亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　在廣義的入侵技術(shù)領(lǐng)域中，攻擊者不斷被媒體、隱私保護主義者或偶爾法院系統(tǒng)口誅筆伐，然而一家公司卻可以置身事外，擺脫干系，它就是Vupen Security——被譽為惡意軟件中的“金童”，幫助政府機構(gòu)打擊恐怖主義。從某種意義上來說，Vupen Security可能是這個行業(yè)最“成功”的軍火商。

　　Vupen發(fā)家史

　　總部設(shè)在法國地中海沿岸的蒙彼利埃，由頂級漏洞利用研究員兼董事長 Chaouki Bekrar創(chuàng)建的Vupen今年度過其十周年的生日。這家公司起初并非特意與執(zhí)法部門和情報機構(gòu)交易0-day漏洞。它更像是Netragard之類的傳統(tǒng)網(wǎng)絡(luò)設(shè)備供應(yīng)商，測試客戶軟件中的的bug并提供純防御性的網(wǎng)絡(luò)工具。

　　隨著時間的推移，Bekrar的腦海中浮現(xiàn)出一個更棒的創(chuàng)意。為什么不銷售利用漏洞的攻擊系統(tǒng)？

　　愿意買單的客戶：政府機構(gòu)，可以利用它來定位、監(jiān)控以及抓捕恐怖分子和犯罪分子；其他的公司，如老牌網(wǎng)絡(luò)戰(zhàn)軍火商Gamma Group International，在上世紀(jì)90年代已經(jīng)涉足這個市場，而Hacking Team在2003年就開始進軍，后來還有許多其他的公司紛紛效仿。問題是Vupen能否在競爭中脫引而出。Bekrar堅信他們可以做到。

　　Bekrar認(rèn)為其他公司在這個領(lǐng)域失利的主要原因是過度依賴于第三方的黑客來尋找0-day漏洞。這類公司僅僅扮演了經(jīng)紀(jì)人的角色。相比之下，Vupen內(nèi)部漏洞研究團隊（VRT）獨自完成漏洞挖掘過程中的繁雜工作。這項技能成為了當(dāng)今公司賴以生存的基礎(chǔ)，通過“吸引眼球”的方式來展示自身實力。

　　Pwn2Own比賽上大放異彩

　　早在2007年，一個名為Dragos Ruiu家伙提出舉辦年度黑客馬拉松的想法，旨在挑戰(zhàn)蘋果備受贊譽的“無洞可入”的神話。這項賽事被稱為Pwn2Own，由Hewlett Packard出資贊助并在溫哥華的CanSecWest舉辦。

　　在這項賽事中，黑客們確實找到了Safari和iOS中一些令人難以啟齒的脆弱點。自2008年以后，Pwn2Own擴大了攻擊范圍，不局限于蘋果公司。攻擊成功的黑客會因發(fā)現(xiàn)漏洞并提交給供應(yīng)商用于修復(fù)而獲得現(xiàn)金獎勵。

　　2011年，Vupen橫沖出世，并開始打破常規(guī)。恰巧在成立的第一年，Vupen挖掘并利用了蘋果Mac操作系統(tǒng)中一個先前不知道的0-day漏洞。Pwn2Own官方站出來并準(zhǔn)備好支票予以獎勵。可是Bekrar 及其公司卻說“沒門”-對于Vupen自己的客戶來說，漏洞本身的價值遠(yuǎn)不止于此。

　　Vupen連續(xù)在2012年和2013年P(guān)wn2Own上奪得第一名。

　　2013年，谷歌在ConsSecWest舉辦了自己的黑客大賽，讓所有的參賽者來攻擊它的Chrome OS。兩個團隊取得了成功并分別獲得了60，000美元的支票。但接下來發(fā)生的事情卻頗具傳奇色彩。

　　在Pwn2Own上，Vupen獨家剖析了Chrome，還在OS中也發(fā)現(xiàn)了更多的致命缺陷。但Vupen拒絕了谷歌的現(xiàn)金獎勵，同時回絕了提交相關(guān)技術(shù)或協(xié)助開發(fā)補丁的多次請求（小編：有洞就是任性啊！！！）。不管谷歌如何威逼利誘，Bekrar都拒絕妥協(xié)，堅持認(rèn)為他和他的團隊所完成的事情能夠給Vupen客戶帶來更多的價值（當(dāng)然也給Vupen帶來更多的價值）。

　　今年當(dāng)Vupen再次問鼎時，他們突然變得大度起來，將所有的0-day漏洞共享給相關(guān)的公司，幫助他們修復(fù)問題。

　　Vupen防護菜單上的服務(wù)

