我有个有趣的观察，外企公司多的是25-35岁的白领，40岁以上的员工很少，二三十岁的外企员工是意气风发的，但外企公司40岁附近的经理人是 很尴尬的。我见过的40岁附近的外企经理人大多在一直跳槽，最后大多跳到民企，比方说，唐骏。外企员工的成功很大程度上是公司的成功，并非个人的成功，西 门子的确比国美大，但并不代表西门子中国经理比国美的老板强，甚至可以说差得很远。而进外企的人往往并不能很早理解这一点，把自己的成功90％归功于自己 的能力，实际上，外企公司随便换个中国区总经理并不会给业绩带来什么了不起的影响。好了问题来了，当这些经理人40多岁了，他们的薪资要求变得很高，而他 们的才能其实又不是那么出众，作为外企公司的老板，你会怎么选择？有的是只要不高薪水的，要出位的精明强干精力冲沛的年轻人，有的是，为什么还要用你？

从上面这个例子，其实可以看到我们的工作轨迹，二三十岁的时候，生活的压力还比较小，身体还比较好，上面的父母身体还好，下面又没有孩子，不用还 房贷，也没有孩子要上大学，当个外企小白领还是很光鲜的，挣得不多也够花了。但是人终归要结婚生子，终归会老，到了40岁，父母老了，要看病要吃药，要有 人看护，自己要还房贷，要过基本体面的生活，要养小孩……那个时候需要挣多少钱才够花才重要。所以，看待工作，眼光要放远一点，一时的谁高谁低并不能说明 什么。

从这个角度上来说，我不太赞成过于关注第一份工作的薪水，更没有必要攀比第一份工作的薪水，这在刚刚出校园的学生中间是很常见的。正常人大概要工 作 35年，这好比是一场马拉松比赛，和真正的马拉松比赛不同的是，这次比赛没有职业选手，每个人都只有一次机会。要知到，有很多人甚至坚持不到终点，大多数 人最后是走到终点的，只有少数人是跑过终点的，因此在刚开始的时候，去抢领先的位置并没有太大的意义。刚进社会的时候如果进500强公司，大概能拿到3k -6k/月的工资，有些特别技术的人才可能可以到8k/月，可问题是，5年以后拿多少？估计5k-10k了不起了。起点虽然高，但增幅有限，而且，后面的 年轻人追赶的压力越来越大。

我前两天问我的一个销售，你会的这些东西一个新人2年就都学会了，但新人所要求的薪水却只是你的一半，到时候，你怎么办？
职业生涯就像一场体育比赛，有初赛、复赛、决赛。初赛的时候大家都刚刚进社会，大多数都是实力一般的人，这时候努力一点认真一点很快就能让人脱颖 而出，于是有的人二十多岁做了经理，有的人迟些也终于赢得了初赛，三十多岁成了经理。然后是复赛，能参加复赛的都是赢得初赛的，每个人都有些能耐，在聪明 才智上都不成问题，这个时候再想要胜出就不那么容易了，单靠一点点努力和认真还不够，要有很强的坚忍精神，要懂得靠团队的力量，要懂得收服人心，要有长远 的眼光……

看上去赢得复赛并不容易，但，还不是那么难。因为这个世界的规律就是给人一点成功的同时让人骄傲自满，刚刚赢得初赛的人往往不知道自己赢得的仅仅 是初赛，有了一点小小的成绩大多数人都会骄傲自满起来，认为自己已经懂得了全部，不需要再努力再学习了，他们会认为之所以不能再进一步已经不是自己的原因 了。虽然他们仍然不好对付，但是他们没有耐性，没有容人的度量，更没有清晰长远的目光。就像一只愤怒的斗牛，虽然猛烈，最终是会败的，而赢得复赛的人则象 斗牛士一样，不急不躁，跟随着自己的节拍，慢慢耗尽对手的耐心和体力。赢得了复赛以后，大约已经是一位很了不起的职业经理人了，当上了中小公司的总经理， 大公司的副总经理，主管着每年几千万乃至几亿的生意。

最终的决赛来了，说实话我自己都还没有赢得决赛，因此对于决赛的决胜因素也只能凭自己的猜测而已，这个时候的输赢或许就像武侠小说里写得那样，大 家都是高手，只能等待对方犯错了，要想轻易击败对手是不可能的，除了使上浑身解数，还需要一点运气和时间。世界的规律依然发挥着作用，赢得复赛的人已经不 只是骄傲自满了，他们往往刚愎自用，听不进去别人的话，有些人的脾气变得暴躁，心情变得浮躁，身体变得糟糕，他们最大的敌人就是他们自己，在决赛中要做的 只是不被自己击败，等着别人被自己击败。这和体育比赛是一样的，最后高手之间的比赛，就看谁失误少谁就赢得了决赛。

二、 根源

你工作快乐么？你的工作好么？

有没有觉得干了一段时间以后工作很不开心？有没有觉得自己入错了行？有没有觉得自己没有得到应有的待遇？有没有觉得工作像一团乱麻每天上班都是一 种痛苦？有没有很想换个工作？有没有觉得其实现在的公司并没有当初想象得那么好？有没有觉得这份工作是当初因为生存压力而找的，实在不适合自己？你从工作 中得到你想要得到的了么？你每天开心么？

天涯上愤怒的人很多，你有没有想过，你为什么不快乐？你为什么愤怒？

其实，你不快乐的根源，是因为你不知道要什么！你不知道要什么，所以你不知道去追求什么，你不知道追求什么，所以你什么也得不到。

我总觉得，职业生涯首先要关注的是自己，自己想要什么？大多数人大概没想过这个问题，唯一的想法只是——我想要一份工作，我想要一份不错的薪水， 我知道所有人对于薪水的渴望，可是，你想每隔几年重来一次找工作的过程么？你想每年都在这种对于工作和薪水的焦急不安中度过么？不想的话，就好好想清楚。 饮鸩止渴，不能因为口渴就拼命喝毒药。越是焦急，越是觉得自己需要一份工作，越饥不择食，越想不清楚，越容易失败，你的经历越来越差，下一份工作的人看着 你的简历就皱眉头。于是你越喝越渴，越渴越喝，陷入恶性循环。最终只能哀叹世事不公或者生不逢时，只能到天涯上来发泄一把，在失败者的共鸣当中寻求一点心 理平衡罢了。大多数人都有生存压力，我也是，有生存压力就会有很多焦虑，积极的人会从焦虑中得到动力，而消极的人则会因为焦虑而迷失方向。所有人都必须在 压力下做出选择，这就是世道，你喜欢也罢不喜欢也罢。

一般我们处理的事情分为重要的事情和紧急的事情，如果不做重要的事情就会常常去做紧急的事情。比如锻炼身体保持健康是重要的事情，而看病则是紧急 的事情。如果不锻炼身体保持健康，就会常常为了病痛烦恼。又比如防火是重要的事情，而救火是紧急的事情，如果不注意防火，就要常常救火。找工作也是如此， 想好自己究竟要什么是重要的事情，找工作是紧急的事情，如果不想好，就会常常要找工作。往往紧急的事情给人的压力比较大，迫使人们去赶紧做，相对来说重要 的事情反而没有那么大的压力，大多数人做事情都是以压力为导向的，压力之下，总觉得非要先做紧急的事情，结果就是永远到处救火，永远没有停歇的时候。（很 多人的工作也像是救火队一样忙碌痛苦，也是因为工作中没有做好重要的事情。）那些说自己活在水深火热为了生存顾不上那么多的朋友，今天找工作困难是当初你 们没有做重要的事情，是结果不是原因。如果今天你们还是因为急于要找一份工作而不去思考，那么或许将来要继续承受痛苦找工作的结果。

我始终觉得我要说的话题，沉重了点，需要很多思考，远比唐笑打武警的话题来的枯燥乏味，但是，天下没有轻松的成功，成功，要付代价。请先忘记一切的生存压力，想想这辈子你最想要的是什么？所以，最要紧的事情，先想好自己想要什么。

三、什么是好工作

当初微软有个唐骏，很多大学里的年轻人觉得这才是他们向往的职业生涯，我在清华bbs里发的帖子被这些学子们所不屑，那个时候学生们只想出国或者 去外企，不过如今看来，我还是对的，唐骏去了盛大，陈天桥创立的盛大，一家民营公司。一个高学历的海归在500强的公司里拿高薪水，这大约是很多年轻人的 梦想，问题是，每年毕业的大学生都在做这个梦，好的职位却只有500个。

人都是要面子的，也是喜欢攀比的，即使在工作上也喜欢攀比，不管那是不是自己想要的。大家认为外企公司很好，可是好在哪里呢？好吧，他们在比较好 的写字楼，这是你想要的么？他们出差住比较好的酒店，这是你想要的么？别人会羡慕一份外企公司的工作，这是你想要的么？那一切都是给别人看的，你干吗要活 得那么辛苦给别人看？另一方面，他们薪水福利一般，并没有特别了不起，他们的晋升机会比较少，很难做到很高阶的主管，他们虽然厌恶常常加班，却不敢不加 班，因为“你不干有得是人干”，大部分情况下会找个台湾人香港人新加坡人来管你，而这些人又往往有些莫名其妙的优越感。你想清楚了么？500强一定好么？ 找工作究竟是考虑你想要什么，还是考虑别人想看什么？

