HardenedVault 写道 "2021年11月30日到12月1日，又到了一年一度的开放固件大会，至今已经是第4届，由于疫情的缘故，开放固件大会2020和2021都是线上举行的，今年有来自全球的300名固件领域的从业人员参与，赛博堡垒（HardenedVault）是今年的赞助商之一，赛博堡垒与多个厂商交流了2022财年的服务器和边缘设备的高级防护方案，而HardenedLinux依旧在自由与开放固件生态项目中。今年的议题非常丰富，u-bmc，LinuxBoot以及ARM和Intel的下一代固件战略布局。另外，自从SolarWinds事件后，供应链安全成为了业界关注的重点，固件和硬件领域的供应链问题带来的危害远比大部分人认知的要严重，冗长的链条和碎片化带来的复杂性让防护的一方难以应对尝试把恶意检测规则和LVFS（Linux Vendor Firmware Service）融合能阻挡部分威胁，这算是一个猫鼠游戏的有趣尝试。最后就是这年头到哪里都会有人讨论Rust实现和各种重写的替代方案，这有点像2014到2019那段时间里如果新方案里没个go的实现都不太好意思讲是cutting-edged，今年有一个议题是讲oreboot（Rust重写coreboot）："

研究人员在预印本网站 arXiv 发表报告《暗网上的新冠疫苗接种证明》，指出部分暗网市场继续出售可在多国使用的疫苗接种证明。报告尚未经过同行评审。四名研究人员都是丹麦哥本哈根奥尔堡大学网络安全小组成员，他们审查了 17 个市场和 10 个供应商商店的疫苗接种证明。研究人员发现，至少有一家供应商在销售注册地为意大利的数字接种证明，该证明被法国和丹麦开发的移动新冠疫苗证明检查应用程序视为有效。

奥尔堡大学研究人员指出，许多暗网市场禁止销售任何与新冠肺炎相关的物品。但一部分暗网市场允许出售实体和数字疫苗证明，在某些情况下还允许出售“黄色疫苗接种卡”或其他可作为疫苗接种证明的疫苗接种记录卡——尽管只在卡片发行国有效。研究人员写道：“这些商品主要集中在欧洲国家和美国，但也有其他大陆和国家，如巴西、加拿大、墨西哥和澳大利亚，”以及俄罗斯。他们写道：“不同的商品定价差异很大，最便宜的证明起价为 39 美元，最高价达到近 2,800 美元，后者包括一份在英国注册的实体证明和一份数字证明。” 大多数市场都接受比特币和门罗币作为支付方式，少数市场接受以太坊、艾达币、莱特币和 zcash 等数字货币。研究人员指出，购买伪造的数字证明给卖家提供了大量机会欺骗买家。

如果伪造的新冠疫苗接种证明确实可被认定为有效证明，那么仍然存在一个悬而未决的问题：是如何做到的？研究人员表示，许多网站声称可访问用于颁发证明的系统，他们要么通过远程入侵的方式，要么通过在医疗保健或其他卫生组织工作的内部人员。他们表示：“就俄罗斯市场 Hydra 上的一个商品而言，商品描述甚至提到了访问该系统的确切位置和医院。”另一种可能性是犯罪分子以某种方式窃取了该欧洲系统的一个或多个私钥，这些私钥是发给参与的卫生组织的。研究人员表示，这将很难撤销这些密钥，因为这会使大量合法证明失效。

至少从 2017 年起，一位神秘威胁源起方运营上千恶意 Tor 网络入口、中继和出口节点，此举被认为旨在对 Tor 网络用户进行去匿名化攻击。这位神秘攻击者被命名为 KAX17，Tor 网络通常有 9000 到 10000 个服务器，而 KAX17 在高峰期间运行了 900 多个恶意服务器。安全研究员、Tor 中继节点维护者 Nusenu 认为，在某个时刻，Tor 用户有 16% 的几率通过 KAX17 的入口节点进入 Tor 网络，有 35% 的几率通过其中继节点，有最高 5% 的几率通过其出口节点离开匿名网络。所有迹象显示 KAX17 的背后是一个国家级的资源丰富的威胁源起方。进入 Tor 网络的服务器通常需要提供联络信息，以便在必要时联络服务器的管理员，比如配置错误或遭到滥用。但由于缺乏足够的节点实现匿名化，一些没有联络信息的服务器也会经常添加到 Tor 网络。Nusenu 是在 2019 年注意到没有提供联络信息的 KAX17，发现其活动至少能被跟踪到 2017 年。Nusenu 和 Tor 项目都不愿猜测幕后者的身份。

