阿里巴巴在美国遭集体诉讼

　　据美国媒体报道，证券诉讼律师事务所Brower Piven宣布，代表2014年10月21日-2015年1月28日购买了阿里巴巴美国存托股的股东，在美国纽约南区法院提起集体诉讼。

　　诉讼指控，阿里巴巴对该公司的业务运营、财务状况以及中国政府监管部门正在对其进行调查等情况发布了“严重虚假和误导性的陈述”。该律师事务所在一份声明中表示，阿里巴巴未能披露，去年7月份——距其IPO仅两个月之前，中国国家工商行政管理总局就曾经告知该公司，该监管部门正在调查阿里巴巴盲目支持的“各种极其可疑——甚至非法——的商业行为”，违反《1934年证券法》。

　　诉讼还指控，在2015年1月28日开盘前，各种财经媒体都报道工商管理总局指控阿里巴巴存在大量假货，而这些指控早在2014年7月就告诉了阿里巴巴的高管。在此消息推动下，阿里巴巴股价下跌，交易量却出奇的高。随后在2015年1月29日开盘前，阿里巴巴公布了季度业绩。

　　诉讼指控，阿里巴巴的营收增长低于预期目标，利润也下降了28%。该公司将业绩不佳归结为移动平台交易增长，而这些平台的广告利润低于PC。诉讼指控，由于这些信息的披露，阿里巴巴股价进一步下跌，导致市值比诉讼前最高点缩水超过110亿美元。

　　律师事务所经常设法依据证券法上向公开上市公司开刀——尤其是有着触犯美国证券法历史的中概股公司。最著名的是嘉汉林业公司。这家木材公司的欺诈案最终导致其在多伦多退市，而其承销商向股东支付3,250万美元。

　　然而，阿里巴巴最近已经失去了部分吸引力。据为理财行业提供服务的市场情报公司Novus Partners统计，对冲基金目前总计持有大约2.7%的阿里巴巴股份——相比之下在去年第三季度末这个比例为4%。

　　这应归咎于盈利不及预期，而不是遭遇集体诉讼。据投资服务公司AlphaClone提供的数据显示，在最受对冲基金欢迎的股票名单中，阿里巴巴的排名已从第三季度末的第七降至第二十。

　　在1月29日与投资者进行的电话会议上，执行副主席蔡崇信表示，阿里巴巴将与政府讨论白皮书之事。蔡崇信表示，监管部门声称阿里巴巴故意允许黑市交易——尤其是假货交易的说法言过其实了。不久之后，阿里巴巴和中国工商总局表示，他们将协力杜绝非法活动。

　　但是，该股继续下跌，自那以来又下跌了3.5%。

　　阿里巴巴是2全球估值最昂贵的股票之一，按照过去12个月每股收益计算的往绩市盈率高达48.12倍。而eBay的往绩市盈率仅为24.14倍。去年，阿里巴巴的净利润率高达惊人的44.96%。

　　稿源：福布斯中文网

美国政府建议用户删除联想PC中预装广告软件

　　美国政府周五表示，联想电脑的用户应当移除某些型号笔记本中预装的Superfish软件。这一软件会带来信息安全风险。

　　美国国土安全部在一条警示中表示，Superfish有可能导致笔记本用户遭到SSL欺诈攻击。在这种攻击中，远程攻击者能够读取加密的网络流量，将流量从合法网站重定向至其他来源，从而进行欺诈。

　　美国国土安全部表示：“只有采取适当的操作，已安装这一软件的系统才能修复漏洞。”

　　Superfish位于加州帕洛阿尔托，该公司CEO阿迪·平哈斯(Adi Pinhas)在一份公告中表示，该公司的软件能根据用户查看的产品图片，帮助用户获得更具相关性的搜索结果。他表示，这一漏洞是由以色列公司Komodia在无意中引入的，Komodia开发了这一应用。

　　Komodia CEO阿拉克·维赛尔巴姆(Arak Weichselbaum)拒绝对有关这一漏洞的消息置评。Komodia的网站则显示，该公司开发一款“劫持工具”，帮助用户查看利用SSL技术加密的数据。

