成都的几个黑客(一)

信息安全 4263 Views

成都

在成都的几天虽然忙碌,不过却很有惬意,茶是朋友间必不可少的,成都人还喜欢麻将,我也偶尔瞎摸几把,馒头(知道创宇一位悍将)说再也不和我玩了,哈哈,麻将文化差异啊,害得我也不想玩麻将了,尤其是没钱的麻将……

天府软件园,知道创宇成都的基地,真是处处互联网气息,像我们这样一群别人眼里的黑客,走在路上,毫无特殊,是啊,我们本就没什么特殊性,或者每个人都有每个人的特殊性,导致特殊泛滥,看去都是那样的普通……其实,真相是,我们真是一群屌丝……就连享受点生活也是那样的屌丝。

7个黑客

昨天下午我到市区的一个幽静场所,湖,蓝天,茶,和6个黑客碰面,其中一个见过几次,另几个简直是风格迥异,我终于深刻感知到什么是“风格迥异”。

其中一个一口川话,自来熟,大大咧咧,还时不时照顾我说:“我说的你听得懂?”我说:“有的可以,有的不可以……”我就称这位为川哥吧,黑客界骨灰级前辈了,当然,刚碰面时我并不知道,待之后喝茶畅聊后,才发现原来是久仰已久的黑客前辈了。

那个见过几次的很熟了,我称他为熟哥吧,熟哥一贯地把低调神秘的笑容挂在嘴边,他心情不错,说我来蜀地了,必须好好款待,这不带了好几个黑客一起来了,我真担心他们现场群黑我,而且当时我是背了电脑过去的,之后的畅聊,让我毫不怀疑,以他们的能力,我电脑好几层的加密也没用。

其他几个这次不介绍,因为这样的话,这篇故事将会出现多个主角,麻烦,我又不是写小说的。

川妹子把我们带到一个安静的角落,阳光铺洒下来,惬意无比,茶桌围满了我们这群毫无特殊的黑客们(我们真是一群屌丝),我稍微拘谨地坐着,心中默念:“蜀地黑客真会享受,晚上出击,白天喝茶……”。正想着,熟哥开话了:“余弦难得入蜀,这次也难得大家聚一起,要不这样吧,每人问余弦一个安全问题,先聊着,待日落西山,找附近饭馆好吃一顿!”话音落处是大家的纷纷附和,我心想:“熟哥真大方,每人问我一个,我真怕hold不住把老底都爆料了。”边想我边细细观察每个人,一圈观察下来,我兴奋多了:“熟哥带来的黑客绝非等闲之辈,表面上毫无特殊性,不过,好几个人的机智小眼神还是被我捕获到了,这眼神太熟了,如果不是有一定深厚内功的黑客,就是经验老道的侦探类人物,反正那种感觉是不会错的……”

我问了每个人的年龄,果不出所料,基本来说我算这群人里最年轻的一批了,好家伙,兄弟认真待我,我有所知肯定畅所欲言。

一个主角:川哥

川哥是第一个问我问题的,由于一些问题与问题的细节我不方便公开,我就将就写着吧,这个问题就是想探讨如何检测某种场景下的APT入侵(这是一类目的性非常强,非常具备耐心、持续性的入侵,这种入侵非常消耗黑客成本,所以如果出现这样的入侵,对我们来说就非常有价值去追查了),我们从网络链路的各层去思考方案,最终结论还是这类APT入侵太难检测,入侵成本高,检测成本当然也高。

说着说着,大家都不爽了,外人以为我们是神,说追查一路黑客就追查的到,说搞定一个目标就能轻易搞定,其实,运气好,还真能,运气不好,真恨不得自己不仅是黑客,还是现实中的夏洛克+钢铁侠……

所以,运气好的时候,为了让成功率大大提升,黑客们都有自己的武器库,很多时候,好的武器能带来好运气。对于老练的黑客来说,最厉害的武器是经验。

比如面前这位川哥。

在我和他都不爽的时候,他说他2004年的时候DEMO了一个攻击,针对IE6,拖放劫持,将木马植入操作系统启动目录,诱骗劫持的因素是一张美女图片。我当时惊讶了,骂出一句:“我靠,似曾相识啊,2004年就用到如此猥琐的一招,你才是猥琐流鼻祖!”我为什么要骂呢,因为2010年时,我和heart为了写我们那本《Web前端黑客技术揭秘》,我们特意酝酿了一次Google Reader蠕虫攻击,当时真传播起来了(小道八卦,Fenng当时也中招了,因为那次我和Fenng才认识)。

当时传播这个蠕虫也是一张美女图片。

我们真是抓住了人性弱点啊,我在很多年轻一代人的眼里是特别猥琐的,这次在川哥面前真不好意思说自己猥琐了!

川哥嘬了口热水(不知道他为什么不喝茶),继续和我天南地北,从防聊到攻,从木马聊到XSS脚本,我分享了个经验,像Google、Yahoo、QQ这样的大公司,几百个业务,几千个子域,Cookie在这里面太太太重要了,但是这些大公司都很难去保证Cookie的安全性,我特别拿QQ举例,如果黑客们研究好QQ关键Cookie键值,以一个薄弱点入口,黑遍QQ全部业务都是轻易的事。

真是猥琐的人相遇碰撞出各种猥琐的火花啊,之后我和众黑客讨论了各种想法,唾沫星子飞溅满茶桌……

真不爽,太阳落山了,根本没法尽兴,好多黑客话题都还没聊呢,一群人在饭馆里也不方便喷干货了,人多眼杂,于是就聊些成都的吃喝玩乐,还有黑客圈的一些八卦。

川哥大大咧咧,内功深厚,早成为主角了,他是严重的安全洁癖者,一个非常古老的小手机,说其他手机都不安全,更绝的是,他还特意问我,你看我手机里的这个浏览器,安全不安全……我当时眼泪都快掉下来了,尼玛,不安全也没人去攻击它啊……哈哈。

我临分别的时候问川哥,我能把你写进故事吗?他开始不好意思起来了,笑了笑说,写吧,低调点。

EOF.

这些黑客已经太低调了,我知道低调是他们的风格,于是我今晚真的以故事的形式低调地写出来了,第一个:川哥,蜀地黑客。

注意,这是一篇故事。

—————————-

欢迎感兴趣的人收听我这个公众号:“lazy-thought”。

如未说明则本站原创,转载请注明出处:NULL » 成都的几个黑客(一)