原以为秦始皇乃粗鄙之人,汉武帝也只是在前人基础上修养生息。现在才明白,两位都是难得的帝王。无知真可怕。
阅读全文
搜索此博客
2007年2月25日星期日
2007年2月20日星期二
吉姆·罗杰斯的一封信
亲爱的读者朋友:
你喜欢投资市场吗?你对投资有热情吗?当我21岁开始接触投资市场时,我就知道这是我这辈子最有兴趣的领域。因为喜欢,所以有热情;因为充满热情,所以我花很多时间在做研究,研究竞争对手、研究市场信息、研究所有可能影响投资结果的因素。
找到热情所在,就找得到机会。所以每个人都要问问自己:最喜欢的领域是什么?如果喜欢园艺,就应该去当园艺家;喜欢当律师,就朝这个方向努力前进。不要管别人怎么说,也不论有多少人反对,反正只要是自己喜欢的,就去追寻,这样就会成功。
我强调“专注”,在做投资决策前,必定要做很多功课,也因此我并不赞同教课书上所说的“多元投资”。看看全世界所有有钱人的故事,哪一个不是“聚焦投资”而有的成果?
投资成功致富是来自事前努力的做功课,因为做足了功课,了解投资的产品价格被低估才买进,所以风险已经降到最低。并不是分散投资就叫做低风险,如果你对于所投资的市场、股票不熟悉,只是把鸡蛋分别放在不同的篮子里,这绝对不是低风险的投资,谁说只有一个篮子会掉在地上?
就好比有人认为分散投资于50家公司,一定比投资于5家公司的风险低。但是是这样吗?你不可能完全掌握50家公司的详细状况,相对来说,如果只集中投资在5家公司,就可以做比较仔细的研究。所以说,5颗鸡蛋放在一个相当稳固、安全的袋子,一定比放在50个不牢固的袋子要好得太多了。
阅读全文
2007年2月16日星期五
2007年2月11日星期日
[ZT]支付宝控件漏洞——到底是谁在撒谎?
文档维护:tombkeeper
[Base64Decode("dG9tYmtlZXBlckB4Zm9jdXMub3Jn")]
文档创建:2007年02月09日
最后更改:2007年02月09日
cocoruder去年底向阿里巴巴报了一个淘宝旺旺ActiveX控件溢出的漏洞:
http://www.xfocus.net/articles/200701/901.html
结果阿里巴巴偷偷把漏洞补了,但是不肯发公告。
有了这个教训,前两天cocoruder发现支付宝登陆控件代码执行漏洞的时候就直接公布了:
http://www.xfocus.net/articles/200702/906.html
阿里巴巴的态度还是一样:偷偷把漏洞补上了。有媒体问阿里巴巴是不是有这回事,阿里巴巴完全否定:
http://tech.sina.com.cn/i/2007-02-08/06481375187.shtml
而且派人时刻盯着支付宝社区,凡出现相关主题的不利帖子立即删除,所以现在我们在支付宝社区能看到的都是“形势一片大好”的帖子:
http://club.alipay.com/show_thread-20-1--5930514-.htm
如果事情到此为止也就算了,安全研究界要的也不过就是对自己工作的认可,你想藏着掖着,我们也可以理解。彼此间也没什么深仇大恨,你不承认也就不承认吧。除了腾讯,国内的公司我还没见到几家愿意诚实地发布自己产品安全公告的,我们早就习惯了。
但是事情没有结束。
昨天wlj在donew上发了一篇关于此事的文章,原来的链接是这个:
http://home.donews.com/donews/article/1/110127.html
但是今天早晨我发现这篇文章已经不见了。
而且还针对这篇文章请“天威诚信数字认证中心”搞了一个“专家检测”:
http://club.alipay.com/show_thread-79---5930928-.htm
最无耻的是,可能因为wlj在文章里引用了我说的“就在2月8号,支付宝控件升级了。如果没问题,升级什么呢。”,阿里巴巴来了这么一句:“为了用户更安 全,我们加固了支付宝控件。如果您看到升级提示,请按要求操作。”这种行为不但是对全体支付宝用户的愚弄,也是对我们这些信息安全研究者的侮辱。
阿里巴巴在这里表现最突出的不是欺骗,也不是邪恶,而是愚蠢。认为死不认账就叫作危机公关了,殊不知裤子是遮不住屎的。下面就让我们看看阿里巴巴屁股帘后面藏的东西。
