2008年10月18日星期六
转载:地下经济的成熟,对于骇客年会的影响
地下经济的成熟对安全技术交流的影响
『看了一下xcon2008的文章列表,的确没啥好玩的,虽然我不懂,但是比起owasp 台湾的演讲来,从题目是就没有那么吸引人。』
原文:http://armorize-cht.blogspot.com/2008/08/black-hat-defcon-2008.html
其实阿码科技一年要去很多会议,但是大部分是参展,不单纯是参加。 可是我发现参展时我就比较不能专心听演讲,因为总是有VIP客户会来booth,那我就必须要在摊位「站台」。 自己当讲师的时候就更惨了,通常我都最后一分钟还在做投影片。 Black Hat /DEFCON我们明年才会摆摊位,所以我今年就比较轻松些,可以享受专心听演讲的乐趣! 不过这些会议跑多了,有经验的讲师一年中讲的都大同小异,没有经验的讲师,讲的我又听不太下去,有时也会觉得浪费时间。
Jeff Moss (aka Dark Tangent)是Black Hat / DEFCON骇客年会的创办人与主席,每年的会上,他都会接受媒体的采访。 他今年的采访,主要谈到了地下经济的成熟,对于骇客年会的影响。 以下是访问的影片:
在影片中Jeff谈到,其实这几年他的会议收到的投稿,品质有逐年下滑的趋势。 去年他觉得可能是现在资安会议多了,大家很多地方可以投,但是后来研究其他会议的内容发现,也并没有,那究竟原因是为什么呢?
今年他找到答案了:地下犯罪
「其实我这一两年都发现,我的会议收到的投稿,品质有下滑的趋势。一开始我想,可能资安不会一直那么红吧,大家有其他事情做,或者,现在会议多了,大家不一定都选择把东西投到我的会议来。可是我详细研究其他会议的阵仗,发现他们也没有收到好的研究!」
「于是我找了一些朋友谈,发现这一两年,因为地下犯罪经济的起飞,造成研究员在公布弱点时,开始有了策略性的选择。」
「以前大家发现弱点,都会来投稿,这会使他们出名,在朋友前面很屌。但是现在这些弱点价值不斐,所以很多人变成借此获利,而非投稿出名。」
「他们变成会这样思考:好,我找到了一个0day,公开可以让我出名...可是我已经很有名了,卖钱大概可以卖五万美金。那我真的要去Black Hat公开吗?公开什么钱也拿不到,大不了让我找到一份顾问的工作。」
「所以不只我们,整个资安社群都正受到影响。」
「老一辈有经验的不来投稿,后辈就没有对象可以学习。我想这现象已经发生了好几年了但是就是今年特别明显,所以今年,我终于知道投稿内容品质下滑的原因了。」
「因为今年这样的市场达到了一个高峰,不论是商业上的市场,或地下犯罪市场都已经成熟。很重要的是,弱点的市价,大家也有了共识。例如如果0day可以让你得以ssh到目标机器,市价大概是10万美金,如果是远端能控制Cisco的弱点,市价约15万美金。小的弱点也有几千块。所以,市场已经成长成熟了。」
以前在我的文章中,演讲中,我都有提到过这个问题。 我从很小就接触电脑,国小就会写x86组语了,网路从300 bps的数据机开始玩。 那时资讯不流通,但是至少有BBS,很多技术很靠朋友间互相的分享流通。 但是那时我们都很年轻,懂得技术之后,就像小孩拿了一把利刀,很多朋友因此迷失了,被FBI抓了,被CIA驱逐出境了,离开学校专门帮企业偷盗对手的机密,或为情治单位使用,以为有了强大的靠山,结果无法无天有了不可收拾的后果。
所以像是大专资安技能竞赛金盾奖开办时,我就写过文章谈到,一方面,不懂得攻击,不可能懂防守,之前大家一直说,学校教的资安课程太理论,资安不是只有密码学。 结果终于有了大专资安技能竞赛金盾奖出来,学校也开始开这方面的课程了。
技术的环境有了,可是相对应人格的培养呢? 为何军人与警察的道德要求要比一般高? 因为他们受过训练,他们拥有武功,一把剑有两面刃,所以军校或警察学校在培养这些能力时,都会特别加强人格的养成训练。
想一想多少电影的故事背景,坏人都是曾经帮国家出生入死的军人、特殊部队、情治人员、警察,后来因为对国家腐败失望,而有了价值观的反转?
