Shawn the R0ck 写道:数字军火行业涉足未公开(0-day)的和已经公开(N-day)的漏洞以及相关的漏洞利用,数字军火是一种无形的武器,这种武器的构造和形态难以被普通人理解,即使是从业信息安全多年的安全工程师,安全分析师和CISO(安全首席官)也经常把诸多概念混淆,什么是 bug?什么是 exploitable bug?什么是漏洞?什么是漏洞利用?什么是漏洞利用平面?什么是漏洞利用方法?他们的关系是什么?早在 HardenedLinux 还有全职 maintainer 的阶段(2015-2020),我们就致力于基于开放的方法论对抗数字军火,到2021年成立了 HardenedVault 后逐步的把基础架构领域的各个环节工程化,在 Vault Labs 看来,攻击和防御双方信息是极度不对称的,我们行走了三分之一个地球,不论到哪里,如果你说你是从事数字军火领域的那一定很多人乐意跟你做生意,反之,如果你富有激情的讲解系统安全的防御,即你是打造盾牌的那一位,不好意思,你或许会遇到有人不屑一顾的表情就像在说“Fuc* off 去你大爷浪费我时间!”一样,另外,我们收到的反馈中,不乏有对于极端威胁模型的困惑,大部分人基于各种动机和原因认为面对 The Desert of the Real 是没有意义的或者压根认为真实的荒漠不存在,这正是当我们看到 Maor 的文章后非常兴奋的原因,毕竟再遇到有人问相同的问题直接让他们去读 Maor 的那两篇文章即可,这个策略一定会奏效于那些坚持探索真相的人,不论他们是否从事信息安全工作。
https://hardenedlinux.github.io/system-security/2023/07/20/0day-industry.html