分享

来源：新闻晨报 作者：张源 金文婕

黑客界教父级人物于旸，网名“Tombkeeper”。

于旸

国内黑客界尊称其为“TK　教主”，黑客界教父级人物，全球最为知名的几位白帽子黑客之一。

范渊带领的团队，每天要负责维护约20万个国内网站的运行安全。

范渊

第一个登上全球顶级黑客盛会Black　Hat舞台的中国人。

　　在中国，我们也有像杰夫·莫斯一样的黑客教父。

“感谢各位愿意来忍受我‘可怕’的英语！”因为时差问题一夜没睡的于旸，8月7日上午出现在Black 　Hat一个分会场的主讲台上。“于旸”这个名字，远不及他的网名“Tombkeeper”知名，在国内黑客界被尊称为“TK教主”的于旸，称得上是黑客界的教父级人物，也是全球最为知名的几位白帽子黑客之一。于旸是国内目前身价最高的白帽子黑客之一，尽管他本人不愿对此多言，但“TK教主年薪千万”的说法早已在业内流传。

于旸当天的演讲，台下聚集了很多来自阿里巴巴、华为等国内企业的技术人员，以及美国、印度等国的信息安全人员。于旸的演讲才刚刚开始，坐在我旁边的一位来自国内某IT巨头的技术高管，就已经惦记着找人等会儿帮他拍一张跟于旸的合影。

于旸并非科班出身，但他是全球夺得微软安全挑战赛最高奖的两人之一，目前任职腾讯“玄武”安全实验室总监。于旸的诸多研究在业内都极具影响力，包括独立破解 iPhone　指纹识别，破解无线RFID通讯等。于旸毕业于安徽医科大学临床医学系，全凭自己的爱好由一名医生变身成一位顶尖的黑客。在Black Hat的首秀中，于旸在自我介绍时先放出了一张很具“高富帅”意味的医生照片，随后又给出一张猩猩玩电脑的照片，并自嘲“这就是现在的我”。于旸的演讲主题，是他针对微软最新的Windows版本所做的一项漏洞研究成果。

演讲结束后，于旸被一群听众包围提问，很多人都想借此机会向他请教一些难题。于旸在黑客技术领域的涉猎面极广，人们抛给他的问题也是分门别类五花八门。在等待许久后，我才有机会单独对于旸进行了一次专访。尽管一夜未睡，于旸对于整场演讲的效果还是比较满意的。曾在CanSecWest、HITCon等很多国内外安全会议上有过演讲经历的于旸，依然很看重Black Hat这个平台。“这是全球最顶级的会议了，无论是技术演讲部分还是展会部分。如果你想了解全球的安全行业，Black Hat是一个很好的渠道。”

黑客到底是一个怎样的群体？于旸的看法很是简单。“对于网络入侵和防御的相关技术，以及漏洞的相关技术极具钻研精神的一群人。”于旸说，黑客所涉及的知识领域绝非是入侵系统那么简单，整个安全行业是围绕着漏洞和其它攻击手段，以及相应的防御手段展开的一个领域。“这一行要做好，还要了解其它的领域。你做攻击，你就需要懂防御，你做防御，你也要了解攻击。”

黑客的世界里也有黑白之分，原本并不带褒贬含义的“黑客”一词，近年来却被增添了不少贬义的色彩，于是才有了“白帽子黑客”这样特有的称谓。以DEF 　CON为例，参与的上万名黑客中，就有不少在从事见不得光的工作。对于这一点，于旸也有自己的评价。“网络世界其实和现实世界一样，有一个白社会，也有一个黑社会。现实里的黑社会有多大，网络世界里的黑社会也就有多大。”

从医生变身黑客，于旸对于“如何成为一名黑客”这个话题很有发言权。“有学校里教的，也有自学成才的。现在的互联网十分发达，只要有心总能在网上学到东西。”于旸是典型的自学成才，他说圈子里不少黑客好友也都是自学而成。目前国内开办信息安全技术相关专业的大学院校有上百家，但学生抱怨找不到工作、企业抱怨招不到人的现实，却是于旸等业内大咖们的共识。“打个比方，一个家电维修学校，如果现在还在教学生怎么修黑白电视机，你觉得学生毕业后找得到合适的工作么？”于旸说，其实国内早就有了类似 Black 　Hat　和DEF CON的会议，以提供一个黑客人才展示的平台，只是规模还无法与之相比。“包括xcon这样的会议也办了十几届了，现在大大小小的加起来有二三十个吧。没有这样的平台，那些自认为是人才的黑客就只能在那里瞎嚷嚷，没人会听得见。”

“黑客的确是需要一定天赋的，但也一定需要时间的积累。国内也有一些很不错的黑客新人，但他们给我的感觉就是太急了，沉不下心来。”包括于旸在内，我所知道的一大批黑客界的大牛，基本都是在这个圈子里摸爬滚打十几年的。在于旸看来，时间的积累也是黑客所必须经历的过程，只想走捷径反倒容易步入歧途。

于旸在拉斯维加斯的行程只有短短三天，除了发表演讲，他还会借机跟很多国内外的圈内好友聚聚。因为这场黑客盛会在美国举办，我和于旸也就聊起了黑客以及信息安全领域的中美差异。“如果仅仅从攻击的角度而言，并不能说因为包括微软、iOS系统这些都是美国人做的，那他们就在这方面占据绝对优势。但从另一个方面说，这些系统本身里面有没有留东西，留了多少东西，这些东西做什么用途，的确是我们很难去发现的。”于旸说，以苹果的后门程序为例，除了苹果公司本身，没有人能更清楚这些数据到底会被赋予怎样的用途。

“但就信息安全的产业发展而言，全球肯定是美国占据主导地位的，我们国内整体要比美国晚个两三年。”于旸说，目前全球最主要的信息安全企业基本都在美国，而美国的IT企业在信息安全上的投入，要比中国国内大若干倍。“随着人类社会和网络结合的紧密性的加大，人类的一切活动都会在网络里留下痕迹，会有越来越多的数据进入信息系统。信息产业有多发达，直接决定了信息安全产业有多发达。”

　　“就信息安全领域而言，国内总是要比美国慢一步。”

范渊带领着一个三人团队，再一次来到他非常熟悉的拉斯维加斯，参加2014年的Black Hat和DEF CON的会议。跟于旸一样，范渊也是国内顶尖的白帽子黑客，他创办的杭州安恒信息技术有限公司，在短短的六七年间就发展到500人的规模，承接过北京奥运会、上海世博会以及不久前上海亚信峰会等重大活动的信息安全保障工作。就中国黑客而言，范渊是第一个登上Black 　Hat这一全球顶级黑客盛会舞台的中国人，早在2006年他就曾受邀在会议上向全球的黑客分享自己的研究成果。

在赴拉斯维加斯之前，我就曾去探访过范渊设在杭州的公司总部。安恒每天要负责维护约20万个国内网站的运行安全，他们创立的风暴中心实验室，能实时监测到这些网站所遭受的黑客攻击。看着实验室屏幕上不断刷新的监控信息，我在赴拉斯维加斯之前就意识到黑客离我们的生活竟如此之近。

