永远记住:“你不是第一个”

林希 发布于 2013/03/18 16:53
阅读 3K+
收藏 11

刚从四川回来,四川的气候就是那个样子,我以前基本不吃辣的,但是去了那里没有多久就吃上了,真的是气候的原因。

这段时间一直听到身边有人在说对火焰和振网病毒的分析工作的进展,这对于我一个做

政治工作的人来说本不应该有什么的,也许是因为半路走上文职工作的原因吧,多多少

少还是有好奇心,这些30多岁的中年男子们很多都是从英国和德国留学回来的,也有几

个法国回来的,有时候我都在想,如果是我,我会回来吗?当然了,他们在国外的所有

费用也都是由相关部门支持的。

这一次的历程让我领略到了一种思想,那就是你永远都不是第一个,永远都不是。火焰

和振网这两种病毒为什么那么利害,可能的原因居然是硬件本身有缺口,这个结论让人

听起来不敢相信,当然了这些现在都还在研究之中,要知道在历史上就从来没有出现过

体积那么大的病毒体,但是事实永远都不是那个样子的,技术人员给展示的rootkit控制

的系统,从BSD到Linux,应有尽有,Archlinux和Gentoo Linux这样的所谓“高手”使

用的系统成为了研究员主要的实验平台,因为研究员不能去控制像SUSE Enterprise和

Redhat Enterprise这样的生产环境中的系统,程序自动种植,而Archlinux和

Gentoo一般都是“有水平的”个人在用,这些人如果能够把rootkit解决掉的话,信息就

会被收集和反馈,这样就可以进一步进行改进,但是结果让这些研发人员很失望,绝大

多数的控制结点被植入接口之后,接口就一直留在那里,从来没有被动过,也因此很难

改进,而这种情况在俄罗斯却很少见到。让所有的研究员痛苦的是要在系统级去控制

Windows系统却是那样的困难,因为没有什么入口,一旦种值,Windows多是以蓝屏

来做为回应,最多也只能到达驱动的层次。

各国政府都说要使用开源的技术,却没有一个国家真正的去使用到关键地方,全世界的

核电控制系统要么使用自已研发的系统,要么就是和微软合作开发系统,事实是什么,

只是研发人员说的那句话:“你永远都不是第一个”

那谁是第一个呢,那就是一直都被众人抵制却又得到持续发展的对象

如果觉得写的很好笑呢,就笑一下吧,全当作我在没事发神

经,总算是能够让你笑一下吧,用不着写一些很高明的评论

证明我在发生神经。谢谢

以下是话题补充:

@林希:承波同志,你看看我写这个不算过吧,你过段时间看看下面的评论,你就会明白为什么我们国家的精英都要到国外去了。。。 (2013/03/18 17:19)
加载中
1
七液
七液

好吧,朋友,同事都分析过震网和火焰,我也顺面玩过的人说两句好了。当然研究性质不一样,我属于野路子(逆向找线索+推理YY),别人是完全逆向。

国内做这方面安全研究的人不多,但是还是有,大部分研究者也都知道,国内的许多安全研究情况相信你也比较熟悉,不知道这位姐姐是哪里的,系统内部事情就不多说了。大家都差不多,大部分也都是外面野路子高手+内部招聘大学生。

单纯从技术方面说,linux由于过于开放导致了被研究非常精深,rootkit,bootkit,virus能用的技术也都用上,大家手里都藏着一堆linux的0day,然后linux下的攻击很容易,由于windows一直被认为安装后门(据说某些特殊部门使用的windows,是拿到源码后重编译的)所以大部分人都不愿意使用windows,震网和火焰完全是针对工业化攻击的,伊X的设备主要都是从德国(西门子)或者X国(我不想说这事)弄去的。研究的对象自然也是针对linux(桌面系统),核设施内部网络都是闭路网,所以从感染思路上就决定了需要跨操作系统操作,于是就诞生了有史以来最复杂的蠕虫病毒(震网和火焰),当然这个病毒是军方,民间也有类似的比如zeus(这个主要是为了盗号和采集信息,复杂程度比以往见过的蠕虫病毒要复杂的多,当然了我是说公开的,其实内部开发的一点都不亚于火焰和震网-除了对于工业设备的攻击)聘请国外留学生回来研究其实没多大意义,特别是英国和法国的,也许这些人有高文凭,有丰富的系统知识,但是黑x这个领域不是说你多高学历就可以的,凯文米科尼特高中的时候就入侵了北美导弹基地,后来写了一本书《欺骗的艺术》,足以看出来,系统攻击大部分都是野路子,有些路子令人匪夷所思(比如那个用灯泡入侵,甚至连文件名翻转欺骗当初都能卖点钱)0day的挖掘和调试这个需要的技术也大部分都是在逻辑方面,能从汇编逆向出复杂的算法中藏的一个bug那个太深了我等小菜搞不动,由于这两个都是美X(虽然现在不完全确定)搞的所以运用了许多windows下的技术比如两三个没有公开的0day,linux下就更多了,还有各种控制工业PLC的系统,单纯从目前攻击方式来说的话,他很复杂而且也很庞大(接近2m的体积的确是够大的)当然了从目前的逆向和推理结果来看,大致流程已经出来了,逆向关键部分获取自己想知道的也就足够了,这是一款渗透型的worm,运用的主要还是0day+复杂的控制机构,当然了从编码手段和完成度来说,这款蠕虫不太怎么合格虽然很复杂,但是程序结构和稳定性还有体积,攻击方式都有待改进。说到底他也只是个worm和virus差远了。0day是他主要的攻击手段还有通过u盘感染之类的。伊朗很排外所以内部的许多东西都不是特工能进去的,所以worm只能尽量的兼容更多的系统,bsd和linux由于开源稳定性可以做更多的测试,rootkit也可以写的更专业一点,windows完全需要逆向,而且windows这么多年的入侵木马其实已经很安全了,加上现在数字签名的弥补还有各种杀毒软件(BSD+linux所有杀毒软件加在一起也没有windows下的零头多)相对于网络攻击来说windows除了受人诟病的rpc(现在也好多了)已经比较安全了,windows内核极其复杂内部结构也相当复杂(研究和写过windows下rootkit的人都知道即使在ring0下也是有许多未知的秘密和拦截方式需要挖掘的,权限管理还是非常严格的,各种hook,hijack技巧层出不穷)究竟这帮开发worm的人是否有windows的源代码?这个让我感到疑惑。或许正如我刚才说的只是实验性产品做做技术尝试。要说是不是第一个,其实这种事情没什么好说的,人和人大脑结构不同更别说技术宅,他们突然某天酒喝多了就开始胡思乱想一些天马行空(第二天酒醒了就忘记)的想法层出不穷,研究一下系统安全领域的历史就知道了(有许多关于这方面的文章和资料),对比BSD,linux和windows的安全性来说windows很明显占据上风,BSD和linux由于固步自封,安全没有个统一标准,谁都能贡献代码(审查?别搞笑了。黑X玩的手段能让一般内核程序员看出来的话,黑X早就灭绝了,值得庆幸的是公开的vxer已经很少很少了29A没了,最近连最强大的vx Heavens也被乌克兰警方查封了)最后也没啥可说的大家情况都差不多,只是钻研的东西不一样,值得说的就是,不是中国的黑X搞不出震网,只是条件所限,一般人也接触不到离心机,专业的工业控制系统(巧妇难为无米之炊)国内各个xx竞争都非常激烈,这块市场居然还可以让许多民企和个人参加(这就是神奇的地方)倒买倒卖贩卖各种代码工具的都有。从一些现在手头有的资料来看。许多想法都有人尝试过,但是想法是想法能做成稳定的东西还是得靠优秀的vxer才可以做到。而这方面的知识没有一所大学有相关课程,许多秘籍也只有开发者手里才有。以前写一段shellcode都觉得很神奇,从瑞典的pi 2.3x诞生后别人才恍然大悟,原来shellcode可以做得如此庞大,而且免疫方法很爽(这个知道的都知道不知道的就算了)不过随着技术的发展这种现象也会逐渐改善。

至于各国内部的系统,其实大家都知道(上次《开源XX七宗罪》说的很明白)关键内部系统不可能完全使用开源技术,开源会被研究的更多,即使暂时搞不了,也可以探知网络内部情况,各国都有自己的内部的软件系统,完全采用开源系统只是个笑话,没有绝对安全的把握,谁敢把自己内部完全公开?(由于没有绝对的安全所以谁都不敢公开)所以震网火焰需要携带大量的攻击方式去进行尝试。至于信息反馈是必须的(游戏马盗了号还得传回信息呢)。

硬件接口漏洞的问题,大部分硬件内部实现也都是靠软件实现的,最后刻入硬件内部,CPU还有bug呢(所以才会有一种后门是感染CPU的微码的,感染网卡芯片的也有)硬件漏洞由于挖掘难度实在是很大,只能依靠黑盒甚至凿开芯片内部在几个接口进行电流检测和监听(就是那群芯片解密的一套逆向分析法),说道bug问题,俄罗斯很少出这方面的问题也可以看出东欧的程序员在逆向和编码上的关注度比较高(最早的Cracker鼻祖,+ORC就是东欧的,现在还活着的许多毒客也都是东欧的)美国人喜欢搞思维上的尝试编码控制度似乎不如东欧的vxer们,总的来说可能是技术传承的原因,东欧的vxer们数量很少但是技术都是一流的(经常关注俄语黑x论坛就知道,他们讨论的东西大部分都是非常细节化的),欧美每年都诞生不少但是往往也都是思路比较活跃但是编码控制度上比较差比较擅长使用新的语言和技术(也许和本国教育有很大关系,容易接触到一些机密信息)至于其他的也没啥好说的。两方的技术水平从他们的军事装备上就可能看出风格(东欧的“傻大黑粗”但是耐用稳定性好,欧美全上新技术高科技但是总是小毛病不断,最后改来改去的,F35到现在软件部分还有许多许多问题)至于其他的没啥好说的了大家也都知道的。中国现在是东西方结合,双方的优缺点都有,最大的问题在于开发人员待遇太差,30多岁就跳出去的很多,还有渗透的价格比开发的高,所以大部分开发人员都转行了不愿意做底层研究了要不然就是找几个人自己搞公司做山寨研究(也能从中国的武器装备找到影子)

唉~最后还是说一句,真正的程序员作为软技术工程师应该在各个需要自动化控制的领域都要受到尊重而不是码农这样的待遇。技术发展靠的是底层研究和基础科学,玩弄小聪明和花招的手段毕竟有限。这也和中国目前的科学发展极为相似,上次的千人回归计划事后调查许多人回来以后不适应又回去了(其中一个采访说,在国外10%的时间开会(而且也不用每天大事小事都要汇报开会),80%的时间做研究,在中国70%的时间开会,20%的时间做研究)领导急于求成就希望什么事都要报告)其实还想说很多但是不知道从而还说起。这也是我自己发神经的自言自语,想看就看不看就当我发神经好了

UMU
UMU
分析合理
0
虚无道长
虚无道长
最后一句我想说那个啥。。你懂的。不说多,怕被查水表。
0
wwwmmm
wwwmmm
感觉 跟楼主 不是 一个世界的人
0
amonxu
amonxu
楼主想表达什么?
wwwmmm
wwwmmm
关键词 群嘲 恨铁不成钢 鹤立鸡群 凡夫俗子 ...
0
wwwmmm
wwwmmm
 楼主 都知道  国家的精英都要到国外了  你应该去研究一下 为什么都去国外了
0
gason
gason
信息量好大
0
杨同学
杨同学
阅读能力差,表示好乱
0
mallon
mallon
天呐姐姐你是搞政工的?
0
eechen
eechen
直截了当地说 Windows 比 BSD 和 Linux 安全, 比它们好, 别有事没事就拿 rootkit 炫高深!
甭管哪个好不好, 现实就是用 Win 用 Linux 赚大钱的企业多的事.
对个人来说, 稀为贵, 能多掌握几种实用的技能, 何乐而不为?
另外, 这排版在侮辱我的双眼.

帖子列表
帖子列表
看不懂,但同意最后一句,排版太差劲了
林希
林希
没有拿rootkit炫高深,是你理解错了
0
林希
林希

引用来自“Mallon”的答案

天呐姐姐你是搞政工的?
以前也是依靠打酱油,在信息对抗那块地里找土豆,如今真的是混不下去,转做文职了
返回顶部
顶部