阿碼外傳-阿碼科技非官方中文 Blog: 2008年8月20日

2008年8月20日

駭客年會Black Hat / DEFCON 2008 心得一:地下犯罪經濟成熟,影響會議品質?

(此篇續「美國駭客年會 Black Hat 2008 觀察--第一天」與「美國駭客年會 Black Hat 2008 觀察--第二天」)

其實阿碼科技一年要去很多會議,但是大部分是參展,不單純是參加。可是我發現參展時我就比較不能專心聽演講,因為總是有 VIP 客戶會來 booth,那我就必須要在攤位「站台」。自己當講師的時候就更慘了,通常我都最後一分鐘還在做投影片。Black Hat / DEFCON 我們明年才會擺攤位,所以我今年就比較輕鬆些,可以享受專心聽演講的樂趣!不過這些會議跑多了,有經驗的講師一年中講的都大同小異,沒有經驗的講師,講的我又聽不太下去,有時也會覺得浪費時間。

Jeff Moss
(aka Dark Tangent)是 Black Hat / DEFCON 駭客年會的創辦人與主席,每年的會上,他都會接受媒體的採訪。他今年的採訪,主要談到了地下經濟的成熟,對於駭客年會的影響。以下是訪問的影片:



在影片中 Jeff 談到,其實這幾年他的會議收到的投稿,品質有逐年下滑的趨勢。去年他覺得可能是現在資安會議多了,大家很多地方可以投,但是後來研究其他會議的內容發現,也並沒有,那究竟原因是為什麼呢?

今年他找到答案了:地下犯罪

「其實我這一兩年都發現,我的會議收到的投稿,品質有下滑的趨勢。一開始我想,可能資安不會一直那麼紅吧,大家有其他事情做,或者,現在會議多了,大家不一定都選擇把東西投到我的會議來。可是我詳細研究其他會議的陣仗,發現他們也沒有收到好的研究!」

「於是我找了一些朋友談,發現這一兩年,因為地下犯罪經濟的起飛,造成研究員在公布弱點時,開始有了策略性的選擇。」

「以前大家發現弱點,都會來投稿,這會使他們出名,在朋友前面很屌。但是現在這些弱點價值不斐,所以很多人變成藉此獲利,而非投稿出名。」

「他們變成會這樣思考:好,我找到了一個 0day,公開可以讓我出名...可是我已經很有名了,賣錢大概可以賣五萬美金。那我真的要去 Black Hat 公開嗎?公開什麼錢也拿不到,大不了讓我找到一份顧問的工作。」

「所以不只我們,整個資安社群都正受到影響。」

「老一輩有經驗的不來投稿,後輩就沒有對象可以學習。我想這現象已經發生了好幾年了
但是就是今年特別明顯,所以今年,我終於知道投稿內容品質下滑的原因了。」

「因為今年這樣的市場達到了一個高峰,不論是商業上的市場,或地下犯罪市場都已經成熟。很重要的是,弱點的市價,大家也有了共識。例如如果 0day 可以讓你得以 ssh 到目標機器,市價大概是 10萬美金,如果是遠端能控制 Cisco 的弱點,市價約 15萬美金。小的弱點也有幾千塊。所以,市場已經成長成熟了。」

以前在我的文章中,演講中,我都有提到過這個問題。我從很小就接觸電腦,國小就會寫 x86 組語了,網路從 300 bps 的數據機開始玩。那時資訊不流通,但是至少有 BBS,很多技術很靠朋友間互相的分享流通。但是那時我們都很年輕,懂得技術之後,就像小孩拿了一把利刀,很多朋友因此迷失了,被 FBI 抓了,被 CIA 驅逐出境了,離開學校專門幫企業偷盜對手的機密,或為情治單位使用,以為有了強大的靠山,結果無法無天有了不可收拾的後果。

所以像是大專資安技能競賽金盾獎開辦時,我就寫過文章談到,一方面,不懂得攻擊,不可能懂防守,之前大家一直說,學校教的資安課程太理論,資安不是只有密碼學。結果終於有了大專資安技能競賽金盾獎出來,學校也開始開這方面的課程了。

技術的環境有了,可是相對應人格的培養呢?為何軍人與警察的道德要求要比一般高?因為他們受過訓練,他們擁有武功,一把劍有兩面刃,所以軍校或警察學校在培養這些能力時,都會特別加強人格的養成訓練。

想一想多少電影的故事背景,壞人都是曾經幫國家出生入死的軍人、特殊部隊、情治人員、警察,後來因為對國家腐敗失望,而有了價值觀的反轉?