从2002年开始参加 Black Hat和DEF 　CON的会议至今，范渊几乎一场都没落下过。即便是他2007年从美国硅谷回国创业后，每年都还是会飞抵拉斯维加斯参会。“每一次都有收获。我可以通过这个会议了解各种最新的黑客攻击手段，再研究解决应对的防御方法。”在拉斯维加斯期间，我也曾随范渊一起听过几场黑客演讲，尽管有些展示在他看来并不具有太高的技术难度，但各种新的想法和角度依然让他觉得这一趟来得很值。他与自己的两名下属，每天都要分散在各个不同的分会场里，选取他们最感兴趣的演讲去听，之后再彼此交流各自的收获与体会。

在我看来，范渊和他的团队在拉斯维加斯的一周更像是一次取经之旅，是一次“知彼知己”之旅，他们透过这一盛会来了解黑客帝国的未来走向，以及提前谋划应对的方法。“客观地说，就信息安全领域而言，国内总是要比美国慢一步。有一年在DEF 　CON上展示过的一款黑客工具，在美国这边很快就研究出相应的对策，但是第二年这个东西才开始在中国国内的网吧大肆流行。”

作为一个门外汉，很多大会上讲解的黑客技术我很难理解，经过范渊的解读，我才逐一明白了这些技术如果被人利用会带来怎样的严重后果。范渊说，他要先从“黑帽子黑客”的角度去思考他们会怎么做，然后再用“白帽子黑客”的手段去加以防御。“在黑客的世界里，这种攻防的较量定然会无止境地继续下去。”

范渊个子不高，但一双眼睛却精光四射。作为 Black 　Hat　和DEF CON的常客，他也能从大会上捕捉到很多人看不出的门道。“这家美国公司看起来好像很普通，但其实背后有很深厚的政府背景”、“这个演讲者所在的公司可不简单，在业内绝对是占据主导地位的”……诸如此类的分析，范渊不止一次向我提起。

包括两个大会的创建者杰夫·莫斯在内，范渊的很多圈内好友都是Black 　Hat和DEF 　CON的常客。趁大会的间隙，他也会抽空与老友们一聚，或去参加一些小型的聚会结交新的朋友。范渊说，很多人来拉斯维加斯参会，除了能了解很多业内最前沿的技术及行业前景外，这里也是黑客大牛们最为重要的社交平台之一。不过范渊也坦言，近年来在大会遇到的中国人基本都是那几个老熟人，对于国内后继人才的培养，他跟于旸也有着同样的担忧。

　　顶尖黑客人才流失海外

在拉斯维加斯举办的这场黑客盛会上，上万人的参会者，我看到的中国人可能都不到50人，而其中在海外尤其是在美国工作和生活的要占一半以上。但令我颇感意外的是，包括全球最顶级的信息安全公司Fire 　Eye 在内，很多行业内尖端企业的核心技术人员中，都有中国人的身影。

“美国的信息安全企业基本都集中在硅谷。可以这么说，这些企业离了中国人，技术根本就搞不起来。”在硅谷创办了一家信息安全企业的中国人王林(化名)告诉我，硅谷的很多IT企业都呈现如此的架构：美国人当老板，印度人做中层，而最核心的技术人员则大多是中国人。“毫不夸张地说，很多安全系统都是我们中国人做出来的。”

此次Black 　Hat的诸多演讲者中，一共有五六个中国人，但他们大多是供职于美国的信息安全企业，或者还正在美国求学。尽管国内目前仍然聚集着一大批顶尖的黑客人才，但与国外信息安全企业所能提供的岗位和待遇而言，差距依然不小。“国内愿意花大价钱请这些人去做安全的企业，屈指算算也就那几家互联网巨头，毕竟岗位有限。”上海信息安全协会副秘书长王怀宾接触黑客圈子已经十多年，他认识的几位黑客界大牛如今都在海外发展。不过，王怀宾也表示，业内为了留住人才也做出了不小的努力，“ISG(信息安全技能竞赛)已经办到第五届，今年我们还增设了人才‘相亲会’环节，目的就是给在比赛上脱颖而出的选手和用人单位之间搭建一个桥梁。打造这个中国版‘DEF CON’的意义也正在此。”

“的确有些地方值得我们反思。”范渊也曾有过海外求学、供职的经历，但他而后选择了回国创业。范渊说，无论是对人才的重视程度，还是大多数企业对于安全产品的投入，乃至后续的人才培养上，国内外都存有很大的差距。“我们也在不断努力去缩小这种差距，但这个过程需要时间。”

在拉斯维加斯Black 　Hat 的会场上，我问过很多在国外的中国人一个同样的问题：“将来会不会考虑回国工作？”这些人大多都是业内顶尖的技术人才，他们给我的答案不尽相同，但“如果有合适的岗位会考虑”这句话却多次出现。然而在很多业内人士看来，国内目前极为欠缺的，恰恰是能提供给这些顶尖人才的一个合适的岗位。

　　黑客武林的门派纷争

如果把黑客世界看成一个武侠江湖，这里既有师承名门的绝顶高手，也有天赋异禀、自学成才的一代大侠。在诸多成名的黑客当中，有些是擅长漏洞挖掘的高手，也有人专精于木马病毒的研究，同样也有博采众长的集大成者横空出世。他们当中的绝大多数人在自己的黑客之路上都有着广为人知的经典战役，或者足以震慑武林的独门绝技。

黑客的江湖也有门派之分。在中国的黑客界，由龚蔚在上海创立的“绿色兵团”被称为黑客界的“黄埔军校”，其中聚集了国内最早的一批顶尖黑客高手。伴随着绿色兵团的分化演变，一大批个中高手自此开山立派，安全焦点、小榕科技等门派纷纷崛起，其中安全焦点更是拥有冰河等一大批武林高手，稳坐黑客江湖第一大门派的地位。也正是在随着绿色兵团的逐渐分化演变，中国黑客组织迎向商业化浪潮的大幕也就此揭开，很多最初的黑客高手如今都在信息安全行业身居要职。这一大批在江湖上成名已久的黑客高手，很多都是凭借自身的爱好投身其中，在互联网摸爬滚打十余年终成大器。

清华大学网络与信息安全实验室主任段海新，中科院软件所系统安全研究室主任丁丽萍等安全专家，则肩负着培养学院派安全人才的重任。包括清华、北大、上海交大、复旦等名校在内，国内目前有上百家大专院校都开设有与信息安全相关的专业，在业内的影响力也与日俱增。在这次DEF 　CON的会场上，来自清华大学的蓝莲花战队是唯一一支参与CTF夺旗大赛的中国大陆战队，这项赛事也被视为世界黑客大会的压轴项目。由清华大学诸葛建伟老师带领的蓝莲花共有8名成员，他们在DEF CON召开的当天进入核心竞赛CTF的大厅，此后两天都要连续十多个小时不间断与其余19支战队展开角逐，直至第三天下午两点比赛结束。蓝莲花最终在20支参赛队伍中排名第五，比他们之前一次的排名提高了6位。

分享

分享

科技一周~我们生活的痕迹

2014/08/17

每一秒钟的停顿，都记录了生活的痕迹，我用自己的记忆把这些瞬间刻录下来，存在脑海里。当回思的时候，有些旧日的情景重现出来，像是在夕阳里拾起的朝花，虽然已成过往，但犹可触及。然而，有些情景，却散如烟花，任我如何寻思，终无法获得。每当这时，我总是希望，倘若自己所有的过往都能被机器拍摄成图像，并存于网络，便再不会有此遗憾了。我终究会老，并失去记忆，如流萤一样死去，然，机器并不会死，网络是永恒的。

