黑客精神&初心之路-世间万物皆一体,人生不过体悟道
2023-2-3 13:29:26 Author: 猫哥的秋刀鱼回忆录(查看原文) 阅读量:15 收藏

免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,猫哥的秋刀鱼回忆录及文章作者不为此承担任何责任。猫哥的秋刀鱼回忆录公众号均不发表带有原创标志的文章,转载请附带公众号出处!本文仅仅陈述现象,并无针对其他人员/机构/组织之言论。

感谢法海哥(https://www.fahai.org),本文谨引用其博客签名作为标题

前言

首先还是引用一下法海的博文作为本文的开篇基石:

什么是最初的记忆,最美的回忆?本人有幸见证过网络江湖上的红客传奇,但作为一名年龄上的后辈,只是陈述现象而已,因为我啥也不是,我也不怕得罪人,你们该怎么搞怎么搞,我又影响不了大环境,没了乌云,反而更加乌烟瘴气。

鲁迅《且介亭杂文》写道:

我们从古以来,就有埋头苦干的人,有拼命硬干的人,有为民请命的人,有舍身求法的人……虽是等于为帝王将相作家谱的所谓“正史”,也往往掩不住他们的光耀,这就是中国的脊梁。

如果圈子内的人都有成为“中国的脊梁”的这般觉悟与魄力,我想圈子环境必然会风清气正,但事实真的打脸,我所看到所接触到的或者说新人一入门就能看到的,都是只有这几条:1.人情世故第一,其他的看第一条。还有就是国内真正有干货的大佬的博客,基本上每天访问人数都是个位数的,很多都懒得去写。反观广告/培训之类的流量赶上潮水了。CVCV过来就发出来的,图都不贴自己都没用过直接从GitHub上CV过来的,我都不想做评价。还有发十几年前国外用过的工具的,打着羊头卖狗肉的,和十几年前盛行的红客时代相比,总之虚的实的真的假的绝对数量都提高了,但是相对比例则没太大的变化。和其它圈子相比,可参见:史无前例:学术期刊一次撤稿107篇,全部来自中国,是不是很眼熟?还是说这是优良传统?

转载知乎博主黎墨观点:

混迹多年的老鸟,不敢枉评这个圈子,只能表述一些现象。

江湖气

酒桌论英雄,大概是安全这个行业普遍的现象。创始人多起于草莽,崇拜江湖文化,以酒会友,煮酒论英雄,甚至酒桌好勇斗狠。有种梁山好汉齐聚义的感觉。

虚与华而不实

各种会议各种论坛各种前瞻网站,各种专家各种分享各种研究论文。客户现场张口就是隐私计算、双边计算、数据出镜、同态加密、机器学习、人工智能。说最前沿的方案概念,堆最low的安全产品,吹最大的牛逼,回头就去OEM别家的安全产品(美其名曰节省时间,实则没有研发能力)。不管产品怎么样,大屏展示做的是最好的,因为领导就喜欢这种花花绿绿的炫酷的东西。某安全圈资深前辈说过一句话“厂商永远在吹最新的概念,确做不好数字水印”。何其搞笑

各种牛鬼蛇神冒充大佬,殊不知大佬其实时间很紧张的。搞技术的大佬白天做项目晚上搞漏洞辛苦至极;搞研究的大佬在优化代码在跑fuzz,通宵达旦;搞咨询的大佬在写方案在写标;搞管理的大佬……谁能告诉我为毛赵彦大佬已经断更好久了!特别是培训这个行业,我并不鄙视一个行业,因为我觉得每个企业都有自己的生存之道。但是2022年了,安全行业已经发展到不局限于web1.0时代了,云大物移快速起步了,安全暴露面急剧增加。我们的培训还在教,XSS、SQL注入、文件上传、漏洞提权。真的换种方式把并不是说这种基础知识不好,基础知识+优秀的思路,系统讲讲怎么收集目标信息,怎么利用信息,怎么防爆破被封堵,怎样过商版防火墙,怎么安全上传webshell,怎样保持weshell持续在线,怎样利用隐蔽隧道回传信息,怎样消除入侵痕迹。不好意思好像超纲了,好多讲师只有打过几天CTF的经历,没有实战经验搞不了。我并不完全否定安全圈,因为我也见到好多有志青年在努力的做产品为安全贡献自己的力量,有细分领域做身份鉴别的,有做零信任终端环境检测的,有做安全沙箱的。他们完全没有那种一蹴而就,浮躁的性格,更像一个温和谦卑的学者,努力踏实勤奋坚韧。既然大家有兴趣,想起一点补一点。