资安技术目前很有用,年轻人有了好的技术,不但可以有好的前途,对国家一些特殊单位,也会很有帮助。 可是在让年轻人帮忙的同时,有谁注意到了人格的培养?
今年在DEFCON,我还没看到Jeff Moss上面这段影片,但是发生一件事,也唤起我很多回忆。 我跟一群讲师坐在一间休息室聊天,他们急着秀我一些东西,但是大家的3G卡讯号都很弱。
讲师A:「有谁牺牲一下,笔电拿来上这里的wifi吧!我的不行,我这台就是我平常在用的,今年听说有网卡的0day,一连上可能就中rootkit了. ..」
讲师B:「哈哈!我来上啦!以前我会相信,这里网路有这样的0day正在扫瞄。但是现在,不用担心啦!这种网卡的0day,你知道现在值多少钱吗?我不相信有人会甘愿拿来DEFCON用,用了就被别人发现了。现在不像以前啦!现在这些东西很有价的...没人还这么笨啦!」
我:「原来世界的趋势都一样啊!」
当然,以前这些事也很多,但是没像现在这么公开,这么普及。 因为环境比较单纯,所以大家研究多是纯为兴趣,不会夹杂其他的目的。
以下是一段中国玩资安技术的人在2007年底贴出来的文 ,恰好呼应了Jeff Moss所说的(我把文转成繁体了, 原文在这里 ):
为什么近几年公开的技术交流越来越少
2007-12-08 11:54
这个问题很复杂,说是说不清楚的,只能扯一扯。 先扯个大概吧。
首先,得明确一点:任何人都没有义务公开自己的研究,任何人都没有权利要求别人公开自己的研究——尤其是那些自己没公开过什么的人。 不过似乎不少人都有自己的一套理论,能够找出充分的理由来为此义愤填膺,就像七八岁的小男孩得不到想要的游戏机一般义愤填膺。
从我这些年的经验来看,在英语世界里,北欧技术交流气氛最好。 其次是中欧,再次西欧,美国排最后。 为什么呢,因为像瑞士、瑞典、芬兰这样的披着资本主义狼皮的社会主义国家里,在超市干三年收银员就可以买栋房子,人们永远不担心没钱看病,不担心失业。 所以,人家搞技术的动力基本上都是马斯洛四层以上,咱们这样还得兼顾三层以下的,跟人家没法比。
但是咱们毕竟也是社会主义国家,虽然是初级阶段,但大家好歹都还不至于挣扎在一二层,所以贴点文章,聊点问题,也很合逻辑。 但是这几年情况有有些变化。
首先,一个根源问题是整个信息安全技术的基础部分已经差不多都码完了。 各种理论和技术都很成熟,该有的文档也都有了。 再要搞点什么东西,基本上都是建立在一堆参考资源之上的实际应用。 而越接近实用的东西,越不会有人愿意往外放。 这个道理很容易理解:你随便到哪个书店都能买到讲E=MC²、原子裂变,甚至如何浓缩铀等等这些高深理论的书,但是绝对买不到哪怕制造原子弹外壳的具体配方。
如果整个大环境还保持在2003年之前的状态,可爱的Hacker们倒也不会太在乎实用不实用。 但是世道毕竟变了。 一部分人开始挣黑钱,他们当然就不会再跟别人分享发家致富的秘方。 而另外一些没去挣黑钱的,也不会愿意把自己的东西白白送给别人拿去发家致富,宁可搞出来自娱自乐,然后烂在地里。 于是,最近几年虽然国内搞这玩意的人多了,水平高的人也多了,但是真正高水平的公开交流却少了。
客观原因摆在这里,所以抱怨毫无意义,绝对不会改变什么。
不过我前面也已经说过了,其实这一块儿的基础文档已经很齐备了,无论你想学什么,都可以找到资料。 除非你并不真的想学,只是给自己学不会找个理由而已。
作者Wayne为阿码科技 CEO
『看了一下xcon2008的文章列表,的确没啥好玩的,虽然我不懂,但是比起owasp 台湾的演讲来,从题目是就没有那么吸引人。』
原文:http://armorize-cht.blogspot.com/2008/08/black-hat-defcon-2008.html