 IoT Inspector 的安全研究人员和 CHIP 杂志合作测试了华硕、AVM、D-Link、Netgear、Edimax、TP-Link、Synology 和 Linksys 制造的九种 WiFi 路由器，这些路由器被数百万用户使用，供应商提供了最新的型号，升级到了最新的固件版本，但测试仍然发现了 226 个潜在漏洞。不是所有的缺陷都是安全漏洞，部分缺陷难以利用，但有许多漏洞可归类为中高危级。研究人员发现的路由器问题包括：使用过时的 Linux 内核版本，过时的多媒体和 VPN 功能，过度依赖于旧版本的 BusyBox，使用如 admin 之类的默认弱密码， 在纯文本格式中保存硬编码凭证，等等。

加拿大警方披露，偷车贼使用苹果 AirTag 设备去追踪想要盗走的高档汽车。AirTag 是苹果今年初发布的蓝牙追踪设备，将附近的苹果设备如 iPhone、iPad 和 Mac 用作定位设备，去定位 AirTag 追踪的设备。加拿大 York 地区警方过去三个月调查了五起使用 AirTag 的盗车案件，小偷将停在公共场所的汽车上放置 AirTag，然后称没人时将其盗走。此类的蓝牙追踪设备早已存在，但苹果设备的广泛使用意味着 AirTag 比其它蓝牙追踪设备如 Tile 能更快更准确的定位。苹果已为 AirTag 加入了反追踪功能，如果设备运行的版本在 iOS 14.5 及以上，它会警告你被陌生的设备跟踪。

网民通过社交媒体报告他们公司的联网打印机打印了反抗不公平薪水和呼吁组建工会的宣言。一份宣言称，“你的薪水是否过低？”“你有受法律保护的权利与你的同事讨论你的薪水...糟糕的薪水之所以存在是因为人们'愿意'为之工作。”安全研究人员观察到有黑客在大规模扫描开放 TCP 9100 端口的打印机设备，然后打印预先写好的文件，内容涉及到与 Reddit 子频道 /r/antiwork 相关的反资本主义内容。安全公司 GreyNoise 的创始人 Andrew Morris 称这一事件背后的一个或多个人通过 25 个服务器大规模传播这些印刷品。他表示无法确认受影响的打印机数量，搜索引擎 Shodan 的数据显示有数以千计的打印机暴露在互联网上。

路透援引知情人士的消息报道，至少九名美国务院雇员的 iPhone 手机被未知攻击者使用以色列公司 NSO Group 的间谍软件入侵。攻击是在过去几个月内发生的，攻击对象是美国在乌干达或与该国事务相关的官员。NSO Group 发表声明表示没有迹象显示其工具被使用，但取消了相关客户的访问权限，并对此展开调查，表示如果调查确认客户使用了其工具他们将被永久禁止访问，它还会采取法律行动。乌干达驻华盛顿大使馆以及美国国务院都拒绝置评。

Google Project Zero 安全研究人员 Tavis Ormandy 在广泛使用的 Mozilla Network Security Services (NSS)签名验证库发现了一个本应该早就发现的高危漏洞：一个简单的边界检查问题会导致内存破坏（memory corruption）。NSS 至少从 2014 年开始就支持模糊测试，但 NSS 库是一个模块化库，每个不同组件是独立测试的，在测试时对输入的字符长度设置了一个任意的 10000 字节限制，而 NSS 库却对此没有限制，但它验证的签名长度超过 16384 比特时会导致内存覆写。这个问题本应该很容易发现，Google 研究人员将其命名为“BigSig”，Mozilla 称编号为 CVE-2021-43527 的漏洞不影响 Firefox，但其它使用 NSS 库的软件如 Thunderbird、LibreOffice、Evolution 和 Evince 会受到影响。Google Chrome 在 2015 年前使用过 NSS 库，之后用自己的 BoringSSL 替换了 NSS。

