三问黑客秀

912

当今世界各国都在热议网络空间安全之际,各种披着网络安全竞赛、产品发布、安全培训等外衣的黑客秀也在不停上演,且呈愈演愈烈之风。

当一名12岁的中国初一学生,站到聚光灯下,演示如何突破学校在线答题系统,如何花1分钱买了2500元的东西… …而带来不断掌声和我身边的孩子们“顶礼膜拜”时,作为网络空间内的一个自然人,一名孩子的父亲,一个从事计算机教育的工作者,隐隐中感到一阵阵“心塞”,不得不问问这种“黑客秀”的目的何在,是否偏离了我们的“初心”呢?

1.“黑客秀”是否可以代表“安全秀”?

当前,Pwn2Own、Pwnium、Black Hat、DEFCON、POC、Code Gate、PHDaysCTF、XCTF等等会议和竞赛,主办方有公司、政府或黑客组织,形式有对抗、夺旗、演示、研讨等等。但无一例外,几秒突破windows、IE、智能设备、支付系统,总是最吸引眼球的,曝光率最高的。

于是,这种平台受到了各类厂商的高度关注。各类商家纷纷亮相,甚至不惜重金聘用或收购黑客团队(几十亿收购安全企业,年薪千万聘请黑客屡见不鲜),有针对性的组织准备,其中不乏几次中国安全公司的黑客团队“勇夺世界第一”。一时间,仿佛拥有了顶级黑客就是拥有了安全核心技术。

热闹繁华之后,业内人士应该明白,现在的网络安全问题已经“泛在化”。安全防护的是一个体系,而某个黑客只是精通某项技术,突破的是一个点,这显然不是个等价问题。

希望,能够在看到精彩的“黑客秀”之外,看到更多的“安全秀”,听到更多的体系化的安全解决方案。

2.“黑客秀”会不会鼓励“全民皆黑”?

“黑客秀”泛滥呈现三种态势,一是各种秀的技术层次参差不齐,有的攻击技巧要求并不很高,利用网络中现有的工具即可完成,即入门的门槛极低。二是“黑客秀”呈现低龄化,不知的未来会不会有小学生被推向舞台,代表商业利益而出现在聚光灯下?三是出现了打着安全旗号的有偿“网络攻击”技能培训,花上1000多元就可以学习,跨站、破解、注入等等攻击技能。

冷眼旁观之下,我们不得不思考,低龄高薪是否会鼓励更多青年人从事“黑产”事业?“黑客”技能是否应该允许收费培训呢?当社会的多数人都掌握了“开锁”技能之后,有谁还有安全的信心呢?

希望,能够在看到精彩的“黑客秀”之外,在普及“网络安全知识”的大旗下不再有更多地商业利益追求,希望“黑客秀”真实的初衷不变,秀的是攻击技巧,解决的应该是“安全问题”。

3.“黑客秀”带来的是“正能量”吗?

“黑客秀”的内容呈现多样性,有的演示渗透系统,有的演示破解支付体系,有的演示突破智能硬件… …,这么多内容呈现后,其中心思想和灵魂却不统一。有的是技术炫耀,有的可以打击商业竞争对手,有的是给潜在用户暗示——“我发现了你的安全问题,我可以帮你解决”,有的甚至是对商家的“裹挟”… …其实,在所谓的“白客”、“红客”… …受到各种媒体的高度曝光、关注和炒作后,也带来了许多“负能量”。

例如:某知名互联网企业,被曝光其APP应用存在多个漏洞后,不得不紧急发布“漏洞奖励公告”,定价从6千到10万不等。而业内人士应该知道,现在所谓的漏洞挖掘门槛正在迅速降低,基本上多数用的就是动态测试,当然结果是出现了可以利用的“洞”和暂时无法利用的“洞”。请,各位试想,若是这个洞出现了价格后,会不会出现象“挖”比特币一样的“挖”洞大军呢?安全界的资源和力量将被引导向何方?

希望,能够在看到精彩的“黑客秀”之外,安全界能够不盲从,慎选择,炫酷的技术秀下,应该传授的是安全防护,引导的是网络安全的“正能量”。

三问“黑客秀”后,我也没有答案。不得不说,更多的人士被“黑客秀”吸引,从事网络安全事业,当然是好事情。但我们也不得不看到,这种秀正在被越来越多的商业力量裹挟;通过“黑客秀”原本不被社会和法律接受的“黑产”正在披着“网络安全的外衣合法化”;“黑客秀”带来的负能量正在积极挥发,有着正朝社会主流所不能接受的方向逐渐转变之危险。

另外从战略高度讲,“黑客秀”有其正面意义,但是不合适的“黑客秀”这样的一个个战术胜利,会不会将逐渐整个安全界拖入一个战略失败,安全问题的解决不是靠单打独斗,只有体系的完善才能最大程度的扩展安全边界。

 

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。