其实阿码科技一年要去很多会议,但是大部分是参展,不单纯是参加。 可是我发现参展时我就比较不能专心听演讲,因为总是有VIP客户会来booth,那我就必须要在摊位「站台」。 自己当讲师的时候就更惨了,通常我都最后一分钟还在做投影片。 Black Hat /DEFCON我们明年才会摆摊位,所以我今年就比较轻松些,可以享受专心听演讲的乐趣! 不过这些会议跑多了,有经验的讲师一年中讲的都大同小异,没有经验的讲师,讲的我又听不太下去,有时也会觉得浪费时间。
Jeff Moss (aka Dark Tangent)是Black Hat / DEFCON骇客年会的创办人与主席,每年的会上,他都会接受媒体的采访。 他今年的采访,主要谈到了地下经济的成熟,对于骇客年会的影响。 以下是访问的影片:
在影片中Jeff谈到,其实这几年他的会议收到的投稿,品质有逐年下滑的趋势。 去年他觉得可能是现在资安会议多了,大家很多地方可以投,但是后来研究其他会议的内容发现,也并没有,那究竟原因是为什么呢?
今年他找到答案了:地下犯罪
「其实我这一两年都发现,我的会议收到的投稿,品质有下滑的趋势。一开始我想,可能资安不会一直那么红吧,大家有其他事情做,或者,现在会议多了,大家不一定都选择把东西投到我的会议来。可是我详细研究其他会议的阵仗,发现他们也没有收到好的研究!」
「于是我找了一些朋友谈,发现这一两年,因为地下犯罪经济的起飞,造成研究员在公布弱点时,开始有了策略性的选择。」
「以前大家发现弱点,都会来投稿,这会使他们出名,在朋友前面很屌。但是现在这些弱点价值不斐,所以很多人变成借此获利,而非投稿出名。」
「他们变成会这样思考:好,我找到了一个0day,公开可以让我出名...可是我已经很有名了,卖钱大概可以卖五万美金。那我真的要去Black Hat公开吗?公开什么钱也拿不到,大不了让我找到一份顾问的工作。」
「所以不只我们,整个资安社群都正受到影响。」
「老一辈有经验的不来投稿,后辈就没有对象可以学习。我想这现象已经发生了好几年了但是就是今年特别明显,所以今年,我终于知道投稿内容品质下滑的原因了。」
「因为今年这样的市场达到了一个高峰,不论是商业上的市场,或地下犯罪市场都已经成熟。很重要的是,弱点的市价,大家也有了共识。例如如果0day可以让你得以ssh到目标机器,市价大概是10万美金,如果是远端能控制Cisco的弱点,市价约15万美金。小的弱点也有几千块。所以,市场已经成长成熟了。」
以前在我的文章中,演讲中,我都有提到过这个问题。 我从很小就接触电脑,国小就会写x86组语了,网路从300 bps的数据机开始玩。 那时资讯不流通,但是至少有BBS,很多技术很靠朋友间互相的分享流通。 但是那时我们都很年轻,懂得技术之后,就像小孩拿了一把利刀,很多朋友因此迷失了,被FBI抓了,被CIA驱逐出境了,离开学校专门帮企业偷盗对手的机密,或为情治单位使用,以为有了强大的靠山,结果无法无天有了不可收拾的后果。
所以像是大专资安技能竞赛金盾奖开办时,我就写过文章谈到,一方面,不懂得攻击,不可能懂防守,之前大家一直说,学校教的资安课程太理论,资安不是只有密码学。 结果终于有了大专资安技能竞赛金盾奖出来,学校也开始开这方面的课程了。
技术的环境有了,可是相对应人格的培养呢? 为何军人与警察的道德要求要比一般高? 因为他们受过训练,他们拥有武功,一把剑有两面刃,所以军校或警察学校在培养这些能力时,都会特别加强人格的养成训练。
想一想多少电影的故事背景,坏人都是曾经帮国家出生入死的军人、特殊部队、情治人员、警察,后来因为对国家腐败失望,而有了价值观的反转?
