该份报告的第三部分对HCSEC的工作进行了总结，称华为提供的四种设备进行二进制验证。在这个工作中，HCSEC发现其已经暴露了更广泛的缺陷。华为需要对其软件配置工具进行更新，否则在产品交付时不具备端到端的完整性。同时华为在软件层面依旧使用已经过时的实时操作系统，虽然华为已经购买了该操作系统的长期支持服务已解决未来可能出现的漏洞，但是由于系统老旧，所以依旧会存在操作系统用户内存空间等漏洞。

HCSEC报告中指出监督委员会能提供有限的保证，能够为目前部署在英国的华为设备提供长期的安全监控。但是也指出了虽然现在华为提到需要通过转型变革来改进软件及网络设备中存在的问题，但是并没有看到实质进展。

针对现在更加复杂的网络设备及其配套的软件，该报告也指出了HCSEC组建了世界级的安全团队，也需要世界级的网络安全知识并与英国政府合作进行风险管控。

而报告中也很明确的提出了中国政府没有干预华为，华为的设备不存在人为漏洞。

现在华为轮值董事长郭平也回应了这份报告，称已经与英国监管部门进行了交流，称接受对方要求，并会严格遵守，不仅做到结果安全可信，也会做到过程安全可信。去年11月华为董事会发布《关于启动彻底变革，提升软件工程能力，打造可信的高质量产品》的决议，并宣布启动投资20亿美元开始软件工程能力变革计划。

华为网络安全评估安全委员会位于英国，成立于2010年。该委员会是华为与英国政府为缓解网络技术设施安全问题成立的。自2014年开始，每年会提供一份年度报告，今年为第五年。

NVIDIA官方日前发布了新的安全通知，警告GFE之前的版本中存在一个编号为CVE-2019-5674的漏洞，而且是个8.8评分的高危漏洞，在启用S​​hadowPlay或GameStream时，漏洞可能会让攻击者访问系统并创建硬连接，而软件此时不会检查硬连接，导致出现代码执行、拒绝服务或者特权升级等问题。

解决办法也很简单，那就是升级到GFE 3.18及之后的版本，之前的版本都存在这个漏洞。

不过NVIDIA发布安全公告之前，GFE 3.18其实就已经升级了，正常情况下大部分GFE用户应该都是新版了，不会受到漏洞影响。

去年初曝光的两个漏洞主要是Spectre幽灵、Meltown熔断，年底的时候又出现了第三个重要漏洞Foreshadow，它们又有多个漏洞变体，加在一起总共有9个漏洞，这些漏洞的影响也不同，有的修复起来比较简单，但是幽灵漏洞处理起来比较麻烦，因为它所用的侧信道攻击方式要是修复了会影响CPU性能，严重情况下甚至需要禁用HT超线程，这对处理器性能来说是严重的损失。

修复这些漏洞的方式也不同，有的是需要通过操作系统打补丁，还有的需要英特尔升级处理器的MCU微代码，最根本的手段则是物理修复，那就是在新一代处理器上修复漏洞。对于这个问题，英特尔去年8月份开始已经在Whisky Lake处理器、Cascade Lake处理器上使用物理修复的手段了，修复了熔断漏洞的一些变种。

在处理器漏洞爆发一周年之际，英特尔高级副总、产品保证及安全业务总经理Leslie S. Culbertson在官网发表文章，前面部分首先重申了英特尔对产品安全的重视，对英特尔团队对产品透明度及重中之重的安全承诺感到骄傲，同时还强调安全工作需要继续保持警惕，因为英特尔的工作还没有完成，安全威胁还会继续发展，英特尔也必须向前走。

为了解决安全问题，英特尔还开发了新的工具及业务流程，建立了英特尔产品保证及安全小组，不断更新处理器微代码，自动化微代码更新过程，吸引业界顶级人才研究安全问题以及与合作伙伴加强协调沟通等等。

微软将悬赏研究的条件分为四个层次，最低一级的层次是Tier-4，这一层的条件是最简单的，如果你在目前的Windows 10系统，或是Microsoft Edge浏览器当中找到基于预测执行原理诱发的漏洞（比如说CVE-2017-5753），并且可以展示一次通过绕过信用边界（Trust Boundary）获得敏感信息，说明你找到的确实是有效的问题，那么可以获得25000美元的奖励，算是比较基础的报酬。而Tier-3、Tier-2的条件较高，需要你在Windows、Azure平台找到特定的Mitigaion Bypass来帮助更好的抵御攻击，这两个报酬已经达到20万美元，而最高的Tier-1，需要你找到基于预测执行、目前范围下，但属于全新的、目前尚未发现的攻击类别，这个就比较厉害，可以说是大家还没有发现的新区域，而奖励就是最高的25万美元。

