计算机战争背后的死亡商人揭秘:漏洞高价出售

计算机战争背后的“死亡商人”

上个月,谷歌(微博)在温哥华举办了一个比赛,会上这家搜索巨头以安全著称的Chrome浏览器被黑客们两度攻陷。这两种新的黑客攻击方法都利用了一个作弊网站来绕过Chrome的安全保护,结果成功侵入了目标电脑。虽然这两次黑客攻击都攻破了谷歌的防护措施,但这只是第三次真正成功地入侵谷歌系统。

来自法国安全公司Vupen的黑客团队采取了不同的做法。他们没有参加谷歌的比赛,而是通过破解Chrome的安全保护以赢得惠普(微博)在同一场大会上赞助的另一场黑客比赛。虽然谷歌向那两位赢得其比赛的黑客各提供了6万美元奖金,条件是他们要告诉谷歌他们的攻击细节,并帮助谷歌修复他们利用的漏洞。Vupen的CEO兼首席黑客查欧基·贝克拉(Chaouki Bekrar)表示,他的公司根本不想将其秘密技术告诉谷歌——当然不会为了6万美元而进行这种愚蠢的交换。

“我们不会把这种技术告诉谷歌,即使给我们100万美元也不行。”贝克拉说,“我们不想告诉谷歌任何可以帮助他们修复这个漏洞或其他类似漏洞的知识。这是为我们的客户保留的。”

毕竟,这些客户的目的不是修复谷歌或其他任何商业软件供应商的安全漏洞。他们是政府机构,购买了“零天攻击”(指在软件安全漏洞被发现的头一天便遭到攻击——译注)技术或那些利用了软件中未公开漏洞的黑客技术。他们的目的显而易见,就是侵入或干扰犯罪嫌疑人和情报目标的电脑和电话。

在阴暗但合法的安全漏洞市场上,“零天攻击”技术可能会使黑客从软件公司手中得到2,000或3,000美元,但打算秘密使用这个漏洞的间谍和警察可能会给出10倍甚至100倍的价钱。贝克拉没有详细说明Vupen的确切定价,但Frost&Sullivan公司(将漏洞研究领域的“2011年度创业公司”奖授予了Vupen)的分析师表示,Vupen的客户每年支付大约10万美元的会员费,从而获得购买该公司技术的特权。

这些黑客技术包括了攻击微软(微博)Word、Adobe Reader、谷歌安卓系统、苹果iOS系统和许多其他软件的技术。Vupen在惠普举办的黑客比赛上夸口说,他们已经掌握了各大浏览器的漏洞。熟悉该公司业务的知情人士表示,Vupen销售目录上仅一项技术的价格常常都远远超过其六位数的会员费。

即便价格如此之高,Vupen也没有将其发现的安全漏洞只卖给一家,而是同时出售给多个政府机构。这种商业模式常常使其客户你争我夺,生怕在间谍军备竞赛中落后。

贝克拉声称,Vupen会仔细核查客户的背景,只向北约国家的政府和“北约的合作伙伴”出售安全漏洞。他表示,该公司还有其他的“内部程序”来过滤那些非民主国家,并要求买家签署合同,不得公布或转售这些漏洞。但即便如此,他承认该公司的黑客攻击方法仍有可能落入不法分子之手。“我们尽力确保这些漏洞不会从买家的手中外流。”贝克拉说,“但如果你将武器出售给别人,就无法保证他们不会再卖给其他人。”

这种武器贸易的比喻很合Vupen批评者的胃口。隐私保护活动人士克里斯·索菲安(Chris Soghoian)和开放社会基金会(Open Society Foundations)的同仁们把Vupen称作“为计算机战争提供弹药的当代死亡商人”。在有个漏洞被售出后,索菲安说:“它在黑洞里消失了。他们不知道这个漏洞被如何利用,是否得到了许可,或者是否违反了人权。”

这个问题在去年明明白白地摆在了世人眼前。当时,加州森尼维尔市蓝衣系统公司(BlueCoatSystems)的监视装置被出售给了一家阿联酋公司,但最后却在叙利亚被用来监视不同政见者。“Vupen不知道他们的漏洞被如何利用,他们可能也不想知道,只要支票兑现就行。”

Vupen并不是唯一一家出售安全漏洞的公司,但与这家位于法国蒙彼利埃的小公司相比,其他买卖黑客技术的公司,包括Netragard和Endgame以及Northrop Grumman和Raytheon等规模更大的公司,则更加守口如瓶。贝克拉用“透明”来形容自己的公司,而索菲安则说这家公司“无耻”。