我的大学同学们大多数都到美国了，甚至毕业这么多年了，还有人最近到国外去了。出国真的有那么好么？我的大学同学们，大多数还是在博士、博士后、 访问学者地挣扎着，至今只有一个正经在一个美国大学里拿到个正式的教职。国内的教授很难当么？我有几个表亲也去了国外了，他们的父母独自在国内，没有人照 顾，有好几次人在家里昏倒都没人知道，出国，真的这么光彩么？就像有人说的“很多事情就像看A片，看的人觉得很爽，做的人未必。”

人总想找到那个最好的，可是，什么是最好的？你觉得是最好的那个，是因为你的确了解，还是因为别人说他是最好的？即使他对于别人是最好的，对于你也一定是最好的么？

对于自己想要什么，自己要最清楚，别人的意见并不是那么重要。很多人总是常常被别人的意见所影响，亲戚的意见，朋友的意见，同事的意见……问题 是，你究竟是要过谁的一生？人的一生不是父母一生的续集，也不是儿女一生的前传，更不是朋友一生的外篇，只有你自己对自己的一生负责，别人无法也负不起这 个责任。自己做的决定，至少到最后，自己没什么可后悔。对于大多数正常智力的人来说，所做的决定没有大的对错，无论怎么样的选择，都是可以尝试的。比如你 没有考自己上的那个学校，没有入现在这个行业，这辈子就过不下去了？就会很失败？不见得。

我想，好工作，应该是适合你的工作，具体点说，应该是能给你带来你想要的东西的工作，你或许应该以此来衡量你的工作究竟好不好，而不是拿公司的大 小，规模，外企还是国企，是不是有名，是不是上市公司来衡量。小公司，未必不是好公司，赚钱多的工作，也未必是好工作。你还是要先弄清楚你想要什么，如果 你不清楚你想要什么，你就永远也不会找到好工作，因为你永远只看到你得不到的东西，你得到的，都是你不想要的。
可能，最好的，已经在你的身边，只是，你还没有学会珍惜。人们总是盯着得不到的东西，而忽视了那些已经得到的东西。

四、普通人

我发现中国人的励志和国外的励志存在非常大的不同，中国的励志比较鼓励人立下大志愿，卧薪尝胆，有朝一日成富成贵。而国外的励志比较鼓励人勇敢面 对现实生活，面对普通人的困境，虽然结果也是成富成贵，但起点不一样，相对来说，我觉得后者在操作上更现实，而前者则需要用999个失败者来堆砌一个成功 者的故事。

我们都是普通人，普通人的意思就是，概率这件事是很准的。因此，我们不会买彩票中500万，我们不会成为比尔盖茨或者李嘉诚，我们不会坐飞机掉下来，我们当中很少的人会创业成功，我们之中有30％的人会离婚，我们之中大部分人会活过65岁……

所以请你在想自己要什么的时候，要得“现实”一点，你说我想要做李嘉诚，抱歉，我帮不上你。成为比尔盖茨或者李嘉诚这种人，是靠命的，看我写的这 篇文章绝对不会让你成为他们，即使你成为了他们，也绝对不是我这篇文章的功劳。“王侯将相宁有种乎”但真正当皇帝的只有一个人，王侯将相，人也不多。目标 定得高些对于喜欢挑战的人来说有好处，但对于大多数普通人来说，反而比较容易灰心沮丧，很容易就放弃了。

回过头来说，李嘉诚比你有钱大致50万倍，他比你更快乐么？或许。有没有比你快乐50万倍，一定没有。他比你最多也就快乐一两倍，甚至有可能还不 如你快乐。寻找自己想要的东西不是和别人比赛，比谁要得更多更高，比谁的目标更远大。虽然成为李嘉诚这个目标很宏大，但你并不见得会从这个目标以及追求目 标的过程当中获得快乐，而且基本上你也做不到。你必须听听你内心的声音，寻找真正能够使你获得快乐的东西，那才是你想要的东西。
你想要的东西，或者我们把它称之为目标，目标其实并没有高低之分，你不需要因为自己的目标没有别人远大而不好意思，达到自己的目标其实就是成功， 成功有大有小，快乐却是一样的。我们追逐成功，其实追逐的是成功带来的快乐，而非成功本身。职业生涯的道路上，我们常常会被攀比的心态蒙住眼睛，忘记了追 求的究竟是什么，忘记了是什么能使我们更快乐。

社会上一夜暴富的新闻很多，这些消息，总会在我们的心里面掀起很多涟漪，涟漪多了就变成惊涛骇浪，心里的惊涛骇浪除了打翻承载你目标的小船，并不 会使得你也一夜暴富。“只见贼吃肉，不见贼挨揍。”我们这些普通人既没有当贼的勇气，又缺乏当贼的狠辣绝决，虽然羡慕吃肉，却更害怕挨揍，偶尔看到几个没 挨揍的贼就按奈不住，或者心思活动，或者大感不公，真要叫去做贼，却也不敢。

我还是过普通人的日子，要普通人的快乐，至少，晚上睡得着觉。

五、跳槽与积累

首先要说明，工作是一件需要理智的事情，所以不要在工作上耍个性，天涯上或许会有人觉得你很有个性而叫好，煤气公司电话公司不会因为觉得你很有个 性而免了你的帐单。当你很帅地炒掉了你的老板，当你很酷地挖苦了一番招聘的HR，账单还是要照付，只是你赚钱的时间更少了，除了你自己，没人受损失。

我并不反对跳槽，但跳槽决不是解决问题的办法，而且频繁跳槽的后果是让人觉得没有忠诚度可言，而且不能安心工作。现在很多人从网上找工作，很多找 工作的网站常常给人出些馊主意，要知道他们是盈利性企业，当然要从自身盈利的角度来考虑，大家越是频繁跳槽频繁找工作他们越是生意兴隆，所以鼓动人们跳槽 是他们的工作。所以他们会常常告诉你，你拿的薪水少了，你享受的福利待遇差了，又是“薪情快报”又是“赞叹自由奔放的灵魂”。至于是否会因此让你不能安 心，你跳了槽是否解决问题，是否更加开心，那个，他们管不着。

要跳槽肯定是有问题，一般来说问题发生了，躲是躲不开的，很多人跳槽是因为这样或者那样的不开心，如果这种不开心，在现在这个公司不能解决，那么 在下一个公司多半也解决不掉。你必须相信，90%的情况下，你所在的公司并没有那么烂，你认为不错的公司也没有那么好。就像围城里说的，“城里的人拼命想 冲出来，而城外的人拼命想冲进去。”每个公司都有每个公司的问题，没有问题的公司是不存在的。换个环境你都不知道会碰到什么问题，与其如此，不如就在当下 把问题解决掉。很多问题当你真的想要去解决的时候，或许并没有那么难。有的时候你觉得问题无法解决，事实上，那只是“你觉得”。

人生的曲线应该是曲折向上的，偶尔会遇到低谷但大趋势总归是曲折向上的，而不是象脉冲波一样每每回到起点，我见过不少面试者，30多岁了，四五份 工作经历，每次多则3年，少则1年，30多岁的时候回到起点从一个初级职位开始干起，拿基本初级的薪水，和20多岁的年轻人一起竞争，不觉得有点辛苦么？ 这种日子好过么？

我非常不赞成在一个行业超过3年以后换行业，基本上，35岁以前我们的生存资本靠打拼，35岁以生存的资本靠的就是积累，这种积累包括人际关系， 经验，人脉，口碑……如果常常更换行业，代表几年的积累付之东流，一切从头开始，如果换了两次行业，35岁的时候大概只有5年以下的积累，而一个没有换过 行业的人至少有了10年的积累，谁会占优势？工作到2-3年的时候，很多人觉得工作不顺利，好像到了一个瓶颈，心情烦闷，就想辞职，乃至换一个行业，觉得 这样所有一切烦恼都可以抛开，会好很多。其实这样做只是让你从头开始，到了时候还是会发生和原来行业一样的困难，熬过去就向上跨了一大步，要知道每个人都 会经历这个过程，每个人的职业生涯中都会碰到几个瓶颈，你熬过去了而别人没有熬过去你就领先了。跑长跑的人会知道，开始的时候很轻松，但是很快会有第一次 的难受，但过了这一段又能跑很长一段，接下来会碰到第二次的难受，坚持过了以后又能跑一段，如此往复，难受一次比一次厉害，直到坚持不下去了。大多数人第 一次就坚持不了了，一些人能坚持到第二次，第三次虽然大家都坚持不住了，可是跑到这里的人也没几个了，这点资本足够你安稳活这一辈子了。

一份工作到两三年的时候，大部分人都会变成熟手，这个时候往往会陷入不断的重复，有很多人会觉得厌倦，有些人会觉得自己已经搞懂了一切，从而懒得 去寻求进步了。很多时候的跳槽是因为觉得失去兴趣了，觉得自己已经完成比赛了。其实这个时候比赛才刚刚开始，工作两三年的人，无论是客户关系，人脉，手 下，和领导的关系，在业内的名气……还都是远远不够的，但稍有成绩的人总是会自我感觉良好的，每个人都觉得自己跟客户关系铁得要命，觉得自己在业界的口碑 好得很。其实可以肯定地说，一定不是，这个时候，还是要拿出前两年的干劲来，稳扎稳打，积累才刚刚开始。
你足够了解你的客户吗？你知道他最大的烦恼是什么吗？你足够了解你的老板么？你知道他最大的烦恼是什么吗？你足够了解你的手下么？你知道他最大的 烦恼是什么吗？如果你不知道，你凭什么觉得自己已经积累够了？如果你都不了解，你怎么能让他们帮你的忙，做你想让他们做的事情？如果他们不做你想让他们做 的事情，你又何来的成功？

