向黑客精神致敬!

news2024/11/13 8:01:48

不是第一次想在一个特殊的时间写点什么,但是每次都是刚写了几个字就又停下来,有什么好说的呢?既然整个行业都是说的多,做的少,我们不如更多的踏实做点事情比较好,所以又把编辑器关掉。

但这次还是希望能和大家分享,过去经历了什么、读到看到了什么、想到了什么,和大家一起来讨论对安全的思考。

在一个月前,教育部发了个报告,说到2027年,我国网络安全人员缺口将达327万。再譬如我们了解到安全行业人才已经供不应求,薪酬也远远高于其他岗位,年薪百万并不是一个很稀奇的事情了,努力的人都可以得到。

很高兴看到企业都开始愿意为安全建设做出投入,大家也有了更好的安全意识。没有企业愿意自己被黑客攻击,愿意数据流出,安全环境在变得越来越好。

信息安全行业的生生不息,大家薪酬的水涨船高,好多人并不清楚安全行业薪酬会这么高的根本原因。

这在十二年前,2010年的今天,情况不是这样的,过去发生了非常多的事情,这要从乌云时代开始说起。

前六年:2010年乌云时代开启


网络安全的问题,在于其封闭性,黑客本身是个很神秘的圈子。而公众这边每个人都担心出安全问题,但几乎每个人又都不知道安全问题到底是什么。

信息的严重不对称,导致这个行业很难得到改善,掌握信息和系统机制缺陷的人会利用信息和缺陷进行牟利。

而如果最终的用户都不关心安全问题,那么产品制造商和基础设施提供商就不会在安全方面进行投入,如果企业本身都不在乎安全问题,那么程序员写起代码来也就会随意。

同时大多数公司的运维和安全人员,几乎没有来自行业和内部的竞争压力、强监管压力,日久天长就会变得工作效率低下、不负责任,慢慢地躺下。

这样安全问题(漏洞)也就越来越多,最终的结果是社会要为这些安全问题付出代价,大量的敏感数据、隐私泄露、电信诈骗漫天飞。

而只有当用户把安全性作为选择企业产品的考量之一时,企业就会重视和加大在信息安全上的投入,研发人员就会有更多的资源和动力去处理安全问题,从而营造出越来越好的安全生态。

促使这个生态形成的前提,需要安全问题被看见,需要行业具备更高的「透明度」,这就是乌云存在的那六年时间一直在做的事情。

2016年,乌云关闭了。但无可否认,乌云和那「9245名白帽子」为业界所起到的积极正面作用,他们让更多人深刻地了解到安全问题是什么,从而更加关注安全。也让企业变得更加安全,乌云帮助行业完成了一个正向的循环。

乌云社区将一切对安全极为感兴趣,对事物运行的原理有着天生的好奇心,愿意将技术回归技术,愿意为其他朋友做出贡献的人定义为白帽子。

乌云社区作为桥梁将「我」和「其他白帽子」联系起来。每个白帽子都拥有对别人有价值的知识或才华,每个白帽子都拥有自己的特质,每个「我」都站在社区的中心,个体的差异之和是一种无限强大的力量。

我个人的驱动力是,我已经有一份稳定的工作,爱好安全而又没有任何压力驱使我使用技术去谋取黑色利益,我能够以正确的渠道展示自己。

乌云的存在,让我认识到大量优秀的人,和他们交流我获得了非常快速的能力提升和成长,我成为了那堆火的一颗小火星。

当然,乌云的暂停不意味着安全问题(漏洞)就会消失。我依然希望它有一天能回来,我要成为那一堆火,渴望着风。

风,能吹灭蜡烛,也能使火越烧越旺。

随后,非常庆幸整个安全行业平滑地过渡到由顶层牵头的慜感のProject时代,步入下一个六年。

后六年:慜感 の PROJECT 篇章


在2016年前后,互联网曝光了大量黑客事件和攻击武器,我们第一次清晰地感受到了黑客的攻击能力和破坏力,并逐步开始敬畏黑客和重视安全建设。

斯洛登事件,大家看见了由鹰酱试图操控全球的棱镜计划(PRISM),爱因斯坦计划(NCPS),鹰酱网络空间安全行动计划(CNCI)。这时我们知道了国与国之间的技术差距有着霄壤之别。