这一周的新闻与我们生活的图像有关。

• 本周，Google收购了一家叫做Jetpac的图像应用公司[1]。Google并没有透露具体的收购金额，这更让人们认为，所谓的“acquire”只不过是硅谷里常用的客套词汇，而实质上是对人才的“acqui-hire”。Jetpac创立于2011年，目前约有10名员工，主要的产品是基于社交图片的旅行App。一开始，Jetpac是利用Facebook上的图片来做社交旅行，但在2012年，Facebook收购Instagram之后，Jetpac也把精力集中到Instagram上来，利用Instagram上的海量图片来做旅游推荐。Jetpac的CEO曾这样向TechCrunch描述自己的产品：“人们可以通过图片来可视化搜索自己要去的地方，这种方式与查看设施条件或阅读评论相比，显得更加自然”。值得一提的是，为Jetpac提供背后技术支持的公司，叫做Orbeus，这是一家由几个年轻中国人建立的初创企业，提供基于云计算的图像识别技术。
• 来自伯克利大学计算机系的一篇论文，提供了一个分析你常态表情的算法[2]。简单说来，这个算法利用你的一系列图片，计算出你的“平均”表情，这个“平均”表情就是常态表情。这有什么用呢？举个假设的例子来，如果你超速，在路上被警察叫停，当警察看到你一脸愤怒的表情时，警察除了会给一张超速的罚单外，还会在上面加注说“你有威胁警察的表情”，那么你的罚款额度可能会比仅仅超速要高。现在好了，如果你本来就长了一个“愤怒”样，那么根本不用多交罚款。你可以用这套算法分析出自己的常态表情，拿到法官那里说：“I wasn’t making an angry face. That’s how I always look. See, I’ve an algorithm to prove it!”当然，这个算法不仅可以用在呈堂证供上，它其实还可以用在训练那些基于特征的目标识别器（object detector）上。这篇论文里宣称，经过该算法“平均”之后的图像，再输入给目标识别器，会加速识别器的训练过程，因为这些“平均”之后的图像拥有更加稳定的特征点。

既然谈的都是图像，那么本周的科普也是与图像相关：人脸识别。

人脸识别（face recognition）归属于目标识别（object recognition）技术，但在整个目标识别技术中，人脸识别技术被研究的最多最深，这大概是因为这项技术在现实社会里更有用吧，尤其对于社会安全来说，能够让计算机快速而准确的识别出罪犯，关乎到每一个公民的切身利益。当然，人脸识别中用到的许多算法也是可以扩展到其它识别里去的，所不同的只是如何建立模型（比如，房子和人脸有着不同的特征点；如果使用隐马尔可夫模型，那么内部的状态设定也是不同的）。

从应用上来说，人脸识别主要分为两类：1. 验证（face verification）；2. 匹配（face matching）。人脸验证是个一对一的过程，也就是说，目标库里只有一个人脸，需要校验现在输入的人脸是否与目标脸一致。而人脸匹配则是个一对多的过程，目标库里或许有海量的图片，需要从其中找到与输入人脸一致的所有图片。

最初的人脸识别技术，主要集中于局部特征提取上，也就是说，通过把输入图像中人脸的特征点（鼻子、嘴、额头、眼睛）提取出来，形成特征向量，然后与库里的图像进行特征向量匹配，输出匹配度最高的人脸做为识别结果。这种方法效果并不好，于是又发展出了全局特征提取算法。最著名的要数，主成分分析（PCA，Principal Component Analysis）法。简单说来，这种算法是基于数学分析，计算出“更底层的人脸特征”，这些“更底层的特征”并非人们所能感受，只是在数学范畴内才有意义（例如，傅里叶分析里的系数），然而，这种“更底层的特征”却比人眼看到的表层特征，更能识别出准确的结果。

除了上述两种算法之外，还有一类识别算法是基于模型（model-based）。基于模型的算法是当前最流行的技术，无论从算法效率，还是识别度上来说，都比前两种要好。相关的模型有很多：Probabilistic Elastic Part Model，Hidden Markov Model，等等，有兴趣的同学可以参考综述[3].

[1]. David Murphy,  URL, Aug 2014.

[2]. Derrick Harris, https://gigaom.com/2014/08/15/new-algorithm-takes-the-average-of-photos-perhaps-proving-that-is-how-you-always-look/ , Aug 2014.

[3]. Rabia Jafri and Hamid R. Arabnia, A Survey of Face Recognition Techniques,  Journal of Information Processing Systems, Vol.5, No.2, pp.41-68, June 2009.

图1. http://www.tourism-review.com/temp/article_zoom_2284_2.jpg

图2. http://cdn1.tnwcdn.com/wp-content/blogs.dir/1/files/2012/11/face-520×362.jpg

分享

分享

2004年4月19日，NetScreen的中国工程师进入Post-NetScreen时代（后Netscreen时代）。2004-2006年，经历了大批高层和骨干员工离开。之后，留下来的研发在各种压力下在2008年完成了高端系统SRX5000产品线的研发。并迅速延伸至中低端产品线。2010，2012年迎来了第2次的骨干团队的出走， Kernel Group和Flow Group骨干大面积离开。2013-2014年NetScreen留下最后的一些骨干遭到裁员。

2014年1月13日, 华尔街著名对冲基金Ellio发布关于Juniper的分析和整改报告,其中关于NetScreen的收购被定义为失败和并为之可惜. 其原文为：“
Pure-play security vendors today have a combined market cap of ~$30B. NetScreen was a leader and would have been more valuable and successful had it not lost share under Juniper’s ownership”
【编者译：目前，安全厂商的市值总体规模大约为三百亿美金的规模。NetScreen曾经是这个领域的领导者。（我们认为），如果不是因为在Juniper的管理控制下丢失了市场份额，NetScreen本身应该是会具备更大的价值和成功】

2014年8月， Juniper网络产品线正式并入交换机产品和解决方案产品线。简称S3 BU。中国工程师戏称为小3. 这个调整正式宣告NetScreen产品线的正式结束。

NetScreen并购入Juniper之后十年的历史，令人唏嘘不已，令将来华人工程师和企业家，金融界 和商学院的研究者值得研究

———————————
后NetScreen时代大事记
———————————

2004年6月28日，原NetScreen CEO Robert Thomas离开Juniper.

2004年6月29日，原NetScreen CFO Remo Canessa离开Juniper.

2004年9月17日，原NetScreen VP of Engineering, Anson Chen, 离开Juniper.

2004年10月22日， Juniper SPG 发布ScreenOS操作系统5.1.

2004年11月15日，原NetScreen VP of Sales Mark Smith离开Juniper.

2005年2月1日，邓锋，原NetScreen Inc. Co-Founder, VP of Security Products strategy, Juniper, 正式转为Part-Time，结束其Juniper的全职工作。后低调全身退出Juniper.

2005年3月, NetScreen CTO, Nir Zuk离开Juniper

2005年4月1日，原NetScreen QA Department Director Ting Tan离开Juniper.

2005年5月9日，Juniper SPG宣布推出GigaScreen III ASIC based ISG2000+IDP和ISG1000产品。

2005年5月11日， Juniper SPG 发布ScreenOS操作系统5.2.

2005年6月，原Netscreen VP of Marketing, David Flynn, Left Absense。后悄然离开Juniper.

2005年6月14日，NetSreen ASIC R&D负责人，SPG Advanced Technology Center Director Wen Wei离开Juniper.

2005年8月22日，Dongping Luo宣布NetScreen GigScreen ASIC Jupiter-3流片.