多种证书:安全行业权威证书有国际CISSP,国内CISP。但是不知道为啥最近又在CISP的基础上附加了各种证书认证包含渗透测试工程师CISP-PTE,CISP-DSG数据安全治理工程师,CISP-DPO数据安全知识体系认证。并不评价好坏,只阐述一个点,学三天就能考一个CISP-PTE证书,你确定她能有一个比较大的含金量吗。造各种高大上的词:XDR  ANFW  AiWAF  一看词语高大上,一看产品上世纪,穿越都不敢这么玩。

TK教主18的微博:

  1. 技术二半吊子哗众取宠,拿着老套的东西大搞培训或收割韭菜的
  2. 佯装成安全专家,出事就甩锅,白嫖手下人的成果的
  3. 高举着正义的大旗上演黑吃黑大戏,磨牙吮血,分赃不公的
  4. 空壳产品忽悠甲方采购/收割韭菜的
  5. 脚本工具都用不明白就出来装逼的
  6. 拿着工具日天日地日空气,我是黑阔的
  7. 白天上班人模狗样,晚上回家从事灰黑产业的

但是感谢一些师傅他们乐于磨砺技术,乐于分享,乐于提携后来人,乐于提升自身修为,乐于让互联网变得更加安全!

好了,再说下去我的狗头就要被打爆了,公众号就要被举报了,我们引述余弦在知乎上的一段回答

我们应该乐观看待这种状态,因为:

  1. 这是任何一个发展中圈子必定经历的过程
  2. 技术不是唯一,为了占领市场,各种招数都可以使出,你不得不服

但是,对于我们来说,骨子里那种技术特质要保持,但又不能太腐(如「技术绝对性」),因为迟早那些仅靠吹牛打天下的会被真枪实弹干掉:)为什么说不能太腐呢?因为我们得适应这个圈子,而不是让圈子来适应我们。

前言结语

难度越来越大,浅层次的水平已经被很多人塌碎,一旦深入一点就很难有效学习必须全靠钱开路,都说这是一个知识付费的年代,真的热爱会坚持下去,如果我的建议是:转行吧。其实都一样,当然这仅仅是我悲观的看法,如果你真的喜欢研究,可以去别的地方,为什么?因为安全的学术中心不在中国,没有学术界支持,产业界就只是个跛脚鸭,而且我们大多时候一直在模仿,从技术到战略都被人牵着鼻子走,本身素质就不高。有条件还是去考研究生到985/211吧,更何况普遍大学教的一言难尽。CTF门槛更高,比赛基本是老队和强队接手,扯远了。

红客or黑客?

1998年5月印度尼西亚发生了暴动,反华分子露出他们凶狠丑恶至极的嘴脸,做出罪恶昭著的行为,霎时间国内民怨奋起,无数国人义愤填膺,企图为死去的人鸣冤。一名名为“中国红客”的黑客首次向邪恶势力打响了第一枪。一群青年人,在当时网络并不发达的中国,凭借着自己的一腔爱国热血,以网络为武器,攻陷了印度尼西亚的网络系统,留下控诉其暴行的言论。中国红客,在国际社会亮出了爱国青年的声音,昭显了国人的心声。

1999年5月8日,美国军队向中国驻南斯拉夫大使馆投下了五颗炸弹,造成中方巨大损失,三名中国国籍记者牺牲且造成多人受伤。美国的政府却信口雌黄称这种嚣张、蛮横、凶残的挑衅行为“误炸”,可谓是令人啼笑皆非。红客再次出击,彻彻底底地入侵了美国多家网站,给他们一个回马枪,并在各网页上放出遇难同胞的相片,且还铺上了中国国旗图标,以此表达中国人民的愤慨与谴责、谋求国际平等的呼声。