注意，这些漏洞可是不限平台、设备的，而只是聚焦于Windows、Microsoft Edge等产品，或是Azure平台层面，看起来这次的漏洞真的给业界不小的冲击。用着旧机不爽的你，是否准备购买一波新装备啦，想要各类硬件推荐的请找小超哥（微信9501417），也可以让小超哥拉你进去超能群与其他网友一起聊哦~

调查后发现，原来源代码早在2016年就被一位低级别苹果员工所获取，作案动机并不是发泄对苹果公司的不满，只是希望与越狱社区的研究人士分享这些代码。不过这名员工肯定是违反了操作守则，毕竟这些涉及到苹果公司的商业机密，员工已经和苹果公司签订保密协议。

最初获得这些源代码的人只有五个，他们都想“闷声发大财”，不敢向外公布这些代码，毕竟苹果公司的法律部门不是吃素，一不小心吃不了兜着走。不过，泄露的事情最终还是发生了，2017年这些源代码已经流传开来，直到被人上传至Github上才引起轩然大波。尽管越狱社区的人尝试阻止源代码的流传，但一切都是徒劳的。

庆幸的是，广为流传的源代码是不完整，只是其中一部分的版本，所以安全风险降低了不少。

据了解，泄露的源代码涉及iOS系统启动过程，应该是类似于我们PC电脑上的BIOS自检启动过程，苹果曾经在《 iOS 安全保护白皮书》中提及，Boot ROM代码存放于只读内存中，这个代码在出厂的时候就被固定在芯片上，上面包含了Apple用于安全验证的CA公钥，用于验证底层引导加载程序是否为Apple签名，一旦确认就会给予高级别信任权限，随之启动iBoot 以及iOS内核。所以说iBoot已经涉及到iOS系统的底层安全性问题。如果被别有用心的人加以利用，寻找源代码的漏洞制作恶意软件的话，影响会相当恶劣，这次事故被部分安全专家认定为苹果公司“有史以来最严重的泄露”。

苹果公司在获知这个事情后，第一时间联系了Github管理人员要求删除源代码，毕竟按照《千禧年数字版权保护法》，这些代码是归属苹果所有，受到法律保护。同时苹果再三强调，这是三年前iOS 9的部分源代码，对于现在iOS 11影响较小，而且iOS的安全性并不依赖于这些源代码保密性，升级至最新系统有利于防护各种恶意软件。临近过年了，估计很多人想买新一波装备啦，想要各类硬件推荐的请找小超哥（微信9501417），也可以让小超哥拉你进去超能群与其他网友一起聊哦~

根据报道，在原有的Windows（不只是Windows 10）当中，别有用心的黑客可能通过一串危险的代码，利用Micrisoft Windows Search染指系统内存，随后获得Windows的完全控制权。得手后黑客可以利用好该漏洞查看、安装、卸载、编辑数据或者程序，简直好像把你的电脑当成免费的游乐场，还可以注册拥有完全权限的新用户账号。

而平时我们印象更安全的企业版面临的风险更大，因为黑客在面对企业版设备的时候，手中的武器库还有一项牌王：通过SMB服务器发起攻击，这和此前的WannaCry病毒方式非常相似。目前所有仍然在支持的Windows 7、Windows 10，包括Windows Server，都有可能成为该漏洞的受害者。虽然微软在最新的累计更新中已经对其封堵，但是微软还是警告日后可能会有进一步的攻击，拥有珍贵资料的用户最好现在就开始备份资料。如果你不知道Windows系统哪个版本好，哪个稳定，小超哥（9501417）可以告诉你答案。

下方是Windows 10各分支在本周更新后最新版本号，大家可以在“运行”中输入Winver查看：

1703：15063.540；

1607：14393.1593；

1511：10586.1045；

1507：10240.17533；

“Petya”是本周才爆发的，目前还处在快速传播、野蛮生长的阶段，所以在各位起床的时候，就像生化惊悚电影里一样丝毫不知道自己正处在一系列剧变的开端。总结外媒的报导，“Petya”已经在72小时内瘫痪俄罗斯、乌克兰、西班牙、法国、英国、印度等国家作用于大型企业、发电厂、超市以及银行的超过30万台计算机。