2005年10月1日，柯严，Co-Founder of NetScreen Inc., VP of SME Product Line, Chief Architect, SPG, Juniper, 离开Juniper.

2005年10月24日，Juniper SPG发布ScreenOS操作系统5.3.

2006年2月17日，原NetScreen Founding Engineer, Juniper DE, Chief Architect of SPG SME Engineering, Yuming Mao离开Juniper.

2006年2月28日, 原NetScreen网络部门负责人Changmin Liu, Juniper DE离开Juniper.

2006年4 18日，原NetScreen ScreenOS Department Director Roger Lian离开Juniper.

2006年5月19日，SPG ScreenOS Department Infrastructure Group Manager, Jiawei Jang, 离开Juniper.

2006年7月24日， Juniper SPG发布ScreenOS操作系统5.4.

2006年9月11日，根据Infonetics的研究报告，Juniper宣布其网络安全产品营业额在2006年第2季度排名第2。这是NetScreen安全产品历史上第一次从营业额的指标评比中占据全球第2的地位。另外，其高端防火墙产品系列在营业额和卖出数量方面皆超过Cisco. 在SSL/VPN方面，依旧保持第1的位置。在安全路由(Secure Routing)方面，占据第3，其ScreenOS为操作系统的SSG产品系列获得了成功。在IDP方面，位居第4。

2006 年9月14日，原NetScreen Board/System部门负责人，SME产品线负责人，中国研发中心总负责人， Jian Tong，离开Juniper.

2006年9月22日，原NetScreen GigaScreen ASIC主要贡献者之一，Juniper SPG Advanced Technology Center Senior Manager, Dongping Luo, 离开Juniper.

2006年10月6日，原NetScreen SME产品线 Senior Manager, Ning Mo, 离开Juniper.

2006年10月13日，SPG VPN Group Senior Manager, Tim Liu, 离开Juniper.

2007年4月19日, Juniper发布ScreenOS 6.0

2008年1月28日, Juniper发布ScreenOS 6.1

2008年11月7日, Juniper发布ScreenOS 6.2

2008年6月30日, NetScreen NS25/50, NS500 EndofLife.不再对外发货.

2008年9月15日, Juniper发布世界上最高端的防火墙系统SRX5800系列.

2008年9月30日, NetScreen NS5XT, NS204/208 EndofLife. 不再对外发货.

2008年12月31日, NetScreen NS5G EndofLife. 不再对外发货.

2009年3月9日, Juniper发布SRX 3000系列

2009年9月1日, Juniper发布ScreenOS 6.3 //最后一个发布

2010年4月1日, 原NetScreen/Juniper 网络安全产品线Kernel Group负责人, SRX5000平台主要负责人之一Huailin Chen离开Juniper.

2012年9月3日, Juniper网络安全产品线SRX系统和Flow Group重要负责人Dongyi Jiang, Jin Shang离开Juniper.

2013年2月, Juniper北京研发中心负责人Frank Zou因为Juniper机构调整离开Juniper.

2013年2月, Juniper网络安全产品平台部研发总监Shuhua Ge因为Juniper机构调整离开Juniper.

2013年2月, Juniper北京研发中心平台部负责责人Qiuyuan Liu因为Juniper机构调整离开Juniper.

2014年1月13日, Hedge Fund Ellio发布关于Juniper的分析报告,其中关于NetScreen的收购被定义为失败和可惜了这个产品线.

2014年4月, Juniper网络安全产品平台部, DE Edward Ping因为Juniper机构调整离开Juniper.

2014年4月, Juniper网络安全产品平台部研发总监Jiaxiang Su因为Juniper机构调整离开Juniper.

2014年8月， Juniper网络产品线正式并入交换机产品和解决方案产品线。简称S3 BU。中国工程师戏称为小3. 宣告NetScreen产品线的正式结束。

分享

分享

1997年10月30日 NetScreen 公司成立，创办人为邓锋（Deng Feng），柯严（Ke Yan）和谢青（Xie Qing）

1998年1月2日 Internet Domain “netscreen.com“ 注册.

1998年6月，NetScreen推出其NetScreen-100和NetScreen-10网络安全产品.

1998年8月，NetScreen推出其NetScreen-Remote VPN Client网络系统软件.

1998年10月，Robert Thomas加入NetScreen Tech Inc.并出任CEO & President。其时NetScreen Inc.员工为38人。32人为中国工程师。

1999年9月，谢青，NetScreen三共同创始人之一，离开NetScreen。

1999年9月，NetScreen推出其NetScreen-5网络安全产品。

1999年11月，NetScreen完成并推出其第一代GigaScreen ASIC.

1999年9月，NetScreen推出其NetScreen-Global Manager 网络管理系统软件。

1999年，NetScreen员工人数达 45人。

2000年3月28日，Efficient Networks Inc.(NASDAQ：EFNT)宣布以9亿5百9十万美金的股票交换收购NetScreen。

2000年5月4日， NetScreen发布ScreenOS操作系统2.0.

2000年5月，NetScreen推出其GigaScreen ASIC Based NetScreen-1000网络安全产品。

2000年6月5日，Efficient Networks(Nasdaq: EFNT) and NetScreen联合宣布取消之前的购买合并计划。

2000年9月18日，，NetScreen发布ScreenOS操作系统2.1.

2000年12月18日， NetScreen发布ScreenOS操作系统2.5. 2000, NetScreen员工人数达180人。总卖出设备量为15140台。

2001年2月22日，西门子(Siemens)出价15亿美金收购Efficient Networks公司。Efficient曾于2000年试图以9.1亿美金的价格收购NetScreen.

2001年3月，NetScreen推出其NetScreen-Global Pro Manager 网络管理系统软件。

2001年4月30日， NetScreen发布ScreenOS操作系统2.6.

2001年5月，NetScreen推出其NetScreen-500网络安全产品。

2001年6月，NetScreen推出其NetScreen-5XP网络安全产品。

2001年6月，NetScreen完成并推出其第二代GigaScreen ASIC.

2001年9月10日， NetScreen发布ScreenOS操作系统2.7.

2001年9月30日，NetScreen员工为332名。其中96研发(R&D)人员；149名销售和市场人员。30名客户支持，和57名管理和运营人员。

2001年10月1日， NetScreen发布ScreenOS操作系统3.0.

2001年10月5日，正式提交SEC S-1文件.

2001年11月，NetScreen推出其NetScreen-25/50网络安全产品。

2001年12月12日, NASDAQ IPO. 股票代号为NSCN。以每股16美金的价格在NASDAQ股票市场公开发售1千万(10Million)股票。开盘价23.76美金; 收盘价23.72美金. 公司市值为15亿9千4百万美金.

2001年12月28日， NetScreen发布ScreenOS操作系统2.8.

2001, NetScreen员工人数达329人。总卖出设备量为43915台。

2002年1月2日， NetScreen发布ScreenOS操作系统3.1.

2002年1月，NetScreen推出其NetScreen-204/208网络安全产品。

2002年4月15日，NetScreen推出其GigaScreen ASIC II Based NetScreen-5200网络安全产品。

2002年6月20日，邓峰与柯严同时获得著名的Ernst & Young北加州地区2002年度企业家荣誉。

2002年6月25日，NetScreen的NetScreen-1000产品获得Frost&Sullivan评选的2002年度产品发明工程奖。NetScreen-1000是工业界第一个达到千兆位(Gigabit)数据处理速度的防火墙产品。

2002年8月1日， NetScreen发布ScreenOS操作系统4.0.

2002年8月22日，NetScreen Inc. 以$40.3 million收购OneSecure Inc. OneSecure创办人Nir Zuk出任NetScreen CTO.

2002年9月18日，NetScreen Inc. 完成对OneSecure Inc.收购.

2002年9月30日，NetScreen员工为493名。其中149研发(R&D)人员；225名销售和市场人员。35名客户支持，和84名管理和运营人员。

2002年9月，NetScreen推出其NetScreen Remote网络安全产品。

2002年9月，NetScreen推出其NetScreen-IDP 100网络安全产品。

2002年10月，NetScreen推出其GigaScreen ASIC II Based NetScreen-5400网络安全产品。

2002年11月，NetScreen推出其NetScreen-IDP 500网络安全产品。

2003年2月10日，NetScreen总部从位从350 Oakmead Parkway Sunnyvale, California迁址于805 11th Ave., Sunnyvale, California, USA。占地约156,000平方英尺。

2003年3月12日，NetScreen宣布，根据著名的Infonetics Research机构对2002年第4季度全球防火墙和VPN的市场分额调查报告，NetScreen高端网络安全产品(售价超过3万美金的系统)占据第一，拥有33%的市场分额。

在2002年第3季度，NetScreen高端产品的分额为28%.

2003年7月1日，NetScreen宣布，根据著名的Infonetics Research机构对2003年第1季度全球防火墙和VPN的市场分额调查报告，NetScreen高端网络安全产品(售价超过3万美金的系统)继续占据第一，拥有32+%的市场分额。 在中端产品(售价位1万到3万美金之间)上，NetScreen占据17%的分额为全球第二。在全球总体网络安全产品销售分额上，排名第三。

2003年7月7日，NetScreen向业界展示其安全产品对IPV6的支持和承诺。

2003年8月18日，NetScreen宣布中国联通(China Unicom)选择购买其安全产品。

2003年9月12日，邓峰被著名的CRN杂志评选为2003年25位发明创造者(Innovator)荣誉获得者之一。同时入选的还有Google Inc.的创办人Sergey Brin和Larry Page。

2003年9月17日，NetScreen宣布，根据著名的Infonetics Research机构对2003年第2季度全球防火墙和VPN的市场分额调查报告，NetScreen在全球总体网络安全产品(Firewall/VPN)销售量(Unit)分额上，排名第二。

2003年9月30日，NetScreen员工为646名。其中181研发(R&D)人员；277名销售和市场人员。75名客户支持，和113名管理和运营人员。

2003年10月6日，NetScreen宣布以10.9million股票和20million现金的方式收购Neoteris Inc.。

2003年10月，NetScreen完成并推出其第三代GigaScreen ASIC.

2003年11月17日，NetScreen宣布完成对Neoteris公司的收购。

2003年12月9日，Anson Chen, 原Cisco Intelligent Network Services Management Business Unit Vice President & General Manager, 加入NetScreen Inc.出任VP of Engineering。邓峰转任Chief Strategy Officer(CSO).

2003年12月18日， NetScreen发布ScreenOS操作系统5.0.

2003年12月31日，NetScreen员工为859人。

2004年2月9日，Juniper(JNPR)以NSCN股票2月6日市值26.40美金为基点，出价约40亿美金并购NetScreen.

2004年3月17日，NetScreen宣布其赢得VARBusiness杂志对北美信息技术设备公司在销售渠道合作方面等的5星级的评估。

2004年4月6日，NetScreen宣布SWIFT在其3300台NetScreen-5XT设备的基础上，将计划在2004年底铺设多于10,000台NetScreen-5XT设备来保护其分布于200个国家的7,500家金融机构。

2004年4月16日，NetScreen宣布推出GigaScreen-III ASIC based ISG2000产品.

2004年4月16日，JNPR和NSCN的股票拥有者各自批准了Juniper对NetScreen的并购。NSCN在NASDAQ正式消失。NetScreen股票持有人共占Juniper股票的24.5%.

2004年4月19日 Post-NetScreen Era

分享

分享

来源：逸语道破微信

［编者注：弯曲评论转发这篇文章，不代表全部认同作者观点。］

2014年注定是个不太平的年份：一次世界大战爆发100年；甲午战争爆发两个甲子；以及棱镜门的1周年。或许是某种难以名状的巧合，这三件事情不仅在发生的当时，而且在2014年，都与中国有着若即若离的关系：一次大战爆发的100年后，众多讨论集中在如何避免中美之间重复英国和德国的大国悲剧；甲午战争120年后，相类似的情境依稀在崛起的中国与翻身的日本之间再度展开，不同的是双方的战略态势隐约有了相当的不同；1周年的棱镜门除了中国大陆这似乎被纪念的不多，但斯诺登披露的网络安全战略博弈正逐渐从幕后走向台前，不仅成为大国战略博弈中的新战场，而且还有日趋引发战略关注，成为战略博弈最前沿的态势。

于是，甲午，一战与棱镜，三者围绕着中国，联系到了一起。这大概是历史老人的一种特殊偏好：将考验和机遇同时放在了中国的面前。如何在2014年回答好历史老人给出的这份答卷，恐怕在一定程度上，将成为影响未来中国历史走向的重要分水岭之一。

都说2014年的世界已经迈入了移动互联网的世界，那么就从最年轻，也是最新鲜的棱镜开始说起吧。

棱镜门的曝光，及其热议，整体而言，具有一定的偶然性。整体看，其中起到决定性作用的，仍然是美国国内的个人主义思潮和国家安全战略实践之间的结构性冲突，是美国自911之后国家安全能力扩张引发的反弹；但颇具讽刺意味的是，让棱镜事件变成不同于其他类似事件，如食肉动物系统等被披露引起的波澜的，是美国政府主导的针对中国的网络安全舆论攻势：从2009年开始，美国就开始着手塑造中国威胁论的最新版本—中国黑客威胁论；而2013年的上半年，以曼迪昂特发布APT1报告为起点，美国在全球主流媒体中掀起了一次网络安全的舆论攻势，这次攻势的效果之一，就是将受众的注意力聚焦到了网络安全这个原先并不热闹的领域中，并初步因为美国成功的规训形成了这样一种认知—中国是坏人，世界很无辜，美国是唯一能抓坏人的超级英雄。

而斯诺登披露棱镜门，就是在这关键时刻上演的大逆转：原来，美国才是那个最后的boss；同时，斯诺登暴露的美国监控又是如此的具有震撼效果，无论是范围、力度，还是对象，清晰的展现了美国的盟国其实是分三六九等的，即使如德国，尽管单向度的对美国一往情深，但仍然是美国监控的对象。实在是，情何以堪。

回到中国，除了少数粉丝，或者比较幼稚的好事者，中国在棱镜之后更多的是“果然如此”的确定，以及，不算很小的尴尬，因为中美战略能力差导致的尴尬，这种尴尬不需要中国情何以堪，但需要中国认真反思。

从反思的角度来看，棱镜项目折射出了长期支撑美国网络安全的三大支柱，分别是技术、战略和话语能力，借助三根支柱，美国在现阶段，至少在网络安全领域，对中国构成了显著的，甚至，是压倒性的优势。

这三根支柱中，技术支柱，发挥着基础和前提的作用。美国国家网络安全战略制定的背景和大前提，就是美国政府以及美国的公司，保持着对网络空间基础设施以及关键技术应用的绝对控制和优势，这里的绝对控制和优势，指的是其他任何国家都无法单独凭借自身的力量，建立并接入国际网络空间，这种优势不是一个单独的点，甚至也不是一个面，而是一个立体的体系乃至覆盖/包含一个完整产业生态系统的完整网络；战略支柱，是支撑美国国家网络安全的关键。