资安技术目前很有用,年轻人有了好的技术,不但可以有好的前途,对国家一些特殊单位,也会很有帮助。 可是在让年轻人帮忙的同时,有谁注意到了人格的培养?
今年在DEFCON,我还没看到Jeff Moss上面这段影片,但是发生一件事,也唤起我很多回忆。 我跟一群讲师坐在一间休息室聊天,他们急着秀我一些东西,但是大家的3G卡讯号都很弱。
讲师A:「有谁牺牲一下,笔电拿来上这里的wifi吧!我的不行,我这台就是我平常在用的,今年听说有网卡的0day,一连上可能就中rootkit了. ..」
讲师B:「哈哈!我来上啦!以前我会相信,这里网路有这样的0day正在扫瞄。但是现在,不用担心啦!这种网卡的0day,你知道现在值多少钱吗?我不相信有人会甘愿拿来DEFCON用,用了就被别人发现了。现在不像以前啦!现在这些东西很有价的...没人还这么笨啦!」
我:「原来世界的趋势都一样啊!」
当然,以前这些事也很多,但是没像现在这么公开,这么普及。 因为环境比较单纯,所以大家研究多是纯为兴趣,不会夹杂其他的目的。
以下是一段中国玩资安技术的人在2007年底贴出来的文 ,恰好呼应了Jeff Moss所说的(我把文转成繁体了, 原文在这里 ):
为什么近几年公开的技术交流越来越少
2007-12-08 11:54
这个问题很复杂,说是说不清楚的,只能扯一扯。 先扯个大概吧。
首先,得明确一点:任何人都没有义务公开自己的研究,任何人都没有权利要求别人公开自己的研究——尤其是那些自己没公开过什么的人。 不过似乎不少人都有自己的一套理论,能够找出充分的理由来为此义愤填膺,就像七八岁的小男孩得不到想要的游戏机一般义愤填膺。
从我这些年的经验来看,在英语世界里,北欧技术交流气氛最好。 其次是中欧,再次西欧,美国排最后。 为什么呢,因为像瑞士、瑞典、芬兰这样的披着资本主义狼皮的社会主义国家里,在超市干三年收银员就可以买栋房子,人们永远不担心没钱看病,不担心失业。 所以,人家搞技术的动力基本上都是马斯洛四层以上,咱们这样还得兼顾三层以下的,跟人家没法比。
但是咱们毕竟也是社会主义国家,虽然是初级阶段,但大家好歹都还不至于挣扎在一二层,所以贴点文章,聊点问题,也很合逻辑。 但是这几年情况有有些变化。
首先,一个根源问题是整个信息安全技术的基础部分已经差不多都码完了。 各种理论和技术都很成熟,该有的文档也都有了。 再要搞点什么东西,基本上都是建立在一堆参考资源之上的实际应用。 而越接近实用的东西,越不会有人愿意往外放。 这个道理很容易理解:你随便到哪个书店都能买到讲E=MC²、原子裂变,甚至如何浓缩铀等等这些高深理论的书,但是绝对买不到哪怕制造原子弹外壳的具体配方。
如果整个大环境还保持在2003年之前的状态,可爱的Hacker们倒也不会太在乎实用不实用。 但是世道毕竟变了。 一部分人开始挣黑钱,他们当然就不会再跟别人分享发家致富的秘方。 而另外一些没去挣黑钱的,也不会愿意把自己的东西白白送给别人拿去发家致富,宁可搞出来自娱自乐,然后烂在地里。 于是,最近几年虽然国内搞这玩意的人多了,水平高的人也多了,但是真正高水平的公开交流却少了。
客观原因摆在这里,所以抱怨毫无意义,绝对不会改变什么。
不过我前面也已经说过了,其实这一块儿的基础文档已经很齐备了,无论你想学什么,都可以找到资料。 除非你并不真的想学,只是给自己学不会找个理由而已。
作者Wayne为阿码科技 CEO
订阅 评论 [Atom]