2001年4月1日,美国侦察机侵犯中国领空,中国空军升空两架飞机进行拦截,中国一架编号为81194的飞机和美军飞机相撞,飞机坠毁在南海,飞行员王伟牺牲。此事发生后,再次引发了国内强烈的反美情绪,以林勇为代表的“红客联盟”再次向美国网络发动进攻,他们甚至一度把五星红旗挂到了外国的官网首页上。

现在的人只要会点点鼠标就说自己是黑客,黑客是啥?黑客英文为 hacker,先来了解 hacker 一词的出处。

60 年代初,麻省理工学院(MIT)有个学生团体,叫「铁路模型技术俱乐部」(Tech Model Railroad Club,简称 TMRC)。俱乐部活动室摆着一个巨大的火车规划模型,俱乐部成员平常活动就是模拟铁路系统。TMAC 大致分两类成员。一类成员喜欢制作精美的火车、城市、景物模型。另一类成员更关心模型下面的信号和动力系统,比如火车如何调度、前进、停止。后来 MIT 购买了计算机,后一类成员慢慢被计算机吸引过去,去研究计算机了。一群人聚成圈子,会很自然地发明出一些新词,让圈子外的人莫名其妙。当时 TMAC 的成员,将难题的解决方法称为 hack。

巧妙、漂亮的解决方法叫做 cool hack 或者 neat hack。笨拙、蛮干、不太优美但又确实有效的解决方法叫做 ugly hack 或者 quick hack。相应地完成 hack 的过程就叫做  hacking,从事 hacking 的人就是 hacker,也就是中文的黑客。黑客一词本意指解决问题的人。因为 TMAC 的人后来很多都去了玩计算机,hack 就经常被特指解决计算机难题。

黑客精神就是去解决问题,纯粹地、出于兴趣、不为功利地去解决问题。拥有黑客精神的就是黑客。按照这种宽泛的定义,黑客在各行各业中无处不在,人类的进步很大程度上就依赖这种精神。不为物质利益,只是纯粹地想知道原因,想解决某个问题,对于某些人可能是很难理解的。后来 hacker 一词被媒体误解了,媒体将非法盗窃信息,欺诈用户等等的计算机罪犯都叫成hacker。

信奉黑客精神的那些人,不会承认那些搞破坏的为 hacker,而是将他们叫为 cracker,中文翻译为骇客。TMRC 的成员后来去了世界各地,MIT 也被誉为黑客精神的发源地。具体到计算机,有六条黑客价值观:

  1. 对计算机的访问(以及任何可以帮助我们认识世界的事物)都应该是不受限制,任何人都有动手尝试的权利。
  2. 所有的信息都应该可以自由获取。
  3. 不要迷信权威——促进分权。
  4. 评价黑客的标准应该是他们的技术,而不是那些没有实际用途的指标,比如学位、年龄、种族、性别、职位。
  5. 可以在计算机上创造出艺术和美。计算机可以让生活更美好。

理想主义和价值观接触在一起就是难以驳辩的问题,真想知道得更详细,可以看看这两本书:

  • 《黑客,计算机革命的英雄》
  • 《黑客与画家》

结语

中肯的/批评人的话很伤人,因为是人是鬼都会照镜子 网络安全行业需要天赋和智商缺一不可,勤奋并不会有想象得那么重要。

没有了乌云,反而乌烟瘴气。

没有了沃土,反而杂草丛生。

人人都有人人的苦楚,我们不评价那些事儿,只是陈述了底层的环境确实不好,但是兴趣永远是最好的老师,希望每一个小白先能独立思考后再谈学习,先会如何学习再去学习,先会做人再入网安。我的态度跟我的公众号签名一样:无心+兴趣+自留地(证明我热爱过)


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjMyNDcxMg==&mid=2247498571&idx=1&sn=a79b2907383c563d1feb59fa4558eb19&chksm=c3056eccf472e7da0418985f8fc6f133ded12233d774fc8c3d538ca35668ca55a57eb3d5b94a#rd
如有侵权请联系:admin#unsafe.sh