好的安全工具就該藏著?

每次總喜歡在個人資料里這樣填寫來介紹自己:Fooying,Security Researcher And Developer,安全研究人員與開發者,包含我的微博、知乎、微信等等,即使是在公司企業郵箱的簽名里,我寫的也不是自己的公司職位,也同樣是這個。

為什麼會鍾情於或者說糾結於這樣一個介紹呢?因為一直以來,我對自己的定位就是安全研究人員與安全開發人員,對於我來說,除了安全研究這個標籤是必須外,安全開發也是我的一個必須標籤。我一直認為,作為一個安全人員,如果不會開發,會是短板,安全研究能力最終會到頭;好的安全研究人員,應該是除了安全研究能力外,必須掌握一門編程語言,如果更好的情況下,能熟悉多門的編程語言就更好了。我覺得這其實很容易理解,就比如學 Web 安全,你想學 XSS,可能不用會編寫 JS,你可能覺得也會 XSS,但你會發現,你沒法深入,沒法深入到最根本的原理!

其實,除了研發本身也有幫助於安全研究外,對於我來說,研發的另外一方面的意義在於實現安全自動化。可能有些人會覺得沒有必要,現在網上那麼多好用的工具,你自己開發幹嘛?但我想問,你認為那些工具是哪裡來的呢?而且,對於大部分搞安全的同學來說,擁有一款自己編寫的工具是一件多麼有成就感的事!

從08年開始接觸安全,我發現,這麼多年下來,除了安全研究外,自己對於安全自動化一直是有一個情結在。前幾年,有各種安全論壇、網站,當然也有各種安全小組,那時候應該說是基本圈內人,隨便一問都有自己的什麼小組,各種QQ群、論壇在技術交流、分享的氛圍真心不錯;然而,即使在那會我覺得氛圍不錯的時候,大部分的安全小組也是專註於安全攻防、滲透,少有專註於安全自動化的小組。我記得我當時就嘗試過組安全自動化小組,當時還成立了一個"赤魂"的小組和論壇(rsoul.org),就希望是一個專註於安全自動化的小組,包括說早期在 honker.net(不是原來的紅盟) 當管理與核心的時候,即使身為核心和管理,我還是堅持搞了一個軟體小組,自己也開發了一些"紅盟"系列工具;包括前兩年,自己也希望能組一個專註於安全自動化的叫做"神兵"的小組(神兵(ShenBing) · GitHub),不過最終夭折的夭折,解散的解散,也沒有什麼重要的產出,這個情結也一直持續至今!

12年進入知道創宇,除了安全研究,我曾經很長時間工作是研發為多,包括開發惡意網站檢測引擎、開發漏掃、搭建維護相關檢測集群等。從15年中旬開始負責 Seebug 及漏洞社區相關事務開始,我覺得我自己做了兩件我自己認為充滿驕傲和欣慰的事,一件是重構及開源 Pocsuite,一件是負責和正在推進的『兵器譜』。

Pocsuite 就不多說了,我不知道多少人真正的去用過它,反正在我看來,雖然就目前來說,Pocsuite 發布到2.0.2版本,有些地方不盡人意,包括一些代碼質量等,但是它真的挺好用的,假如你沒用過,你就沒有資格去評價它!至於兵器譜,這是參考 BlackHat 的 Arsenal 環節,然後進行本土化,我們的出發目的是希望給黑客和安全研究者提供展示自己成果的機會,因為我相信,KCon 在國內的安全圈應該是具有一定的影響力,另外,國內的安全工具不比國外差,甚至是更好

說實在的,國內的環境挺奇葩的,任何東西,不管好壞,只要是同行業其他人做的,就會有一大堆人抵制使用或者去噴的,而從來不會從東西本身的實用、功能去考慮。上周讓朋友在某雲的 Zone 的安全工具欄目發了兵器譜招募的帖子,結果看到的回復是清一色的帶有其他意思的回復,認為說是為了抄襲、為了其他等等。當時看了那些回復之後心裡感觸挺多的,也寫了一長段話進行了回復,沒有那種不爽的心情,而是在心平氣和的情況下回復了,那是一種有點感傷,感覺不知道自己追求為什麼,突然有點失望的感覺!

