談談黑客攻防技術的成長規律（aullik5）

 

 

• 黑莓末路

    昨晚聽FM裏談到了RIM這家公司，有分析師認爲它須要很悲催的裁人90%，才能保證活下去。這是一個意料之中，但又有點兔死狐悲的消息。可能在不久的未來，RIM這家公司就會走到盡頭，或被收購，或申請破產保護。

 

    RIM的黑莓手機以在911事件中仍然可以保持通訊而名聲大振，在此後美國政府與不少商務人士都採購了黑莓手機，由此黑莓把重點放在了安全性上。很遺憾的是，成也蕭何敗也蕭何，黑莓今後之後錯誤的判斷了智能手機的將來，一直死盯着安全與商務功能不放，最終走到了今天的地步。

 

    RIM的問題不少，好比在軟件開發方面比不過互聯網公司、好比決策聲音不統一致使執行力低下等，但不能否認的是，黑莓過於強調安全功能也是加速死亡的緣由之一。

 

    手機安全對於普通用戶來講，一直都不是特別的清晰，緣由是不清晰威脅到底來自哪裏。在幾年前智能手機還沒有普及、功能相對簡單，內容也不夠豐富時尤爲如此。因此黑莓的悲劇就在於錯誤的判斷了普通用戶對安全需求的飢渴程度。人的精力是有限的，公司的精力也是有限的，在安全業務上投入多，相關部門嗓門大了，其餘產品勢必會受到影響。

 

    爲何在幾年前手機安全的需求沒有那麼迫切呢？其實即使在今天，也不敢說這個需求很迫切了。在安全行業一直有一些傳說和神話。安全廠商100%都試圖營造一種「狼來了」的氣氛，依靠嚇唬客戶來刺激市場需求，在營銷口號上也多以此爲賣點。但「狼」真的來了嗎？

 

• 兩種安全公司

    整個安全行業，其實只有兩種公司，從mission上來講，一種是：「讓用戶變得安全」，另外一種是：「讓用戶看起來安全、感受到安全」。

 

    前者在業界我以爲能夠以flashsky的瀚海源爲表明，他們是一羣真正的理想主義者創業，雖然我私下裏認爲他們的商業前景不太樂觀，但我仍然對他們懷有最崇高的敬意，由於他們是真正試圖以「最好的技術」，讓用戶「變得真正安全」起來的公司。

 

    後者的典型表明是360。360取得了巨大的商業成功，憑藉讓用戶「感受到」安全迅速的佔領了市場。但其實作木馬的都知道，每一個木馬發佈以前，都要先免殺360，或者有其餘辦法繞過這些防護。今天在整個行業裏，大多數公司都是在作這件事情：「讓用戶感受到安全」，比「讓用戶變得安全」要容易不少，也更容易取得商業上的成功。

 

• 技術的大衆化

    RIM顯然是第二種公司，他所吹噓的安全一直是一些假想敵。花了90%的力氣解決了5%的問題，有點高射炮打蚊子的感受。但市場是殘酷的。

 

    在兩三年前我判斷不出手機安全需求在哪裏，在今天稍微能看到一點了，但市場仍然不夠大。緣由就是攻擊手機的黑客技術還沒有大衆化。

 

    黑客技術沒有大衆化，安全廠商就只好一直吹泡泡，直到泡泡吹破的那一天。

 

    一項技術能不能大衆化，是關係到產業可否健康成長，須要多長時間成長的關鍵因素。德國人最先造出了汽車，以及發動機，但奔馳等廠商在很長一段時間裏僅僅把汽車做爲一種奢侈品賣給富人。是美國人福特讓汽車走進了普通百姓的家庭，由此帶來了革命性的變化。若是沒有福特，也許汽車的普及還會晚個幾十年。

 

    若是沒有喬布斯，我的PC的出現也許會晚十年，由於沃茲尼亞克只會把他的主板當作geek的玩具。是喬布斯把這種技術包裝成了好用的產品，最終走進千家萬戶。

 

    因此一個新的產業可否興起，不是看實驗室裏的技術有多牛B，而是看技術什麼時候能讓普通用戶用得起，願意用。這每每涉及到幾個因素：

    1. 真的是用戶須要用的，解決了實際問題。

    2. 足夠便宜，普通人能消費的起。

    3. 體驗能讓大多數人接受。

 

• 以產品的眼光看黑客技術

    我曾經在微博上談到，遠程控制技術的興起，每每是一個安全領域浪潮來臨的前奏。

 

    在PC上，冰河、灰鴿子等木馬對整個客戶端殺毒軟件市場的興盛功不可沒。由於冰河、灰鴿子，甚至包括pcshare等一批木馬的用戶體驗很是棒，讓沒有任何技術基礎的人也能在一個小時內徹底上手，變身爲黑客。

 

    從這個意義上來講，這些木馬自己就是很是好的產品：知足了用戶需求、界面漂亮、操做簡單。

 

    當某個安全領域出現這樣的「黑客產品」時，就意味着安全市場的商機到來了。相似的領域，還有sql注入用的nbsi、啊D注入工具等，都直接致使了該安全領域的商機繁榮。

 

    而移動互聯網目前尚缺少這樣的商機，攻擊技術沒有大衆化。

 

    一樣在安全技術的歷史潮流中，沒有普及起來的還有XSS。雖然OWASP一直在鼓吹XSS的危害有多麼的大，但咱們從wooyun的經歷能夠看出這種吹噓是多麼的無力。wooyun前些時調整了策略，再也不接受XSS漏洞的提交（除了個別大公司外）。

 

    玩web安全的人都知道，XSS的威力其實不弱，但未被重視的緣由可能就是由於缺少一個足夠好用的「XSS黑客工具「，可以讓不懂的人傻瓜化的實施XSS攻擊。現有的一些XSS攻擊平臺都沒有達到這樣的要求，一旦有某我的作出的東西達到這個要求了，可能就會出現引爆點，進而改變整個產業的格局。

 

    如今電商領域的欺詐問題，其本質是一種CSRF的利用形式。可能製造釣魚網站、欺詐木馬的人本身都不知道他利用的實際上是一種CSRF漏洞，但這種攻擊卻給整個電商產業形成了價值數十億的損失。我看過不少釣魚網站的後臺，用戶體驗甚至比一些創業公司的網站都要好，界面很是漂亮。

 

• 最後。。。。

    安全行業天天都在發生着改變，可能你本身就處於變化之中而不自知。以歷史的眼光審視整個安全行業，也就不難發現這些規律，也就知道會發生什麼，不會發生什麼。

 

    每一年的黑客大會，都會不斷涌現出新的攻擊技術、防護技術，但這些技術大多數每每夭折，其緣由就在於沒有工業化，沒有變成」足夠好用的產品「，從而只能淪爲實驗室裏的玩物。

 

    但咱們仍然要鼓勵這種創新精神，這是產業發展的原動力。

 

    在擁抱創新精神之餘，多想一想如何工業化，如何變成好用的產品吧。固然，這件事情能夠交給我和個人夥伴們來完成，由於最終，這有可能取得巨大的商業成功。

 

原文地址：http://hi.baidu.com/aullik5/item/24e3cbc51e959f78cfd4f85b

 

對我而言，我將重點關注冰河、灰鴿子、sql注入用的nbsi、啊D注入工具

黑客技術是促進網絡安全技術更新的源動力，我也體驗過遠程監控的某種軟件，用戶體驗確實不錯，都很容易上手，不過都是些危險品，仍是期待這些黑客攻擊技術不要普及爲好。