首页
论坛
专栏
课程

分享:

本次看雪安全开发者峰会我们有幸有请到了看雪学院创始人段钢先生(左一)、中国个人站长第一人高春辉先生(左二)、看雪『资源下载』版主Feisu(左三),看雪老坛主CCDebuger(右三),『外文翻译』版主zmworm(右二),智能设备版块版主gjden(右一)。


看雪论坛各位版主陪伴看雪走过了十几年春秋,共同见证了中国互联网的起起伏伏。在不断发展、前进的互联网安全面前,过去的先驱成为了现在的“老人”。他们有些已经淡出了这个圈子,有些继续在圈子里发光发热。在此次峰会上,几位版主再聚首,原来青葱岁月眨眼间已过,但谈起反病毒、软件破解、密码学、算法、智能硬件......他们的热情依旧。谈起网络安全未来的发展,他们见解独到、一针见血。


段钢:大家好,非常荣幸,今天我们把线上的大牛请到了大会现场。看雪论坛这十几年的发展,和版主们的努力和奉献是分不开的,今天我们先从看雪论坛发展入手,来一窥国内的互联网的发展。



高春辉是中国个人站长第一人,从创建一个站点开始,将国外和台湾的资料和软件搬到国内来,从而推进国内的互联网发展。我早期接触的加解密技术资料,就是从高春辉站点流出来的,进而创建了看雪学院。


Feisu版主对2000年代的0day组织和运作模式非常熟悉,他过会与大家分享一些内幕信息。CCDebuger是看雪论坛老坛主,为培育国内新人,做出了极大的贡献,并且对软件汉化非常熟悉。


zmworm版主自身的成长,可以让我们看到一个技术人员如何从看雪论坛成长为一个公司的技术骨干。


看雪论坛发展到现成,从原来单一的软件逆向论坛,变成了一个集智能硬件、移动平台、WEB安全的综合性安全论坛了,其中gjden就是看雪最有发展前途的智能版块的版主,他过会与大家分享一下这方面的心得。接下来,我们有请高春辉来聊聊他的过去。


高春辉:可能很多人都不认识我。我在90年代未开始建站,那个时将一些资料和软件通过站点转到互联网上。我早些时候是做开发相关的东西,和互联网的东西没有太多的关系。现在对于我来说做相关的问题还是有兴趣,所以来到现场跟大家见个面。



我们那个年代对互联网有兴趣做这个事情是非常难的,不像现在这么容易,只要有一个能够上网的环境,有电脑,甚至说只要有一些内容就可以跟现在的主流东西接轨,当时其实是非常难的。那个时候都是拿软盘互相传一个东西,甚至这个东西跟主流的东西差了几年的关系,这个都是很正常的。为什么从开发转向做互联网,也有一个很大的原因。


像段钢所说的,我们所学的东西一手资料是欧美或者台湾,首先台湾可以看懂他的语言,但是欧美有的看不懂,有的是根本拿不到,这是最重要的。在互联网不流行的时候我们用一些途径,如软盘或光盘,把那些东西导过来再放到互联网上的。像网络安全相关这些行业越来越火,我认为无论大家已经在行业里面对这个东西有兴趣,其实还是一个很有意思的事。


段钢:谢谢高春辉,他正在北京做了一家IP定位方面的公司,和安全也还是有一些关系。


高春辉:我跟朋友聊天,这个事情为什么说需求十几年前就有了,但是十几年里面没有人解决,到我这儿相对来说解决了。因为我学的东西比较杂,首先是做技术出身的人,另外对于网络还比较熟悉,确实可以把这个东西研究的比较透彻。


你要知道,现在开发的门槛在降低,可能学两年就可以做一些高级源自开发。我们当时做的IP定位的事其实也花了半年到一年的时间才把国内的资源做的还算是让各个公司做到商业化,这也是我们花了很大的精力做的。大部分的客户,基本上都是业内的大户,包括BAT,都是我们的客户。


段钢:在2000年代,一个共享软件从发行到被破解不超过一天被破解,称为0day。 这个0day有一个很严格的组织机构在运转,接下来我们让看雪版主飞速来与大家聊聊0day的故事。