　　网站显示：“这一劫持工具利用Komodia的重定向平台，帮助你方便地获取数据，并可以修改、重定向、拦截及记录数据，同时不会引起目标浏览器的证书告警。”

　　CloudFlare研究员马克·罗杰斯(Marc Rogers)表示，采用Komodia技术的公司能实现对网络流量的干扰。他表示：“这些家伙能进行各种操作，小到收集一些营销信息，大到伪造你的个人资料，以及刺探你的银行连接。这非常危险。”

　　罗杰斯还表示，如果其他产品使用了类似Komodia的技术，那么也将会像联想Superfish一样出现漏洞。他指出，存在这一漏洞的其他产品包括两款家长控制工具，即来自Komodia的KeepMyFamilySecure和来自Qustodio的另一款产品。

　　Komodia的维赛尔巴姆表示，该公司正在调查与KeepMyFamilySecure相关的漏洞报告。Qustodio CEO埃杜阿多·科鲁兹(Eduardo Cruz)表示，该公司的家长控制工具存在漏洞，他希望在几天内修复这一漏洞。

　　联想并未披露，有多少台PC受到了这一漏洞的影响，不过受影响的PC均为去年9月至12月发货。受影响的联想PC包括Yoga、Flex和MiiX产品线，以及E、G、U、Y和Z系列产品。

斯诺登曝美英窃取全球数十亿SIM卡信息

　　据英国《卫报》2月19日报道，美国中央情报局前员工斯诺登（Edward Snowden）最新披露的资料显示，美英两国的情报机构入侵了世界最大的手机SIM卡制造商，从而可以不受限制地访问全球数十亿部手机。近日曾因揭发美“棱镜门”而出名的斯诺登再曝新料称，英国的电子间谍活动的机构与美国国家安全局的合作，侵入一家荷兰公司的网络，窃取代码，使两国政府能够无缝窃听全球移动电话。

　　美国国家安全局（NSA）和英国政府通信总部（GCHQ）入侵了荷兰SIM卡制造商金雅拓公司（Gemalto），窃取了加密秘钥，这样他们就能秘密地监控手机上的通话和数据信息，而不会被电信公司和外国政府所察觉。另据美国独立新闻网站The Intercept披露，NSA的这一计划名为X-KEYSCORE，金雅拓公司2010年4月成为他们的目标。NSA当年的机密文件显示，他们2009年就具备了每秒钟破解1,200万至2,200万秘钥的能力。专家表示这种行为违反了国际法。

　　《卫报》此前披露的文件显示，德国总理默克尔是NSA的监听对象，这让美德关系蒙上阴影。而巴西总统罗塞夫也曾公开指责NSA违法国际法。

　　美国约翰霍普金斯大学信息安全研究所密码学家马修·格林(Matthew Green)表示，“这是规模庞大的入侵。而问题是攻击可能还在继续。”

　　金雅拓公司每年生产20亿张sim卡，其客户包括美国电信公司AT&T、Sprint、T-Mobile和Verizon等。该公司的业务遍及85个国家，向全球大约450家无线网络运营商供应sim卡。金雅拓在上世纪90年代进入中国，目前跟中国移动、中国联通、中国电信等均有合作。财经网2010年的一篇报道称，中国采购量占该公司全球sim卡销量的45%

　　金雅拓执行副总裁Paul Beverly表示：“事情已经发生，这令我相当担心和不安。目前我们只想知道这可能会对客户产生什么样的后果”。

　　公益组织美国公民自由联盟(ACLU)首席技术专家克里斯·索菲安(Chris Soghoian)告诉卫报，在这次入侵之后，间谍只需“在柏林的使馆放一根天线，就能窃听该区域的任何通话。”

　　使用3G和4G网络的手机通信是经过加密的，但是在秘钥被破解之后，间谍就能窃听任何一通电话，除非手机用户进行额外加密。

　　索菲安表示，斯诺登的最新爆料意味着，人们将很难再相信手机的安全性。“这一问题不可能在短时间内解决，”他说，“人们不应该相信AT&T、Verizon等电信公司，他们的系统是非常不安全的。”

