转来的,原文地址:http://taosay.net/?p=200 看了上一篇文章,是不是有很多感慨和想法,请看这篇。
以下是原文:
昨天的文章发出后,在互联网里丢下了一块不大不小的石头。我的微信公众号后台被读者们发来的消息给刷爆了。taosay.net的网站,上线才40天,还没做各种优化,被刷爆了3、4次。这篇文章的访问量超过了过去30天全站访问量的总和,小VPS承受不住啊~
很多朋友发消息来表示震撼、膜拜,各种亢奋的言语就不赘述了,此处省略数千字。我抽取了一些比较有意思的评论和问题,转给V看了。所以你们的想法,V都能看到。
我先讲讲故事背后的一些事情吧,然后再由V来选择回答几个问题。
—— 我是万恶的分割线 ——
今天互联网里泛起涟漪,分为两个阵营,一个是以黑哥(中国黑客传说第一篇的主角,回复0可查看该文)为代表的安全专家阵营,主要行为是猜测V是谁、然后是各种不服气。
另一个阵营是安全专家之外的广大不明真相的群众,主要表达的是各种膜拜、震撼、看小说、质疑。
很好玩的是,安全专家们很少去质疑这件事情的真实性,而主要是在猜测V是谁。我摘录几位国内公认的最优秀的安全专家和一些地下黑客的微博:
@黑哥:
圈内人士都说有V水平的人大有人在,而圈外人士则表示V是虚构的。我说大风写的文章太水了,而他们说大风写的是小说!!
(大风是我另外一个ID)
@tombkeeper
昨晚刚看到@aullik5 这篇文章(http://t.cn/zTvl4kX)时,我还有点担心大众是否准备好了看到这些,是否准备好了接受“原来好莱坞电影里那些黑客故事并不虚幻”这样一个事实,怕引起恐慌。今早转念一想:以地球人那么强大的心理防御能力,只消“哼,都是编的”或“反正被黑也不是我一个人”即可化解之。
@flashsky
在应用漏洞百出,对供应链无条件信任又无检测与追责能力,而基础安全架构的厂商自己很多都已被黑客APT到手而不自知下,未来出现啥最后被坐实为黑客所为都不用意外。
@iceyes
个人这么牛逼的我倒是没怎么认识,但是小团队这么牛逼的倒是认识。只要用心去积累资源,滚雪球式的增长不用多久就可以控制一个行业或者一个地区。小型宽带提供商好像不难搞定吧。好像很多系统管理员还没有一些黑客了解自己系统情况吧。密码表版本还没有黑客手里的版本新。
@匿名
我丝毫不怀疑是否有人具有V那样的能力,相反我认为具有这种能力和技术的人在国内不少于20个。但是,我觉得一个人几乎不可能有这么丰盛的精力去独立做到所有的这些事情,除非这人不吃不喝不工作没家人没女友…
随后,我收到了各种不同的爆料,有人宣称有5亿库,有人宣称有9亿,还有个最霸气的,宣称有20亿到30亿。我比较好奇是否去重了,如果去过重的话确实很厉害,但你们这样爆料我是无法证明真实性的。
对于那些各种不服气的,很好,平时想找你们一个个都跟鬼影子一样,这下全冒泡了吧。不服气的,下回就采访你们了!欢迎来找我。
说说背后的故事吧:
1. 我只采访了V一个人,而写成了此文。
2. 这个系列的本意不是写小说,因为我自认为在考据上无法做到人物传记那样全面,所以才把标题改为了“传说”,而非“传记”。但我仍然是抱着严肃的态度来写的。
3. V提供给我的素材里,为了避免过于惊世骇俗,我砍掉了一半。其实你们也能想到,哪些事情是不能写的。
4. 很多朋友觉得故事性不强,但我出于保护当事人的目的,一些细节不能写,甚至一些名字都不能提,因为很容易顺藤摸瓜让V暴露。
5. V看过初稿后,说我对尺度的拿捏还比较到位。我私下里还是觉得尺度稍微大了点。
6. V是自由职业者,所以有大把的时间。
7. V怎么养活自己?V有正当合法的收入,不需要赚黑钱。
8. V至今单身。
9. 我当然看过《V字仇杀队》,本文主角叫V,一方面是呼应这部电影里的一些精神,另一方面,是为了匿名到底。任何其他英文字母都会引起你们的无限遐想。
10. V也是人,别把他当成神。那些什么呼吁让V发起战争或者造反的还是省省吧,V能做一些事情,但别把他当救世主。
11. 我写V的故事,只是把真实的东西展现了出来,你可能会觉得很突兀,难以接受,可能会赞誉他、畏惧他、质疑他、甚至痛恨他。但这些情绪仍然无法改变这一事实。
12. 网络安全绝望了吗?恰恰相反,因为V的存在,才会推动网络安全的进步和发展。以密码为基础的体系在大数据时代显得如此的脆弱,这不得不逼着所有安全专家共同努力,建设更安全的互联网。君不见,安全专家们对于V这样的存在一点都不惊讶吗?真正后知后觉的是不明真相的广大群众们。安全专家的呼声,你们总是以为在喊狼来了,那就让V来喊一喊吧。也许社会的共同关注,会更有利于互联网安全的发展。这就是透明的力量。
在继黑哥一文后,很突兀的来了V这么一篇主角匿名的文章,风格上确实有变化。黑客的世界里分为白帽子和黑帽子,黑哥是白帽子,活在阳光下;V是黑帽子,行走在黑暗中。但黑帽子中也不乏像V这样有原则的人。所以我觉得在尺度允许的范围内,写写V这样的故事也挺好的。
在被砍掉的素材里,我漏掉了一件很重要的事情:V平时会用他控制的微博大号来发一些公益的信息。他曾给我出示过一些图片证据,但我当时没太看懂,而且有几个号我还比较喜欢,就忽略过去了。所以很多朋友问,V做了什么正义的事情啊,我想这算一件吧。
还有朋友问我和V谁更牛一点,真是有一颗八卦的心啊。正如前面所说,我是白帽子,V是黑帽子,这已经是两种不同的人了,无法简单类比。我在阿里工作了4、5年后,就深深体会到:我是不可能在攻击方面达到登峰造极的境界了,因为环境使然。但是我有可能在安全防御方面做到登峰造极,也是环境使然。而V就是那种把攻击做到了登峰造极的人。
当你手里已经没有任何一台肉鸡的时候,你就彻底的蜕变成了白帽子。
如果你们一定想听八卦,好吧,我在阿里期间和V正式交手过一次(咳咳,阿里的同学们别猜了,你们知道我经常被派去执行秘密任务,而且我的嘴一向很严的,这是做安全这行最基本的素质。),那次的结果是:百密必有一疏。不过V很友好的只是点到为止。这次我问起他那段往事,他说后悔了,当时应该有机会能接近核心数据库,这样以后老了也可以和儿孙吹吹牛。
V认为像阿里、腾讯、百度拥有的数据库比他那13亿大多了。我想,靠,你是一个人啊!
