)
本文是一篇安全技术顾问的手记,并没有发表过,文中所谈到的是整个黑客、红客及安全技术联盟存在的问题,因为小榕在这当中的特殊地位,所以本文以小榕为一个评论点。然而,作者真正想让读者关心的是在文中谈及事件所说明的问题,而不是要激起读者对小榕个人的不满,所以本文绝对不是对小榕个人攻击的文章,而是一篇希望激起大家对中国网络安全深思的文章!
Internet从它在中国出现的那一刻算起到今天已有十几年的历史了,在这期间,IT产业从萌发到飞速发展再到今天一片萧条几乎破产,可谓饱经风霜了。而在网络世界里的另一批人也可谓几经变革,他们的名字叫做“黑客”。这个名字最早丝毫没有贬义的意思,它是指那些对网络有相当了解的计算机技术人才,他们可以在必要的时候从别人的系统中得到自己想要的东西,这与今天的恶意攻击者完全不同,可是在中国也不知道是怎么的渐渐的黑客就与恶意攻击者画了等号。
言归正传,无论是夕日的“绿色兵团”还是今天的“红客联盟”。一说到小榕的名字,可谓无人不知,无人不晓。小榕无疑已经成为中国黑客或是红客界的代表人物之一。几年来,小榕也算是得到了不少的鲜花和掌声。支持者之多只要看看小榕的个人网站的浏览量就知道了。可是,有谁真正静下心来,仔细想过小榕都做了些什么呢?他做的事真的如红客们说的那样是一起在为中国的网络安全而努力吗?也许你想过,也许你没有,但是无论怎样,请先听听我个人的一点愚见。小榕等一类人,他们在现实中在做什么,我并不了解,可能也是安全顾问之类。然而,他们在网络上在做什么,我是看见的。如果小榕他们真的是在为网络安全而努力,那么他的个人网站就应该是一个有利于培养网络安全工程师的网站,只有当中国有更多的网络安全工程师的时候,中国的网络才可以谈安全,而不是更多的黑客。
那么作为一个真正的安全技术网站应该做到什么呢?来看看专业的安全人士是怎么说的:
①、 网站上必须有网络安全教程的下载及一些发现被攻击时的具体解决方案;
②、 详细介绍防火墙的原理及实现;
③、 给出安全软件的编写策略及原码(可以是部分);
④、 即使给出一些攻击性软件,也应该指出是用于安全漏洞测试的,最重要的是应该同时具体的攻击原理,最好同时有防卫方案及防卫原理介绍,而且对防卫软件的介绍应该更加的具体。
以上四点才是一个网络安全网站应该做的。但是,小榕的个人网站做到了多少呢?人们在他的网站上看见的是大量最新最好的攻击性软件及使用方法介绍供人下载,并且指出是菜鸟一看就懂,立刻上手,但是却丝毫不给出防御的措施,就算不给,给出攻击原理也好啊,至少敏感的网络安全人士会立刻给出解决方案,这样可以缩短安全软件的开发周期。但是这也极少看见,或是无关痛痒的略点一二。根本是对网络安全不负责任。唯一看上去好象算负责的就是那句“劝告大家不要用本网站提供的软件攻击他人”,但是这样的话有什么用呢?有时反而更容易激起人们的兴趣。至于提供安全教程下载要么根本没有要么就是名字这样叫内容还是攻击教程,这一点我不说,网民应该可以感觉到的。当然有时到是可以看见安全防卫软件的下载,也是十分陈旧的。就好象武器店卖的是雪亮崭新的矛却卖锈迹斑斑的盾。
这样造成的后果是什么呢?“盾”老化了的已经不能用了,安于防守,必然一败涂地,结果是所有的人一涌而上,打着“维护中国网络安全”的大旗,在网络上展开拼杀,并自称是变被动为主动,以攻击代替防守,而自己的防御系统没有什么改进,一旦中拳也是很痛的,这就象小孩子打架,结果使得网络上一旦展开黑客大战往往两败俱伤,谁赢只是看谁先攻击罢了,可悲,可叹啊!但是作为网络工程师希望造成的不是这样的氛围。我们希望网络上到处都是身着铠甲,一手持盾,一手拿矛的甲士。在受攻击时可以做到足够的防卫,并给对方警告,在对方顽固不化时,才用矛给予教训,而在任何情况下不主动攻击他人,这才是仁者之风,才是网络应有的气氛,要有这样的气氛,网络可供下载的应该是最好的盾和必要的矛,不是现在这样的。
现在再来看看所谓的网络安全论坛,有很多人认为这样的形式很好,大家可以交流经验,但是就靠这个是远远不够的,诚然现在的安全论坛分类详细,条目繁多,但是它的缺点也是很多的。这里说最大的三点:
首先,论坛即使提到安全问题,也是零零星星的,很难系统化,自然对安全意识的推广十分不利,而且问题提出了,回答也是少有着边际的,即使很有水平的人,回答的正确的也只是告诉你去装什么软件,少有谈及理论之人,也许是自己用来吃饭的技术不便传人吧;
其次,论坛上灌水之人众多,真正懂技术的人太少了,很多人只是在某某电脑杂志上看见有关黑客的文章就上传,甚至随便抓一篇就是,可能是连自己也看不懂的文章。上传只是为了多骗些经验值,让更多的菜鸟崇拜自己,这样的文章往往没有什么价值,反而浪费很多人的时间去看;
再次,就是网管自己管理不到位,很多过期的毫无价值的东西,可以删的就删了它,这样以避免长期积累一个论坛多达数十上百页,新来的人不知道看什么。
当然这样还有一个问题,什么是没有价值的东西?这一点很多网管往往误解我们的意思,他们会认为在网上放了半年或是一年的东西,很多人看过了,就没有价值了,就可以删了,这样往往造成想“CEO是什么?”,“ISDN是什么?”,“ADSL是什么?”等等这些对初学者是永远有用的,而且是新手们特别想问的问题,而要新手们每次都问一边这样的问题无疑那些自以为是老鸟的人又会笑他们无知,这样使得新手的入门变的比提高更难,所以对于这样的问题就应该一直在网络上。
上面说的种种问题,归一下就是象小榕这样有关安全技术的网站,应该提供的知识(网络安全知识)没有提供,甚至是提供了相反的知识(黑客攻击知识)。已经提供的服务(安全技术论坛)又办的十分糟糕。结果使人们想在网络上找到有关网络安全的知识来保护自己变的很困难,往往最多是在受攻击后在求救,还不一定有救。而这样的网络提供的服务却使那些对网络略知一二的人很容易找到攻击别人的方法,软件及实例。可谓全套服务。这样就培养了一大批恶意的攻击者,给网络增加了危险,给国家带来了损失。同样的问题不只在小榕网站,红客联盟中国网络安全技术联盟也一样。有时甚至提供攻击教程的下载。根本就成为一个培养黑客的网站。
这些网站,他们都有共同的标语“为中国的网络安全而努力”,他们都说:“为了中国的主权,向老美发起攻击。”他们都以为自己是一颗红心向着党,是爱国的。但是他们是否想过,他们在网络上教人的方式是否有错呢?他们教出的都是什么样的人?他们的行为是给中国带来了福音还是灾难?
我想所有有志于中国网络安全的人们是不是都应该好好想想,“小榕”,是英雄还是败类?是救世主还是罪人?小榕及整个网络安全界的人们是不是应该又所作为呢? |