　　“对于不肯合作的政府，这招非常管用；而对于肯合作的政府也很管用。德国会允许美国监控可以恐怖分子，但不会允许他们监控默克尔。”

　　《卫报》称，美英情报部门通过入侵金雅拓公司员工和高管的电子邮件、Facebook账户等获得了秘钥。英国政府通信总部先是锁定了某些特定员工，然后入侵了他们的私人账户。

　　金雅拓驻泰国的一名员工因为发送加密邮件而被视为“一个好的切入口”。美英情报部门认为，加密邮件里往往包含着有价值的信息。

美国硬盘窃听软件的猜想推测

　　据外媒报道，俄国网络安全公司卡巴斯基实验室表示，该公司已在东芝、西部数据、希捷和IBM等企业生产的电脑硬盘中，发现了多种设计精密的间谍软件，该软件可窃听全世界的大多数电脑，卡巴斯基间接暗示这些软件是美国情报机构NSA设计。那么，这种隐藏在硬盘里的窃听程序是怎么工作的呢？我这里对其进行一些推测和猜想。

　　间谍软件在哪里

　　普通个人电脑开机从硬盘启动的过程是这样的，开机后先是BIOS加电自检（POST——Power On Self Test），内存地址为0fff：0000，之后将硬盘第一个扇区：主引导记录（0头0道1扇区，也就是Master Boot Sector，512个字节）读入内存地址0000：7c00处，之后会跳转到0000：7c00处执行主引导记录（MBR）中的程序，MBR在主分区表中搜索标志为活动的分区，然后将活动分区的第一个扇区读入内存地址0000：7c00处，检查0000：7dfe是否等于0xaa55，若不等于则显示 “Missing Operating System”，如果一切正常，则跳转到0000：7c00处继续执行特定系统的启动程序，之后电脑的控制权就交给了操作系统。

　　从这个系统引导过程中可以看出，如果要在硬盘中预装间谍软件并执行，那应该会修改主引导记录MBR程序，在里面加入相关功能。

　　间谍软件是什么

　　从我这个推想看来，这种程序其实有可能和很早出现的引导区病毒一样，这也是最早出现的病毒之一，这种病毒对于老式的DOS、Windows9x的危害很大，但对于Windows NT系统影响很小，因为NT系统加载后将限制早先引导程序的操作，早先的病毒将不会再被激活，目前即使最老的Windows XP也是基于NT内核的。

　　间谍软件能做什么

　　由于目前大多数操作系统（包括Windows XP）都会限制MBR程序，因此MBR里的程序将无法在Windows系统下进行传播，可以推断，改写MBR程序最多也只能导致Windows系统无法启动和加载，而无法实现控制Windows并进行网络传输。而当用户重新安装操作系统的时候，会重写MBR的数据，从而清除被修改的MBR程序。

　　而在Windows加载之前，MBR程序能做什么呢？由于网络驱动没有加载，因此该程序显然无法联网，文件系统没有加载，该程序也不能读写文件，只能对硬盘物理扇区进行读写，一旦读写错误破坏了Windows系统，用户就会重装，从而重写MBR，而清除掉该程序。

　　间谍软件如何清除

　　从这个推测来看，如果这个间谍软件是基于主引导扇区MBR的，那么只要重写一下MBR即可，以前在DOS或Windows9x下，使用fdisk /mbr即可重写，在目前的Windows系统下，使用一些磁盘分区工具可以重写MBR，重写之后，系统引导就不会加载额外的其他程序了。

　　由于硬盘只是存储设备，而没有计算处理能力，因此这种改写MBR的程序其实并不可怕。实际上我觉得，如果我是NSA的话，会考虑把间谍程序藏在CPU（中央处理器）里会更具可行性和可操作性，因为CPU不仅有计算能力，也有存储，将一条隐含的指令放进去等待时机进行触发会更靠谱一些。

卡巴斯基称多国电脑硬盘含窃听软件

　　据英国《金融时报》报道，俄罗斯研究人员表示，他们在全球最大制造商生产的个人电脑硬盘中，发现了多种设计精密的黑客工具。总部驻莫斯科的网络安全公司卡巴斯基实验室（Kaspersky Labs）表示，该公司已在30个国家所用电脑中发现了这种间谍软件。这些国家包括伊朗、巴基斯坦、俄罗斯和中国，长期以来它们一直是美国情报机构的工作重点。

　　这些卡巴斯基的研究人员并未指控美国国家安全局（NSA）是这种新恶意软件的源头。不过，他们间接暗示这些黑客工具是美国设计的。

　　这家俄罗斯企业表示，部分监控工具深深隐藏在东芝（Toshiba）、西部数据（WD）、希捷（Seagate）和IBM等企业生产的电脑硬盘中。

　　如果美国在开发这种新型黑客工具中的角色得到确认，这将继2013年爱德华.斯诺登（Edward Snowden）关于NSA的破坏性爆料之后，进一步玷污美国高科技企业的声誉。

　　卡巴斯基在周一公布了有关这种间谍软件的技术细节。该公司表示，植入这批恶意软件的组织“在技术上的复杂性和精通程度超过了任何已知组织”。

　　卡巴斯基始终避免在措辞中直接提及美国国家安全局。该公司表示，这种间谍软件是由它称为“方程组”（The Equantion Group）的组织开发的，并表示该组织已运营了20年。

　　不过，卡巴斯基表示“方程组”与Stuxnet病毒的设计者有着“密切的联系”。Stuxnet是美国与以色列合作开发的电脑病毒，曾攻击过伊朗的核设施。

　　根据卡巴斯基的说法，其中一款监控工具被植入了电脑“固件”之中。所谓固件，是指在通电时会向电脑硬件的其他部分发送消息的代码。卡巴斯基的研究人员称，这种植入方式上的进步是“一种令人震惊的技术成就”，因为这种方式植入的病毒极难被侦测和提取出来。

　　卡巴斯基实验室全球研究与分析团队（Global Research and Analysis Team）主任科斯廷.拉尤（Costin Raiu）表示：“简单来说，大多数硬盘都有写入硬件固件区的功能，却没有从中读出数据的功能。这意味着我们实际上和瞎子一样，没法侦测出已经被这种恶意软件感染的硬盘。”

　　该报告表示，“方程组”会利用这种技术带来的能力，有选择性地监听电脑数据。受到监听的目标包括银行、政府、核能研究人员、军事设施及伊斯兰激进分子。

　　卡巴斯基的报告还讨论了“方程组”的另一种企图，即标注没有连接互联网的“物理隔离”网络（伊朗的核设施就是这种情况）。该报告描述了一种“基于USB连接的特殊指令和控制机制，令攻击者能从物理隔离网络中上传和下载数据”。

　　西部数据、希捷和镁光（Micron）表示，他们对这种间谍软件一无所知。东芝（Toshiba）和三星（Samsung）拒绝置评。IBM没有回复记者的置评请求。

　　稿源：英国《金融时报》

个人用户如何选择软件

　　对于中国的个人电脑用户来说，电脑上安装的可能大多数是免费软件，如何安装和选择软件对于那些非IT技术类的“小白”来说还是比较困难的事情，今天就主要讲讲个人用户如何选择电脑软件的常识。

　　我个人觉得，对大多数普通电脑用户，个人软件选择的大方向是：国外商业软件>国外开源软件>国内开源软件>国内商业软件。具体的原因我下面做一些解释。

　　国外商业软件和国外开源软件

　　很多专业用户可能会觉得，很多国外的商业软件未必会比开源软件强，并且很多个性化功能对于开源软件会更适合。不可否认，开源社区对于软件的贡献是非常巨大的，但较为专业性的定制功能对于普通个人用户来说门槛较高，而商业软件则面向大众，通常会有更好的易用性，商业软件公司的开发能力也相对更强，所以商业软件的Windows能在个人电脑领域领先于开源的Linux系统。

　　然而，商业软件大多都是收费的，对于个人用户来说成本不小，而开源软件产品绝大部分都是以源代码的形式公开免费下载的，不需支付使用费用，所以很多人就推崇开源软件。不过，随着互联网免费模式的诞生，现在很多商业软件也开始免费，例如谷歌的系列软件，尽管这些软件可能会收集用户的一些个人隐私或其他资料，但对于中国用户来说并没有什么可担心的，美国政府对中国用户没有司法权，即使用户触犯了美国的法律（例如盗版等），美国人来“跨国”抓捕的可能性也微乎其微，但如果你使用国内的软件（例如QQ或百度），被“跨省”抓捕的案例可能层出不穷的。

　　国产软件和免费软件

　　对于国产软件来说，商业软件不一定就不会刷流氓，而国产开源软件的选择性非常小，国内因为生存压力问题，开源开发者大多是索取者多，奉献者少，成气候的开源软件非常少，而商业公司推出的各种免费软件往往会成为市场的主流。

　　一个典型的案例就是360安全软件击败了瑞星，瑞星早先依靠出售杀毒软件曾经活的有滋有味，而自从360推出了完全免费的安全软件后，这个行业格局一下子就被打破了，而且还改变了用户的消费习惯和软件使用习惯，颠覆了整个行业。

　　而免费的商业模式带来的市场效应就是大鱼吃小鱼，竞争残酷，大公司靠资金实力拼掉小公司，小软件不是倒闭就是被收购，导致大多数常用软件产品集中到了某几个行业巨头手中。

　　国产免费软件=流氓软件？

　　常用的国产软件大多都是免费的，这些软件的研发成本较高，只能通过广告，增值或者其他手段来赚钱，用户免费使用的代价其实并不低，这些免费软件既然不能通过销售赚钱，只能想一些其他办法，比如收集下用户的隐私信息、弹窗、广告等，有时候还会耍耍流氓，国内环境如此，对于大多数“小白”用户来说，也搞不清楚这些状况。

　　大部分国内商业公司的软件都会收集并监控国内网民的各种行为，并美其名曰“数据挖掘”或“大数据”，用户的个人信息基本上属于“裸奔”状态，被“跨省”的成功率极高。而如果使用国外软件，并具有一定的安全常识，就很难会被“跨省”。

　　因此，对于用户来说，尽量不要用国产商业公司的软件。但对于有些用户来说，对个人隐私的安全无所谓，也不会用国外的软件，那么对于国内的流氓软件里，应该如何选择呢？

　　如何选择流氓软件？

　　如果非要选择使用国内软件，可以基于这样一些原则：该软件并不是该公司的主流盈利项目，而是针对竞争对手推出的竞争项目，通常这类“行业第二”的软件产品，为了口碑的需要，不会有太多流氓行为，也不会有什么广告，但这类软件的开发人员可能会非常短缺，软件有可能长时间不更新。举个例子，腾讯的主要盈利项目是QQ，因此其推出的竞争产品“QQ旋风”和“QQ影音”的流氓行为就相对较少，虽然功能有限却更新缓慢，但也算是勉强可用的软件。

　　常用软件建议

　　总的来说，通过上面讲到的一些法则，我这里推荐一些常用软件的选择建议如下：

　　浏览器：Chrome，Firefox；

　　输入法：谷歌输入法、必应输入法或小狼毫输入法；

　　电子邮件：Gmail或Hotmail，邮件客户端：Mozilla Thunderbird；

　　密码管理：Lastpass、1Password或KeePass；

　　云同步网盘：Dropbox或OneDrive；

　　压缩工具：7-ZIP；

　　图像处理：GIMP；

　　图片浏览：Picasa；

　　代码编辑：Notepad++；

　　FTP：FileZilla；

　　下载：eMule；

　　杀毒软件：小红伞、AVG、Avast、Comodo；

　　即时通讯软件：Google环聊或Skype，尽量不要用QQ，如果使用QQ的话，不可在上面讨论涉及隐私或敏感的话题。

未来值得重点关注的六类SaaS应用

　　互联网对于企业的重要程度无需赘叙，企业已经从“信息化”向“互联网化”的阶段发展。目前SaaS服务在中古哦企业软件市场整体的占比还较为有限，但是SaaS将会成为企业服务的主要发展方向已经成为业界共识。相比于传统的企业软件售卖模式，SaaS企业服务模式有以下几个优势：第一，运营维护简单易行，节约大量人力物力成本，ROI较高，成为企业考虑的关键因素；第二，操作简单容易上手，对于已经经过互联网充分培养的员工来说使用率将可能大大提高；第三，没有使用场合限制，只要能够接入互联网的地方均可以办公，更加符合移动办公的发展趋势。未来，在很多应用领域，SaaS的价值将得到更大的发挥。