2016年,比特币不足5000人民币一枚,随后几年,比特币的价格飙升到顶峰40万人民币一枚,匿名货币是网络犯罪的温床,促使勒索病毒、网络攻击越发的猖獗。

2017年,阿桑奇创建的维基解密组织 WikiLeaks 披露了一批情报部门(C/I/A)下属黑客部门的机密文件,代号:Vault 7,通过这些文件,大家看见了鹰酱在全球部署的黑客武装力量。同一时期Hacking Team事件,方程式组织 (Equation Group)浮出水面,大洋彼岸的敌人非常的强悍。

2017年,黑客组织 Shadow Brokers 把鹰酱安全部门(N/S/A)下属特定HACK行动办公室 TAO 给入侵了,并且在互联网披露了他们的专用黑客军火库(其中包含永恒之蓝EternalBlue),直接导致勒索软件在全球爆发,国内多个高校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复。

2018年,GandCrab 勒索病毒以胜利者的姿态宣布隐退,赚了20亿美金后,金盆洗手把所有安全从业者戏弄了一番。2018年10月16日,一位叙琍亚的父亲发推特求助,称自己的孩子都在战乱中死去了,唯一留下的念想就是保存在电脑里的视频和照片,而GandCrab病毒加密了他的电脑。

看到这位叙琍亚父亲推特后,GandCrab开发者很快就在论坛上道歉,称没有将叙利亚列入免攻击名单是一个错误。随后,将叙琍亚在内的其他战乱地区都列入勒索病毒白名单,并且全部解锁恢复。

更有勒索软件Ziggy宣布金盆洗手,作者仅仅只是对自己的所作所为感到悲伤,就为受害者退还了赎金。亦正亦邪,我行我素。

2013年开始,被鹰酱主流媒体和安全厂商神话的National黑客组织「龙组」,对线被我方神话的鹰酱机密进攻性National黑客部门(特定HACK行动办公室 TAO)。对手被描绘得越强大,安全机构和组织部门依靠「假想敌」获得的社会支持和资源也就越多。

在这些密集的安全事件和强大对手的洗礼下,我们的决策层开始非常重视安全,壹号也在2018年提出「没有Cyber安全就没有National安全」的基调,倒逼我们的网络安全建设全面提速。

为了积极主动地应对来自敌对势力国的网络攻击威胁,有效防范关键基础设施的网络安全风险。启动了慜感のProject,高端玩家正式进入实战对抗阶段。

每一年的攻防实战对抗,都切实有效地帮助我们的祖国大幅提升了整体的防御水平,这是一件非常伟大且意义非凡的事情。所有具备实战能力的安全工程师都得到了前所未有的尊重和重视,特别是红队(Red Team)。

每年的某月,非常的欣喜,依旧还能看到一些白帽子和工程师仍旧保持着一贯的认真,默默的奉献着自己的能力,认真这个品质在互联网时代显得是那么的稀缺。

大前年,我和剑心谈论到安全行业的变化,但是大家也知道,这当然并不是一个最好的时代,薪资的上涨,顶层的重视,环境的变化导致很多人变得更为浮躁,产生的实际价值远远低于他所创造的,行业成为风口也同样导致行业更加浮躁,创新和踏实是艰难的,相比起来表面的浮夸却变得更为容易。

因敏感の行动驱动,以漏洞交易为核心的封闭进一步促进了这种浮躁,越来越多的年轻人关注短期的物质回报,越来越少的人愿意参与技术的分享和成长,在过去几年的时间里也许很多人的机会增加了很多,但是有多少人关注自己真正成长了多少呢?

