谈谈黑客攻防技术的成长规律（aullik5）

 

 

• 黑莓末路

    昨晚听FM里谈到了RIM这家公司，有分析师认为它需要很悲催的裁员90%，才能保证活下去。这是一个意料之中，但又有点兔死狐悲的消息。可能在不久的将来，RIM这家公司就会走到尽头，或被收购，或申请破产保护。

 

    RIM的黑莓手机以在911事件中仍然能够保持通信而名声大振，在此后美国政府与很多商务人士都采购了黑莓手机，由此黑莓把重点放在了安全性上。很遗憾的是，成也萧何败也萧何，黑莓从此以后错误的判断了智能手机的未来，一直死盯着安全与商务功能不放，最终走到了今天的地步。

 

    RIM的问题很多，比如在软件开发方面比不过互联网公司、比如决策声音不统一导致执行力低下等，但不可否认的是，黑莓过于强调安全功能也是加速死亡的原因之一。

 

    手机安全对于普通用户来说，一直都不是特别的清晰，原因是不清晰威胁到底来自哪里。在几年前智能手机尚未普及、功能相对简单，内容也不够丰富时尤其如此。所以黑莓的悲剧就在于错误的判断了普通用户对安全需求的饥渴程度。人的精力是有限的，公司的精力也是有限的，在安全业务上投入多，相关部门嗓门大了，其他产品势必会受到影响。

 

    为什么在几年前手机安全的需求没有那么迫切呢？其实即便在今天，也不敢说这个需求很迫切了。在安全行业一直有一些传说和神话。安全厂商100%都试图营造一种“狼来了”的气氛，依靠吓唬客户来刺激市场需求，在营销口号上也多以此为卖点。但“狼”真的来了吗？

 

• 两种安全公司

    整个安全行业，其实只有两种公司，从mission上来说，一种是：“让用户变得安全”，另一种是：“让用户看起来安全、感觉到安全”。

 

    前者在业界我觉得可以以flashsky的瀚海源为代表，他们是一群真正的理想主义者创业，虽然我私下里认为他们的商业前景不太乐观，但我仍然对他们怀有最崇高的敬意，因为他们是真正试图以“最好的技术”，让用户“变得真正安全”起来的公司。

 

    后者的典型代表是360。360取得了巨大的商业成功，凭借让用户“感觉到”安全迅速的占领了市场。但其实做木马的都知道，每个木马发布之前，都要先免杀360，或者有其他办法绕过这些防御。今天在整个行业里，大多数公司都是在做这件事情：“让用户感觉到安全”，比“让用户变得安全”要容易很多，也更容易取得商业上的成功。

 

• 技术的大众化

    RIM显然是第二种公司，他所吹嘘的安全一直是一些假想敌。花了90%的力气解决了5%的问题，有点高射炮打蚊子的感觉。但市场是残酷的。

 

    在两三年前我判断不出手机安全需求在哪里，在今天稍微能看到一点了，但市场仍然不够大。原因就是攻击手机的黑客技术尚未大众化。

 

    黑客技术没有大众化，安全厂商就只好一直吹泡泡，直到泡泡吹破的那一天。

 

    一项技术能不能大众化，是关系到产业能否健康成长，需要多长时间成长的关键因素。德国人最早造出了汽车，以及发动机，但奔驰等厂商在很长一段时间里仅仅把汽车作为一种奢侈品卖给富人。是美国人福特让汽车走进了普通百姓的家庭，由此带来了革命性的变化。如果没有福特，也许汽车的普及还会晚个几十年。

 

    如果没有乔布斯，个人PC的出现也许会晚十年，因为沃兹尼亚克只会把他的主板当做geek的玩具。是乔布斯把这种技术包装成了好用的产品，最终走进千家万户。

 

    所以一个新的产业能否兴起，不是看实验室里的技术有多牛B，而是看技术何时能让普通用户用得起，愿意用。这往往涉及到几个因素：

    1. 真的是用户需要用的，解决了实际问题。

    2. 足够便宜，普通人能消费的起。

    3. 体验能让大多数人接受。

 

• 以产品的眼光看黑客技术

    我曾经在微博上谈到，远程控制技术的兴起，往往是一个安全领域浪潮来临的前奏。

 

    在PC上，冰河、灰鸽子等木马对整个客户端杀毒软件市场的兴盛功不可没。因为冰河、灰鸽子，甚至包括pcshare等一批木马的用户体验非常棒，让没有任何技术基础的人也能在一个小时内完全上手，变身为黑客。

 

    从这个意义上来说，这些木马本身就是非常好的产品：满足了用户需求、界面漂亮、操作简单。

 

    当某个安全领域出现这样的“黑客产品”时，就意味着安全市场的商机到来了。类似的领域，还有sql注入用的nbsi、啊D注入工具等，都直接导致了该安全领域的商机繁荣。

 

    而移动互联网目前尚缺乏这样的商机，攻击技术没有大众化。

 

    同样在安全技术的历史潮流中，没有普及起来的还有XSS。虽然OWASP一直在鼓吹XSS的危害有多么的大，但我们从wooyun的经历可以看出这种吹嘘是多么的无力。wooyun前些时调整了策略，不再接受XSS漏洞的提交（除了个别大公司外）。

 

    玩web安全的人都知道，XSS的威力其实不弱，但未被重视的原因可能就是因为缺乏一个足够好用的“XSS黑客工具“，能够让不懂的人傻瓜化的实施XSS攻击。现有的一些XSS攻击平台都没有达到这样的要求，一旦有某个人做出的东西达到这个要求了，可能就会出现引爆点，进而改变整个产业的格局。

 

    现在电商领域的欺诈问题，其本质是一种CSRF的利用形式。可能制造钓鱼网站、欺诈木马的人自己都不知道他利用的其实是一种CSRF漏洞，但这种攻击却给整个电商产业造成了价值数十亿的损失。我看过很多钓鱼网站的后台，用户体验甚至比一些创业公司的网站都要好，界面非常漂亮。

 

• 最后。。。。

    安全行业每天都在发生着改变，可能你自己就处于变化之中而不自知。以历史的眼光审视整个安全行业，也就不难发现这些规律，也就知道会发生什么，不会发生什么。

 

    每年的黑客大会，都会不断涌现出新的攻击技术、防御技术，但这些技术大多数往往夭折，其原因就在于没有工业化，没有变成”足够好用的产品“，从而只能沦为实验室里的玩物。

 

    但我们仍然要鼓励这种创新精神，这是产业发展的原动力。

 

    在拥抱创新精神之余，多想想如何工业化，如何变成好用的产品吧。当然，这件事情可以交给我和我的伙伴们来完成，因为最终，这有可能取得巨大的商业成功。

 

原文地址：http://hi.baidu.com/aullik5/item/24e3cbc51e959f78cfd4f85b

 

对我而言，我将重点关注冰河、灰鸽子、sql注入用的nbsi、啊D注入工具

黑客技术是促进网络安全技术更新的源动力，我也体验过远程监控的某种软件，用户体验确实不错，都很容易上手，不过都是些危险品，还是期待这些黑客攻击技术不要普及为好。