六、等待

这是个浮躁的人们最不喜欢的话题，本来不想说这个话题，因为会引起太多的争论，而我又无意和人争论这些，但是考虑到对于职业生涯的长久规划，这是一个躲避不了的话题，还是决定写一写，不爱看的请离开吧。

并不是每次穿红灯都会被汽车撞，并不是每个罪犯都会被抓到，并不是每个错误都会被惩罚，并不是每个贪官都会被枪毙，并不是你的每一份努力都会得到 回报，并不是你的每一次坚持都会有人看到，并不是你每一点付出都能得到公正的回报，并不是你的每一个善意都能被理解……这个，就是世道。好吧，世道不够 好，可是，你有推翻世道的勇气么？如果没有，你有更好的解决办法么？有很多时候，人需要一点耐心，一点信心。每个人总会轮到几次不公平的事情，而通常，安 心等待是最好的办法。

有很多时候我们需要等待，需要耐得住寂寞，等待属于你的那一刻。周润发等待过，刘德华等待过，周星驰等待过，王菲等待过，张艺谋也等待过……看到 了他们如今的功成名就的人，你可曾看到当初他们的等待和耐心？你可曾看到金马奖影帝在街边摆地摊？你可曾看到德云社一群人在剧场里给一位观众说相声？你可 曾看到周星驰的角色甚至连一句台词都没有？每一个成功者都有一段低沉苦闷的日子，我几乎能想象得出来他们借酒浇愁的样子，我也能想象得出他们为了生存而挣 扎的窘迫。在他们一生最中灿烂美好的日子里，他们渴望成功，但却两手空空，一如现在的你。没有人保证他们将来一定会成功，而他们的选择是耐住寂寞。如果当 时的他们总念叨着“成功只是属于特权阶级的”，你觉得他们今天会怎样？

曾经我也不明白有些人为什么并不比我有能力却要坐在我的头上，年纪比我大就一定要当我的领导么？为什么有些烂人不需要努力就能赚钱？为什么刚刚改 革开放的时候的人能那么容易赚钱，而轮到我们的时候，什么事情都要正规化了？有一天我突然想，我还在上学的时候他们就在社会里挣扎奋斗了，他们在社会上奋 斗积累了十几二十年，我们新人来了，他们有的我都想要，我这不是在要公平，我这是在要抢劫。因为我要得太急，因为我忍不住寂寞。二十多岁的男人，没有钱， 没有事业，却有蓬勃的欲望。

人总是会遇到挫折的，人总是会有低潮的，人总是会有不被人理解的时候的，人总是有要低声下气的时候，这些时候恰恰是人生最关键的时候，因为大家都 会碰到挫折，而大多数人过不了这个门槛，你能过，你就成功了。在这样的时刻，我们需要耐心等待，满怀信心地去等待，相信，生活不会放弃你，机会总会来的。 至少，你还年轻，你没有坐牢，没有生治不了的病，没有欠还不起的债。比你不幸的人远远多过比你幸运的人，你还怕什么？路要一步步走，虽然到达终点的那一步 很激动人心，但大部分的脚步是平凡甚至枯燥的，但没有这些脚步，或者耐不住这些平凡枯燥，你终归是无法迎来最后的那些激动人心。

逆境，是上帝帮你淘汰竞争者的地方。要知道，你不好受，别人也不好受，你坚持不下去了，别人也一样，千万不要告诉别人你坚持不住了，那只能让别人获得坚持的信心，让竞争者看着你微笑的面孔，失去信心，退出比赛。胜利属于那些有耐心的人。

在最绝望的时候，我会去看电影《The Pursuit of Happyness》《JerryMaguire》，让自己重新鼓起勇气，因为，无论什么时候，我们总还是有希望。当所有的人离开的时候，我不失去希望， 我不放弃。每天下班坐在车里，我喜欢哼着《隐形的翅膀》看着窗外，我知道，我在静静等待，等待属于我的那一刻。

原贴里伊吉网友的话我很喜欢，抄录在这里：

每个人都希望，自己是独一无二的特殊者
含着金匙出生、投胎到好家庭、工作安排到电力局拿1w月薪这样的小概率事件，当然最好轮到自己
红军长征两万五、打成右派反革命、胼手胝足牺牲尊严去奋斗，最好留给祖辈父辈和别人
自然，不是每个吃过苦的人都会得到回报
但是，任何时代，每一个既得利益者身后，都有他的祖辈父辈奋斗挣扎乃至流血付出生命的身影
羡慕别人有个好爸爸，没什么不可以
问题是，你的下一代，会有一个好爸爸吗？
至于问到为什么不能有同样的赢面概率？我只能问：为什么物种竞争中，人和猴子不能有同样的赢面概率？
物竞天择。猴子的灵魂不一定比你卑微，但你身后有几十万年的类人猿进化积淀。

七、入对行跟对人

在中国，大概很少有人是一份职业做到底的，虽然如此，第一份工作还是有些需要注意的地方，有两件事情格外重要，第一件是入行，第二件事情是跟人。 第一份工作对人最大的影响就是入行，现代的职业分工已经很细，我们基本上只能在一个行业里成为专家，不可能在多个行业里成为专家。很多案例也证明即使一个 人在一个行业非常成功，到另外一个行业，往往完全不是那么回事情，“你想改变世界，还是想卖一辈子汽水？”是乔布斯邀请百事可乐总裁约翰·斯考利加盟苹果 时所说的话，结果这位在百事非常成功的约翰，到了苹果表现平平。其实没有哪个行业特别好，也没有哪个行业特别差，或许有报道说哪个行业的平均薪资比较高， 但是他们没说的是，那个行业的平均压力也比较大。看上去很美的行业一旦进入才发现很多地方其实并不那么完美，只是外人看不见。

说实话，我自己都没有发大财，所以我的建议只是让人快乐工作的建议，不是如何发大财的建议，我们只讨论一般普通打工者的情况。我认为选择什么行业 并没有太大关系，看问题不能只看眼前。比如，从前年开始，国家开始整顿医疗行业，很多医药公司开不下去，很多医药行业的销售开始转行。其实医药行业的不景 气是针对所有公司的，并非针对一家公司，大家的日子都不好过，这个时候跑掉是非常不划算的，大多数正规的医药公司即使不做新生意撑个两三年总是能撑的，大 多数医药销售靠工资撑个两三年也是可以撑的，国家不可能永远捏着医药行业不放的，两三年以后光景总归还会好起来的，那个时候别人都跑了而你没跑，那时的日 子应该会好过很多。有的时候觉得自己这个行业不行了，问题是，再不行的行业，做得人少了也变成了好行业，当大家都觉得不好的时候，往往却是最好的时候。大 家都觉得金融行业好，金融行业门槛高不说，有多少人削尖脑袋要钻进去，竞争激励，进去以后还要时时提防，一个疏忽，就被后来的人给挤掉了，压力巨大，又如 何谈得上快乐？也就未必是“好”工作了。

太阳能这个东西至今还不能进入实际应用的阶段，但是中国已经有7家和太阳能有关的公司在纽交所上市了，国美苏宁永乐其实是贸易型企业，也能上市， 鲁泰纺织连续10年利润增长超过50%，卖茶的一茶一座，卖衣服的海澜之家都能上市……其实选什么行业真的不重要，关键是怎么做。事情都是人做出来的，关 键是人。

有一点是需要记住的，这个世界上，有史以来直到我们能够预见得到的未来，成功的人总是少数，有钱的人总是少数，大多数人是一般的，普通的，不太成 功的。因此，大多数人的做法和看法，往往都不是距离成功最近的做法和看法。因此大多数人说好的东西不见得好，大多数人说不好的东西不见得不好。大多数人都 去炒股的时候说明跌只是时间问题，大家越是热情高涨的时候，跌的日子越近。大多数人买房子的时候，房价不会涨，而房价涨的差不多的时候，大多数人才开始买 房子。不会有这样一件事情让大家都变成功，发了财，历史上不曾有过，将来也不会发生。有些东西即使一时运气好得到了，还是会在别的时候别的地方失去的。

年轻人在职业生涯的刚开始，尤其要注意的是，要做对的事情，不要让自己今后几十年的人生总是提心吊胆，更不值得为了一份工作赔上自己的青春年华。 我的公司是个不行贿的公司，以前很多人不理解，甚至自己的员工也不理解，不过如今，我们是同行中最大的企业，客户乐意和我们打交道，尤其是在国家打击腐败 的时候，每个人都知道我们做生意不给钱的名声，都敢于和我们做生意。而勇于给钱的公司，不是倒了，就是跑了，要不就是每天睡不好觉，人还是要看长远一点。 很多时候，看起来最近的路，其实是最远的路，看起来最远的路，其实是最近的路。

跟对人是说，入行后要跟个好领导好老师，刚进社会的人做事情往往没有经验，需要有人言传身教。对于一个人的发展来说，一个好领导是非常重要的。所谓“好”的标准，不是他让你少干活多拿钱，而是以下三个。

