关于 「中国黑客传说:游走在黑暗中的精灵」

2013-03-26 09:52:43 +08:00
 summic
俗话说不怕贼偷就怕贼惦记。

看了道哥这篇文章,觉得不全是小说,因为我曾做过类似的事情,盯了一个网站近一年,拿到了所有权限。

总有种感觉,我们的一切密码都是不可靠的,只是没人盯上你而已

原文: http://taosay.net/?p=189
16469 次点击
所在节点    信息安全
76 条回复
sinxccc
2013-03-27 23:20:21 +08:00
@test591 多谢科普!我稍微懂点技术,只是不了解 Web。然后从绿色兵团吵架散伙之后就没继续关心过网络安全这个圈子,确实是完全不了解现在的人和事…

如果没有这个蹩脚的题图,我对这篇文章的信任度也许会更高一点,毕竟从技术上是可能的,只是需要当事人有相当的精力、时间还有金钱。

当一个文章所基于的证据让人发现漏洞而被打上“存疑”标签的时候,它所想要表达的初衷、立场和想要透出的意义都是无力的,因为完全没有说服力。之前有位社会 hacker 说过一段“靠谎言去打击敌人”的话,不知道听说过没有。
你会信任一个存在着已知漏洞不去 patch 的网站提供的其他服务么?
anonop
2013-03-28 11:49:41 +08:00
@sinxccc 请见下面文章作者最新回应:
axis 三 28, 2013 上午 10:55
当内心已经认定是假的时候,就会不断的去找证据来支持内心的观点,这就是认知的障碍,并非客观。原来那条线是本初子午线,感谢提醒,不过这正说明了本图的真实性,作假的话不会这么明显。

V提供的图背景是copy来的,被找到了出处而已。哪天V公布渲染的源代码和付费API,一切就清楚了。80w的库而已。不过有那必要吗?在这些事情上浪费时间真是无聊,和方舟子质疑韩寒没有区别。
wuma
2013-03-28 12:07:25 +08:00
积累数据很容易,我曾经积累了几年(06年之前)的许多个北京技术行业峰会参与者的信息。
Feng的手机号我就有。
本人不是任何意义上的黑客,得到数据的途径也很简单,某猎头公司不知道从哪儿买来的数据,然后内网外网并用一个系统,不小心露出来了。
一些数据有心收集的话很容易。
test591
2013-03-28 12:08:54 +08:00
binux
2013-03-28 12:43:20 +08:00
@anonop 哇,copy背景把别人的点也copy进去。那还画个屁啊!

此文毫无疑问是可行的,但不一定是可信的,就像v2ex充满想象力的MD5一样。
至于有多少可信度,就算是99.999%安全的系统,被无数人盯10年也保证不了安全。
风险总是无处不在的,只要让破解的成本高于收益就好了。
reverland
2013-03-28 12:45:38 +08:00
感觉是炒作啊= =
在这个不断变化的世界中怎么能维护数据库的实时性和有效性啊……
积累数据比较容易,一时玩得开心……过一段就忘了……再过一段发现用不了了……
Sunya
2013-03-28 13:19:00 +08:00
相信奇迹, 至少我会信文中的一些内容.
test591
2013-03-28 16:10:55 +08:00
摘自知乎 http://www.zhihu.com/question/20888507#

云舒,阿里巴巴集团高级安全专家
26 票,来自 尹益恩、韦东锏、钢盅郭子 更多
末日入侵不知道是什么,没看过那个电影。我来回答一下第一个问题。其实回答这个问题很简单,“我奶奶一直不相信人能登上月球,甚至不相信飞机能飞。”搞定。但是我还是想借题发挥写多点。

首先,对于看起来很拽但是自己又不了解的东西,有的人会相信然后盲目崇 拜,有的人则是完全拒绝嗤之以鼻。没有对错之分,我想说的是对自己不懂的东西不要随便做出判断。如同我们不了解娱乐圈的内幕,在外界随意揣测只是徒惹懂行 的人耻笑而已。在懂的人看来,这些看起来科幻甚至像玄幻的外皮下,背后里只不过是一行一行的代码,一个一个寂寞的夜晚。由0和1构成的世界,没有魔法,没有侥幸,有的只是天才和汗水。