美国网络安全战略的最大特征是连续性、继承性和完整性。

连续性特征表现为战略概念在较长时间段内的持续适用。1945年8月16日，美国陆军军法处的负责人就给美国国务院史汀生国务卿发出绝密备忘录，界定并讨论的信号情报活动合法性。最终的结论，是将信号情报界定为通讯一方或两方都是外国政府、个人、组织的情报，而无论其使用的具体通讯方式，也无关于通讯发生的地点，监听的方式涵盖对无线电通讯信号的拦截、对有线电话的窃听、对无线电广播的拦截乃至对无线电台的占领（以阻止其继续传送信号）。在棱镜项目中披露的资料显示，棱镜项目监听的数据，同样属于“信号情报”的范畴，尽管经历了互联网革命，但定义仍然是1945年的定义。

继承性表现为无论技术背景亦或者管理组织体系如何调整，整体战略概念、实施框架和主要手段保持相对稳定。棱镜项目不是第一个更不是唯一一个被曝光的网络监听项目，自1947年至今，在网络空间已知被披露的类似项目，根据不同的统计口径，有12-16个之多： 1943年美国、英国、澳大利亚、新西兰、加拿大、澳大利亚签订《五国情报交换协议》，建立面向全球的电子监控系统“梯队”，从那时至今，从未间断过对全球的监视；1947年到1973年的“三叶草”项目和1960年代的“尖塔”项目，在互联网诞生之前，就对美国的国际电报联系展开全面的监控；在1978年《对外情报监督法》颁布之后，美国联邦调查局继承了美国海军情报局的电话监控系统，将其在Sun Solaris系统上发展成为针对国内通讯的“食草动物”系统，又在1998年9月将其移植到Windows NT系统上，变成了“食肉动物”系统，主导这一系统研制、迁移和管理的，就是作为棱镜系统中发挥关键作用的美国联邦调查局数据拦截技术单位。这种系统运作和项目管理上表现出来的继承性，从没有真正被美国国内政治中断过。

最典型的案例，就是在2007-2008年间对《1978年对外情报监督法》的修订：如引言部分所述，2001年911恐怖袭击事件之后，小布什在5年时间里，实现了“无需搜查令的窃听”，也就是试图绕开《1978年对外情报监督法》的限制，虽然为此遭遇到了国内政治的猛烈批判，但最终的结果，是2007年小布什结束“无需搜查令的窃听”，而《对外情报监督法》被修订，“允许政府为了反恐，在没有搜查令的情况下监听美国公民的通讯最长不超过一周”，也就是说，政治上作秀的谴责之后，有碍监听行动的法律最终被修改了。

完整性的含义是美国网络安全战略覆盖范围完整的包括防御、监控、塑造三个不同层次的目标。这三个目标，最基础的“防御”关注如何确保敏感信息与数据、关键系统、节点、基础设施处于安全状态，“监控”侧重掌握网络空间的信息和数据流动，网络司令部提出的“积极防御”指出可以在网络空间甚至是物理世界里越境攻击可能面临美国国家安全的潜在威胁，“塑造”则着重关注培育一个有利于美国的全球网络空间，而在这样一个空间里，美国有可能实现“不战而屈人之兵”。

自20世纪40年代至今，美国国家安全战略框架中从未缺少过有关信号情报以及全球范围信息流动控制的内容，尽管存在多部门的竞争与合作，但在事关国家安全与网络的问题上，美国各部门之间的协调、一致，要超过之间的分歧和竞争。因为这种连续性、继承性和完整性，自20世纪90年代中国接入全球网络以来，至当下以及可见的将来，美国的决策者天然的会倾向于将网络安全问题纳入国家安全的框架下进行分析和理解，并参照冷战时期美苏对抗以及后冷战时代的反恐与维护国家安全的需要，对其所认定的来自网络空间的“威胁”做出反应，这是一种决策者的思维定势和认知心理，短期内难以发生实质性的变化。

美国网络安全的话语支柱，是最容易被人忽略但同时具备最重要的潜在影响力的支柱。话语支柱的主要体现，是美国政府对全球舆论空间，包括他国境内的民间舆论，所具有的议程设置能力以及以战略沟通为主要特色的舆论塑造能力。话语支柱的功能，是减少乃至消除在全球范围扩展美国网络安全时所遭遇的阻力。如前所述。美国网络安全战略本质，是将美国的主权边界扩展至与全球网络空间尽可能重合的状态，在此过程中，面临的最大阻力，是西方国家在17世纪创建并拓展到全球的国家主权观念。话语支柱的任务和功能，就是改变美国之外国家的各类个体对美国行动的抵触程度，通过塑造议程和解释框架，实现三重目标：首先，淡化美国网络安全战略的主权属性，凸出其全球属性，以互联网自由概念为核心，将美国网络安全战略塑造成为实现全球公共利益而非美国国家私利的普世战略；其次，凸出放大乃至夸张全球信息自由流动的属性，淡化、掩盖乃至无视美国事实上具有的影响和塑造信息流动的能力，将“信息自由流动”和“（除美国之外的）主权国家无权管制信息流动”等观念以舆论战、心理战的方式植入受众的潜意识中，促成其接受和认可美国网络安全战略的内嵌解释框架；第三，提供符合受众审美偏好的预设了结论的解释框架，消除美国网络安全拓展过程中遇到的各种障碍和阻碍。

与此相对应的，折射出中国在网络安全问题上面临的三重挑战：

第一重挑战是技术上的弱势地位带来的挑战：由中国创造的海量数据在美国公司研发的系统软件、关键设备和基础设施中处理、存储、传输及使用，以智能终端和云计算技术为主体构成的移动互联更是极大的促使数据来源的多样化和存储的集中化，中国政府并没有足够的能力保障这些数据最终不会被用于威胁和挑战中国的国家安全。这意味着整体而言，中国网络空间处于失控、无序、失范的边缘，中国国家安全面临被迫对美国单向透明的尴尬境地，国家安全面临严重威胁。

第二重挑战是缺乏系统的国家网络安全战略带来的挑战：中国目前尚未形成整体性的国家网络安全战略，在面临来自美国的系统性的战略挑战时，只能“头疼医头脚疼医脚”，以膝跳反射式的个案处理方式来应对技术上占据优势的 美国的系统性的战略压力，后果自然可想而知。

第三重挑战是国家网络安全战略话语体系缺失带来的挑战：棱镜事件爆发之后，在持续至今的一年多时间里，在操作层面，凸显出的是中国网络安全战略话语体系的缺失，要么不说话，要么进行道德谴责，要么说没人听懂的话。

而要有效应对这些挑战，中国就必须从历史中吸取经验，尤其是，来自一次大战和甲午的经验

分享

分享

原文来自：信息安全与通信保密杂志社

又到了一年一度的黑客大会，在黑客大会召开的这一周里，全球的黑客和安全专家空降到拉斯维加斯炫耀他们的技能，并揭晓一个又一个听起来非常可怕的攻击方式。几周以前，想必大家也都听闻了一些新的攻击方式，如被恶意代码攻击导致飞机坠毁，间谍通过你设备中的摄像头监视你的行为，以及一些秘密的、不易察觉的代码可以使一个普通的U盘变成一个传播恶意代码的工具。
在过去，这些攻击方式可能更多地停留在理论上，但是，随着网络连接的不断发展和完善，它已经逐渐影响了我们的现实生活，带来可怕的影响。接下来让我们一一揭晓在2014年Black Hat和Def Con黑客大会上最可怕的安全事件。