首先，好领导要有宽广的心胸，如果一个领导每天都会发脾气，那几乎可以肯定他不是个心胸宽广的人，能发脾气的时候却不发脾气的领导，多半是非常厉 害的领导。中国人当领导最大的毛病是容忍不了能力比自己强的人，所以常常可以看到的一个现象是，领导很有能力，手下一群庸才或者手下一群闲人。如果看到这 样的环境，还是不要去的好。

其次，领导要愿意从下属的角度来思考问题，这一点其实是从面试的时候就能发现的，如果这位领导总是从自己的角度来考虑问题，几乎不听你说什么，这 就危险了。从下属的角度来考虑问题并不代表同意下属的说法，但他必须了解下属的立场，下属为什么要这么想，然后他才有办法说服你，只关心自己怎么想的领导 往往难以获得下属的信服。

第三，领导敢于承担责任，如果出了问题就把责任往下推，有了功劳就往自己身上揽，这样的领导不跟也罢。选择领导，要选择关键时刻能抗得住的领导，能够为下属的错误买单的领导，因为这是他作为领导的责任。

有可能，你碰不到好领导，因为，中国的领导往往是屁股决定脑袋的领导，因为他坐领导的位置，所以他的话就比较有道理，这是传统观念官本位的误区， 可能有大量的这种无知无能的领导，只是，这对于你其实是好事，如果将来有一天你要超过他，你希望他比较聪明还是比较笨？相对来说这样的领导其实不难搞定， 只是你要把自己的身段放下来而已。多认识一些人，多和比自己强的人打交道，同样能找到好的老师，不要和一群同样郁闷的人一起控诉社会，控诉老板，这帮不上 你，只会让你更消极。和那些比你强的人打交道，看他们是怎么想的，怎么做的，学习他们，然后跟更强的人打交道。

八、选择

我们每天做的最多的事情，其实是选择，因此在谈职业生涯的时候不得不提到这个话题。

我始终认为，在很大的范围内，我们究竟会成为一个什么样的人，决定权在我们自己，每天我们都在做各种各样的选择，我可以不去写这篇文章，去别人的 帖子拍拍砖头，也可以写下这些文字，帮助别人的同时也整理自己的思路，我可以多注意下格式让别人易于阅读，也可以写成一堆，我可以就这样发上来，也可以在 发以前再看几遍，你可以选择不刮胡子就去面试，也可以选择出门前照照镜子……每天，每一刻我们都在做这样那样的决定，我们可以漫不经心，也可以多花些心 思，成千上万的小选择累计起来，就决定了最终我们是个什么样的人。

从某种意义上来说我们的未来不是别人给的，是我们自己选择的，很多人会说我命苦啊，没得选择阿，如果你认为“去微软还是去IBM”“上清华还是上 北大”“当销售副总还是当厂长”这种才叫选择的话，的确你没有什么选择，大多数人都没有什么选择。但每天你都可以选择是否为客户服务更周到一些，是否对同 事更耐心一些，是否把工作做得更细致一些，是否把情况了解得更清楚一些，是否把不清楚的问题再弄清楚一些……你也可以选择在是否在痛苦中继续坚持，是否抛 弃掉自己的那些负面的想法，是否原谅一个人的错误，是否相信我在这里写下的这些话，是否不要再犯同样的错误……生活每天都在给你选择的机会，每天都在给你 改变自己人生的机会，你可以选择赖在地上撒泼打滚，也可以选择咬牙站起来。你永远都有选择。有些选择不是立杆见影的，需要累积，比如农民可以选择自己常常 去浇地，也可以选择让老天去浇地，诚然你今天浇水下去苗不见得今天马上就长出来，但常常浇水，大部分苗终究会长出来的，如果你不浇，收成一定很糟糕。

每天生活都在给你机会，他不会给你一叠现金也不会拱手送你个好工作，但实际上，他还是在给你机会。我的家庭是一个普通的家庭，没有任何了不起的社 会关系，我的父亲在大学毕业以后就被分配到了边疆，那个小县城只有一条马路，他们那一代人其实比我们更有理由抱怨，他们什么也没得到，年轻的时候文化大革 命，书都没得读，支援边疆插队落户，等到老了，却要给年轻人机会了。他有足够的理由象成千上万那样的青年一样坐在那里抱怨生不逢时，怨气冲天。然而在分配 到边疆的十年之后，国家恢复招研究生，他考回了原来的学校。研究生毕业，他被分配到了安徽一家小单位里，又是3年以后，国家第一届招收博士生，他又考回了 原来的学校，成为中国第一代博士，那时的他比现在的我年纪还大。生活并没有放弃他，他也没有放弃生活。10年的等待，他做了他自己的选择，他没有放弃，他 没有破罐子破摔，所以时机到来的时候，他改变了自己的人生。你最终会成为什么样的人，就决定在你的每个小小的选择之间。

你选择相信什么？你选择和谁交朋友？你选择做什么？你选择怎么做？……我们面临太多的选择，而这些选择当中，意识形态层面的选择又远比客观条件的 选择来得重要得多，比如选择做什么产品其实并不那么重要，而选择怎么做才重要。选择用什么人并不重要，而选择怎么带这些人才重要。大多数时候选择客观条件 并不要紧，大多数关于客观条件的选择并没有对错之分，要紧的是选择怎么做。一个大学生毕业了，他要去微软也好，他要卖猪肉也好，他要创业也好，他要做游戏 代练也好，只要不犯法，不害人，都没有什么关系，要紧的是，选择了以后，怎么把事情做好。

除了这些，你还可以选择时间和环境，比如，你可以选择把这辈子最大的困难放在最有体力最有精力的时候，也可以走一步看一步，等到了40岁再说，只 是到了40多岁，那正是一辈子最脆弱的时候，上有老下有小，如果在那个时候碰上了职业危机，实在是一件很苦恼的事情。与其如此不如在20多岁30多岁的时 候吃点苦，好让自己脆弱的时候活得从容一些。你可以选择在温室里成长，也可以选择到野外磨砺，你可以选择在办公室吹冷气的工作，也可以选择40度的酷热 下，去见你的客户，只是，这一切最终会累积起来，引导你到你应得的未来。

我不敢说所有的事情你都有得选择，但是绝大部分事情你有选择，只是往往你不把这当作一种选择。认真对待每一次选择，才会有比较好的未来。

九、选择职业

职业的选择，总的来说，无非就是销售、市场、客服、物流、行政、人事、财务、技术、管理几个大类，有个有趣的现象就是，500强的CEO当中最多 的是销售出身，第二多的人是财务出身，这两者加起来大概超过95％。现代IT行业也有技术出身成为老板的，但实际上，后来他们还是从事了很多销售和市场的 工作，并且表现出色，公司才获得了成功，完全靠技术能力成为公司老板的，几乎没有。这是有原因的，因为销售就是一门跟人打交道的学问，而管理其实也是跟人 打交道的学问，这两者之中有很多相通的东西，他们的共同目标就是“让别人去做某件特定的事情。”而财务则是从数字的层面了解生意的本质，从宏观上看待生意 的本质，对于一个生意是否挣钱，是否可以正常运作有着最深刻的认识。

公司小的时候是销售主导公司，而公司大的时候是财务主导公司，销售的局限性在于只看人情不看数字，财务的局限性在于只看数字不看人情。公司初期， 运营成本低，有订单就活得下去，跟客户也没有什么谈判的条件，别人肯给生意做已经谢天谢地了，这个时候订单压倒一切，客户的要求压倒一切，所以当然要顾人 情。公司大了以后，一切都要规范化，免得因为不规范引起一些不必要的风险，同时运营成本也变高，必须提高利润率，把有限的资金放到最有产出的地方。对于上 市公司来说，股东才不管你客户是不是最近出国，最近是不是那个省又在搞严打，到了时候就要把业绩拿出来，拿不出来就抛股票，这个时候就是数字压倒一切。

前两天听到有人说一句话觉得很有道理，开始的时候我们想“能做什么？”，等到公司做大了有规模了，我们想“不能做什么。”很多人在工作中觉得为什 么领导这么保守，这也不行那也不行，错过很多机会。很多时候是因为，你还年轻，你想的是“能做什么”，而作为公司领导要考虑的方面很多，他比较关心“不能 做什么”。

我并非鼓吹大家都去做销售或者财务，究竟选择什么样的职业，和你究竟要选择什么样的人生有关系，有些人就喜欢下班按时回家，看看书听听音乐，那也 挺好，但就不适合找个销售的工作了，否则会是折磨自己。有些人就喜欢出风头，喜欢成为一群人的中心，如果选择做财务工作，大概也干不久，因为一般老板不喜 欢财务太积极，也不喜欢财务话太多。先想好自己要过怎样的人生，再决定要找什么样的职业。有很多的不快乐，其实是源自不满足，而不满足，很多时候是源自于 心不定，而心不定则是因为不清楚究竟自己要什么，不清楚要什么的结果就是什么都想要，结果什么都没得到。
我想，我们还是因为生活而工作，不是因为工作而生活，生活是最要紧的，工作只是生活中的一部分。我总是觉得生活的各方方面都是相互影响的，如果生 活本身一团乱麻，工作也不会顺利。所以要有娱乐、要有社交、要锻炼身体，要有和睦的家庭……最要紧的，要开心，我的两个销售找我聊天，一肚子苦水，我问他 们， 2年以前，你什么都没有，工资不高，没有客户关系，没有业绩，处于被开的边缘，现在的你比那时条件好了很多，为什么现在却更加不开心了？如果你做得越好越 不开心，那你为什么还要工作？首先的首先，人还是要让自己高兴起来，让自己心态好起来，这种发自内心的改变会让你更有耐心，更有信心，更有气质，更能包 容……否则，看看镜子里的你，你满意么？

有人会说，你说得容易，我每天加班，不加班老板就会把我炒掉，每天累得要死，哪有时间娱乐、社交、锻炼？那是人们把目标设定太高的缘故，如果你还 在动不动就会被老板炒掉的边缘，那么你当然不能设立太高的目标，难道你还想每天去打高尔夫？你没时间去健身房锻炼身体，但是上下班的时候多走几步可以吧， 有楼梯的时候走走楼梯不走电梯可以吧？办公的间隙扭扭脖子拉拉肩膀做做俯卧撑可以吧？谁规定锻炼就一定要拿出每天2个小时去健身房？你没时间社交，每月参 加郊游一次可以吧，周末去参加个什么音乐班，绘画班之类的可以吧，去尝试认识一些同行，和他们找机会交流交流可以吧？开始的时候总是有些难的，但迈出这一 步就会向良性循环的方向发展。而每天工作得很苦闷，剩下的时间用来咀嚼苦闷，只会陷入恶性循环，让生活更加糟糕。

虽然离开惠普仅有十五天，但感觉上惠普已经离我很远。我的心思更多放在规划自己第二阶段的人生，这并非代表我对惠普没有任何眷恋，主要还是想以此驱动自己往前走。

万科王石登珠穆朗玛峰的体验给我很多启发，虽然在出发时携带大量的物资，但是登顶的过程中，必须不断减轻负荷，最终只有一个氧气瓶和他登上峰顶。登山如此，漫长的人生又何尝不是。
我宣布退休后，接到同事朋友同学的祝贺。大部分人都认为我能够在这样的职位上及年龄选择退休，是一种勇气，也是一种福气。
还有一部分人怀疑我只是借此机会换个工作，当然还有一些人说我在HP做不下去了，趁此机会离开。
我多年来已经习惯别人对我的说三道四，但对于好友，我还是挺关心大家是否真正理解我的想法，这也是写这篇文章的目的。
由于受我父亲早逝的影响，我很早就下定决心，要在有生之年实现自己的愿望，我不要像我父亲一样，为家庭生活忙碌一辈子，临终前感伤，懊恼自己有很多没有实现的理想。
一本杂志的文章提到我们在生前就应该思考自己的墓志铭，因为那代表你自己对完美人生的定义，我们应该尽可能在有生之年去实现它。
我希望我的墓志铭上除了与家人及好友有关的内容外，是这样写着：
1.这个人曾经服务于一家全球最大的IT公司（HP）25年，和她一起经历过数次重大的变革，看着她从以电子仪表为主要的业务变革成全球最大的IT公司。
2.这个人曾经在全球发展最快的国家（中国）工作16年，并担任HP中国区总裁7年，见证及经历过中国改革开放的关键最新突破阶段，与中国一起成长。
3.这个人热爱飞行，曾经是一个有执照的飞行员，累积飞行时数超过X小时，曾经在X个机场起降过。
4.这个人曾经获得管理硕士学位，在领导管理上特别关注中国企业的组织行为及绩效，并且在这个领域上获得中国企业界的认可。
我费时25年才总结1和2两项成果，我不知还要费时多久才能达成3和4的愿望，特别是第4个愿望需要经历学术的训练，才能将我的经验总结成知识。
否则我的经验将无法有效影响及传授他人。因此重新进入学校学习，拿一个管理学位是有必要的，更何况这是我一个非常重要的愿望。
另一方面，我25年的时间都花在运营(operation)的领域，兢兢业业的做好职业人士的工作，它是一份好工作，特别是在HP，这份工作也帮助我建立财务的基础，支持家庭的发展。

但是我不想终其一生，都陷入在运营的领域，我想象企业家一样，有机会靠一些点子(ideas)赚钱，虽然风险很高，但是值得一试，即使失败，也不枉走一回，这也是第4个愿望其中的一部份。

Carly Fiorina曾经对我说过“这个世界上有好想法的人很多，但有能力去实现的人很少”，2007年5月21日在北大演讲时，有人问起那些书对我影响较大， 我想对我人生观有影响的其中一本书叫“TriggerPoint”，它的主要观点是：人生最需要的不是规划，而是在适当的时机掌握机会，采取行动。
我这些愿望在我心中已经酝酿一段很长的时间，开始的时候，也许一年想个一两次，过了也就忘掉，但逐渐的，这个心中的声音，愈来愈大，出现的频率也愈来愈高，当它几乎每一个星期都会来与我对话时，我知道时机已经成熟。

但和任何人一样，要丢掉自己现在所拥有的，所熟悉的环境及稳定的收入，转到一条自己未曾经历过，存在未知风险的道路，需要绝大的勇气，家人的支持和好友的鼓励。有舍才有得，真是知易行难，我很高兴自己终于跨出了第一步。
我要感谢HP的EER提前退休优惠政策，它是其中一个关键的TriggerPoints,另一个关键因素是在去年五六月发生的事。
当时我家老大从大学毕业，老二从高中毕业，在他们继续工作及求学前，这是一个黄金时段，让我们全家可以相聚一段较长的时间，我为此很早就计划休一个长假，带着他们到各地游玩。
但这个计划因为工作上一件重要的事情（Mark Hurd访华）不得不取消。这个事件刺激了我必须严肃的去对待那心中的声音，我会不会继续不断的错失很多关键的机会?

我已经年过50，我会不会走向和我父亲一样的道路？人事部老总Charles跟我说，很多人在所有对他有利的星星都排成一列时，还是错失时机。
我知道原因，因为割舍及改变对人是多么的困难，我相信大部分的人都有自己人生的理想，但我也相信很多人最终只是把这些理想当成是幻想，然后不断的为自己寻找不能实现的藉口，南非前总统曼德拉曾经说过，“与改变世界相比，改变自己更困难”，真是一针见血。
什么是快乐及有意义的人生？我相信每一个人的定义都不一样，对我来说，能实现我墓志铭上的内容就是我的定义。
在中国惠普总裁的位置上固然可以吸引很多的关注及眼球，但是我太太及较亲近的好友，都知道那不是我追求的，那只是为扮演好这个角色必须尽力做好的地方。

做一个没有名片的人士，虽然只有十多天的时间，但我发现我的脑袋里已经空出很多空间及能量，让我可以静心的为我ChapterII的新生活做细致的调研及规划。

我预订以两年的时间来完成转轨的准备工作，并且花多点时间与家人共处。这两年的时间我希望拿到飞行执照，拿到管理有关的硕士学位，提升英文的水平，建立新的网络，多认识不同行业的人，保持与大陆的联系。希望两年后，我可以顺利回到大陆去实现我第四个愿望。

毫不意外，在生活上，我发现很多需要调整的地方。
二十多年来，我生活的步调及节奏，几乎完全被公司及工作所左右，不断涌出的deadline及任务驱动我每天的安排，一旦离开这样的环境，第一个 需要调整的就是要依靠自己的自律及意志力来驱动每天的活动，睡觉睡到自然醒的态度绝对不正确，放松自己，不给事情设定目标及时间表，或者对错失时间目标无 所谓，也不正确，没有年度，季度，月及周计划也不正确。

担任高层经理多年，已经养成交待事情的习惯，自己的时间主要花在思考，决策及追踪项目的进展情况，更多是依靠一个庞大的团队来执行具体的事项及秘书来处理很多协调及繁琐的事情。

到美国后，很多事情需要打800号电话联系，但这些电话很忙，常让你在waitingline上等待很长的时间，当我在等待时，我可以体会以前秘书工作辛苦的地方，但同时也提醒我自己，在这个阶段要改变态度，培养更大的耐性及自己动手做的能力。

生活的内容也要做出很大的调整，多出时间锻炼身体，多出时间关注家人，多出时间关注朋友，多出时间体验不同的休闲活动及飞行，一步步的，希望生活逐步调整到我所期望的轨道上，期待这两年的生活既充实又充满乐趣及意义。

第一个快乐的体验就是准备及参加大儿子的订婚礼，那种全心投入，不需担忧工作数字的感觉真好。同时我也租好了公寓，买好了家具及车子，陪家人在周 末的时候到Reno及Lake Tahoe玩了一趟，LakeTahoe我去了多次，但这次的体验有所不同，我从心里欣赏到它的美丽。

