f1ower's Blog

邪法面前,我亦无畏

方小顿的演讲记录

微信的一个漏洞 —— 一个黑客的思路不一样。

比如抢红包的时候:

常规思路:是多加几个群抢红包(多抢一些)

黑客思路:能不能抢别人的红包(抢起来省事)

就算能抢到多的红包,黑客的思路都不太一样:

常规思路:我写个程序往电脑上一挂,等着日薪百万(比炒股好得多)

黑客思路:把漏洞报告上去(SRC/漏洞平台),要求他们修改(要求加强安全方面)

这个问题带来的反响是:

程序员:原来一个红包程序也会带来这么大的危害,我下次要注意啊。

普通人:我的红包是不是被别人给抢了,我上次两个红包没有抢到。

黑客:原来我还可以在这样的地方进行这样的尝试,那下次我可以在这些地方多多思考,我能发现更多的问题。

你是选择一天一百万的收益,还是选择把问题报告给厂商?

这是你的选择,你选前者是为自己,没有错。你选后者是为国家,没有错。

这些系统都不是完美的,安全的系统。所以我们需要去做到更完美。

可能我们做安全的,还不如卖水果呢。

中国网民不断的在增多,从原始的互联网,到现在的移动互联网,我们不停的在做着改变。

现在的我们除了睡觉,不对,现在睡觉的话,你都带着个手环,你的数据还在不停的向上传。

现在的发展趋势是:一个人的生活,现在是越来越被虚拟化所代替了,每天早上起床,打开手机,微信找你,开始了微信的聊天,也开始了你一天的生活,支付宝(/微信)买个东西什么的,你的数据全部在这些公司里面,哪怕你手机里面随便装个什么应用,它都一定会问你要你的通讯录啊,要你的很多一些,比如位置信息啊,它全拿过去,也就是说你这个人,将来,你不再是你自己了,你是被碎片化的,你被存储在各个企业的云里面,我们是做安全的,我们会比大家优先的感知到这一切,你存就存吧,但是是怎么被储存的呢?


我把我奉献给你你,但是你一点都不重视我。

我们想用技术,自己的努力,让中国的互联网坏境做的更好,我们研究技术。

安全这个东西,本质是不可见的。大家(用户)不知道安不安全。对于企业来说的话 ,他的商业模式里面,本质上是希望大家,不要注意到安全这个字眼的。(比如:大家炒股,谁都会告诉你,这里面风险很大,但希望你进去的时候,它一定会把这个风险给你抹掉;说吸烟有害健康,但是那个字一定印的很小,从来不会对你讲,这就是一样的)厂商们希望你每天用他们的手机APPs,用他们的云,他希望你把你所有的数据全部贡献给它,它恨不得开一个银行,让你把钱全部放在里面,它就希望它能占据你的生活。它的商业模式,是全部都免费的,那他的商业模式一定是,最后从这些数据里面去赚钱。

你对厂商是没有任何约束的,它却完全的拥有你的这些数据。

企业不重视安全的根本原因在于:用户根本不重视自己的安全,但是用户是没有办法去重视安全的,用户不会像大家一样去思考。更多的用户是没有办法关注安全的,媒体天天给用户推娱乐消息,推中美黑客大战,愿意推这样的东西,但是他从来不会告诉你说:今天你上网可能会面临什么样的风险,有哪些东西已经利用了这些东西,可能会造成什么样的危害,它从来不会给你推这样的东西,它永远推能够抓住眼球/抓流量的东西给你。

因为用户不关注安全,所以企业也不关注安全。

企业不关注安全,那么整个行业里面的人生存的都是很苦的,也就是说黑客是弱势群体。

我们要让安全可见化,透明化,任何人想去了解一个企业,它的安全做的好不好,都是有个地方可以追溯的,就是把一个信息,有一个封闭的信息,变成一个公开透明的了。

我们希望帮助企业把安全都提高,提高网络的秩序化。

如果你希望别人怎么做,首先你要坚持自己这么做,而且要坚持足够长的时间。

破坏性的思维去建设东西,这是白帽子需要有的素质,黑帽子是破坏性的思维。

破坏性思维是在学校里面教不出来的,学校不会教你去破坏。如果我们不了解破坏性的思维的话,我们无法把互联网做的更好。