包括我自己也是这样,过去六年我在技术上的进步几乎没有。在法律法规越来越严格的趋势下,我担心我们对技术越来越缺乏敬畏之心。在下一个六年,我希望自己还可以做点事情,能为关注分享的人创造一些机会,能为愿意成长的人创造更好的环境,真正以技术和产品创新给行业创造更多的价值。

你好!下一个六年


过去十二年,我们所有人、所有企业,对待安全问题和对待健康的态度很像,只有当我生病了或是体检报告通知我有问题,我才会去看医生。所有人都关注健康,但是没有一个人说,今天晚上我就去锻炼,就去运动。

大量企业的安全问题只有在被外部人员发现,被社会公众、监管机构、企业的决策人看见时,才会被定义为真正的安全问题,才会引发重视和得到高效的解决。整个行业的发展,驱动力多数情况下是由「安全事件驱动」,大量企业开始安全建设的时机,往往也是在发生了一个重要的安全事件。

当没有外部声音提出安全问题时(可能黑客早已在内网无数次的漫游),大多数企业的安全团队都会当做没事发生(且问题能掩则掩),绩效考核结果:0起安全事件,我们今年的安全做得真好。

企业的决策人在很长一段时间内,如果没能感知到安全事件的发生,会导致他们对安全风险发生的概率产生误判。安全团队作为成本部门,慢慢会成为开源节流被砍的对象。

安全最基本、最基础的工作是在「事前防范」,在风险未成形前,看出征兆及时化解,防患于未然。基础工作自然需要足够多的投入才能真正做好,有的时候前面走的太急,是要折回去重新把路踩实的。企业不重视基础建设,就会容易陷入连续救火的状态。

在这种环境下,如果遇上些不太了解安全的高管,看不到那些踏实做事的安全工程师,看不到一些本该提前解决的安全问题。总结会上还频繁表扬救火英雄的事迹,安全就更加难做了。

企业对待安全的态度,解释了今天为什么我们就算拥有强大的人工智能、算法天才、超算集群,却依然解决不了弱口令的问题,解决不了大量反复出现的低级安全问题。企业的员工、研发、运维人员还在不断地犯错。

如果说未来六年,安全事件依然还是安全发展的核心驱动力。

黑客相信必要的时候,
唯有亮出真实的威胁,
人们才会开始重视安全,
才会开始寻求解决方案。

在合理合法的情况下证明系统或程序存在漏洞,发现问题的能力在未来变得至关重要。

只要安全问题(漏洞)被源源不断的发现,只要安全问题还没有从根源侧得到解决,安全需求就会源源不断产生,安全行业就会生生不息,当有一天黑客没法再自由地发现问题,这个行业大概也就陷入停滞了。

就在去年一年的时间,整个中国的智能手机出货量3.1亿部,智能网联汽车出货量1370万辆。这么多的端和设备在源源不断接入网络,企业的业务持续互联网化,间接导致了攻击面爆炸的问题。

人的时间和精力越发的宝贵,人工发现问题(漏洞)的效率太低了。如何发现更多的问题,更高效的发现问题,这个问题困扰了我很长一段时间,十几年前我就在想,一定得有那么一个系统来半自动化地辅助我们解题。

如果某个人不愿意放下他们自己手上正在做的事情,并且全身心地投入到感兴趣的事情之中,没有执行力的想法最后也只能是空想。

就在一个月前,我正式到了长亭科技,非常幸运这里也有一群人一直在做着同样的事情。我们花了一些时间进行交流,在北京中关村768园区,洞鉴、无锋、云图三大主力完成了最终会师。

小伙子们的目标是成为「宇宙第一扫描器」,听起来有点壮志凌云的意思了,而我们现在还只是学院路第一,还有很长的路要走,还需要脚踏实地的加把劲,在最快的时间达成「中关村第一」的小目标,北京市第一、华北地区第一、全国第一,这些个阶段性里程碑都在等着我们。

我很兴奋,已经开动在做自己感兴趣的事情了呀,做自己想用的东西。热爱的感觉真好,每天可以折腾到凌晨2点而不觉得疲倦。

《发明:詹姆斯·戴森创造之旅》戴森写了他本人的亲身经历,说自己有很多次打扫房间时,发现袋式真空吸尘器总是失灵,没啥吸力,灰尘总把袋子里的气孔堵塞,阻断气流。作为一个消费者,他感到自己受骗了,甚至很愤怒,这种愤怒持续了好几个月。作为工程师的Dyson为了解决自己的问题,世界上第一个免纸袋真空吸尘器诞生了。