黑客利用区块链创业公司 MonoX Finance 智能合约的漏洞窃取了价值 3100 万美元的加密货币。该公司使用名为 MonoX 的去中心化金融协议让用户在没有传统交易所要求的情况下交易数字货币代币。其原理是将存入的代币与 vCASH 组合成一个虚拟对，设计提供单一的代币池。在此次攻击中，黑客利用相同的代币作为 tokenIn 和 tokenOut——也就是用一种代币交易另一种代币，每次交易之后 MonoX 会通过计算更新价格，用户发送的代币 tokenIn 的价格会下降，而收到的代币价格会增加。tokenIn 和 tokenOut 使用相同的代币进行交易本来是不允许的，但 MonoX 的软件漏洞允许交易发生，让黑客能人为抬高 MONO 代币的价格，然后在以太坊和 Polygon 区块链上兑换了价值 3100 万美元的加密货币。

移动安全公司 ThreatFabric 的研究人员披露了隐藏在 Google Play 官方应用商店四个月总下载量 30 万次的恶意程序，这些应用伪装成合法应用如二维码扫描程序、PDF 扫描器和加密钱包，然后通过后续下载更新变成银行木马，窃取用户的登陆凭证和二步验证码，能记录按键和屏幕截图。研究人员称，攻击者采用了新的策略以尽量不被发现。攻击者首先让应用看起来合法并且有用，然后在安装之后提示用户更新，但用户更新的未必是恶意程序，攻击者有选择性的只对感兴趣的地区推送恶意更新，更新之后程序仍然能正常工作，因此这些应用的留言多数是好评，评价也不错。研究人员认为攻击者缩小攻击面是 Google Play 对权限进行限制的直接后果。

我们处于这样一种情况：政治家和供应商自己都不知道或者不关心他们在谈论的设备所有权、信任模型、更新、法律冲突和最重要的安全问题的时候说的到底是什么。大型科技公司悄然进入我们的公共教育和卫生系统，关于他们的地位却没有任何适当的讨论。留给受过良好教育的个人选择退出、拒绝他们的系统并坚持安全、可互操作的选择。欧洲互操作性框架（EIF是欧盟委员会2017年3月Communication COM134的一部分）等建议承认技术将成为会造成社会分裂的平等问题。未来的技术贫困不会分为“有的和没有的”，而是“愿意和不愿意的”，有人会用隐私和自由换取访问权限，有人会为了数字尊严而避开便利。

随着“基础设施”（真正的垂直上层建筑）一词巧妙地取代了ICT（一种水平服务），技术垄断者与控制政府、教育和卫生的开放标准的拥护者们之间的战斗已变得激烈。公共代码的想法（参见 David A Wheeler 和 Richard Stallman 的评论）作为可互操作的技术社会的基础，受到了科技巨头的猛烈抨击。德国曾全力以赴对抗微软，在 2015 年用 20,000 台 Linux PC 替换了 Windows 系统，结果在微软的游说下后退，在 2017 年用 Windows 10 替换了 30,000 台台式机。现在德国人似乎准备再次前进，这一次是要求所有公共服务强制支持 LibreOffice。

伊朗人买不到汽油。以色列人在网上发现了他们的约会细节。伊朗和以色列的影子战争正在打击普通公民。伊朗和以色列的数百万普通民众最近发现自己卷入了两国网络战的交火中。在德黑兰，一名牙科医生花了几个小时驾车寻找汽油，在四个加油站排长队等待，结果却一无所获。在特拉维夫，一位著名电台主持人惊慌失措，因为他的性生活私密细节和从 L.G.B.T.Q. 交友网站上偷来的数万人的私密信息被上传到社交媒体。多年来，以色列和伊朗通过陆、海、空和计算机进行秘密战争，但目标通常与军事或政府有关。现在网络战扩大到大规模针对平民。最近几周，一次对伊朗全国燃料分配系统的网络攻击使 4,300 个加油站瘫痪，12 天后才完全恢复服务。