“Vupen就是这个行业的Snooki(美国真人秀节目《泽西海岸》的明星,行为大胆出格——译注)。”索菲安说,“他们寻找宣传自己的机会,但他们甚至没有意识到,他们根本不入流。他们就是漏洞交易领域里的《泽西海岸》。”

即使如此,贝克拉也不愿公布收入数据,虽然他坚称公司实现了盈利。但有个人愿意公布这类销售数据。他是南非的一位黑客,人称“Grugq”,住在曼谷。一年多来,除了担任安全研究员的薪水之外,Grugq还以高端漏洞经纪人的身份赚“外快”,为其黑客朋友和其政府买家牵线搭桥。他表示,他收取15%的销售佣金,今年很可能从这类交易中挣到100多万美元。他说:“我现在拒绝做2.5万美元以下的生意。”仅在去年12月,他就从政府买家手中赚了25万美元。“年终时的收入简直肥得流油。”

但Grugq认为,贝克拉的初创公司都是自己寻找安全漏洞,因此更加赚钱得多。“他真他X的聪明。”Grugq说,“主动权完全在他手里。他可以要求客户按照他提出的价格购买,否则就卖给其他人。”

尽管贝克拉谈到了“透明”,但关于他的个人经历和在创建Vupen之前的工作,甚至是自己的年龄,他都不愿意多说。Vupen是他创建的第三家公司,专注于发现软件中的安全漏洞。他之前创建的K-Otik和FrSIRT公司都曾公布他们发现的漏洞。即便是在2008年创建了Vupen(这个名字代表了“漏洞研究”和“渗透测试”)之后,贝克拉及其研究人员起初也是与软件供应商合作,帮助他们修复漏洞。但从360资本合伙公司(360 Capital Partners)和甘特合伙公司(Gant&Partners)获得150万美元风险投资之后,贝克拉发现公司可以赚到远远更多的钱,方法就是不公开公司发现的安全漏洞,而是以高价出售。

后来,贝克拉甚至公开嘲笑那些产品被其黑掉的公司。2011年5月,Vupen发布了一段视频,显示该公司可以侵入运行Chrome的电脑,但没有向谷歌提供进一步的信息。当谷歌回应称Vupen利用的是Chrome的Flash插件而不是Chrome本身时,贝克拉在Twitter上指责谷歌试图淡化其安全漏洞,并说谷歌“太差劲”。作为回应,谷歌的安全人员指责贝克拉无视用户隐私,并说他是“挑战道德的机会主义者”。

贝克拉对这种批评不屑一顾。“我们不会这么努力地去帮助数十亿美元的软件公司编写安全的代码。”他说,“如果我们想做志愿者,我们会去帮助无家可归的人。”

取悦你的观众:10个视差滚动效果和教程

随着技术的不断发展,3D效果,HD技术的成熟,越来越多的人希望能有更加生动、现实的视觉体验。这种需求也在 Web 领域越来越强烈。这篇文章介绍了10种视差滚动效果和教程,以帮助你取悦你的观众 :)

Parallax Slider

这个插件可以帮助你创建景深还有滑动效果。
Parallax Slider

Javascript Parallax Effects (A Deeper Look)

这个教程教你如何创建景深
Javascript Parallax Effects (A Deeper Look)

Behind the Scenes of Nike Better World

这个简短的教程讲述了如何创建类似 Nike Better World 的网站。
Behind the Scenes of Nike Better World

Build a parallax scrolling website interface with jQuery and CSS

一系列的demo
Build a parallax scrolling website interface with jQuery and CSS

Create a Funky Parallax Background Effect Using JQuery

添加滚动云的教程
Create a Funky Parallax Background Effect Using JQuery

Animated Header Background

带动画效果的页头
Animated Header Background

Parallax Scrolling Tutorial

这个教程很有趣,你在阅读的同时能看到效果。
Parallax Scrolling Tutorial

JQuery Image Prallax

这个插件通过重复和动画创建景深的错觉。
JQuery Image Prallax

Stellar.js

这个jQuery插件为任何可以滚动的元素提供滚动效果。
Stellar.js

Curtain.js

这个插件可以创建落地窗帘的升起效果。
Curtain.js

 

原文链接OSChina.NET 原创编译

Talend 与 MapR 联合宣布大数据集成与质量认证

Talend 与 MapR Technologies,Inc.今天联合宣布 Talend 推出的主打开源大数据集成解决方案—— Talend Open Studio for Big Data 已经获得使用 MapR Hadoop Distribution 的认证,为使用 Hadoop 的企业用户提供高性能,可扩展的集成替代方案。