有问题的文件是pta.dll,这个东西属于“ActiveX控件”,只要装了这个东西,你访问的任何网页都可以通过IE浏览器来调用这个控件。也就是 说,如果这个控件有问题,你在访问任何网站的时候,都可能被该网站上的恶意网页攻击,在机器上安装木马。这种漏洞并不是什么稀罕东西,最近几年从 Flash到微软的Media Player等都出过很多类似的。而这种漏洞也是目前国内木马最为流行的传播方式。
明白了漏洞是怎么回事,再让我们来看看阿里巴巴的登陆控件到底有没有这个漏洞。是不是像“专家检测”的那样:“并未发现上述问题及其它隐患”。
先让我们来访问淘宝的登陆页面:
http://member1.taobao.com/member/login.jhtml
如果你以前没有安装过支付宝的控件,这时候就会看到一个安装的提示。在网页上点击右键,察看源代码,在其中搜索“aliedit”,你会看到类似这样的两行:
https://img.alipay.com/download/1009/aliedit.cab
http://img.alipay.com/download/1009/aliedit.exe
这两个都是支付宝的控件,前者是可以通过IE提示你安装的,后者是你可以手工下载安装的。控件的当前版本是1.0.0.9。
阿里巴巴在技术方面的愚蠢之处就是在事发后,仍然把各个版本的登陆控件保留在服务器上。所以我们可以通过访问下面这些链接取得所有版本的控件:
http://img.alipay.com/download/1006/aliedit.cab
http://img.alipay.com/download/1007/aliedit.cab
http://img.alipay.com/download/1008/aliedit.cab
http://img.alipay.com/download/1009/aliedit.cab
http://img.alipay.com/download/1006/aliedit.exe
http://img.alipay.com/download/1007/aliedit.exe
http://img.alipay.com/download/1008/aliedit.exe
http://img.alipay.com/download/1009/aliedit.exe
当然,本文发布后,阿里巴巴十有八九会把1.0.0.9之前的版本删除。不过我相信,在他们删除之前,已经有足够多的人看到了这篇文章,下载了这些文件。并且我已经把存在漏洞的1.0.0.7版文件传到了这里:
http://tombkeeper.googlepages.com/1.0.0.7_aliedit.cab
http://tombkeeper.googlepages.com/1.0.0.7_aliedit.exe
(相信阿里巴巴的活动能力不至于能从googlepages上删除文件,所以本文涉及的所有文件一律放在googlepages上。)
那么上面这些文件会不会是我伪造的,用来陷害阿里巴巴的呢?ActiveX控件的一大特点是必须有数字签名来保证其身份。请大家在aliedit.cab 或者aliedit.exe上单击右键,察看其属性。在属性窗口里有“数字签名”这一栏。任何人通过察看这里都可以确认该程序是由阿里巴巴发布的。
如果你不太懂为什么数字签名可以证明这个程序的确是由阿里巴巴发布的,请致电专业的数字认证公司“天威诚信数字认证中心”(010-84603568 转 708),问问他们,数字签名是不是能够认定这一点。
没考虑数字签名这个茬,这是阿里巴巴在这件事情上第三个愚蠢之处。
存在漏洞的pta.dll是从1.0.0.7版开始有的。这个1.0.0.7版的数字签名时间是2006年2月 22日 23:00:31,也就是说差不多也就在这个时间之后不久发布。1.0.0.8版控件的签名时间是2007年2月7日 22:30:09,在这个版本中,pta.dll被修复。从2006年2月到2007年2月,这个危险在我们的计算机上差不多存在了一年。
那么这个1.0.0.7版的控件到底有没有安全漏洞呢?现在大家都升级了控件,怎么测试呢?