“Petya”的需求似乎和“WannaCry”非常接近，即需要受害者用比特币支付300美元，即大概是2043元人民币，这其实不是个很大的数字，但是勒索手段已经下作很多，相较于“WannaCry”只是机械的在Windows系统框架下加密特定文件，“Petya”首先会让受害者的电脑重启，然后直接加密硬盘的MFT（Master File Table），然后像巨大的吸尘器一样扫描硬盘上所有的有价值的文件，并且还会瘫痪原有的MBR分区格式，并用自带的恶意代码替换原有的MBR，最后保证受害者的电脑无法正常启动，可谓较于之前的WannaCry要高层次的多。

被攻击的国外超市，如果口算心算不过关的话，就不用做生意了

值得注意的是，一般用户的印象是等待微软提供安全补丁升级，但是欧洲著名安全服务供应商F-Secure首席研究员Mikko Hypponen表示“Petya”的攻击机制非常复杂而先进，即使是安装过安全补丁也很难幸免遇难。而根据VirusTotal.com的记录，在61款知名的安全软件中有44款可以通过最新的病毒库识别出“Petya”

目前“Petya”依然在快速传播中，值得关注的是，此前“WannaCry”虽然非常恶劣，但是主要得手的是没有正常更新的设备，因此国内很多公共场合的设备都中招，包括城轨、地铁等等，这次面对更加可怕的“Petya”，能否幸免也有待观察。

Cellebrite公司用有一种特殊的引导加载程序，可以直接绕过手机终端的安全认证机制，即便是手机设备被锁定、没有越狱/ROOT，一样可以依靠其特有Universal Forensic Extraction Device 6.0（UFED 6.0）提取出手机中的通话记录、短信、邮件、位置、图片等等，当然了常用应用程序数据都可以直接破解恢复数据。

旧版本的UFED 5.5

Cellebrite公司提供的取证服务是仅服务于大多数国家的安全以及警察部门，为其提供犯罪调查所需要的数据提取服务，抓住破案线索或关键。Cellebrite被公众所熟悉也是因为2015年一件恐怖袭击案件，当其时警方捡到凶手一部iPhone 5C，在要求美国苹果公司协助解密手机内容遭拒后，就是依靠Cellebrite公司的程序顺利提取出关键信息。

目前Cellebrite公司的UFED 6.0可以破解的iOS设备包含：2g iPhone、iPhone 3g、iPhone 3gs、iPhone 4、iPhone 4 s、iPhone 5、iPhone 5s、iPhone 5c、iPhone 6、iPhone 6+、iPod Touch 1g、iPod Touch 2g、iPod Touch 3g/4 g、iPod Touch 5g、iPad mini、iPad 1、iPad 2、iPad3、iPad 4。当然在Android系统手机方面，连三星Galaxy S7、Galaxy S7 edge、Google Pixel也包含在内。

目前看来Cellebrite公司似乎是针对苹果设备的某一型号CPU进行集中攻关，找寻其相关内核级漏洞来达到这个提取内部应用数据，因此目前只能解锁采用该CPU的相关产品。目前采用A9 CPU的iPhone 6s以及A10的iPhone 7依然是无法被解锁提取数据。

不过有安全公司掌握该种技术看起来也并不是什么好事，因为本月早前有黑客声称Cellebrite公司一个负责数据解锁的系统泄露了大约900GB的数据，包含iPhone、Android、黑莓多款旧手机型相关解锁软件可能已经流入黑客交易市场。

这一次邮箱泄露缘于一起更早的黑客攻击——2013年的8月，被泄露的信息包括用户的新明、邮箱地址、电话号码、生日日、安全问题和答案以及被破解的邮箱密码，即使它们是被MD5加密的。雅虎已经在Business Wire发表了一篇官方声明，表示他们已经提醒有潜在被泄露风险的用户更换他们的密码，提高邮箱的安全级别。

事实上即使是9月份那场受灾人数只有如今一般的邮箱泄露事件，5亿个泄露邮箱也已经是历史上最严重的一次邮件安全事件，据说美国本次大选的民主党候选人希拉里·克林顿阵营中就因为部分幕僚或希拉里本人使用雅虎账户而泄露致命的国家安全邮件，间接导致她在大选中惨败，这次受到牵连的邮箱账户超过十亿个，已经很难确认具体的安全影响。

由于雅虎已经被Verizon收购，作为母公司的Verizon也发表了一篇声明，但是其中的表述非常模糊：“目前雅虎依然在继续目前的调查，我们也会继续评估目前的形式，并确认具体的影响”。CNET援引数据安全公司Shape Security联合创始人Sumit Argawal的说法认为雅虎接连发生的黑客盗窃事件证明这家曾经的网络巨人已经对他们的安全阵地无可奈何。雅虎在声明中表示他们相信这次造成这次邮箱泄露事件的黑客和九月份那场需要追溯的2014年的泄露事件有很深的牵连。

