发信人: peking(peking)
整理人: williamlong(2001-11-21 20:51:51), 站内信件
|
中国红客们,歇手吧!——别帮日本人当免费测试员了
随着国家互联网的普及,中国人民又多了一条新的途径来发泄自己的
感情——黑网站。这种行动已经有一定历史了,比如当年陈水扁上台,这
些人就去黑台湾的网站;日本出了否定南京大屠杀的会议,他们就去黑日
本的网站;到现在日货在中国惹了很多的麻烦,这些人又开始黑日本网站,
在上面贴上反日的标语。
本人对这些行动评价很低:逞一时之勇,图一时之快,几乎毫无意义。
而这些行动反过来为日本提高网络安全技术提供了很好了锻炼机会,并且
帮很多网站进行了安全测试——而这一切又都是免费的。
首先看看这样的行动对我们有什么意义——把别人的网站黑了,在上
面贴几个反日的标语。然后在国内发出消息,说我们把那个网站黑了,大
家看看去。大家去了一看,说了声,真解气。然后呢?你真的得到了什么
吗?反过来看看日本人从其中得到了什么。
首先人家发现网站有漏洞,然后会进行修改配置或者加防火墙之类等
技术手段来加强网络安全。对于那些本身就用了防火墙软件的网站,这些
黑客就是这些防火墙产品最好的测试者。之所以说是最好的测试者,是因
为首先这些人能干的就是把人家的主页修改一下,危害不大,就象那些真
正的测试者一样,是基本无害的;其次是因为这些测试者完全免费。
懂计算机安全技术的人都知道,网络安全软件产品好开发,难测试,
因为说到底黑客就是利用系统设计策略中的BUG或者系统实现时的BUG进行
攻击,而这些 BUG是比较难发现的。现在好了,网上这么多“红客”们为
他们免费进行测试,帮助他们发现问题改进安全,而且危害都不大,人家
当然高兴。
真正的黑客(这里专指那些恶意的入侵者)是以窃取数据为主要目的
的,侵入系统神不知鬼不觉,而且退出系统时还会扫清各种 LOG里面的进
入记录,同时为自己留好后门。在这里打个比方,我们向日本派间谍,有
的间谍找到漏洞进入日本关键部门的办公室,在里面贴了张攻击日本人的
大字报,就出来了。另外一些则悄无声息的进日本办公室偷情报,偷完以
后再把一切痕迹抹除——这两种间谍那种更有危害?
可能大家都会说第一种是笨间谍,问题是这些间谍不但笨,而且该死
——因为他们让对方知道自己的系统有漏洞,而且他们所利用的漏洞原本
可以用来造成更大危害的。比如说这些笨间谍是通过一条秘密路径进入对
方办公室的,这条路聪明的间谍本来也可以用来偷情报甚至放炸弹。但是
当笨间谍贴完大字报以后,敌人发现了有一条不受控制的路可以进入办公
室,就开始找,然后找到了这个秘密路径——于是聪明的间谍也进不来了。
最后评价一下“红客”们的大致技术水平——绝大多数红客并不是计
算机的内行,他们通过某些网站得到一些程序,然后在本地机器上运行,
这些程序就能自动的去按照一些方法攻击指定的网站。本人以前曾经在网
上遇见过一个这样的“红客”,跟别的“红客”不同的地方是这位“红客”
声称某个黑客程序是他自己写的——而实际上我在很长时间以前就从一个
国外的权威安全站点上下载过这个程序了。
下面举两个我最崇拜的黑客例子:
首先是上面提到过的攻击方法出来以后,一个系统补丁很快就出现在
邮件表里,补丁的作者用很平淡的口吻写到:今天我看见了一条消息,说
系统存在这个漏洞,我试了一下,还真有其事,我就检查了一下系统网络
部分的代码,发现这个问题是因为一个边界条件没有处理,我就把这个边
界条件处理了一下——从邮件的签名看,此人是某公司的网络管理员。
第二个例子是在欧洲的一个数学家在网上公布了十个加密方法,并且
设置了奖金,请大家试图破解这些加密方法。结果最后数学家公布十个方
法全部被破解,而十个方法中的最后两个已经是够现在商用级别的方法了。
举这个两个例子是希望红客们真正的钻研一下计算机科学,不要把时
间浪费在无意义的事情上。想想吧,在你们的攻击下日本人网站的安全级
别越来越高,最后如果真到了国家需要利用这些漏洞的时候,已经很难进
入了。
|
|