两名美国国防官员在保持匿名的条件下讨论了机密情报评估，将这次袭击归咎于以色列。几天之后，以色列的一家主要医疗机构和一个受欢迎的 L.G.B.T.Q 约会网站遭到网络攻击，以色列官员将攻击归咎于伊朗。美国当局警告称伊朗试图入侵美国医院和其他重要基础设施的计算机网络，事态升级。随着在外交上恢复伊朗核协议的希望逐渐黯淡，此类袭击的数量只会激增。数月以来，黑客行为渗透到民用领域。伊朗的国家铁路在 7 月遭到袭击，但这次相对简单的黑客攻击可能不是以色列人所为。伊朗被指控去年对以色列的供水系统进行了一次失败的攻击。最近的袭击被认为是首次对大量平民造成广泛伤害。非国防计算机网络通常不如与国家安全资产相关的网络安全。

Google 发布了 Threat Horizons 报告，对攻击者入侵 Google Cloud 账号安装挖矿程序发出警告。Google 称，最近入侵的 50 个 Google Cloud 实例中 86% 被用于挖矿，10% 被用于扫描去识别存在漏洞的系统，8% 被用于攻击其它目标。窃取数据反而不是主要目标。Google 还对其它黑客活动发出警告：俄罗斯政府支持的黑客组织 APT28 对 Gmail 账号发动大规模钓鱼攻击，朝鲜支持的黑客冒充招募人员向安全研究人员发去钓鱼邮件，勒索软件组织 Black Matter 日益活跃，等等。

联网设备使用默认密码通常会成为严重的安全隐患。英国政府出台新法案禁止这种行为，以保护家中的智能联网设备不会被黑客入侵，不遵守新规定的企业将会面临巨额罚款。英国消费者保护组织 Which? 最近的研究发现，有大量智能设备的家庭一周内会受到 1.2 万次以上攻击。黑客如果能成功入侵一个存在漏洞或使用默认密码的设备，他们将可以进一步渗透和控制整个家庭网络。被称为《The Product Security and Telecommunications Infrastructure Bill》的法案禁止使用容易猜测的默认密码，所有产品需要有唯一密码，不能重设为出厂默认密码；通知客户产品获得安全更新的最短时长；为安全研究人员提供漏洞报告的联络信息。违反者将面临最高 1000 万英镑或全球营业额 4% 的罚款，对持续违规每天罚款最高 2 万英镑。

根据微软蜜罐服务器网络收集的数据，大多数暴力破解攻击者主要尝试猜测短密码，很少攻击针对长的或包含复杂字符的凭证。微软安全研究员 Ross Bevington 表示：“我分析了超过一百万次针对 SSH 的暴力攻击输入的凭据。这是微软传感器网络中约 30 天的数据。”作为微软的欺诈主管，Bevington 的任务是创建看起来合理的蜜罐系统以研究攻击者趋势，他表示：“77% 使用的是长度在 1 至 7 个字符之间的密码。长度超过 10 个字符的密码只占 6%。”

HardenedVault 写道 "自2010年代以来，物理攻击成为了一个古老而重要的话题，如果关键信任基（在本例中为TPM）遭到破坏，则可能会危及关键基础架构的安全，2011年以及2012年发布的<LPC总线劫持者指南>和<TPM通信接口的劫持者指南>揭示了TPM（直到现在高度依赖LPC总线）的攻击面。2018年3月，NCC Group展示了使用价格低于180美元廉价硬件设备方案发起名为TPM Genie的攻击，TPM Genie可以作为interposer来发起中间人攻击，以伪造EK或简单地嗅探主机和TPM之间的流量，而在2019年，安全研究人员利用49美金的硬件则完成了针对TPM嗅探的并且提取bitlocker的密钥，所有的公开演示都是PoC级别的，这里值得注意的是真实世界的漏洞利用可以在更短的时间内完成针对TPM中间人劫持或者嗅探的攻击，目前大部分运行TPM v1.2/v2.0的实现都受到影响，幸运的是，VaultBoot对于此种攻击类型免疫，即使是VaultBoot的开源版本的防御弹性也远强于其他商业以及开源方案。"

4 月，一辆特斯拉 Model S 在得克萨斯州伍德兰发生车祸，司机超速行驶，未能拐过弯道控制在汽车。美国国家运输安全委员会的调查报告显示，汽车随即撞上排水涵洞和凸起的维修孔，然后被一棵树挡住停了下来。就在那时，这辆特斯拉迅速燃烧起来。

