今天收到一封邮件,印象中好象baoz前些天提到,他也收到过类似的“黑客项目邀请”,都是许以颇为诱人的薪酬(每周500美金)。连我都能收到,看样子,他们是大规模群发,估计总会有些人心动。
邮件的内容如下:
Hi guys.
I found your email’s looking for the best chinese hackers, and I
think in this list I’ll find the hacker I’m looking for finish the
project I started two months ago.
I’m talking about U$S 500 anonymous egold funds per week for you if
you work in this project. And I can assure you, it’s serious.
Note: This is a “blackhat” or “greyhat” project. For this reason,
最近几天心情不错,昨晚又喝了场小酒,早早睡了。
看到群里朋友讨论,说淘宝还击支付宝事件,找QQ作为假想敌了,有趣:http://my.opera.com/pstgroup/blog/tencent-qq-qqzone-webctrl-activex
安全团队与IT公司之间的关系,真是不容易处理,祝Ph4nt0m一路走好。
厦门的朋友们,俺来咧 :)
关于Tombkeeper的这篇文章:支付宝控件漏洞——到底是谁在撒谎?
地址在:http://hi.baidu.com/tombkeeper/blog/item/ff8abbd372898334960a164f.html
请各位经常来看我BLOG的朋友尽量帮忙宣传和转贴,对淘宝在支付宝这次高危漏洞的处理上,我觉得,需要让他们的公关人员学会尊重事实。
软件有BUG不可怕,有高风险的漏洞也不可怕,毕竟任何软件都不可能没有BUG。
但可怕的事情在于:在提供电子商务支付的软件“支付宝”上出现严重漏洞(能导致机器被完全控制,帐号密码丢失或现金被转走),而淘宝居然能够掩耳盗铃,声称“专家检测结果显示支付宝安全”。
并且,我发现互联网上关于这个“支付宝漏洞”的文章在日渐减少,有可能是某些势力影响下的结果,但作为局外人,我无法确认。
虽然我不认识发布漏洞的朋友,但我觉得这件事情,侮辱了支付宝用户的智商,也剥夺了他们的知情权,因此我只能请朋友们尽量高调协助宣传:支付宝控件漏洞——到底是谁在撒谎?
我的目的是:让淘宝的公关人员,至少学会尊重事实!
如果该文被删除,可以尝试以下链接:
http://www.appbeta.com/modules.php?name=News&file=article&sid=6409
谢谢各位 
晚上吃饭的时候,小鼻涕顺手打开电视,正在放中央二套的《商务时间》节目,这集讨论的是企业是否应该捐助公益事业,节目还请来了蒙牛的创始人牛根生,05年我看过一期节目里说到他的聚财散财之 道,今天节目里看到的老牛,温文大度,在记者问到他将现在市值几十亿的蒙牛股份全部捐赠的事情时,他表示:看一些电视和书,大宅门也好,乔家大院也好,胡 雪岩也好,那些主人公都是经商的天才,但最后下场都不怎么好。他认识到,人的命运,其实和国运相关,现在做这样的捐赠,其实只是尽力为国家做一些事情。
果然气度非凡。
电视里讨论的话题,我也觉得蛮有意思的,中间我的一些想法,可以先记下来:
1、捐助时要考虑好,是否符合公司、股东的利益。如果不符合,还不如个人捐赠。节目上有一个嘉宾提到国外某些企业的做法是由股东从红利中拿出一部份基金,作为公益基金,然后再找项目,这也是种办法;
2、企业捐助公益事业,必然会对品牌、市场方面有正面影响,会有商业价值,也有可能招来非议,这种时候不用回避,也不用辩解,任人评说好了;
3、企业最重要的事情是赢利,实际上在合法赢利的同时,已经为社会做出贡献了,而且合法赢利,其实是企业最大的贡献。因此无论想做什么公益的事情,首要的事都是:企业要生存好,要能创造价值;
4、在我的价值观里,如果公司能够在有余力的情况下,做些公益性的工作,对企业文化的建设是有益的,至少这个群体能够意识到,公司是有社会责任感,是坚持做有价值工作的;
前些时间,killer跟我提到,超级巡警的个人版,是否可以考虑收取注册费用,目前的初步考虑:
1、所有收取的费用全部帐目公开,捐献希望工程(或考虑象之前XFOCUS捐建希望小学那样建设贫困山区学校);
2、收费版本与免费版本功能完全相同,但收费版本可以显示“某某专版”,并有“感谢您捐助希望工程”字样;
这个想法倒是相当不错,但具体操作上应该还有些细节需要考虑,比如我们现在还有些困惑:
通过什么渠道收费最好?
收到的这些费用是否需要缴纳税金?
是否免费版与捐赠版有必要在功能上有区分?
这类捐助会不会有法律上的麻烦?
不知是否有朋友有类似的经验,如果有,不妨指点指点。
事件的经过是这样的:
1、cocoruder在网络安全焦点(http://www.xfocus.net)发布阿里巴巴支付宝远程代码执行漏洞,该漏洞可能导致远程攻击者在 被攻击者系统上执行任意代码,进而可安装木马以及间谍程序,窃取相关敏感信息比如淘宝帐号/密码,或者支付宝帐号/密码。
2、DSW Avert(http://www.dswlab.com)第一时间发布公告,并升级超级巡警,升级后的超级巡警能够查杀利用该漏洞进行攻击的溢出代码,截图如下:
与此同时,江民等其它杀毒软件也迅速发应并发布公告。
3、信报记者采访支付宝公关经理弓猛,得到官方回复是:“经过检测,支付宝安全控件不存在报道中描述的安全漏洞,目前用户使用支付宝正常,未发现任何安全隐患。”,截图如下:
在某个QQ群里朋友提出这个有趣的事件时,一位朋友说:“心态问题。即使害怕非议,也应该说出真相。”
阿里巴巴应该学习如何更好地面对软件中的安全问题,如何更好地面对安全研究人员上报的漏洞。而他的公关部门更应该明白,公关并不一定只能通过说谎和粉饰太平来实现。
广告一下:推荐使用超级巡警来实现对最新的漏洞、病毒(包括熊猫烧香、威金、QQ木马等)的查杀。