前言:
2003年刘韧在《我们信仰互联网》一文中写道“如果没有互联网作为平台支撑,我们可能都还是一文不名的傻小子。互联网不属于包括精英在内的任何人,所以,它属于我们每一个人”
在过去的30年里,没有任何一项改变具有互联网一般蓬勃的颠覆力,对于参与了30年互联网发展的人们来说,互联网变革犹如一道宏大的冰川,它衔接了旧时代与新时代的脉络,又“刀砍斧凿“一般影响了时代轨迹。
过去,我们采访了大量的网络安全技术人,他们大多成长于互联网在中国萌芽阶段,身上带有旧技术时期的“魅影”,同时也将一种开放、平等、交流的气质引入到了如今的技术市场。也恰恰由于这种因素,这些风格“老派”的技术人反而成为如今网络安全技术创新的中流砥柱。
叙述这种略显庞杂的视角有助于我们理解这些人的成长轨迹,事实上,唯一可以确定的是,对技术的信仰与热忱几乎贯穿了他们的整个技术生涯。
姚纪卫与他的工具们
姚纪卫在XCon2020发表演讲
距离上一次姚纪卫(Linxer)出现在XCon的演讲台上已经过去了13年。2007年,他创作编写了LinxerUnpacker软件,该软件是全球首款基于反病毒虚拟机的通用脱壳软件,也因此受邀在Xcon上发表技术议题演讲。
上图是LinxerUnpacker软件创作时的一份更新日志,完整日志中可以看到在当年3月-6月期间的软件更新记录。
此外,论坛显示一直到2016年仍有一些技术爱好者催促这款软件的更新。
彼时的姚纪卫刚刚毕业,是一个纯粹的技术人,最大的爱好是深夜伏案修改代码,解决各类Bug。继LinxerUnpacker软件之后,2008年,姚创作的PCHunter工具更广范围的为人熟知,并且至今仍在维护更新。在“PChunter”最近一次的更新公告中他这样回忆:
“2008年,初学驱动编写,我把当时写的几个粗糙的功能集成为一个工具(XueTr)发布在网上,没想到有人喜欢,后来在大家的支持、鼓励下逐步形成了今天的PCHunter软件。”
到今天为止,PChunter无偿更新已经持续了12年,而姚纪卫的身份也从一名技术研究员变为了一名联合创业者。
创业是部连续剧
2000年前后,互联网的高速普及带来了大规模的网络病毒爆发,杀毒引擎与免杀工具之间的较量也逐渐进入了白热化。
也是在这一时期,姚纪卫与大学同窗姜向前开始了他们的创业道路。
2009年,姚纪卫与姜向前一同创立了“百锐信息安全实验室”,致力于未知威胁检测引擎的开发和研究。
他们开发的未知威胁检测引擎在当年的VB100测评(著名独立病毒测试)中获得全球软件第二、国内第一名的好成绩。相较于主流病毒检测引擎动辄几十上百兆的软件体量,这款软件只有几兆大小,也因此得以进入Google VirusTotal提供服务。
值得一提的是,为Google VirusTotal提供服务的厂商同时也可以获得VirusTotal数据库中的所有病毒样本。但是商业市场瞬息万变,360免费杀毒模式拉动的三驾马车踏碎了众多反病毒领域创业者的美梦,百锐实验室也不得已偃旗息鼓。
彼时的姜、姚二人一定没有想到过,十年后他们会再聚首,挥起新一轮的创业大旗。
从“PCHunter”到未知威胁检测引擎再到内存保护,几款工具都代表了姚纪卫奉行的极简主义创作风格。在笔者看来,这同时是他本人身上体现最为鲜明的一点个性。
十年磨一剑
2019年,距离两人第一次创业已有10个年头,在一个游泳馆的午后,两个身着泳裤的男人再次碰撞出了创业的想法。
两人关于“内存安全” 的创业思路如下:
“纵观近几年的国内网络安全市场,安全产品与防护功能趋于完善,但是我们发现尽管系统、应用层面的防护手段越来越多元,但是类似‘永恒之蓝’这种大规模、高伤亡的网络攻击事件还是偶有发生,甚至有逐渐增多的迹象。
坦白讲,在传统防护领域上我们并不具备很大优势,所以就考虑能否另辟蹊径,把安全产品的防护能力从应用层、系统层下沉到硬件虚拟化层,从内存方面着手进行应对系统设计缺陷、外部入侵等威胁的检测和防护,也就是‘内存安全’。”
内存安全是什么?
