SWAN访谈
==Ph4nt0m Security Team==
Issue 0x02, Phile #0x02 of 0x0A
|=—————————————————————————=|
|=——————————=[ SWAN访谈 ]=——————————-=|
|=—————————————————————————=|
|=—————————————————————————=|
|=—————–=[ By Ph4nt0m & Swan ]=—————-=|
|=—————————————————————————=|
笔者:回答问题前你有什么话么?
SWAN:还是坚持扯淡路线。清楚了这个前提后希望不要对我产生“你算那根葱”的感觉,说实话小的还算不上一根葱。
笔者:请问您心目中的黑客是什么样的?
SWAN:挖洞能力像flashsky、bkbll,代码能力如sunx,为人厚道似xundi,再加上低调得像散布在成都、北京、广州等地的牛人,还要同darkmage和icbm一样帅。如果再要加一条,希望写小说的功力像lcx一样。
这只是神。形上面的话,要一身超人服装在黑暗中用德沃夏柯的键盘布局使劲砸dir/w/s/a并伴随雪花般飘然下落的烟灰和头皮屑还不时在脸上切换忧郁兴奋与惆怅等各种表情模式而且居然是个女的。
笔者:请问您认为中国安全历史发展中有哪些里程碑的事件?
SWAN:仅说江湖事情吧。
排第一的恐怕还是01年攻击美国那事吧,虽然事情本身争议颇多的,但看口水仗就知道这件事情的影响了。
其他还有什么能算历程碑呢?不清楚了。注入的广泛使用?黑客产业链?这些做了没有人说。
响应xx号召?帮助xx建立x客联盟?这些说了没有人做。感觉都欠点什么。
笔者:请问您对国外普遍制造中国黑客威胁论有何看法?
SWAN:纯个人看法的话,我觉得有些事情别人未必没做,五十步笑百步吧。或者从另外的角度来看,那些做得说不得的事情,单独看没什么,如果闹到邻居给儿子买耳塞,恐怕也稍微过分了点。
笔者:请问您认为在未来10年内安全技术会有什么样的发展或变化?
SWAN:不知道。我估计也没有人拍着胸口说知道。类似问题巴菲特问过盖茨,盖茨说不清楚,我们这些跟着盖茨的估计也够呛。
笔者:请问您认为目前最热门的安全技术是什么?
SWAN:各种围绕挂马的技术吧,来钱的东西总是很热的。本来卖漏洞也挺来钱的,不过门槛太高,热不起来。
笔者:请问您对windows vista、 server 2008出现后对安全发展的影响有什么看法?
SWAN:不能老说不知道,就大胆猜测下吧。大概大家的重心会到第三方软件上去,寻找系统漏洞的人会进一步减少,系统远程漏洞逐渐绝迹,安全公司开始新一轮洗牌,黑客产业链萎缩……嗯,我是比较悲观的,也可能不是这样。
笔者:您对脚本小子(script kids)有什么建议?
SWAN:开心就好:)
笔者:请您对未来的漏洞挖掘技术发展做一个简单的预测。
SWAN:先说说这个问题本身吧,这个问题太为难我了,很多人比我更有资格回答这个问题。我只是斗胆胡说几句。
未来很难说。我一直觉得并发问题是未来漏洞的趋势,不过这要看各种系统和软件怎么发展了。并发的理论成果就不多,如果以后软件厂商跟据CPU多核发展趋势匆忙上马,估计会给职业找碴的人员一些机会。
除了并发那块,如果单独从测试角度来看,可以被利用的bug才能叫漏洞。但“可以被利用”这个定义就太宽泛了,很多逻辑问题暂时还搞不清楚能不能被利用,除非有一天拍脑瓜发现条路子。检查代码的时候,“觉得不太对”这种情况经常发生,我猜测以后会是一群人发现了很多“不太对”,但是弄出可利用法子的也就一两个。所以估计未来没有什么具体的技术,还是靠拼想象力和敏感度。
还有我是不太相信自动化挖掘。第一是很多人说但是这么多年没见到做。第二是看起来fuzzing比较火,但你能fuzzing到的别人大概也差不多,等简单东西差不多都弄完了后,还是要拼看代码的。
笔者:请问您对黑客产业链有什么看法?
SWAN:完全不熟悉,听说产值挺高的,不知道统计GDP的时候有没有把这些算进去。
笔者:请问您对信息安全专业的大学生们有什么建议?
SWAN:没有建议。因为我了解的学校都没有这个专业。如果这个问题的意思是对准备从事安全相关的朋友们说一句,我想发自肺腑地吼一句,别自讨苦吃了,还是去考公务员吧。
笔者:请问您对幻影目前的发展有什么建议?
SWAN:低调是最牛B的炫耀方式,所以,加油吧~
-EOF-