但同时我也在加紧调研的工作，为申请大学及飞行学校做准备，这段时间也和在硅谷的朋友及一些风险投资公司见面，了解不同的产业。

我的人生观是“完美的演出来自充分的准备”，“勇于改变自己，适应不断变化的环境，机会将不断出现”，“快乐及有意义的人生来自于实现自己心中的愿望，而非外在的掌声”。

我离开时，有两位好朋友送给我两个不同的祝语，Baron的是“多年功过化烟尘”，杨华的是“莫春者，风乎舞雩，咏而归”，它们分别代表了我离开惠普及走向未来的心情。

我总结人生有三个阶段，一个阶段是为现实找一份工作，一个阶段是为现实，但可以选择一份自己愿意投入的工作，一个阶段是为理想去做一些事情。

我珍惜我的福气，感激HP及同事、好朋友给我的支持，鼓励及协助，这篇文字化我心声的文章与好友分享。

随机日志

• 2009年08月4日 -- 布什政府曾计划网络攻击萨达姆
• 2009年09月9日 -- PHP168 6.0及以下版本0day
• 2009年07月13日 -- 狙击精英:攻略【超详细版】
• 2008年10月13日 -- 关于Windows的权限和一些安全问题
• 2009年06月25日 -- 开3389的VBS
• 2010年04月15日 -- Remote Exploit Against the Aircrack-NG Tools svn r1675
• 2008年11月17日 -- 无线厂商、运营商默认SSID列表
• 2007年03月29日 -- bbsxp sql最新版0day
• 2008年12月3日 -- IT项目风险管理之道：小心使得万年船
• 2009年06月25日 -- BT4 pre final 试用随笔

下面是具体的经过：星期天一大早，Jackh4xor安全组织向Full Disclosure(全面披露)邮件列表发去一封邮件，解释MySQL.com"很容易遭到盲目的SQL注入攻击漏洞的袭击。"该邮件将MySQL.com客户浏览页面列为是目标网站。有人从MySQL.com网站窃取了一批数量惊人的数据库、表和字段，还有一小部分的用户名和密码，它们有的采用加密形式，有的没有加密。

此后不久，声称来自罗马尼亚Slacker.Ro的TinKode和Ne0h的一份冗长的列表出现在了Pastebin网站上。TinKode(或者更准确地说，是打着TinKode名号的那个人)曾先后闯入了美国陆军网站、Eset、美国宇航局、英国国防部、路透社及其他知名机构的网站。TinKode还称Jackh4x0r是"我们的朋友";他声称，他和Ne0h在今年1月发现了这个安全漏洞。

TinKode的列表包括几个关键的用户名，如"sys"和"sysadmin"，还包括它们被破解的相应密码--最可能是使用彩虹表(rainbow table)，从加密的密码中提取出来的。Sys(系统)的密码是"phorum5";sysadmin(系统管理员)的密码是"qa."。显然，一些网站管理员不想为使用复杂的密码而操心。

MySQL.com网站包括几个WordPress博客(WordPress在MySQL上运行)，TinKode和Ne0h都极其友善，把其中许多博客的ID和密码告诉给了全世界。前任MySQL项目管理主管(他在2009年以后就没有更新过其博客)的用户名为"admin"，密码是"6661"。前任社区关系副总裁(他在2010年1月以后就没有写过博文)同样采用了"admin"的用户名，相应的密码是"grankulla"。我觉得，公司头头们都不愿使用复杂的密码。

值得一提的是，MySQL并不是因密码被窃取或被猜出而中黑手的。TinKode和Ne0h采用盲目的SQL注入攻击手法，就攻破了该网站，他们针对的目标是接口，而不是数据库。TinKode还声称控制了MySQL.fr、MySQL.it、jp.MySQL.com和MySQL.de这四个网站。

TinKode对于黑掉Sun.com过程的描述似乎平淡无奇，只借助一份窃取来的表和字段，还有少数几个电子邮件地址，但根本没用到密码。至于他们是没有找到密码、根本就是不要密码，还是说将密码藏着掖着准备搞更邪恶的事，并不清楚。Sun.com是不是因MySQL.com遭到的同一种注入攻击手法而被攻破也不清楚。

谁监管监管者?这年头，还真不好说。

相关文章

• 2011年06月2日 -- Mysql安全
• 2010年06月3日 -- Mysql另类盲注中的一些技巧
• 2010年04月30日 -- MySQL监控快速指南
• 2009年11月23日 -- MySQL安装详细图解
• 2009年11月5日 -- MySQL导入数据库文件最大限制2048KB的修改解决办法
• 2009年09月2日 -- MySQL数据库安全配置指南
• 2009年08月24日 -- 关于MySQL权限
• 2009年08月24日 -- MySQL优化 之 Discuz论坛优化
• 2009年08月3日 -- 高级Mysql攻击技术(翻译blackhat 2009文章)
• 2008年10月18日 -- load_file()查看常用的一些配置文件

相关文章

• 2010年03月23日 -- 百度的招聘再一次证明黑客招聘是不需要学历的
• 2011年12月17日 -- 悸动的灵魂 兄弟的情深
• 2011年09月16日 -- 给你一个刘易阳又如何
• 2011年06月24日 -- 最近的生活
• 2010年09月7日 -- 外星人致地球人的一封信(关于UFO的推断和联想)
• 2010年07月17日 -- 你到底要做我丈夫还是姐夫！
• 2010年07月9日 -- 《南都周刊》：红客变身 黑客隐去
• 2010年06月13日 -- 我眼中的韩国—出自北大中文系教授孔庆东
• 2010年06月5日 -- 即兴大发 吟诗一首
• 2010年06月3日 -- 张立申致周鸿祎的信 卡巴劝你回头是岸

内容很精彩.

ATM Hacking, GSM Hacking, SCADA Network ...

http://www.blackhat.com/html/bh-us-10/bh-us-10-archives.html

相关文章

• 2010年07月29日 -- Black Hat和Defcon黑客大会的五大看点
• 2008年08月30日 -- 亲历2008全球黑客大会

Hansen和Sokol指出,攻击者要利用这些漏洞,首先需要发起中间人攻击.攻击者一旦劫持了浏览器会话,就可以利用这些漏洞中的大多数对会话进行重定向,从而窃取用户凭据或者从远程秘密执行代码.

然而,两位研究人员强调,中间人攻击并不是攻击者的终极目的.

Hansen指出,“利用中间人攻击,攻击者还可以实现许多更加容易的攻击.你不得不'执行'中间人攻击,并被迫成为一个十分坚定的攻击者……然而,这还不是最坏的情况.对于电子商务应用来说,这些攻击简直是毁灭性的灾难.”

实际上,Hansen怀疑HTTPS和SSL/TLS中可能有数百个安全问题有待发现.他说,由于要准备这次黑帽大会的演讲,他们还没来得及对此进行深入研究.

中间人攻击并不是什么新技术.由于各种原因,攻击者可以设法在一个浏览器会话过程中的多个时刻加入会话.一些攻击者能够使用包括MD5冲突在内的各种方法伪造或窃取SSL证书.由于在会话到达认证协商的加密端口之前,SSL协议是采用明文传输DNS和HTTP请求的,所以攻击者还可以在这些步骤中的任一时刻劫持会话.另外,攻击者还能够利用中间人攻击修改HTTPS链接,将用户重定向到恶意HTTP网站.

对任何攻击者来说,重复Hansen和Sokol所说的工作并不容易,它需要耐心和资源.两位专家强调,中间人攻击得逞之后,攻击者可能发动两种高度危险的攻击.

第一种是cookie篡改(cookie poisoning)攻击,即攻击者利用浏览器在用户会话期间不更改cookie的情况,将同一个cookie反复标记为有效状态.如果攻击者能够提前劫持来自网站的cookie,然后再将其植入用户的浏览器中,则当用户的认证信息到达HTTPS站点时,攻击者就能够获得用户凭据并以用户身份登录.

第二种是重定向攻击.许多银行网站会将用户的会话从一个HTTP站点重定向到一个HTTPS站点,该会话通常是在另一个浏览器选项卡中打开,而不是在一个新的浏览器窗口中打开.由于攻击者仍然控制着旧的选项卡,所以攻击者可以在URL中注入Javascript脚本并修改新选项卡的行为.受攻击者可能会下载可执行文件,或者被重定向到一个恶意登录页面.

Hansen和Sokol解释说,利用针对SSL Web浏览器会话的攻击,攻击者可以观察和计算用户在一个网站的特定页面上停留的时间.这可能会泄漏处理数据的页面.此时,攻击者可以在该网页上采用相关技术强迫用户退出登录并重新进行身份认证,从而获得用户凭据.

Hansen指出,“有必要对SSL进行修改,比如添加填充和抖动代码”.他解释说,通过在Web请求中添加无意义的编码,可以延长攻击者完成攻击的时间,也许足以阻止攻击者采取进一步的行动.他说,“要避免此类攻击,必须采取适当的选项卡隔离和沙箱技术.安全专家也许能够避免此类情况的发生,但普通用户却不得不面临这种威胁.我们真的很难阻止这种攻击,我不知道有没有简单的办法可以解决这个问题.”