　　销售自动化方向的CRM

　　这依然是最常见的需求分类，2014年中国SaaS企业服务平台市场当中，销售CRM类企业市场规模占比为31%.对于企业来讲，销售和拓展新客户是企业营收增长的动力，因此企业对于CRM十分重视，再次领域也投入较多，因此市场占比较高。不过，虽然这个门类的厂商数量繁多，但大部分产品启动过早，交互设计落后于时代要求，移动端支持不力。很多产品客户数量不够多，从而没有通过大量企业使用检验来强化产品。市场上还是需要一款简洁易用，功能完整、有原生移动应用支持的CRM.

　　数据保护类

　　对于很多中小微企业来说，问题不在于如何进行数据保护上，而在于对数据的定义上。其实，不管是员工电脑上的文档、网站上传的图片，还是企业的一些重要的账号密码等，都可以认为是数据，都应该有相对健全的保护机制。此外，越来越多的数据存储正在向云端转移，定位于云备份、云存储领域SaaS应用，以其低成本、高效率等特点，正在成为云计算行业的新兴代表。以多备份提供的云端数据保护为例，1G的流程存储成本，仅需要支付1元人民币的费用，并且不需要专门的系统升级、维护人员的成本。

　　客服系统（Customer Helpdesk）

　　互联网已经成为消费者和厂商之间最重要的纽带，但是顾客反馈渠道的增加反而带来了更大的 IT挑战。过去，只有大企业会通过呼叫中心软件和业务系统的对接来实现客服信息化，但现在中小企业也有日益增长的需求。这些系统应当能够帮助企业归集来自 电子邮件，社交媒体，网上表单或在线聊天等渠道的客户反馈，帮助记录电话日志，成熟的产品还应该通过API实现和业务系统的对接。高级产品还能够实现用户 身份的自动识别，客服知识库的搭建，客户自助服务系统的对接等。

　　人力资源管理

　　人数超过100人的中小企业，往往只配备了1-2名人事专员，而实际上这样的企业每月要进行的基础HR工作量（包括招聘、入职、离职、考勤和工资核算）还是非常大的。很多企业主不太舍得在基础行政工作上投入太多人工，那么就需要IT来帮忙。 又由于中国独特的国情，这套行政和人事信息基本管理系统只有本土设计和服务的可能。再加上中国每个省份和城市的社会保险制度又略有区别，这就需要软件能够 在工资核算工具方面提供充分的弹性，才能让人手很紧缺的HR部门在3-5个工作日内完成准确和全面的工资核算。除了基础的HR信息系统外，稍大一些的企业 还有绩效考评软件的需求。

　　项目管理（Project Management）

　　有些产品的任务中心已经实现了基本的项目管理要素。但在特定行业中（例如建筑，软件工程 等），对项目管理有更高的要求，包括解决任务分解后的前序任务，实现甘特图呈现，完成任务所需要的资源和工时管理，记录任务实施的实际工时等。在这个门类 中，还较少看到完整可用的SaaS类产品。

　　通讯类（Communication）

　　企业通讯的痛点集中在利用计算机网络实现高质量的音视频会议。随着带宽资源和浏览器的进步，实现更友好体验的通讯服务时代就要到来。尤其是Google开源的WebRTC协议，将可能实现非常流畅的跨浏览器和设备通信，用户将无需Flash 或其他专门插件的帮助，而且在同样带宽下，能够实现更高质量的音视频会议。当然，这些通讯类应用需要和基础协作平台有非常紧密的整合，让发起和参与会议的过程更加简单。

　　来源：投稿，作者：程小微