　恶意USB：沉默但却致命

我们先从一个令人震惊的事实说起。安全研究实验室（Security Research Labs）的研究人员表示，他们已经创建了一种概念验证攻击，专门针对拇指驱动器固件（thumb drive’s firmware），而不是该固件上存储的文件。受感染的驱动一旦插入到任何PC端，都会伪装成键盘下载恶意软件。
由于大多数的驱动硬件制造商不会采取任何措施保护其固件，且反恶意软件解决方案也不会扫描驱动固件以检查恶意行为，理论上这种攻击可以将这种难以发现和难以制止的恶意软件传播到PC端，而同时也将会感染到连接该PC端的USB工具。幸运的是，目前这种类型的攻击在现实中还没有出现。
　机载Wi-Fi漏洞

IOI研究员Ruben Santamarta表示，他可以通过飞机上提供的Wi-Fi和空中娱乐系统黑进飞机的卫星通讯系统，机载Wi-Fi和空中娱乐系统为黑客打开了攻击的大门，他们可以控制飞机的航线和安全系统。
英国路透社指出，基于这种袭击的概率和潜在危害最小化的心理，一些通讯设备制造商对于这种威胁的重视程度并不高。不过，一些通讯设备供应商表示，他们已经修复了Santamarta曝光的漏洞。
　　监控录像机上的把戏

Synack的Patrick Wardle和Colby Moore拆解了一台价值200美元的监控录像机以查看其工作原理，他们发现在一台被黑的Dropcam（多功能的无线网络视频监控摄像头）上黑客可以查看存储在其中的视频，或者黑客还可以上传来自该录像机的第三方视频。Wardle指出，该漏洞可以使攻击者劫持或接管视频流。
幸运的是，假如黑客想要黑进你的监控录像机的话，那么他需要物理地接触到你的监控录像机，以便在录像机上做些手脚。但是，换句话说，如果黑客真的可以有足够的时间，并无所顾忌、无拘无束的进入你的家中来完成这一系列的攻击动作时，那么你遇到问题可能要比监控你的录像机还要严重。
破解Tor网络

从丝绸之路毒品交易的终止到美国NSA前雇员Edward Snowden泄密事件，Tor网络在过去一年里一直是众人关注的焦点。当你在浏览网页时，通过一个又一个的节点最终到达你要浏览的网站，Tor在这个过程中为你提供的是匿名服务，每个节点只知道它将要连接的下一个节点的身份。但是，Carnegie Mellon的研究员Alexander Volynkin指出，现在可以以一种很低的成本破解Tor网络的匿名服务。
但是，怎样破解目前仍然未知。而Volynkin突然取消了他在Black Hat的演示，Tor网络运营商发现了一组试图破解用户匿名的恶意节点，而这些节点被怀疑与Volynkin取消的演示内容有关。
　　赛门铁克终端无保护

Offensive Security的首席培训师和开发者Mati Aharoni在赛门铁克的终端保护系统中发现了三个漏洞，可以使攻击者对受害者的电脑进行高级别的访问。也就是说，攻击者可以通过你的安全软件破解防御。
据传，赛门铁克似乎已经修复了这个漏洞。
　最易攻击的网络设备：路由器

先不提软件，家用网络设备本身就是安全系数降低的一个源头。在本次黑帽大会的一个主题演讲中，In-Q-Tel的首席信息安全官Dan Geer以路由器为例，指出路由器是攻击者们最容易攻击的目标。攻击者们通过网上浏览很容易找到这些路由器，而在这些路由器上通常都保持着默认登录信息，而且大部分的用户从来没有想过要把他们的路由器升级到最新版本。
当然，很多人也已经意识到家庭网络已经是一个很大的漏洞。在本次Def Con会议期间，将有一场由电子前线基金会（Electronic Frontier Foundation）赞助主办的路由器攻击比赛，被人戏称为“SOHOplessly Broken”。
　　NAS漏洞

一名研究人员表示，网络附属存储（NAS）设备比路由器的漏洞还要多。Independent Security Evaluators的一名安全分析员Jacob Holcomb在2013年曾做过一项关于路由器漏洞的大调查，同时在今年的黑帽大会上他也关注了NAS盒子的安全漏洞问题。
Holcomb说：“至少50%的NAS盒子是没有经过授权而使用的，利用ARP欺骗攻击的技术，攻击者在破解一个NAS设备之后，也可以劫持相同网络上其他设备的流量。”
更可怕的是，当Holcomb把他发现的这些漏洞报告给NAS盒子厂商，发现这些有漏洞的设备都还没有打好补丁，而用户将可能需要几个月的时间才能实现NAS的修复。
　　网络管理工具助纣为虐

还记得Carrier IQ，以及在它成立之初引起的轰动吗？它是第一个rootkit技术，是帮助运营商管理网络性能的计算工具，而实际上它可以使运营商监控你手机上的所有流量。Accuvant的Mathew Solnik和Marc Blanchou在本次黑帽大会上指出，这款由运营商放置在手机上的设备管理工具可以使你的手机更容易受到攻击。这款应用可以用于运行远程代码，并绕过操作系统的本地防御。
研究人员指出，在全球范围内，有70%到90%的手机内部都有这一设备管理软件，由于这个易受攻击的OMA-DM协议，其他的设备（+本站微信networkworldweixin），如笔记本、无线热点、物联网设备等也都存在风险。
　　物联网漏洞

有关物联网的漏洞已经成为此次黑帽大会上黑客讨论的热点问题，而目前内置无线连接设备的安全问题以扩展到了更多设备和家用电器中。Qualsys的研究员Silvio Cesare将展示如何将一个由简单的、容易获得的零件组成的工具修复好，同时解决智能钥匙系统遇到的问题。
Cesare说：“我可以用这个工具锁车、开车，或者打开汽车的后备箱。它可以轻而易举地击败智能钥匙的安全系统。”
　　黑进酒店

在本次黑帽大会上，安全顾问Jesus Molina讲述了跟多关于物联网安全漏洞的细节，非常实用，也令人大开眼界。在深圳瑞吉酒店，Molina已经弄明白如何利用驱动应用的KNX/IP家庭自动协议，对提供给酒店客户使用的“Digital Butler” iPad应用进行反向工程。Molina只是演示了一下利用这种漏洞控制走廊里的“请勿打扰”灯的触发装置，不过他说这一漏洞还可以控制电灯、电视、温度调节器、室内音乐等，甚至200多个房间内的自动窗帘，而黑客在别的国家就能完成这样的攻击。
对此，瑞吉酒店并没有证实这一说法，但在《南华早报》的采访中，该酒店表示已暂时停止对室内iPad远程控制系统的升级。
　　俄罗斯黑客数据库

上周最骇人的安全事件不是发生在美国拉斯维加斯的，而是发生在亚洲的。Hold security的Alex Holden指出，一名俄罗斯黑客积累了一个庞大的数据库，其中包含了12亿被盗的用户名和密码组合，以及5亿个邮箱地址。
这一消息的发出同时也带来一些疑点， Hold security还推出一项每月120美元的安全服务，通过这一服务可以知道你的名字是否也出现在俄罗斯黑客的数据库中。尽管Holden在安全领域很有声望，但是这一做法不得不让人怀疑整个事情的真实性。然而，记者Brian Krebs表示，他看到过Holden的数据和研究的第一手资料，可以肯定这一切都是真的。
　　攻击：在现实世界里潜伏着

