三天!
三天的时间可以做什么?
玩《360英雄》大概能撸数十场;来一场不想走也得滚的中短程旅行;埋头备战补考,增强了信心或认识到自己是真没救了……
又或者,经历了一场脱胎换骨式的改变?!
给自己点了一根烟,孙诚挠了挠已经被他抓乱的一头乱发,眼睛却直勾勾地盯着面前又一次陷入了蓝屏重启中的电脑,一种名为兴奋的情绪正在他的脸上不断闪烁着。
“又发现了一处漏洞吗?伙计,干得不错嘛!”
叼着烟,美美的抽了一口,孙诚口中喃喃念叨着。
在过去的几天里,他每天都要在社团活动室里熬到接近断电的点才离开,第二天几乎天一亮又会在第一时间起床赶来社团活动室。
连续几天高强度的作业,孙诚双眼处已经出现了很明显的黑眼圈。
可是,付出了自然会有收获。
三天的时间里,一股脑吸收了大量计算机相关专业知识的他虽然也只是初步把它们给记了下来,还谈不上完全化为己用。
但饶是如此,孙诚的计算机水平也在原来的基础上已经有了很明显的进步。
且不提只需要一个念想,已经被烙印在他脑袋里的丰富计算机知识就会自动浮现供他翻阅。
知识的累积还直接影响到了他眼力跟技术的提升,如今的孙诚早已不再是几天前那个空有宝贝却用不好的幸运儿了。
利用自己那已经不下于普通计算机工程师的技术,从网上下载了几款专业的linux漏洞检测软件吸收融合后去糟留精,他在此基础上自己编写了自己人生中的首款软件,一款被他取名为‘天眼’的linux漏洞检测软件。
说是漏洞检测软件,其实并不完全准确。
与网上提供下载的一些漏洞检测软件不同,孙诚还为天眼添加了一个病毒库,强化了它的攻击性。
在检测linux系统的时候,天眼不仅能使用他从网上找到的一百多种病毒试探系统的安全机制及自带软件,同时还能模拟各种能耗环境,测试软硬件的状态反应及可能存在的硬件漏洞。
一旦在检测的过程中发现有漏洞后,‘天眼’会在自动记录后强制电脑蓝屏重启。
虽然孙诚也承认,他设计出来的这款软件对硬件寿命的危害性极高,但也不能否认,它是一款非常实用的暴力检测软件。
这不,短短一天的时间里,天眼就检测出了基于linux诞生的‘麒麟7.0’版操作系统的五处漏洞,其中就有一处被他名为“心脏出血”(bleed)的高危漏洞,以及一处基于linuxbask)。
更令他没有想到的是,天眼居然还意外的发现了太核芯‘速龙Ⅱ’系列cpu的一处硬件漏洞,掌握这一漏洞的黑客完全可以编写出对应的代码,通过缓存机制,神不知鬼不觉的入侵装备了这一款太核芯cpu的任意电脑中。
仅一天的功夫,天眼还没为‘麒麟7.0’做完全面检测呢,就已经发现了这么多的漏洞,孙诚即兴奋又激动。
这些发现不仅意味着他正在从零开始,编写地那个基于‘麒麟7.0’改进的操作系统将更完美。
同时,越来越多漏洞的发现,也让他隐隐感觉到了,似乎自己创业的初始资金已经有了眉目。
西元2007年,随着搜索引擎巨头google推出‘漏洞奖励计划(vrp)’后,第二年美利坚另一互联网巨头facebook也效仿推出了‘白帽子计划’计划,最终引发了欧美众多互联网企业的跟风。
近年来,国内互联网公司也有样学样,自去年初国内知名社交软件熊猫oo率先公布了‘熊猫骑士奖励计划’后,国内本土企业纷纷自建漏洞奖励平台,鼓励国内外的安全技术高手向企业通报漏洞信息。
此前,oday漏洞(从未被公开,也没有补丁的漏洞)通常在网上的“黑市”流通,被黑客用于网络犯罪获利。
由于厂商往往在漏洞被攻击后才有可能发现漏洞、制作补丁,因此损失也难以避免。
据孙诚这两天在网上搜索到的情报显示,一些人气软件和操作系统的漏洞,在“黑市”标价往往高达几千到数万美元不等,尤其微软新推出的win7操作系统的一些漏洞,在网上甚至可以被卖到数十万美元。
跟国外的软件公司一样,烽火公司为‘麒麟’系列操作软件开出的漏洞奖金并不高,危害性被认定为‘普通’级的漏洞奖金为五百圆,‘中级’的漏洞奖励是一千,‘高危’级的漏洞也不过两千而已。
除此外,如果发现漏洞的人能够提供测试用例,烽火会在原先奖金的基础上给予额外50的奖励,如果能够提供补丁,奖金更会翻倍。
显然,光从奖励上来看,为小气的烽火干活肯定不划算。
与之相比,国内的硬件公司--太核芯,所开出的‘漏洞奖励’无疑就厚道的多了。
逻辑性漏洞1000,功能性漏洞3000,高危漏洞一万起无上限,而且还是美刀,该说真不愧是一家致力于与世界接轨的公司吗?
在发现了‘速龙Ⅱ’系列cpu的硬件漏洞后,孙诚经过测试很快就确定了被自己发现的是一处‘高危漏洞’。
虽然找不到更多的‘速龙’系列cpu来测试,但他有些怀疑,这处架构性漏洞可能不仅仅局限于‘速龙Ⅱ’系列,而是整个‘速龙’系列都有的通病。
如果真是这样的话,那么问题可就要严重的多了。
因为近年来太核芯的母