消防员花了四个小时才扑灭了火焰，部分原因是该车的电池不断复燃。当大火最终被扑灭时，大约倾倒了 30,000 加仑的水——这通常是该部门一个月使用的水量。

电动汽车火灾并不常见，但它们与化石燃料汽车火灾有很大不同，消防员需要新的方法。欧洲的一家公司开发了一种类似集装箱的盒子，可以将熊熊燃烧的电动汽车罩在里面，然后从四面八方喷水。但它需要一辆专用卡车，这对消防部门来说是一笔昂贵的额外开支。

不过，明年消防员将有另一种选择——可以推到燃烧的车辆下方的高压喷嘴，将水直接喷到电池中。制造救火车和其他设备的奥地利公司 Rosenbauer 表示，该公司成功地在各种电池设计上测试了设备，包括袋状、棱柱形和圆柱形电池。

Rowhammer 漏洞利用允许非特权攻击者修改或破坏存储在易受攻击内存芯片中的数据，制造商后来为内存芯片加入抵御此类攻击的保护措施，但最新方法瓦解了保护，事实上所有 DDR4 模块都易受 Rowhammer 攻击。

Rowhammer 攻击工作原理是每秒数百万次访问或锤击易受攻击的芯片内的物理行，导致相邻行中的比特翻转，意味着 1 变为 0，反之亦然。研究人员证明，这些攻击可被用于为不受信任的应用程序提供几乎不受限制的系统权限，绕过防止恶意代码访问敏感操作系统资源的安全沙箱，Root 或者感染 Android 设备等。

之前所有的 Rowhammer 攻击都以相同的模式敲击行，例如单面、双面或n面。在所有三种情况下，这些“攻击者”行——导致附近“受害”行比特翻转的那些行——被访问的次数相同。 周一发表的研究提出一种新 Rowhammer 技术。它使用非均匀模式以不同的频率访问两个或多个攻击者行。结果测试池中所有 40 个随机挑选的 DIMM 都出现比特翻转，成功率高于之前的测试，之前在 42 块芯片中只有 13 块出现比特翻转。研究作者 Kaveh Razavi 和 Patrick Jattke 在一封电邮中写道：“我们发现，通过创建特殊的内存访问模式，可绕过部署在 DRAM 中所有的防御措施。根据分析，这将可能被已知攻击入侵的设备比例增加到 80%。由于硬件特性，这些问题无法修复，将在未来很多年中继续存在。”

非均匀模式对目标行刷新也有效。这种缩写为 TRR 的防御措施因供应商而异，但是通常会跟踪行被访问的次数，在出现滥用迹象时为相邻的受害行补电。防御的失效给芯片制造商带来了进一步的压力，推动他们想方设法抵御此类攻击——很多人原本认为较新类型的存储芯片可以抵御它了。

英特尔披露了两个高危漏洞影响多代英特尔处理器家族，漏洞允许攻击者和恶意程序获得更高的权限。漏洞由 SentinelOne 发现，编号为 CVE-2021-0157 和 CVE-2021-0158，CVSS v3 评分都是 8.3/10，前者与 BIOS 固件控制流管理有关，后者则与 BIOS 固件不正确输入验证有关。漏洞可被用于提权，但攻击者需要首先能物理访问机器。受影响的型号包括了 7 代、10 代和 11 代酷睿处理器，至强E、E3 v6 和 W 系列等。英特尔没有披露更多细节，它建议用户如果有可用 BIOS 更新就打上补丁。考虑到 7 代酷睿已有 5 年历史，主板供应商不太可能还会释出 BIOS 更新。

黑客周六入侵了 FBI 的一个电子邮件系统，发送了数万条假信息，警告可能发生网络攻击。FBI 在一份声明中说，假电邮似乎发送自一个以 @ic.fbi.gov 结尾的合法 FBI 邮箱地址。FBI 称，尽管受该事件影响的硬件“在问题被发现后迅速下线，但这是一个持续的情况”。威胁追踪组织 Spamhaus Project 在其推特账户上说，黑客发送了数万封电子邮件，警告可能发生网络攻击。Spamhaus 在推特上发布的其中一封电邮副本显示，邮件标题为“紧急：系统中的威胁行为者”，落款似乎是国土安全部。