Talend Open Studio for Big Data 原生支持 Apache Hadoop 进行大数据的集成。它通过运用 Apache Hadoop 的 MapReduce 架构,生成原生的 Hadoop 代码,可以直接在 Hadoop 中进行数据转换,实现最大化的扩展性能。同时,它还一如既往的保持了其图形化的开发环境。

Talend Open Studio for Big Data 的优势在于提供多种多样的可拖拽插接器来连接不同的系统和资源。其针对 Hadoop 的插接器包括:

为了确保 Hadoop 与其它信息系统的顺利连接,Talend Open Studio for Big Data 还提供针对各种系统、数据库的连接器:

  • Oracle, MS SQL Server, MySQL, DB2, PostgreSQL, Teradata, Vertica, EMC Greenplum, Infobright 等数据库。
  • SAP, MS Dynamics, Salesforce.com 等ERP/CRM 系统
  • Amazon Web Services, NetSuite, Marketo, Google, Twitter 等 SaaS, Cloud 和社交平台
  • structured, poly-structured, semi-structured, flat, XML 等多种文件
  • Mainframes & midrange systems, Cobol files 等

Talend Open Studio for Big Data 是 Talend Platform for Big Data 的核心组成部分。后者可以仅在几个小时内来部署大数据解决方案,并同样与所有的 Apache Hadoop 方案匹配。

via talend

微软很自信:Windows Phone在中国将超过iPhone

微软称,在中国智能手机市场,Windows Phone将凭借实惠的价格(158美金)超过iPhone。打败苹果成为智能手机市场No.1是公司的一个长期内部目标。微软中国区首席执行官Simon Leung昨天在北京Windows Phone发布现场告诉记者,至于何时达到这个目标,他们现在还没有明确的时间范围。

 抢占发展中国家市场

调查公司IDC称:中国在2012年是世界最大的智能手机市场,对于OEM商及经销商来说,都至关重要。在今年,用户下载游戏及电影的手机将会增长52%,达1.37亿台,首次超过美国。Leung说:

“我们会继续压低价格,目标就是成为第一,第二永远不是我们的选择。微软的硬件生产伙伴会将设备价格定在158美元以内”。

期间,微软只是提供软件,硬件设备交由诺基亚,三星,HTC,中兴等生产。

在Windows Phone官方博客中说道:

HTC已经开始在中国销售Windows Phone手机,HTC Eternity配备4.7寸屏幕,前置及后置摄像头,预装中国比较受欢迎的应用。

但博客并未说明价格是多少。对此HTC财务总监及发言人Winston Yung还未作出回应。

扩张

上个月,微软称公司打算以低价设备将业务扩张到其它23个国家,市场范围共涉及63个国家。

IDC北京分公司的分析师称:

“Windows Phone今年在中国将会占有7.5%的市场份额,苹果占12%,Android占70%。到明年,Windows Phone的市场份额将上升到15%,苹果则为13%,Android为66%。到2016年,预计Windows Phone在中国市场份额为20%,苹果为16%,Android为60%”。

Windows Phone将会蚕食苹果市场份额,因为用户对机子的选择性更广。Windows Phone有许多硬件设备合作伙伴,不同的机子,不同的价格,不同的选择,相比起苹果的单一性,Windows Phone具有更多优势。Leung说:

“公司正考虑在中国建立自己的零售商店,并且现在正与中国相关高层领导商量取消禁止销售游戏机(包括Xbox)事宜,但还未取得任何进展”。

Via 彭博社
来源 雷锋网

索尼公布 Xperia S 开源档案

现在到了源代码公布的季节,继HTC设备以及三星Galaxy S II内核源码公布之后,索尼也加入了公布源代码的阵营。据国外媒体报道,索尼今日已经公布了Xperia S开放档案,提供了所有用于为Xperia S创建内核和炮制ROM的工具。

而且,近日索尼移动开发 者的博客上的一篇文章还指出,Xperia S档案开放标志着索尼首次为搭载高通Snapdragon S3的产品公布源代码。

此外,文章上还建议为了更新软件,用户需要完成一些额外的步骤,并运行一些特殊的脚本。另外,索尼还在文章中提供了创建说明,并且邀请用户反映创建过程中所遇到的问题。

想要创建ROM的达人可点击这里查看开源档案,或者也可以到Sony Mobile developer blog了解更多详细信息。

文/威锋网