Feisu: 各位前辈,各位看雪的参会来宾,大家上午好,我是飞速。我是在上初中初中偶然的一个机会接触到0day的,那是大概在2003年左右。


关于看雪,当时因为汉化软件需要脱壳及破解,在网上闲逛时,发现了看雪论坛,认识了很多前辈。我现在从事的工作和安全没有一点关系,但是正是因为有了这段经历,以及前辈当时给予的指导。对我现在的工作帮助很大。



破解层面,0day是形容一个软件从发布到被破解不到一天的时间,速度特别快。这里有两种组织,一种是WEB-WAREZ,一种是SCENE。WEB-WAREZ组织国外比较著名的有TSRH,SND,FFF等。WEB-WAREZ通常有自己的网站发布他们的作品,而SCENE组织完全是在地下运营的。 SCENE组织有名的有CORE,ZWT等。ZWT这个组织是一个华人比较多的组织。今天我主要讲的是SCENE里的0DAY组织背后的运营理念以及运营渠道。


一个软件在SCENE发布是如何最终流落到消费者手中的呢?每一个组织都有自己的内部FTP,FTP每天都有专门的人上传需要破解的软件这类人叫做Supplier,Cracker负责从FTP下载这些软件进行逆向调试,形成最终的作品,作品的形式可以是注册码、补丁或者注册机,完成之后把作品上传到内部FTP,有专人把作品打包发布到外部FTP。以下称为Top Site。


我们说这些0day组织,有的总部在欧洲,有的在北美,有的在亚洲其它地区,有的在中国大陆,怎么样在一天之内把成品发布到世界各地呢?这时候我们还要引入另外一个概念,那就是IRC了。在座各位应该都有接触过IRC,很久以前我们都会在IRC上面进行聊天。IRC上面会有宣告(Announce),通过插件和FTP连接起来,FTP里每创建一个目录,上传一个文件,IRC都会有显示,某某某发布了什么。每一个Top Site都会有属于自己的IRC频道,通过密钥加密聊天内容。


我们刚所说的这些组织,在全世界各地都有自己的总部,也是HQ,总部是什么意思呢,比如说一个亚洲的破解组织,他最开始发布作品可能是在在中国大陆或者韩国的上的某个Top Site,这就是该组织的总部。通过FTP的FXP功能把文件从组织内部FTP传到TopSite的内部文件夹,之后通过PRE命令把文件从内部文件夹发布到Top Site的公开目录的对应位置,比如0day目录下。


假如0day组织在全世界同时有三个总部,一个在韩国、一个德国、另外一个可能在瑞典。我们把文件从内部站点FXP到这3个TOPSITE的对应目录中,再同时执行PRE命令把作品发布出去。这就是发布一次作品的流程。


在Top Site里还有一类人扮演着举足轻重的角色,那就是信使(Courier),也称为Racer,国内我们管这个行为叫做跑站。没有这些人的努力0day是不可能在短时间内传遍整个互联网的,信使在全世界各大Topsite都有账号。他们内部也有自己的一套竞争、排名体系, 其中LT以及MSN是专门运输0day作品组织中的佼佼者。本人有幸在这里面参与了三个角色,有一段时间是在韩国的站点当站长,这个站是游戏破解组织Razor1911在亚洲的总部。另外一个角色是0day组织中的破解者。再有就是当信使了。


当时我发现另外一个乐趣,就是当信使,也就是说当搬运工帮忙把这些软件从一个Top Site跑到另外一个Top Site,通过脚本在FTP之间进行FXP。可能作品发布十秒钟之内,就会在全世界的Topsite流通,最后流向我们普通的消费者。


其实0day内部是一个小圈子,他们自己互相交流,是禁止作品外流的。大部分的都是一些欧洲的组织,他们把0day从Top Site里偷偷传到互联网上。最终得以与大家见面。今天在座各位肯定也有很多0day的参与者,只不过没有说出来而已。