简单来说,当出现0day攻击或者是未知威胁事件时,未知威胁绕过网络及系统层面的防护手段进入了主机内部,这时它肯定要在主机上依赖CPU运行,从而达到窃取、夺权等目的。与此同时这些威胁也一定在内存中存在,所以内存安全的核心就是通过监控内存以及CPU指令的运行,在威胁发动破坏前的最后一环进行阻断,从而达到威胁检测和防护的目的。
姚纪卫形容“内存安全”是纵深防御体系里的最后一环,但内存安全防护并不能代替原有的系统防护手段,两者之间应该是相互协作的关系。
在真实的应用场景中,内存安全防护在应对“0day”、“无文件攻击”等攻击事件时,作用尤其显著。
以目前热门的“无文件攻击”为例。
首先来科普一下“无文件攻击”:
传统意义上的网络攻击,攻击者会利用恶意软件访问受害者的电脑(通常会利用软件漏洞或诱骗受害者下载文件等),其后安装具有破坏性的可执行文件实施攻击。但是这种方法的问题在于容易被反病毒解决方案检测,这也意味着如果不安装恶意可执行文件,攻击者可轻易绕过这些安全解决方案,只需劫持其它合法的系统工具和受信任的应用程序从事非法活动(比如下载和运行远程脚本文件),而实施攻击的恶意代码往往不在磁盘中落地,即是“无文件攻击”。
值得注意的一点是,“无文件攻击”并非不会涉及文件,而是文件不在磁盘中落地,或恶意代码只存在于内存中,或以内存代码片段方式存在。比如利用Powershell下载执行远程脚本文件,脚本文件是不会在磁盘落地的。还有些“无文件”技术是利用存在缺陷的系统或应用程序,并将代码植入系统,从而获得控制权,而不会被察觉。
理解了“无文件攻击”的原理后,我们不难发现传统的防护策略下,“无文件攻击”由于不具备恶意可执行文件所以很容易发生漏扫、漏报的情况,而对于内存安全而言,恶意程序仍然需要CPU执行代码实施破坏行为,所以在检测“无文件攻击”这一领域,内存安全具备天然优势。
当然,内存安全的概念并非首创,在国外也有同期公司推出“内存防火墙”之类的产品,安芯网盾目前的技术理念是基于硬件虚拟化进行实时的程序行为监控和内存操作监控,从而实现实时检测攻击、保护核心业务不被阻断以及防止核心数据资产不被窃取。
“安芯神甲智能内存保护系统”
该产品基于Agent架构,启动相关服务和脚本即可运行,而且在运行时CPU占用率不超过5%,内存占用不超过100M。
从技术人到创业者
再次拉开创业的大旗,对于姚纪卫来说,他的身份也在创业中发生着转变,这其中最大的变化是从“沉默”到“发言”。
在PCHunter创作、更新的10余年中,姚纪卫的名字并没有被记住,人们只能从他的三两好友或者PCHunter的用户口中听到“Linxer”的名号。
安芯网盾的业务上线后,市场部经常就接受采访的事情与他“斡旋“,相比起抛头露面他还是习惯一个人在深夜敲代码。
再次创业的一年多时间里,他印象最深的有两件事,一个是自己带领的团队帮助客户解决了其他公司的技术大牛都解决不了的问题;另外一个是总在周末碰到主动在公司钻研代码的同事,觉得是同类。
他讲话的语速非常快,并且不太习惯在陌生的场合接触陌生的人。但是从幕后走向台前的身份转变也并没有给他带来太多的困扰,就比如采访,他觉得让更多人认识自己就能找到更多志同道合的人,这样一来可以帮助解决招聘难的问题。
8月份的XCon技术峰会上,笔者再次见到他,开玩笑说,按照他的语速想要达成主办方50分钟的演讲要求要多准备一倍的稿子,他说为此准备了50多页的PPT。
笔者在台下听他滔滔不绝的分享了近一小时的技术经验,尽管其中大半的技术点都似懂非懂,但是隐约觉得印象中那一代技术人所秉持的自由、平等、交流的技术基底历经时间仍在照进现实。
左图2007年XCon峰会,右图2020年XCon姚纪卫正在演讲
如若转载,请注明原文地址