資安技術目前很有用,年輕人有了好的技術,不但可以有好的前途,對國家一些特殊單位,也會很有幫助。可是在讓年輕人幫忙的同時,有誰注意到了人格的培養?

今年在 DEFCON,我還沒看到 Jeff Moss 上面這段影片,但是發生一件事,也喚起我很多回憶。我跟一群講師坐在一間休息室聊天,他們急著秀我一些東西,但是大家的 3G 卡訊號都很弱。

講師 A:「有誰犧牲一下,筆電拿來上這裡的 wifi 吧!我的不行,我這台就是我平常在用的,今年聽說有網卡的 0day,一連上可能就中 rootkit 了...」

講師 B:「哈哈!我來上啦!以前我會相信,這裡網路有這樣的 0day 正在掃瞄。但是現在,不用擔心啦!這種網卡的 0day,你知道現在值多少錢嗎?我不相信有人會甘願拿來 DEFCON 用,用了就被別人發現了。現在不像以前啦!現在這些東西很有價的...沒人還這麼笨啦!」

我:「原來世界的趨勢都一樣啊!」

當然,以前這些事也很多,但是沒像現在這麼公開,這麼普及。因為環境比較單純,所以大家研究多是純為興趣,不會夾雜其他的目的。

以下是一段中國玩資安技術的人在 2007 年底貼出來的文,恰好呼應了 Jeff Moss 所說的(我把文轉成繁體了,原文在這裡):




為什麽近幾年公開的技術交流越來越少
2007-12-08 11:54

這個問題很復雜,說是說不清楚的,只能扯一扯。先扯個大概吧。

首先,得明確一點:任何人都沒有義務公開自己的研究,任何人都沒有權利要求別人公開自己的研究——尤其是那些自己沒公開過什麽的人。不過似乎不少人都有自己的一套理論,能夠找出充分的理由來為此義憤填膺,就像七八歲的小男孩得不到想要的遊戲機一般義憤填膺。

從我這些年的經驗來看,在英語世界裏,北歐技術交流氣氛最好。其次是中歐,再次西歐,美國排最後。為什麽呢,因為像瑞士、瑞典、芬蘭這樣的披著資本主義狼皮的社會主義國家裏,在超市幹三年收銀員就可以買棟房子,人們永遠不擔心沒錢看病,不擔心失業。所以,人家搞技術的動力基本上都是馬斯洛四層以上,咱們這樣還得兼顧三層以下的,跟人家沒法比。

但是咱們畢竟也是社會主義國家,雖然是初級階段,但大家好歹都還不至於掙紮在一二層,所以貼點文章,聊點問題,也很合邏輯。但是這幾年情況有有些變化。

首先,一個根源問題是整個信息安全技術的基礎部分已經差不多都碼完了。各種理論和技術都很成熟,該有的文檔也都有了。再要搞點什麽東西,基本上都是建立在一堆參考資源之上的實際應用。而越接近實用的東西,越不會有人願意往外放。這個道理很容易理解:你隨便到哪個書店都能買到講E=MC²、原子裂變,甚至如何濃縮鈾等等這些高深理論的書,但是絕對買不到哪怕制造原子彈外殼的具體配方。

如果整個大環境還保持在2003年之前的狀態,可愛的Hacker們倒也不會太在乎實用不實用。但是世道畢竟變了。一部分人開始掙黑錢,他們當然就不會再跟別人分享發家致富的秘方。而另外一些沒去掙黑錢的,也不會願意把自己的東西白白送給別人拿去發家致富,寧可搞出來自娛自樂,然後爛在地裏。於是,最近幾年雖然國內搞這玩意的人多了,水平高的人也多了,但是真正高水平的公開交流卻少了。

客觀原因擺在這裏,所以抱怨毫無意義,絕對不會改變什麽。

不過我前面也已經說過了,其實這一塊兒的基礎文檔已經很齊備了,無論你想學什麽,都可以找到資料。除非你並不真的想學,只是給自己學不會找個理由而已。


作者 Wayne 為阿碼科技 CEO

(繼續閱讀:美國駭客年會 DEFCON 2008 觀察--第一天

繼續閱讀全文...