我今天想和大家分享的是,这个圈子是怎么运作的。普通逆向爱好者把自己的作品完成了之后,首先要上传到FTP上。FTP上面有专门的一键脚本,就把它这几个站点,比如说我有四个站点,把我这四个站点跑完了,这四个站点不只是我一个人在帮忙跑这些软件,有可能有20个信使。也就是说短短的几分钟之内那个软件就会在全世界成千上万的Top Site分流出来,SCENE里除了发布0day还有电影、游戏,电视剧等,一般来说好的Top Site要具备有独享千兆网络的介入能力。这在03年的时候部分Top Site就已经具备了。一个20GB的游戏一经发布,就会有许多信使同时往其它Top Site传输,最终统计哪个人哪个组织传的文件最多,这就是其中的乐趣所在,对比自己拥有的Top Site的线路以及质量。当时亚洲进站的速度最快的是韩国韩国的站点,然后是中国的,再是日本。欧洲的站点始终是最快的,因为大部分作品都是从欧洲流出的。但是我们有一个禁区不能碰,不能去美国的站点。美国有些站点是FBI员工自己做的蜜罐,FBI架设一个FTP引诱我们这些去他的站点发布以及传输文件。所以大家很少去美国的站点玩。


由于时间关系,我就不说多了,谢谢大家的聆听。


CCDeduger:各位会员大家好,我是CCDeduger,说起来注册看雪论坛至今也有十几年了。本来今天是让我说一下关于汉化方面的一些事情。这怎么说呢,十几年年前很多优秀的软件都是国外的,大家使用起来还是有点困难,汉化就比较流行。汉化也算是pediy,其中也同样涉及到很多软件调试技术,比如修改字体,实现汉字的正常显示,脱壳等等,汉化的同时也学习到了软件调试方面的知识。从当年一直到目前,国内的汉化新世纪应该一直是最著名,也应该是一个最大的汉化软件发布、交流网站。但目前来说很多国外的公司,包括Adobe这样大的公司,都越来越重视中国市场,大多推出了相应软件的中文版本,另一个情况就是当前大家平时主要是以移动设备为主,用电脑的时候都比较少了。汉化也相应的衰落下来,做的人也相应的少了,我也不再多说了。



现在大家主要都是关注软件的一些破解、漏洞,移动设备的安全方面等等。当年我在论坛上写ollydbg入门系列文章,就是想给初学者一些指引,方便入门。因为我开始学这一块的时候,那时上网不像现在这样方便,我当时是看八爪鱼的八篇trw2000教程入门的。随着时间的变化,trw2000和softice这样的调试工具在新的Windows系统下使用起来已经不大方便了。而ollydbg是当时最流行的调试工具。所以我当时是想效仿八爪鱼那样,写一个系列的ollydbg使用文章,以便让初学者能够了解使用方法并入门。还有一些没有写完,也没精力再写了,留点缺憾吧。现在看雪论坛比以前发展的更好了,我们写的一些东西,有的也是有时间性的,安全这方面也是不断发展的。在座都是这方面的从业者,软件安全、网络安全整个社会也越来越重视,做这方面的工作还是很有前景的。希望看雪也能发展的越来越好。我也没有其他要说的了,谢谢大家。


zmworm:安全这个圈子里面发展最好的是黑客圈,整个黑客的圈子其实是出现了很多的优秀的企业。Crack圈相对来说还是蛮低调的。



我最早入门的话,是想上网吧不要钱。因为当时所有都是网吧软件,像美平、万象这些软件。我看有管理员的密码,当时就想到了破解,真的是这样诉求进了看雪的门道。2001、2002年的时候找的,当时也什么都不懂,汇编也不懂。有一个动力,上网可以不花钱,这是一个动力。然后一步步调试代码,当时也不懂什么叫做算法,一行一行的逆,拿C代码模拟它,为此我写了一个万象破解软件放网上,也许在座有人有印象,2002年的时候就有百万的下载。当时写这种软件是蛮打动我的是:后来逆向发现算法是RC4,我就是通过看雪这条门认识到密码学重要性,以及密码学在整个软件保护当中的重要性。


大学专业学数学,把大学基本上天天荒废数学课本全部拿出来看,是蛮疯狂的一段时间。发现当时最好的算法叫做ECC,整个安全保护里面就是讲RSA,没有这些ECC。发现ECC的东西都是老外的论文,周围的书都是提了一些,但是基本上都写的很烂,我是认为很烂。我自己亲自写了一篇ECC加密算法入门,这篇文章应该流传很广,我的名字应该都被删掉了,大家如果想去入门加密算法看我那篇ECC文章,现在来看还是肯容易让你进入密码学的一篇论文文章。


我后来发现,大家进这个圈子,本来就自己的一些诉求,比如说是为了破解软件;比如说是为了汉化一个软件或者想干一个什么事情;打游戏觉得不爽自己想找一个外挂,但是你发现这里面还有很多东西来发展的,包括软件保护,这是一个方向,包括密码学。