《鞋狗:耐克创始人菲尔·奈特自传》作为运动员的菲尔·奈特,他的田径教练比尔·鲍尔曼认为他的队员需要更好、更轻的跑鞋。于是教练走出训练场,在工作室里尝试着往家用蛋奶烘饼模具里注入橡胶,耐克最著名的铁模鞋底便应运而生了。

做你自己想用的东西,解决自己实际问题的方法最大的优势在于能让你喜欢上自己的产品。你十分了解其中存在的各种问题以及价值所在,也能很快发现它到底好不好用。除此之外也没有其他办法了,毕竟你(很有可能)会为这件事战斗很多年,甚至竭尽所能。所以,最好还是做自己真正关心的东西啊。

很多事情表面上是一夜告成,其实背后都有很长时间的积累。我们一辈子,想做成点什么事,都需要经过长期的酝酿和积累,不可能仓促草就。对吧?

这已经不是一个拿出一朵花来吓人一跳的时代了,这是一个让大家看着一朵花慢慢长出来的时代,看着一项技术一点点成熟,一个项目一点点长大。

如果你也对发现问题这件事有着相同的兴趣,想要做点什么,欢迎大家积极参与:)

我是乌云核心白帽子,#0 猪猪侠
向白帽黑客致敬!

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/62209.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java 最常见的800道面试题,老话说:临阵磨枪,不快也光,涨薪指日可待

前言 春招,秋招,社招,我们 Java 程序员的面试之路,是挺难的,过了 HR,还得被技术面,鄙人在去各个厂面试的时候,经常是通宵睡不着觉,头发都脱了一大把,还好最终…

kubernetespod控制器详解2与service详解1

kubernetespod控制器详解2与service详解1 Horizontal Pod Autoscaler(HPA) Kubernetes期望可以实现通过监测Pod的使用情况,实现pod数量的自动调整,于是就产生了Horizontal Pod Autoscaler(HPA)这种控制器。 HPA可以获取每个Pod利…

【并发】J.U.C之Java锁

java锁 锁的种类和特点 无锁/偏向锁/轻量级锁/重量级锁 这四种锁是指锁的状态,专门针对synchronized的。在介绍这四种锁状态之前还需要介绍一些额外的知识。 首先为什么Synchronized能实现线程同步? 在回答这个问题之前我们需要了解两个重要的概念&a…

室外定位:高精度北斗RTK定位技术

北斗RTK定位技术,也称北斗差分定位技术,利用我国自主研发的北斗卫星定位系统实现精确定位功能。定位精度可根据需要,通过选择不同精度的人员定位终端来实现。 在科技强国的战略驱动下,北斗RTK定位技术迎来了广阔的发展机遇&#x…

【无锁队列】无锁CAS_无锁队列

1 引言 锁是解决并发问题的万能钥匙,可是并发问题只有锁能解决吗? 2 什么是CAS? ⽐较并交换(compare and swap, CAS),是原⼦操作的⼀种,可⽤于在多线程编程中实现不被打断的数据交换操作,从⽽避免多线程…

[附源码]计算机毕业设计基于Springboot的专业技能认证系统

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

Thread类的常用方法

目录 1.Thread类常用的构造方法 2.Thread类的几个常见属性 2.1 什么是守护线程?isDaemon 2.2线程是否存活 isAliye() 3.终止线程的方法 3.1使用共享标志位通知中断线程 3.2使用Thread自带的标志位通知 4.等待线程 join 5.获取当前线程的引用 6.休眠当前线程 Thread …

Java安全--篇2-类的动态加载

类的动态加载 首先我们来了解一下构造代码块和静态代码块:Java中静态代码块、构造代码块、构造函数、普通代码块 - YSOcean - 博客园 // 静态代码块 static {System.out.println("静态代码块"); }// 构造代码块 {System.out.println("构造代码块&q…