國內環境還有一個奇葩的點就是,國外的永遠是好的。在各大安全論壇、安全門戶網站上,你會發現,一些比較爛的不一定如描述那麼好的國外工具被各種推薦(當然很多確實好用),然後除非是作者主動去發文章,否則你很少會看到這些網站去推薦國產的這些安全工具的。其實,國內很多人開發的很多安全工具,真心不錯!

好的安全工具是否應該藏著?不!

一直以來,創宇在我看來有一個挺好的地方,那就是足夠開放,它是一個商業公司,也許確實很多涉及商業利益的東西會藏著掖著(因為整個行業都這樣),但是,也有很多時候,它會選擇開放,就我看到的國內這麼多乙方安全公司來說,我覺得在開放方面,創宇真心是做的不錯,而且走在前頭的(其實在國內這樣一個環境里,對於一個商業公司,這是完全沒必要的。估計好多人要說,你們是有目的的),這也是我因為公司而驕傲的一個地方!(最近我們團隊又開放了一個ceye.io

之前去 Blackhat Asia 參加 Arsenal,給我最大的感觸是,在國外,人家在介紹相關東西的時候,是就怕你不理解,巴不得把最根本的原理告訴你,而在國內,基本是藏著掖著。在國內,往往發展的好的安全工具一般是商業工具或者有公司性質在裡面的,不然就很難發展;基本在國內就沒法搞開源,因為也形不成開發社區,一開源基本就等著被競爭對手直接拷貝去用,回頭又是扯皮,所以開源也是件很大勇氣的事!有時候我也推薦不開源,而是採用自由軟體的形式進行開放,在不開源的前提下把東西放出去給大家用!開源是一種開放模式,而自由軟體,也是一種開放模式,如果你覺得開源不放心的情況下,可以採用這種模式!

因為自己一直糾結於安全自動化,所以也認識了一些志同道合的人。其實在國內,包括說蟻逅開發的"蟻劍"以及之前的"ant",在我看來都是不錯的工具;還有K8,開發的一系列安全工具;還有 wolf,開發的一些專註於一些小點的工具,在我看來都是不錯的...不止是他們,其實國內有很多人在進行安全自動化的工作,然後他們也願意把自己做的東西開放出來,大部分是開源的,其他即使沒有開源,也會是一款免費的自由軟體!對於他們來說,他們不求什麼,只是把自己的想法付諸實踐,然後給更多的人分享自己的成果,僅此而已!他們在做的只有一件事,實現想法,開放成果!

我真的很希望"兵器譜"會是一個契機(提到兵器譜估計又有一大堆人說是廣告,要開始開噴了),希望能藉此多多少少的推動國內安全自動化的發展,推動更多安全工具的開放!開源在中國這個特殊的環境有點困難,但我們可以選擇不開源的前提下開放,希望能有更多的安全團隊、個人加入到這個行列!

我不知道做這一些是否有啥用處?是否是白用功?我僅僅希望盡自己一份力!好的安全工具不應該藏著,如果你有顧慮,就不要開源,但是歡迎更多的安全工具開放出來!

題圖來自 KCon 兵器譜海報,一個俠客持神兵立於此!另外,個人也喜歡中國風。

-------------------------------

優主張

關注信息安全,產品運營以及各種好玩的東西;分享一些個人的體驗與心得,一些想法,一些安全的科普。

推薦閱讀:

你有學習的態度?黑客很近很近!
github上開源掃描器集合
破冰!懸鏡安全95後小夥伴在貴陽網路安全攻防演練中斬獲佳績!
如何對有雙因子認證站點進行釣魚攻擊?

TAG:网络安全 | 信息安全 |