看了这么多可怕的攻击方法和黑客攻击事件，想必你肯定会觉得生活中处处存在漏洞，没有什么安全可言。但是，你不必担心，这些在Black Hat 和Def Con黑客大会上演示的攻击的确很可怕，也时刻威胁着我们的数据和设备的安全，但这些攻击大多数都还只是停留在理论和学术层面上，并没有真正地被黑客们实现过。

分享

分享

布朗大学最近研发的图片编辑算法，可以通过简单的文本指令，瞬间改变图片中的天气，季节，呈现出一天中不同时刻的下效果。

该算法要求用户用自然语言指令，录入一系列包括天气，时刻，季节等特征。举例来说，想让一张晴天的照片变成雨天，只需要导入一张图，并且输入“more rain”就行了；一张七月的图片想让它更像一月拍的，那你只需要输入“more winter”。该算法可以通过常见的40余种室外天气特征来编辑图片。

这项研究的初衷是方便那些不熟悉图片编辑软件复杂操作的多数人，让他们能很容易的编辑和调节图片。

改变图片里的天气涉及很多细节，不仅是将蓝天变成灰色，还要对真个图片的颜色和对比度进行调节。这项操作对专业的图片编辑都要费一番力气，而这种新算法利用机器学习技术，使得这一切可以一键完成。

项目伊始，开发团队设定了四十种不同的环境特征，从简单的阴天，晴天，下雪，下雨，起雾，到主观性的阴郁，明朗，敏感，神秘，或是冷静。第二步是训练算法，这些不同的特征到底是什么样的。为了达到这个目的，研发者通过设置在世界各地的101台固定摄像头来采集同一景象在不同环境条件下的图片，并录入数据库。利用Mechanical Turk，借助人工标记超过8000张图片的特征（特征来自于先前设定的40种之中）。这些被标记了的图片被用于训练算法。

该项研究将会在即将召开的SIGGRAPH 2014进行展示。

参考链接：http://phys.org/news
项目链接：http://transattr.cs.brown.edu/

分享

分享

科技一周~Smart Shopping Mall and More…

2014/08/10

这世上，倘若有个地方是女人之钟爱，那一定非Shopping Mall莫属。无论你是下里之凤姐，还是华贵之奶茶，总还是要找个地方去逛街购物，总还是要给你背后的男人一个打开钱包的机会。然而，现行的这种逛街体验存在了数十年，对于女人的消费刺激渐趋日衰之势。如何能改善体验并进一步刺激女人们的消费，则成了许多商店的新课题。于是，高科技公司的机会来了：打造Smart Shopping Mall，让女人的消费更迅捷更有效更庞大！让她们背后的男人永远刷爆！

• 在打造新一代智能购物商场的方案里，类Apple iBeacon系统起着至关重要的作用。近日，商业地产集团，Simon Property Group，宣布将联合Mobiquity Technology公司，在自己旗下近200个购物中心里，架设Mobi-Beacon网络，以期为顾客打造新型的购物体验[1]。此次，Mobiquity所提供的Mobi-Beacon网络，基于BLE（Bluetooth Low Energy）技术，并且全兼容Apple 的iBeacon，可以使得iOS设备无缝接入Mobi-Beacon网络。Simon是美国最大的商业地产集团，旗下拥有约400个购物中心，其中最著名的要数遍布全美的Premium Outlets。Simon希望凭借Mobi-Beacon网络，为门店与顾客提供一个实时互动的消费体验，例如，基于顾客的位置信息，提供店内导航服务；基于顾客的消费历史，提供实时的打折点卡；更吸引人的是，顾客甚至不需要拿出信用卡，便可以完成对商品的购买。可以说，自从Apple在自己的门店内架设iBeacon以来，美国的购物中心纷纷效仿，一波“Smart Shopping Mall”的浪潮正在袭来，这自然是女人们最希望看到的。
• iBeacon的核心技术是BLE，但BLE却不仅仅可以用在提升购物体验上，例如，现在越来越火的穿戴式设备里，便有相当一部分也采用了BLE技术。今天要介绍的穿戴式设备会令男士们相当的性奋。最近，英国成人用品零售商Bondara展示了一款新设备~性爱计数环，SexFit[2]。SexFit采集性爱数据，并通过BLE技术，与智能手机通讯，从而可以告诉用户，in-n-out的频率，消耗了多少热量，甚至可以把自己强大无比的性爱数据分享到Twitter和Facebook上。试想一下，当你发送了一条这样的微博：“人生不过深深浅浅，起起伏伏，幸运的是，我们的记录永不磨灭…恭喜你们，击败了世上99%的情侣！恩爱等级：当时一见已销魂~sent from SexFit”，你的朋友们会是何等的震惊！！

本周科普，谈一下关键的BLE技术，俗称“智能蓝牙”（Bluetooth Smart）。在谈论BLE之前，我想先说一件其它的事情：最近，诺基亚北京分部被裁撤，有中国某公司员工对诺基亚以及被裁的员工极尽嘲讽之能事。这其实并非是一种好的态度，殊不知，每一个公司都会有兴盛与衰落[3]，我们不应当只看到一个公司的失败，还应当看到它曾经为人类历史做出的贡献。一个公司，倘若可以在自己的墓志上铭刻下许多推动世界进步的技术，那么在我眼里，这远比那些跟风发财的公司值得尊敬。

诺基亚正是这样一个值得我尊敬的公司。智能蓝牙技术便是由诺基亚在2006年研发出来（当时叫做Wibree），并于2010年成为一项蓝牙标准，现在已被几乎所有的智能手机支持。BLE的出现，使得移动支付在NFC技术之外，又多了一种选择，并且与NFC相比，BLE拥有很多优势。BLE采用2.4GHz的射频频率，这与传统蓝牙频段兼容，可以覆盖100米的通讯距离，而NFC则只能完成4厘米以内的通讯。这种技术上的差别，使得BLE非常适合用来进行室内导航，与门店实时交互，以及移动支付。与另外一项普及的通讯技术，Wi-Fi，相比，BLE的功耗低得惊人，只有0.01~0.5 watts，而Wi-Fi虽然通讯距离更远，但其功耗则是BLE的30倍以上。在移动设备受限于电池容量的前提下，用Wi-Fi来进行移动支付并不是一个明智的选择。

虽然，NFC技术在功耗和价格上更有优势（因为NFC技术是无源的），但BLE在通讯距离、安全性、交互性、以及易用性上来说则比NFC更优秀。所以，综合来说，BLE是现在备选的几个移动支付技术里，最有希望的一个。下面所附之图给出了BLE与NFC的详尽对比。

[1]. The Wall Street Journal, http://online.wsj.com/article/PR-CO-20140804-906174.html , Aug 2014.

[2]. Daniel Cooper, SexFit is a pedometer for your penis,  http://www.engadget.com/2014/08/07/bondara-sexfit-i-used-to-be-a-serious-journalist/ , Aug 2014.

[3]. 硅谷寒, 科技一周~没有梦幻的公司, http://www.valleytalk.org/2014/01/26/23253/ , Jan 2014.

图1. http://cdn1.appleinsider.com/ibeacon-131206.jpg

图2. [2]

图3. http://www.retailcustomerexperience.com/images/BLE-vs-NFC-infographic.png

分享