很简单,从这个地址下载1.0.0.7版控件,然后关闭IE等浏览器安装控件:
http://img.alipay.com/download/1007/aliedit.exe
如果上面这个地址已经下载不到东西,那就是阿里巴巴已经动手删除了,大家可以从我这里下载:
http://tombkeeper.googlepages.com/1.0.0.7_aliedit.exe
下载后请察看一下数字签名,确认是“ZHEJIANG ZHIFUBAO NETWORK TECHNOLOGY CO., LTD.”发布的,而不是我造的假。
安装时会提示“目标文件已存在,而且比源文件要新”,点击“是”确认安装。如果提示要重新启动,就重新启动,否则旧版本控件不会生效。
然后访问下面这个链接,这是cocoruder提供的一个测试代码,如果执行成功,会运行系统的“计算器”;即使不成功,也会让IE出错崩溃:
http://tombkeeper.googlepages.com/alipay_1007_calc_poc.htm
现在任何人都可以确定无疑地知道,在2007年2月8日之前,阿里巴巴的支付宝控件的确是有极其严重的漏洞的。
事情到此结束了么?还没有。
我昨晚抽空看了一下修复了漏洞之后的1.0.0.9版本的pta.dll,发现这个文件仍然有问题,虽不至于导致入侵系统,但还是可以导致IE浏览器崩溃。
无论你的支付宝控件是什么版本,即使是最新的,访问下面这个URL都会导致IE崩溃:
http://tombkeeper.googlepages.com/alipay_1009_crash_poc.htm
根据操作系统和IE版本的不同,你可能会看到类似这些的窗口:
那么作为普通用户,如何保护自己呢?
很简单,运行系统的“命令提示符”,在其中输入:
regsvr32 /u %SystemRoot%\System32\aliedit\pta.dll
这样就解除了pta.dll在系统中的注册,任何网页都无法调用它。大家再访问上面的链接就不会崩溃了。
阅读全文
2007年2月5日星期一
2007年2月4日星期日
最好你们谁都别有创造力[ZT]
我知道美国人最想的是什么。 美国人希望这个世界上,其他别的国家的人才全部都是marketing 和sales。 这样,当美国创造出了产品,别的国家的marketing 和sales就成了现成的工具,可以很快的把产品打向全世界。
实际上美国,或者说跨国大公司也是这么做的。他们在世界的任何一个商业区域攻城略地,需要大量的市场推广和销售人才。他们不遗余力的鼓励和培养这个人才的市场,以高薪相邀,大sales, sales管理,市场营销,渠道,渠道管理。。。 这些是中国商业中的热门词汇。
如果是我,我也会这么想,最好你们谁都别有创造力,最好你们知道的只是市场和销售。把创造力交给我们,让我们告诉你们该怎么做,怎么用,怎么生活,你们就负责把我创造出来的产品牢牢的锁定在大众的脑袋里,迅速的把它买出去,我保证能分给你一杯羹。
现在毕业的孩子们,都看不起技术,都要搞市场,都要做营销,都想当大sales,做管理。能做 了,拿着商务手机,穿的光鲜闪亮,就觉得很风光。宛如成功人士了。而此时跨国大公司们都在偷笑呢,只要是所谓的”商业”成为社会的时髦,而不是创造力,这 些公司们就永远会高枕无忧,毕竟越来越多的人在争先恐后的愿意成为自己的工具,而不是自己的竞争对手,自己还可以在越来越大的工具箱里面慢条斯理的挑选自 己中意的工具,岂不是快哉。
转帖完毕,最后写点我的想法:中国人似乎还有个更为根本的毛病,就是喜欢跟风,说啥流行,就往那扎堆去了。
阅读全文