相关文章

• 2011年06月4日 -- Nginx https 免费SSL证书配置指南
• 2011年09月21日 -- WPA2不再安全 无线加密协议曝惊天漏洞
• 2010年07月3日 -- 风讯（FooSun）GetPassword.asp页面存在任意修改密码漏洞
• 2010年05月8日 -- JBoss企业应用平台JMX控制台安全绕过漏洞
• 2010年03月17日 -- 网页编辑器漏洞手册
• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2009年12月28日 -- fckeditor漏洞,通杀PHPMPS
• 2009年11月14日 -- Discuz!NT 3.0 特殊环境下利用漏洞
• 2009年11月2日 -- XOOPS 2.2.6 鸡肋本地包含漏洞
• 2009年10月7日 -- 封堵Windows Server 2008几个明显漏洞

参赛者让包括微软、思科、苹果和Shell在内的大公司的IT人员透露了能够用于计算机攻击的各类信息，包括他们正在使用什么浏览器和哪一个版本的 浏览器(星期五打电话联系的前两家公司使用的是IE6)、他们使用什么软件打开PDF文件、他们的操作系统和服务包号、他们的电子邮件客户端软件、他们使 用的杀毒软件、甚至还有他们本地无线网络的名称。

前两个参赛者使这个事情看起来非常容易。

一位澳大利亚的安全顾问Wayne(他不愿意透露自己的姓)星期五上午第一个参赛。他的任务是获取一家美国大公司的数据。

Wayne在一个面对观众的隔音房间里给一家公司的IT呼叫中心打电话并且与一位员工谈话。他假称是毕马威公司的顾问，要做一项审计，而且截止日期临近了，他让那家公司的员工泄露了一些细节信息。

Wayne问完员工人数后，立即讲起他的老板如何给他施加压力和他如何确实需要完成他的审计工作的故事。他的澳大利亚人的魅力对那位员工发挥了作 用。那个员工在他的新东家这里仅工作了一个月。几分钟之内，这个员工就愿意向Wayne提供需要的任何信息。在此期间，那个员工甚至访问了Wayne建立 的一个假冒的毕马威网页。

Wayne在打完这个电话之后接受采访时说，他几乎不相信自己这么幸运。他说，我在想，他们是一家非常大的公司。我知道他们有大量的内部安全审计。

后来，竞赛组织者称，他的努力是那一天表现最好的。但是，他们联系的每一个人都提供了信息。这个竞赛创始人之一Chris Hadnagy相信，如果问到口令等敏感信息，受害者可能也会透露。如果向他们要家人的照片，他们可能也会提供。

竞赛规则禁止询问任何敏感信息或者把目标对准政府或金融机构等某些类型的组织。尽管如此，这个竞赛在还没开始的时候就让人感到紧张。Hadnagy上个月接到了美国联邦调查局询问这个比赛情况的电话。

Wayne作为安全顾问做这种类似的社交工程工作已经有15年时间了。Wayne说，他在这个竞赛之前进行了大约20个小时的侦查。他知道怎样拨通那个IT呼叫中心以及在电话接通时用什么名字。

他承认，他连接到这样一位没有经验的员工是很幸运的。但是，新员工是最好的资源。如果你选择这家公司的高层人员，你将什么也得不到。

参加竞赛的第二个人Shane MacDougall决定跳过呼叫中心，直接联系另一家知名企业的安全人员。他选择一种更守旧的方法，声称是为CSO杂志进行一项调查。

他联系的第一个人知道他在做什么，在拒绝回答几个问题之后坚定但是客气地把MacDougal拒之门外。那个人说，这些具体问题我认为不方便回答你。

参赛者都只有25分钟完成任务。随着时间一分一秒地过去，MacDougal幸运地联系上了第二个人。那个人是在这家公司的安全工程部门才上班两个月的合同工。在询问有关工作满意度和自助食堂伙食质量等一些不重要的问题之后，他问到了重要数据。

结果，那个人提供了这样的信息：操作系统：Window XP，服务包3;杀毒软件：McAfee VirusScan 8.7;电子邮件客户端软件: Outlook 2003，服务包3;浏览器：IE6。

然后MacDougall告诉那个人访问一个网站可以获取25美元的调查优惠券。那个人照着去做了。

Defcon大会的这个竞赛持续到星期日。获胜者得到一台iPad平板电脑。（【CNW.com.cn 资讯】胡杨编译）

相关文章

• 2010年07月29日 -- Black Hat和Defcon黑客大会的五大看点

泄漏的数据包括浏览历史记录，短信，手机的SIM卡号码，用户识别号，语音邮件，甚至是密码，他警告称每个人都应该警惕来自手机上的威胁。

随机日志

• 2007年12月19日 -- 新型病毒专删色情视频文件！是祸还是福？
• 2007年12月11日 -- Microsoft Jet Engine MDB File Parsing Stack Overflow Vulnerability for xp 2k3
• 2008年01月7日 -- 浅谈国内的渗透评估过程
• 2009年08月24日 -- 10大方法减少内部人员安全风险
• 2008年11月14日 -- UAC Snooze 发布,帮助管理你的UAC
• 2010年01月18日 -- Nokia 5800相机参数设置拍出清晰的照片
• 2008年10月27日 -- 无线网络实战案例查找隐藏的SSID
• 2008年12月12日 -- [转载自MOP]我是真实的眼镜业批发商，想知道眼镜业黑幕的可以问我
• 2008年11月19日 -- No-IP DUC <= 2.1.7 Remote Code Execution Exploit
• 2009年12月3日 -- ROS2.9x，电信+网通双线接入策略路由+自动切换图文教程

1、终结者2现实版，让ATM自动吐钞

今年最值得期待的演讲会是来自曾在瞻博网络工作过的Barnaby Jack，Jack过去数年一直从事ATM(自动取款机)安全研究，本次大会他将会精彩呈现他发现的部分漏洞，ATM目前是漏洞研究的绿地。

Black Hat大会主席Jeff Moss说ATM漏洞研究使人想起几年前的投票机漏洞研究，当时发现了投票系统的严重漏洞，迫使许多政府机构重新考虑他们的电子投票方式。

Jack的演讲备受争议，大会收到了多家ATM厂商的严正警告，在去年的Black Hat大会，直到最后一分钟瞻博才决定让Jack上，今年情况不同了，Jack已经离开瞻博到了IOActive，他打算在今年的大会上展示几种新型 ATM攻击方法，包括远程攻击，根据大会主办方的活动说明，Jack还会透露所谓的“跨平台ATM Rootkit”。

Jack在他的摘要中写道：“我喜欢终结者2中的场景，John Connor走到ATM前，将他的Atari连接到读卡器，然后ATM就自动吐出现金，我已经让它变成了现实”。

(译者乱评：这和前不久前在国内出现的山寨ATM机完全不是一回事，Jack可以让任何一家银行的真实ATM自动吐钱，技术含量谁高谁低?)

2、DNSSEC是否能保DNS万无一失?

两年前，Dan Kaminsky揭露了让世人震惊的DNS漏洞，Kaminsky今年会继续出现在Black Hat大会上，但这次的演讲主题变成了Web安全工具，他也将参加一场记者招待会，将和来自ICANN和VeriSign的代表讨论DNS安全扩展 (DNSSEC)。

大约两周前，ICANN才将互联网12台DNS根服务器完成DNSSEC的部署，目前DNSSEC还没有得到广泛支持，ICANN希望通过自己的实践，推动这一技术的普及。

Kaminsky表示普及DNSSEC将有效遏制网络攻击，他说：“我们正在研究如何让DNSSEC不仅可以解决DNS漏洞，还要让它解决一些核心漏洞，当然，DNSSEC不能解决所有问题，但它解决了身份验证相关的全部漏洞”。

(译者乱评：DNSSEC能杜绝DNS污染吗?Google加密搜索何时能才能用上!)

3、移动bug，普通人也能玩窃听

GSM安全研究人员今年将出现在Black Hat的演讲台上，这可能是美国和欧洲移动网络运营商最不想看到的，Kraken是刚刚放出的开源GSM破解软件，结合高度优化的彩虹表(rainbow table)，让解密GSM通话和短消息成为一件易事。

Kraken所做的就是监听空气中的通话，另外还有一个GSM嗅探项目 – AirProbe，使用这些工具的研究人员说他们现在想将这些技术展现给普通人，而对于那些间谍和安全爱好者早已不是什么秘密了，A5/1加密算法现在可 以轻松破解，而T-Mobile，AT&T等运营商的GSM网络正是使用了这个加密算法。

Chris Paget将做这方面的主题演讲，他将会在大会上现场演示拦截听众的通话(当然得到邀请的听众是很幸运的，但回家后可能也会捉摸是否要将手机扔进垃圾 桶)，如果合法的话，这将是一个有趣的演示，Paget还开发出了他称作“世界纪录”的RFID标签阅读器，可以在几百米远读取到RFID标签信息，在本 次Black Hat上他也会就此做一些讨论。

另一位研究人员Grugq将会演讲如何构建恶意GSM网络基站和移动设备上的组件，他的演讲主题描述写道：“相信我们，在演讲期间你会有关掉手机的想法”。

另一个值得关注的演讲与移动应用程序攻击有关，随着智能手机的普及，移动应用安全问题也摆在了世人的面前，不要存在侥幸心理，听了该主题演讲的人一定会谨慎使用移动应用程序的。

(译者乱评：以后打电话小声点，是不是别人就窃听不到了?重要事情还是当面谈比较稳妥啊!)

4、除了IT可以Hack，工业领域也可以

西门子本月首次尝到了SCADA(supervisory control and data acquisition)被攻击的滋味，其基于Windows的管理系统受到了诡异的蠕虫攻击，但也有SCADA安全专家认为是西门子的运气不好，因为这 种攻击可以轻易拿下任何竞争对手的产品，事实上，很多工业控制系统都存在大量的安全问题。

在过去的10年里，红虎(Red Tiger)安全公司创始人Jonathan Pollet已经在超过120个SCADA系统上执行了安全评估，他将在演讲中指出哪些地方是最容易出现安全漏洞的。红虎已经收集了38000个漏洞数 据，并且编写了针对这些漏洞的攻击代码，Pollet说：“你不必等待零日漏洞，现在已经有很多漏洞在那里摆着”。

(译者乱评：神啊，给我一串代码吧，我家的电表读数老是居高不下呀!)