—— 我是万恶的分割线 ——
V对一些质疑的回应:
1. 不少朋友问最后那张地图的事情,并且找到了一个出处:
http://tracemedia.co.uk/portfolio/mapping-wikipedia/
V用的是开源的Open Layers + Google Maps API绘制的图,用另外一个API将IP转化为经纬度(黑来的一个付费的API),然后绘制到世界地图上,相信对这个图片数据质疑的人,你们都有这个能力实现。为什么是80w?因为Maps API的limits就是80w。为什么图这么像?因为背景是Copy来的啊,V又不是专门研究画图,做数据可视化的。
大洋上那些星星点点是船还是岛?说实话,这个问题我认为V也答不上来。API转化出来的经纬度,鬼知道那是啥。
至于那条竖线,是V用来渲染的代码的问题,渲染出来的图都有这条线。代码也是从别处“借”来的,你懂的。
2. 有个朋友很专业,认为在移动基站获取地理位置是不可能的。
V的答复是:每台手机设备都有一个 ImeiNumber,AssetTag,运营商都会收集这些信息。手机在查找附近基站的时候,都会传递过去手机卡的iccid,靠这几个参数,就能查询到了。移动直接实现了这个功能,还有个内部应用,先用手机号,在BOSS系统查到SIM卡当前的iccid。基站的设备上就有iccid的记录。另外电信就记录了所有手机用户的短信内容。
3. 还有朋友问像Google、Facebook等用户的密码是动态加salt的,怎么逆出来?
这也是比较专业的问题,V的回答是通过别的方式收集信息,比如在信息传输过程中。
好了,对于真实性的讨论,就此打住吧,以后我也不会让V做回应了,这就像方舟子质疑韩寒一样,你们总能找到很多不理解的地方,无穷无尽了。有功夫质疑,还不如买本书好好学学,感受感受。
对于自己无法理解,就认为不真实的人,请继续不相信吧,别跑过来对我爆粗口就行,这种人一律拉黑。我又不是做宗教的,求着你信教。你看我写的东西,获得精神上的愉悦,不给钱就算了,还跑来爆粗口,趁早自己滚远点。
还有那些说我给自己书打广告写软文的人,也请一并取消关注吧,这确实是软文,好软啊,都是爷,我供不起你们。
—— 我是万恶的分割线 ——
花絮。
最后画的这张图,灵感来自于前些天一位国外匿名黑客干的事情。这位黑客控制了42万台肉鸡和设备,对整个互联网发起了扫描,绘制了囊括全互联网的,最精准的互联网地图。想知道互联网到底有多大吗?看看黑客提供的最精准的数据吧。
新闻在这里:
http://www.voanews.com/content/hacking-project-creates-detailed-internet-map/1627170.html
这位黑客的Paper在这里:
http://internetcensus2012.bitbucket.org/paper.html
(当然,你们也大可以宣称这个黑客是假的,他那图也是从别的地方Copy来的,你们也能找到长得很像的图。)
这位黑客在Paper的最后说到:
You may ask yourself who we are and why we did what we did.
In reality, we is me. I chose we as a form for this documentation because its nicer to read, and mentioning myself a thousand times just sounded egotistical.
The why is also simple: I did not want to ask myself for the rest of my life how much fun it could have been or if the infrastructure I imagined in my head would have worked as expected. I saw the chance to really work on an Internet scale, command hundred thousands of devices with a click of my mouse, portscan and map the whole Internet in a way nobody had done before, basically have fun with computers and the Internet in a way very few people ever will. I decided it would be worth my time.
偷个懒,不翻译了。不过这段文字确实看的我热血沸腾。
他也是一个人,他是国外的V。
我写这篇文章的一个初衷,就是想告诉大家,中国也有自己的V。
======
本文内容来自微信公众账号:道哥的黑板报。微信ID:taosay
历史文章存放在:http://taosay.net
关注互联网、黑客、创业、技术、历史、文化。欢迎提问,欢迎爆料。
No comments:
Post a Comment