其次,收集到上亿条的数据难不难?搞定京东能有多少数据?当当呢?淘宝呢?腾讯呢?铁道部呢?政府社保网呢?世纪佳缘呢?这些大企业真的那么难入侵吗?一个企业上千上万的员工,不说社工,你直接去泡一个客服MM都行啊。举个简单的例子,我随便挑一个下午去滨江阿里巴巴园区的星巴克坐着,就能黑掉网易信不信?我想不懂安全的人会不信,觉得我吹NB。懂的人会知道,“擦,这么没技术含量的事情你也做。不就因为网易办公楼在阿里巴巴旁边,然后你去搭建一个伪造的AP引网易的人登录,然后偷密码植入密码么?”对,就这么简单。阿里巴巴能否被入侵?肯定能,只是时间问题,3个月?半年?1年?不怕贼偷,就怕贼惦记。

最后,对于个人来说,不用惊慌。好好用正版软件,不乱逛不健康的内容,装一个杀毒软件,有升级就升级,没事的。至于那些大网站被拖库,不是普通人能控制。但是,我们每一个安全从业人员,都在努力。
sinxccc
2013-03-29 08:17:07 +08:00
@anonop 首先他承认了这些点是跟背景一起 copy 来的(所以存在一样的细节),然后他又在这个基础上画上了自己的点。至于画了多少点呢,他自己说是 80 万(maps API 的 limits 是 80 万)。且不说这种行为是否合适,原图上的点也就 80 万,两个图对比怎么都不像多了一倍的样子。

除了作者玄之又玄的文字之外,这幅图就是 V 的唯一证据了。不过这也是无聊且没必要的,因为我也就是个小聪明又无知还有认知障碍的圈外人而已。

Fin.
taogogo
2013-03-29 10:16:18 +08:00
想搞不难,我也是做安全的,这个说的有些夸张,照这么说,一个小偷也能神出鬼没,不也是很神奇么?以前发过一个收集黑客技术的一个小站的帖子,有兴趣的可以看看
taogogo
2013-03-29 10:42:25 +08:00
丢个骇客的分析链接: http://www.hackdig.com/?03/hack-2497.htm
anonop
2013-03-29 15:38:32 +08:00
V的解释有点避重就轻吧,V的解释起码证实了他的图背景是来自维基maping,从两张图相似来看,V使用的源代码和API可能是维基maping使用的(tracemedia.co.uk),而V的80W数据是叠加在上面的,所以大海里有点,我的疑问是:

1,维基maping可以自己生成图(大家可以去试试),它的限制是最多80万个数据,V这个说对了,大家也可以去题图的左上角看到这个限制;问题是,最多只能有80W数据,V的IP就有80W了,那维基数据点在图上有多少了?从两张图相似来看,维基数据点占的比例不小,那我就不明白V用这张图想说明什么问题?大家分不出来哪些是他的,哪些是维基的?

2,有人说了,他可能是直接在已有的维基图上叠加的,我在想V为什么要用这张和IP根本不相关的维基图作为背景来叠加?V这么强大,厉害,为什么不在一张空白的地图上显示他的数据?我想手头有80万数据,画在一张空白地图上,现在应该不是件难事吧?
再看看博主提到的internetcensus2012.bitbucket.org 项目有类似的图,这项目的图和V的图有两个明显差异:
a,这项目的图大海里非常干净,点很少
b,大家可以观察新闻/旅游热点地区,比如古巴,西非,苏丹,马达加斯加岛,阿富汗,朝鲜。这些地方的维基条目很多,但是在线的机器和IP是相对较少的。这些两张图里对比很明显。我觉得这项目的图是合乎网络现状的,而V的图是合乎维基的

很明显这项目图是用自己真实的数据在一张空白地图上画出来的,是符合网络现状的。
mozutaba
2013-03-29 22:15:39 +08:00
@est est,我似乎记起了什么。难道转行了?
glume
2013-03-29 23:16:26 +08:00
办公室环境有一句俗语:明白的人不说,不明白的人到处乱说。但出于希望了解高端黑的心理,还是愿意听到一些示例来明白到底能黑到哪个地步。用社会工程学+技术能做到哪一步。传说中进出NORAD如自家后院,操作隐藏卫星如自家服务器?
iambeginner
2013-04-06 22:36:41 +08:00
军用领先民用20年

93年时还没想过手机只有一个按键吧
一样的 若非亲历 今日也难想象出明日科技


@mozutaba
记得在遥远的yo2.cn时代 est就是圈内人吧
Neoth
2021-02-04 08:53:01 +08:00
2013 年比较轰动的一片「伪纪实文学」《中国黑客传说:游走在黑暗中的精灵》

本文看似黑客无所不能,其实,真正影射的是这个「网络 /数字时代」,Big Tech 网络 /数字极权 /霸权的「制度化」崛起的充分&必然。
现在拿来回顾一下,对人类文明走向深度反思~没有障碍。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/64047

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX