客来说也是用户友好的。Fletcher 说：“攻击者可以访问这些易受攻击的接口，然后上传并执行他们选择的恶意代码。”

他指出，厂商经常给他们的设备很差的默认设置。Fletcher 说：“通常，管理员帐户是空密码或易于猜测的默认密码，例如 ‘password123’。”

SANS 研究所 首席研究员 Johannes B. Ullrich 表示，安全问题通常“本身不是 Linux 特有的”。他告诉 LinuxInsider，“制造商对他们如何配置这些设备不屑一顾，所以他们使这些设备的利用变得非常轻易。”

10 大恶意软件

这些 Linux 恶意软件在 WatchGuard 的第一季度的统计数据中占据了前 10 名的位置：

• Linux/Exploit，它使用几种木马来扫描可以加入僵尸网络的设备。
• Linux/Downloader，它使用恶意的 Linux shell 脚本。Linux 可以运行在许多不同的架构上，如 ARM、MIPS 和传统的 x86 芯片组。报告解释说，一个为某个架构编译的可执行文件不能在不同架构的设备上运行。因此，一些 Linux 攻击利用 dropper shell 脚本下载并安装适合它们所要感染的体系架构的恶意组件。
• Linux/Flooder，它使用了 Linux 分布式拒绝服务工具，如 Tsunami，用于执行 DDoS 放大攻击，以及 Linux 僵尸网络（如 Mirai）使用的 DDoS 工具。报告指出：“正如 Mirai 僵尸网络向我们展示的，基于 Linux 的物联网设备是僵尸网络军队的主要目标。

Web 服务器战场

WatchGuard 报告指出，敌人攻击网络的方式发生了变化。

公司发现，到 2016 年底，73％ 的 Web 攻击针对客户端 - 浏览器和配套软件。今年头三个月发生了彻底改变，82％ 的 Web 攻击集中在 Web 服务器或基于 Web 的服务上。报告合著者 Nachreiner 和 Laliberte 写道：“我们不认为下载式的攻击将会消失，但似乎攻击者已经集中力量和工具来试图利用 Web 服务器攻击。”

他们也发现，自 2006 年底以来，杀毒软件的有效性有所下降。Nachreiner 和 Laliberte 报道说：“连续的第二个季度，我们看到使用传统的杀毒软件解决方案漏掉了使用我们更先进的解决方案可以捕获的大量恶意软件，实际上已经从 30％ 上升到了 38％ 漏掉了。”

他说：“如今网络犯罪分子使用许多精妙的技巧来重新包装恶意软件，从而避免了基于签名的检测。这就是为什么使用基本的杀毒软件的许多网络成为诸如赎金软件之类威胁的受害者。”

作者简介:

John P. Mello Jr.自 2003 年以来一直是 ECT 新闻网记者。他的重点领域包括网络安全、IT问题、隐私权、电子商务、社交媒体、人工智能、大数据和消费电子。 他撰写和编辑了众多出版物，包括“波士顿商业杂志”、“波士顿凤凰”、“Megapixel.Net” 和 “政府安全新闻”。

via: http://www.linuxinsider.com/story/84652.html

作者：John P. Mello Jr 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出