黑客的技術遠不止這些。大家都聽過鄙視鏈,黑客圈也有鄙視鏈。前面我介紹了弱口令和木馬,簡單嗎?簡單,也不簡單。使用起來的簡單,往往意味著研發的不簡單。這有點像我們的智能手機,操作早都傻瓜化,但是這背后是無數的設計師、工程師投入大量的時間精力不斷地去完善優化。
黑客圈也深明這個道理,有些人認為這些只知道用工具的黑客玷污了這個象征著技術高超的名詞,于是想了另一個詞作為區別,叫“腳本小子”。在黑客圈鄙視鏈的最底層,就是腳本小子。
不過,我覺得這個鄙視鏈有失偏頗,而在安全行業產業化的今天再重新審視,會發現更多不同的東西。黑客曾經是技術的代名詞,但技術永遠不是黑客的盡頭。我們不說太抽象的東西,還是從身邊的故事說起。
就說腳本小子,腳本小子也有自己難以言表的痛苦,而且別人很難理解,這就是無聊。
前兩年有兩款火出圈的游戲,一個叫塞爾達一個叫動物之森,很不巧我都沒有玩過。不過我聽說,這兩款游戲非;,很多原本不玩游戲的朋友,也因為被朋友圈刷屏而去買了來玩。
剛開始也覺得確實有趣,但慢慢的都遇到了同一個問題:無聊。通了主線,建好了島,剛開始的目標都實現了,接下來好像沒事可干了,又找不到新的樂趣,反而覺得很痛苦。
游戲本身不多說,沒有Switch沒有發言權,但是腳本小子的“痛苦的無聊”是可以多說兩句的。前面我說黑客有兩大速成法寶,弱口令和木馬,技術門檻不高,但不妨想象一下,假設你真的使用弱口令登錄了某個網站的后臺,或者使用木馬控制了某臺電腦,接下來你該做什么呢?
沒事可干。
現在我常聽人抱怨,說現在安全行業的氛圍遠不如以前,以前大家特別熱愛分享,發現一點什么恨不得拿只大喇叭讓全世界知道,現在全都成了氪金游戲,大家的技術都藏著掖著,撿到個漏洞還得琢磨一番哪的SRC給得獎金多。
我覺得這個說法和前面的課本認為過去的企業全是天然呆一樣,忽略的時代的發展變化。網絡安全能成為產業,是因為現在的網絡承載的價值提升了,說得庸俗一點,網絡現在能變現的渠道多多了。
以前的網絡相比現在,就是一只空蕩蕩的大房子,雖然門戶洞開,但是闖進去一看,發現里面家徒四壁,也沒啥可偷的,還要在墻上留下“到此一游”四個字別人才知道你來過。
這就是腳本小子的痛苦。你用弱口令也好,用木馬也好,登錄了網站后臺,或者控制了某臺電腦,能干什么呢?要么是掛黑頁,告訴網管你的網站被黑了,或者告訴別人你黑了網站,要么在電腦桌面上留個TXT,告訴機主有人到此一游。
后來有個說法,把這個階段的黑客行為稱作“炫技”,說白了就是沒事可干,只好沒事找事刷存在感。
接下來干什么呢?要么是繼續日復一日地用同一種方法“炫技”,陷入越玩越無聊的窘境,要么就爬爬科技樹,爭取發現一點新東西。黑客技術也螺旋上升不斷發展,但是,真正使得黑客這個角色進入新的階段的,還是因為網絡的發展。
網絡資產值錢了。
前面講的網絡安全也好,后面要講的數據安全也好,安全不單只是一門技術,也是一門生意,是生意,就要計算投入產出比。前面我們介紹,早期網絡普遍缺乏安全意識,賬戶密碼簡單得弱智,但是背后的原因是什么呢?是成本。
這里的成本,說的不僅僅是錢。就拿密碼來說,為什么我們都喜歡簡單的密碼?因為記憶成本低,F在的密碼動輒8位10位12位,還要大小寫字母加特殊字符,最好還每個網站密碼不一樣,安全系數是提升了,可是記憶成本同樣也提升了,我自己就經歷過好幾次因為忘記密碼而被鎖定賬號的事。
安全是需要投入成本的,誰也不會在家徒四壁的時候,有動機去安裝一個5A級的防盜門。而當大家開始安裝防盜門的時候,一定是有了需要保護的東西,而這樣東西的價值遠高于安裝防盜門的成本。
這個道理很簡單,但背后的思想并不簡單,現在很多安全策略不再認為必須全盤死守,而應該根據資產價值分區管理,在某些安全程度相比較低的區域放置必要但不重要的資產,從而平衡安全和效率二者之間的矛盾。
在最開始的時候,互聯網和現在的加密貨幣一樣,屬于小眾的極客玩具,新潮有趣但是家徒四壁,而隨著網絡時代的來臨,網絡資產的價值上升了一個臺階,黑客或者說網絡安全也進入了新階段。這個階段的標志,我認為是出現兩種專門化的木馬,QQ木馬和網游木馬。
QQ木馬和網游木馬的技術含量比遠控類木馬要低,但是出現的時間卻還后者還稍晚一點。顧名思義,QQ木馬就是用來盜Q號的木馬,而網游木馬則是盜取網游賬號的木馬,根據不同的網游發展出專門或者通用的木馬,譬如說專門盜取傳奇賬號的傳奇木馬。
如果單從技術的角度說,QQ木馬和網游木馬的“玩法”要遠比灰鴿子之類的遠控木馬要少得多,配置界面一般就只有一項,填寫收號的郵箱地址,木馬在盜取了賬號和密碼之后,會把相關信息發到郵箱里。但是,QQ和網游賬號是能夠賣錢的,“黑客”一下子從純粹的“炫技”,變成了一種能夠變現的渠道,群體的數量一下也膨脹了。
大家開始意識到,原來網絡安全的缺失會實實在在地造成資產損失,對安全的需求增加了,而作為黑客的對立面,安全人員的數量也因此增加,安全行業開始出現從個人英雄主義,向產業化轉向的趨勢。
黑客的故事就講到這里,黑客有趣的事還有許多,不過都和本文的主題關系不大,大家感興趣再找其它機會和大家聊。
我想分享一個觀點,“黑客”聽起來是一個“技術”的詞,也確實有一種技術叫黑客技術,但我覺得,要真正理解黑客和黑客技術的發展,可能必須要跳出技術的桎梏,用更為廣闊的視野來研究。
數據安全同樣是這樣。