我后来选择了一个圈子反病毒的圈,在安全里面非常重要的圈子,只不过它喊的声音没有像别的平台那么火。我也特别感谢看雪,举办峰会传递出来不同的声音。


我最活跃的时间是2000、2003、2004年,后来因为工作比较少了,接下来更多帮助看雪,帮助看雪组织第一届的网上的攻防大赛,跟金山一起合作,当时一些题基本上都是我出的,也就是现在CTF是早期的前身了。跟看雪在朝阳大悦城进行沟通,蛮鼓励看雪把工资看成个人事情来鼓励发展以及产业逆向的事情。我就说这些。


主持人:接下来有请gjden,未来的发展智能硬件是很重要的方向,智能硬件涉及到家庭安全以及社会安全直接对这个人的安全产生威胁。下面有一个具体发展方向也是智能设备这一块。gjden最近也正在研究一些智能汽车的问题,我们请他聊聊这些方面的发展。


gjden:大家上午好。先聊聊我怎么入的看雪。


2006年的时候开始关注到看雪,相比前面几位我来看雪要稍晚些。我那个时候主要也是受软件破解技术的吸引,才开始对逆向技术产生了兴趣。起初只是默默关注着看雪,潜心学习看雪上的精华文章。



07、08年时rootkit爆发,有很多内核级的对抗技术、保护技术、隐藏技术、检测技术成为大家研究的热点,在有一定逆向基础上我也开始研究内核安全的研究之路,也花大量时间写过ant-rootkit工具,后来成了半成品。工作过后由于工作的需要进入到病毒的圈子,起初开始做病毒逆向分析、之后接触到一些重要的APT攻击的分析。此后的几年时间都是做各种平台和各种类型的恶意代码的精细分析、APT追踪及溯源,时至今日,我仍然在做这方面的工作。


段老师让我来谈IoT安全,那我就简单说说,最早接触到是在2012年,在一个网站上看到一个关于日本某厂商的智能马桶的漏洞,可以隔着墙连接上马桶进行控制。还有就智能喷头的一个漏洞可以让入侵者控制温度。这个时候感觉到IOT安全不像传统安全威胁只能对系统及用户的数据产生危害,而是可以直接影响到人们的现实生活。


此后的时间我断断续续的花一些时间来研究智能硬件相关的东西,从学习电子电路到单片机开发、嵌入式开发以及相关的逆向工程技术都做一些学习,同时也收集智能设备hacking相关技术文章,有的我会翻译成中文,作为自己的学习笔记。同时在自己学习和研究过程中也买了大量的设备,非常费钱,各种调试设备、开发版、接口转化芯片、焊台等等设备将近花了一万多。


我研究设备喜欢直接研究底层的东西,而不仅停留在对设备做一些黑盒测试。开箱,得分析PCB、各个模块及相互之间的关系、硬件调试、固件dump,逆向固件等,最后结合设备内部程序的逆向分析和外部的测试进行结合来分析发现更深层次的安全问题。


这几年IoT发展非常迅速,国内已经有大量的企业在做了,实际上国外IoT提的比较早,国内近几年才开始火起来。国外IoT的安全研究大概2010年就开始提了,国外黑客在早些时间就开始做hacking类型的攻击并分享,同时在攻击对抗上也做了很多的工作。随后,在Defcon、BlackHat上开始重视智能硬件相关的攻击技术,大量黑客开始将自己的攻击成果和技术分享到这些hack大会上,这才开始使得越来越多的设备厂商重视他们的设备安全问题。


智能硬件安全这一块,未来是大有所作为的,至少会成为安全行业发展的一个重要的方向。目前已经有很多的安全厂商开始在IOT方向上提取了比较好的安全解决方案,同时很多安全研究员也都在做智能硬件方面的安全研究。国家也在提倡智慧城市,智慧城市的安全也是离不开IOT的安全的,当然智慧城市不仅限于智能硬件安全,它涉及到的面比较广,移动端APP、云、智能设备、智慧交通、医疗网络、车联网、工控网络等等,实际上是一个非常综合的概念,涉及到安全研究的面也是很广的,要了解的东西更多、需要的知识面更广。



上一篇 :
下一篇 :
讨论 (0)
沪ICP备16048531号-1
沪公网安备 31011502006611号