使用Jetpack组件Navigation实现Android开发中页面跳转

使用Jetpack组件Navigation实现Android开发中页面跳转 ​目录 一、前言 1.概述 2.导航图的创建(官网) 二、基本使用 1.依赖配置 2.具体实例:使用Navigation实现页面的跳转。 2.1.class的创建 2.2 、页面布局文件的创建 2.3 向 Acti…

Abaqus血管支架仿真攻略之几何创建与网格划分

作者:江丙云,仿真秀平台优秀讲师 前不久,笔者推送的冠脉支架的参数化建模和优化、Abaqus网格卷曲WrapMesh,冠脉支架的参数化建模和优化,以及Abaqus疲劳分析|Goodman插件等原创文章后,后台留言的读者众多&a…

GDP-海藻糖,5‘-鸟苷二磷酸岩藻糖,GDP-fucose ,CAS:15839-70-0

产品名称:GDP-海藻糖,5-鸟苷二磷酸岩藻糖,二磷酸鸟苷岩藻糖,GDP-L-岩藻糖 英文名称:GDP-fucose,Guanosine 5-diphosphate-L-fucose disodium salt CAS:15839-70-0 Mol. Formula C16H23N5O…

基于模糊神经网络算法预测电价(Matlab代码实现)

📋📋📋本文目录如下:⛳️⛳️⛳️ ​ 目录 1 概述 2 模糊神经网络简介 3 运行结果 4 参考文献 5 Matlab代码实现 1 概述 近年来,随着能源短缺和环境问题的日益凸显,太阳能、风能等各种形式的清洁能源得到广泛应用,微网作为分布式…

【云原生 | 46】高可用的开源键值数据库Etcd的安装与使用

🍁博主简介: 🏅云计算领域优质创作者 🏅2022年CSDN新星计划python赛道第一名 🏅2022年CSDN原力计划优质作者 🏅阿里云ACE认证高级工程师 🏅阿里云开发者社区专…

第二证券|超300家机构关注两大赛道龙头,透露市场增长及发展方向

中科创达、奥普特成为本周调研组织数量最多的两家公司。 智能操作体系龙头获365家组织调研 证券时报数据宝计算,11月27日至12月3日,组织算计调研上市公司291家。被调研方多属于电子、机械设备、医药生物、电力设备、计算机、国防军工等板块,…

安卓属性动画

​ 一.三种安卓动画 Tween Animation(补间动画、视图动画):通过对场景里的对象不断做图像变换(平移、缩放、旋转)产生的动画效果,即是一种渐变动画。 Frame Animation(帧动画):顺序播放事先做好的图像&…

基于PLC的工业晾晒架系统

目录 前言 6 第一章 工业晾晒架的发展现状及趋势 7 1.1自动工业晾晒架的基本介绍 7 1.2自动工业晾晒架发展史和发展现状 8 第二章 自动晾晒架的智能模块 9 2.1自动晾晒架的结构框图 9 2.2自动晾晒架的机械理论 10 第三章 自动晾晒架的硬件设计 11 3.1电源设计部分 12 3.2 PLC的…

组合模式

文章目录思考组合模式1.组合模式的本质2.何时选用组合模式3.优缺点4.实现思考组合模式 组合模式实际上就是让客户端不再区分操作的是组合对象还是叶子对象,而是以一个统一的方式来操作。 1.组合模式的本质 组合模式的本质:统一叶子对象和组合对象。 组合模式通过把叶…

No.179 念念随风上九霄

引言有人跟老梁说,你挺忙的吧,更新变少了。害,可不是嘛?时间不太够,凑不出来了。凑不出来就不凑它了,扯扯其他的吧。在大城市生活节奏是快,个人也被裹挟着运转,无处可逃。从早到晚&a…

[附源码]计算机毕业设计基于SpringBoot动漫电影网站

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

如何用 7 分钟击破 Serverless 落地难点?

当前,Serverless 覆盖的技术场景正在不断变广。Serverless 已在微服务、在线应用、事件驱动、任务处理等众多场景被验证且广泛应用 。当你想要部署一个网站时,需要自己购买服务器并花费时间去维护,造成资源浪费不说,还要耗费精力。…