Opera 日前表示，自家的Opera 系统遭受黑客非法入侵，并且是通过Opera Sync 进行入侵。Opera 已成功拦截非法入侵行为，受影响用户仅涉及到使用 Opera Sync 用户，普通Opera浏览器不会受到影响。但是官方相信部份数据有可能已经被外泄，即使所有存储在服务器上面的数据都经过加密处理，但为安全起见，Opera 最终决定强制用户重置密码以策万全。

Opera Sync 主要让用户以云端方式储存已开启分页、书签 、浏览纪录及密码等，登录Opera账户后可以随意在不同设备同步云端存储数据。因此泄露的密码很可能会被黑客非法利用。根据 Opera官方提供数据， Opera Sync 虽然仅有170万用户，对于3.5 亿 Oprea 用户数目来说如同九牛一毛。因为厂商的防范措施不足，而导致后续的用户体验如此糟糕，但是为了你的个人信息安全，还是改一改吧。

USB 3.0推进组织日前在深圳宣布了USB Type-C认证方案，它为USBC接口的充电器及设备定义了基于加密的安全认证方案。主机系统可以通过本协议来确认USB设备或者USB充电器的真实性，包括产品自身、描述/功能及认证状态。确认一切正常之后才会开始连接，这样就不会有任何不适当的数据或者电力传输。

USB Type-C认证方案主要包括：

·针对USB Type-C充电器、设备、线缆及供电源的认证协议·支持USB数据总线或者USB Power Delivery通道认证·使用认证方案的设备会获得实施或者强制实施安全政策的设备控制权·依赖任何加密方式的128bit安全·目前国际上通用的、用于认证格式、数字信号、Hash及随机数生成的加密方式标准规范

总之，这次的USB Type-C认证方案主要是解决USBC接口的安全问题，新协议应用之后USB设备在面临不可靠的电力或者数据传输时就不会轻易受损了。

此外，这次认证升级只需要软件、固件升级，理论上不需要现在硬件改动，不过有些厂商的USBC设计是缩水的，并没有达到标准要求，所以这部分设备或者线材是需要升级的。

以往Android系统上的安全更新都需要等待运营商或手机厂商的推送，而在Google交付安全补丁到运营商和厂商以往需要很长的时间和流程，所以现在一般的安全补丁并不及时，为此黑莓表示他们将在Priv上采用每月更新安全补丁的方式，确保安全补丁的及时推送。目前只有LG和三星有类似的策略，但多用于Nexus和旗舰机型上，所以黑莓Priv这个“月更”安全补丁是目前最好的手机安全保护方式之一。

默认内置安全软件是Priv的另一个安全设计。Priv运行的系统为基于Android 5.0定制，表面上UI为原生风格，但内部还是加入了黑莓自家的应用。其中DTEK软件为一个实时的手机管家型安全软件，可以实时监控手机应用的访问权限、文件修改等行为，并给出安全等级建议。另外Priv也内置了密码管理器，类似iOS上的1Password软件，可以集中管理用户的密码信息。

Priv上宁可保留全键盘，也不配备指纹识别。图片来自CNET

遗憾的是，Priv并没有配备目前流行的指纹识别系统，黑莓回应表示，他们并不认为指纹是目前最安全的设计，指纹如果被攻破就会永久性失去保护作用，事实上指纹并没有大家想象中那么安全，现有的黑客水平还是很容易破解指纹。所以黑莓Priv并没有采用这种涉及生物领域的安全设计。

或许指纹识别的缺失还是可以理解，但黑莓Priv还需要面临Android上最大的问题：繁多的应用商店。与苹果的App Store一家掌控APP的发行和下载权不同，Android无法保证在留有后门的应用商店中下载到安全性不明的APP，前段时间曝出的百度全套APP就有这种严重的安全问题。黑莓Priv给出的解决办法是在系统层划分出保存了电子邮件和办公应用的分区，用户下载的第三方APP并不能访问该分区，相信在很长一段时间内，该类似沙盒的设计还是可以起到一定的安全保护作用。

至少在目前看来，黑莓Priv还是能提供优于现有手机的安全性，可能该机面临的并非是够不够安全，而是如何吸引到商业用户来使用Priv，这不仅对于黑莓，甚至对于Android阵营来说，都是一个很有意义的课题。