　　Vupen仍通過威脅防護計劃（TPP）向客戶推銷防護解決方案。客戶主要包括政府機構(gòu)和公司，并必須嚴(yán)格遵守與Vupen簽訂的保密協(xié)議。

　　TPP客戶在每年訂閱方式上可以通過支付6位數(shù)的美元來選擇基本、加強或綜合服務(wù)。但這只是入會費，僅僅獲得了從菜單中選購的資格。用于入侵蘋果、谷歌、安卓或流行軟件的任何一個0-day漏洞可能花費比每年訂閱費的多好幾倍的費用。

　　為什么公司會樂意買單哪？Vupen通常比其他人提前6-9個月披露0-day漏洞。索尼在2014年11月份遭受可能來自朝鮮的入侵，攻擊者控制了好萊塢工作室中所有設(shè)備和網(wǎng)絡(luò)鏈接長達(dá)一周時間，假如索尼向Vupen支付費用，結(jié)果又會如何？擁有檢測任何系統(tǒng)的漏洞的能力，Vupen更像是企業(yè)和政府客戶的一個保護傘。

　　攻擊至上

　　Vupen也向執(zhí)法部分和政府機構(gòu)推銷漏洞，同時提供由Vupen內(nèi)部漏洞研究團隊發(fā)現(xiàn)的獨家漏洞利用代碼。和FinFisher、Hacking Team、以色列的NICE、俄羅斯的Oxygen software、迪拜的Stratign、瑞士的Talea出品的惡意軟件和其他工具一樣，Vupen提供的漏洞利用代碼能夠讓用戶控制目標(biāo)設(shè)備、監(jiān)聽鍵盤操作、截獲消息、查看所有下載、打開攝像頭和音頻，或甚至更改通信。

　　最大不同：鑒于已在Pwn2Own上展示多次，入侵iOS對Vupen來說輕而易舉，但對其他的惡意軟件制造者卻沒那么容易了。例如FinFisher在iOS系統(tǒng)上略顯笨拙，只能入侵越獄的iPhone和iPad。

　　和防護方案一樣，購買者可以通過每年的訂閱了解到可用的攻擊漏洞。此外，每年的訂閱只是一個開始。政府和執(zhí)法部門機構(gòu)要為每個漏洞利用支付額外的費用。NSA也是滿意的客戶之一。

　　Vupen的金剛不壞之身

　　公開提及“惡意軟件”，“入侵”、“DPI”或“中間人攻擊”等術(shù)語，大多數(shù)入侵產(chǎn)品的制造者都會尋求庇護。

　　為逃避輿論的譴責(zé)，Gamma Group International宣稱已把FinFisher剝離給德國（如今否認(rèn)有任何聯(lián)系）。

　　在法國形勢尤為嚴(yán)峻，涉嫌向卡扎菲提供GLINT Eagle深度包檢測解決方案用于利比亞國內(nèi)的審查和監(jiān)控，Amesys一直在接受法院調(diào)查。法國深度包檢測巨頭Qosmos也受到同樣的審查，涉嫌和德國的Utimaco與意大利的Area SPA合作向敘利亞提供監(jiān)控解決方案。然而，各方宣稱在交付敘利亞之前交易已經(jīng)破裂。Qosmos隨后否認(rèn)了解這個項目的監(jiān)控意圖。Qosmos把ixEngine銷售到世界各地的用戶，包括Protei-俄羅斯最大兼容SORM的設(shè)備供應(yīng)商，并指出所有協(xié)議規(guī)定ixEngine不得用于監(jiān)控目的。有關(guān)深度包檢測用于網(wǎng)絡(luò)管理、針對性營銷與監(jiān)控的詳情請查看這個公告。

　　在法國，技術(shù)公司和監(jiān)控公司無不感受到政府在這個問題上施加的壓力。甚至在同行之間，如果被問及，法國的Aqsaqam也會矢口否認(rèn)與深度包檢測或惡意軟件有任何聯(lián)系。

　　Vupen是如何避開了公眾的口誅筆伐哪？一方面，這個公司的業(yè)務(wù)十分開放；另一方面，Vupen只與北約、澳新美、東盟的成員國或合作伙伴的執(zhí)法機構(gòu)、政府以及國防部合作。Vupen不會銷售給歐盟限制措施所禁止的、美國或聯(lián)合國所禁運的國家。

　　總的來說，天空飄來五個字：Vupen夠機智！