五千年(敝帚自珍)

主题:【原创】网络安全的故事(一) -- 代码ABC

共:💬219 🌺1998 🌵1
全看树展主题 · 分页首页 上页
/ 15
下页 末页
家园 嗯,让他试试F-35的全套资料。
家园 lion?
家园 人会问你要哪个版本的,价钱不一样耶。。。

家园 我猜也是

99年的时候他上杂志就老带个帽子。

lion还算比较谦虚的,他名声最大的时候,也仍然老老实实承认自己只是玩几个exploit而已,远远算不上高手。

家园 果然是他

01年五月一号,大乱斗。

这么多年过去了.当时这个家伙还是很吸引眼球的.

红客联盟曾经也是一大门派.但是总体上来说,过分不恰当的高调,script kids 比较多.深入研究的不是很多.所以到后面就衍生出这个笑话:

A:你是黑客吧?

B:不是.

A:你是红客吧?

B:你骂谁呢?

后来坚持了几年在大环境下,解散掉了.

去年看到一个security的meeting中,有个港汕介绍中国cyber army的情况的时候还提到了这个红客联盟.反正blabla上面胡吹海侃.下来后我跟他说,老大,那个红盟早就解散了.港汕愕然.

反正现在美国一提到cyberwar,那就是中国.sigh可怜的.

关于cyberwar 写过一个帖子

我参加了2010的blackhat的会议

链接出处

家园 我曾经想写一篇长文关于国内网络安全方面的情况

但是怕给自己惹麻烦。。。

你说的那个是rootkit,BIOS rootkit, PCI ROM rootkit ACPI rootkit.

前几年美国这边有几个人对这个东西搞了不少研究.

PCI的 http://www.blackhat.com/presentations/bh-dc-07/Heasman/Paper/bh-dc-07-Heasman-WP.pdf

ACPI的 http://www.blackhat.com/presentations/bh-federal-06/BH-Fed-06-Heasman.pdf

很巧的是我和搞这个东西的几个人吃过饭,打过交道.确实很牛.

爽啊,挣钱大大地,而且还是不需要洗钱的钱.

在中国搞网络安全这块,其实挺艰难的,一般的企业不重视安全,所以白钱不好捞。黑钱是上船容易,下船难。

如果要讲网络安全这块,最早应该从印尼排华开始,龚蔚,然后是绿色兵团,绿盟,红客,然后就是乱七八糟,乱后分裂,解散,走向地下或者洗白。

BTW,陈盈豪,貌似也混的很一般。

这个行当投入产出比不好算啊。

家园 wushi走出了另外一条路

http://www.forbes.com/2010/07/14/apple-microsoft-security-technology-wu-shi.html

team509

http://www.team509.com/

这个家伙确实很牛:一个人找的bug是他们整个团队找出的bug的两倍:

"

"Perhaps Apple should hire Wu Shi to help them, since apparently he can find more than twice the bugs their whole security team can find," fellow security researcher Charlie Miller told Forbes at the time.

"

他们靠给Apple,MS这些产品找security bug,然后这些公司给点小钱. 去年就靠这个外快过百万了.具体*百万嘿嘿,就不知道了.

总比盗号有保障啊.

而且reputation建立起来后,还给你给这个,那个公司当咨询去,那挣钱也是刚刚的.

家园 猜测一下

刷Bios的工具是公开的,拿来分析一下就好了。

继续
家园 能把安全做好的公司太少了

OS一层的漏洞发现和厂商发布补丁之间的时间差一般小于两三个星期。

问题不在于厂商而在于客户。

本猫知道客户中打OS补丁最勤奋的是一个月一次,最长的是N年(即下一次升级)。至于打Application补丁,那最勤奋的也不会超过一年一次。事实上就是客户勤奋也没用,由于厂商出补丁时候测试不足,有一小半时候补丁根本打不上去。

家园 作为一个曾经做过网络安全的表示,这个行业的确是一桶浆糊

对于客户来说,安全公司就是:

你用我的服务(或产品),不代表你就安全了,也不代表我们来帮你做所有的安全管理工作,我更不代表我为你的安全承担责任,那我付那么多钱找你来干什么呢?

防火墙:有用吗?没有用吗?

IDS:用了和没用一个样

IPS:也许有用,但没法用

权限管理:人事部的大姐们表示太复杂,不打算用。

好了,你告诉我你能干啥

对于安全公司来说就是:

你只是买我的产品(或服务),但是却要我做ABCD等等五花八门的服务,这些根本不是我的事情,另外还有我承担这个成本、那个责任,也不想想看你才付多少钱(你不知道高水平有责任心的安全员得多少薪水吗?还相当不好管)。

家园 老兄另开一贴吧,八卦顺便科普一下,花催
家园 搞安全在国内比较难,似乎不被特别重视
家园 没权力单独发帖啊

再说说多了也不好,容易被人肉。安安的事情也不能随便说,怕他们找我

家园 F35不知道,听说有美国航母的全套资料,好几十个G

不负责任,也是道听途说,没有亲眼见过

家园 谢谢大家,竟然给我这么多的花,太感谢了

等我想想,再八些不太敏感的东西。我们这行要求嘴很严,所以八起来很辛苦的,好多事情酒桌上说说行,放到网上就不知道惹什么麻烦了

全看树展主题 · 分页首页 上页
/ 15
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河