5、或许会有意外，充满压力的黑客大会

在上周黑掉了Kevin Mitnick和Dan Kaminsky等其他黑客的Zero for Owned小组会回到Black Hat吗?AT&T会阻止Paget关于GSM漏洞的演讲吗?愤怒的ATM厂商会在最后一分钟用法律手段阻止Barnaby Jack的演讲吗?Defcon的社会工程竞赛会让金融服务行业的人抓狂吗?谁说得清呢，因为拉斯维加斯总是一个充满意外的地方。

(译者乱评：看来每个行业都有很大的鸭梨啊，希望这一届两会不会放我们鸽子!)

相关文章

• 2010年08月6日 -- Black Hat usa 2010 相关内容下载
• 2010年08月2日 -- Defcon大会：伪装电话咨询 20分钟窃取企业机密
• 2008年08月30日 -- 亲历2008全球黑客大会

最初Mozilla设置的奖励金额为500美元，这也是谷歌为其Chrome浏览器设置的奖励金额，也是谷歌奖励过的最高1，337美元的两倍。Mozilla和谷歌是业界唯一会向报告漏洞的用户提供奖励的浏览器生产商。

“六年来，Mozilla的奖励计划做了不少的调整。我们相信，最好的保证用户浏览安全的方法就是引入奖励机制，”Mozilla的安全设计部门总监 Lucas Adamski说。从2004年8月开始，Mozilla就推出了报告漏洞奖励计划。

只有那些被Mozilla列为“严重” 和“高危”的漏洞可以得到奖励。在Mozilla的分级制度里，严重的漏洞是那些会导致遥控代码执行的，换句话说，会导致黑客完全控制电脑的漏洞。高危漏 洞是那些会暴露用户关键信息，如用户名，密码和信用卡号码的漏洞。“拒绝服务“漏洞不符合奖励计划。

谷歌是从2010年1月起开始其漏洞 奖励计划的，为大部分的漏洞支付500美元奖励。谷歌会为那些评级为“非常聪明且非常严重的漏洞”支付 1000，甚至于1337美元。

最新的漏洞奖励是7月2日，谷歌支付给几位发现了4个漏洞的搜索者2500美元。

随机日志

• 2007年03月13日 -- 因特网根服务器成功经受住2月DDOS攻击
• 2009年07月12日 -- 《狙击手:胜利的艺术》秘籍
• 2009年09月20日 -- phpcms2008 最新0day & Exp
• 2006年10月30日 -- 上海，今夜请将我埋葬
• 2008年10月18日 -- load_file()查看常用的一些配置文件
• 2009年07月29日 -- 微软于BlackHat大会公布安全工具（下载）
• 2010年04月3日 -- 网游厂商运营失败的两大直接原因：私服和黑客
• 2006年09月24日 -- 自动选择最快服务器的代码
• 2010年04月23日 -- rar.exe在提权中的妙用
• 2008年10月15日 -- 假如对方是个BT 之 \ 被过滤

周总：

当你在5月29日的2010第五届中国互联网站长年会上说“没有360，卡巴斯基在中国根本就没有机会”时，我正在布里斯班参加卡巴斯基在澳大利亚的渠道大会。包括我所负责的亚太区在内，卡巴斯基在过去十年获得了全球性的持续增长。迄今为止，卡巴斯基已成为全球第四大安全厂商。在全球性的互联网公司里，卡巴斯基的增长速度在2009年仅次于Google。尤其是在个人安全领域，卡巴斯基更是取得了令人称奇的全球性增长，继在德国、法国稳居第一之后，2010年第一季度，卡巴斯基在美国市场也取得第一。这意味着即使在传统安全软件厂商垄断多年的美国市场，卡巴斯基也成为最受消费者喜爱的品牌。

在你所熟悉并仰赖的中国市场，卡巴斯基作为专业安全软件的领跑者，每一天都在为数百万中国企业、学校、政府及金融机构提供专业的网络安全服务，包括网易邮箱、QQ邮箱在内的中国主流邮箱均由卡巴斯基反病毒引擎提供保护，享受卡巴斯基专业安全服务的互联网用户数以亿计。

我以为，从商和为人，都应该有两个基本的底线，一个是“诚信”，一个是“不作恶”。你可能急于成功，你可能急于做出一个“伟大的产品”，你可能急于成就一家“伟大的公司”，你可能急于获得与一些人平起平坐的机会——这些我都理解，我也看到你很聪明，很勤奋，很无畏——这些我都钦佩，但我仍然很难想象，出于什么样的原因，你可以说出如下的无稽之谈——“没有360，卡巴斯基在中国根本就没有机会”。虽然由于合约的规定我不能在此公布当年卡巴斯基与360合作的细节，让更多的人了解到事实的真相，但我也无法再保持沉默，因为当你在说这句话时，你完全不顾以下的事实：

1、当你在2006年6月第一次发布360安全卫士时，卡巴斯基进入中国已经有3年多了，已经是在互联网上拥有大量用户群、良好口碑的软件了。事实上，当年你找到我要跟我合作，也是因为你看中了卡巴斯基在网民中的影响力。

2、百度的搜索排行榜可谓是产品受网民追捧程度的晴雨表，截止2010年5月30日，卡巴斯基在百度搜索排行榜软件榜TOP50的累计上榜时间是2462天，360安全卫士是1189天，这意味着卡巴斯基受中国网民追捧的时间要比360早大概四年！

在公开场合，在媒体面前，你总是以卡巴斯基的最大帮手自居。四年来，卡巴斯基没有对此做过更多的辩解。因为我相信成功并不一定要靠打压别人或是践踏别人，也不一定要用炒作和公关，一个人的精力是有限的，一家公司的资源也是有限的，用更多的精力和资源做好自己的产品才是最重要的，可是这次，当你说“没有360，卡巴斯基在中国根本就没有机会”时，你伤害了300多名卡巴斯基中国的员工，3000多家卡巴斯基经销商，50000多名卡巴斯基终端推广员——你无视他们过去七年的辛勤劳动，你在挑衅他们过去七年为中国网络安全付出的艰苦卓绝的努力！

当年360和卡巴斯基合作，向下载360的用户免费赠送卡巴斯基产品激活码。通过此举，360获得了大量的装机量。很显然，360安全卫士能有后来的用户规模，与当年可以独家赠送卡巴斯基是密不可分的。尽管如此，卡巴斯基过去、现在和未来都不会说——“没有卡巴斯基，360在中国根本就没有机会”。因为我始终认为卡巴斯基与360的合作是一个互惠双赢的合作，而当时的互联网环境、互联网用户需要是促成这一合作成功的重要外部因素，时过境迁，这一合作模式在今时今日已不可复制。

作为一个年长你十来岁的曾经的合作伙伴，我自信，和不少互联网同仁一样，我们大概清楚你想做什么，无论是昨天、今天或明天。虽然当年在和卡巴斯基的合作还在继续的时候，360安全卫士已经大力开展与卡巴斯基竞争对手的合作；虽然现在360打破承诺，推出免费杀毒软件；虽然你一再抛出伤害卡巴斯基、伤害我以及所有卡巴斯基工作人员与合作伙伴感情的言论，但我并不想说出或做出任何伤害360的事情，我只想劝告你：

360安全卫士曾经是一个很好、很有价值的产品，曾经是一家能在一定程度上与专业安全厂商形成良性互补，并据此赢得用户、堂而皇之的依靠互联网广告盈利的系统优化、软件管理厂商或浏览器提供商，但现在它迷失在“颠覆专业安全厂商”的自我亢奋之中，为支撑根本就不是自身优势的“安全价值”而透支资源、透支品牌、透支诚信。

写这封信给你，不是为了和你争辩什么，打口水仗从来都不是我的兴趣和特长。我希望这是对你最后的回应。当年你来找我合作的时候，我就跟你说过，卡巴斯基和360不是竞争对手。到现在，我也不认为360是卡巴斯基的对手。无论360的结局如何，卡巴斯基都将继续保持专业安全软件全球领跑者的地位，在中国也一样。

写这封信给你，是作为曾经的朋友和合作伙伴，我想尝试劝说你，把你的聪明才智用到对用户真正有利，对中国互联网发展真正有利的事情上来。

多年以来，你一直都是一个不甘停下、奋不顾身往前跑的人。人生，有的时候，需要暂时停下来。你会发现，原来——

回头是岸。

卡巴斯基  张立申

2010年6月1日

相关文章

• 2011年12月17日 -- 悸动的灵魂 兄弟的情深
• 2011年09月16日 -- 给你一个刘易阳又如何
• 2011年06月24日 -- 最近的生活
• 2010年12月3日 -- 公安部专项行动破180起黑客攻击案 460余人落网
• 2010年09月7日 -- 外星人致地球人的一封信(关于UFO的推断和联想)
• 2010年07月17日 -- 你到底要做我丈夫还是姐夫！
• 2010年07月9日 -- 《南都周刊》：红客变身 黑客隐去
• 2010年06月13日 -- 我眼中的韩国—出自北大中文系教授孔庆东
• 2010年06月5日 -- 即兴大发 吟诗一首
• 2010年04月30日 -- 安全研究人员分类