技术自信

转自：白帽汇赵武 赵武的自留地

        2008年我在bugtraq上发布了pangolin，当时用了一个创新的技术，可以做 oracle 的快速数据获取，这一点引发了很多讨论。因为默认是英文界面，国内的很多技术人员都以为是国外作者开发的，所以当大家发现那个技术是走到中国的服务器的时候，老外们就不淡定了，一口咬定pangolin是后门，当时liudieyu和cocoruder也参与了讨论。你知道，很多领先的技术如果是中国人开发的，大概率会引发口水，国外会质疑不说，连国内都会怀疑。

       原本这种事情不会再拿出来讨论，但是发生了一件事情。我们最近发布了一个免费的工具叫fapro嘛，在twitter上讨论的比国内要多得多。有一天我们的同事在reddit上面发了个帖子，然后有趣的事情再次发生了，一个老外（应该是印度的）过来质疑说这是来自中国的木马。

        十几年前我是极其愤慨的，今天我倒并不感到气愤，相反还有点得意。我不再需要根据别人的评价来了解我们的输出，做没做出成绩，我们心里一清二楚，先不管外界是否喜欢，我们的输出能否做出创新，能否完成攻坚和突破，我们自己都心知肚明。后来那篇帖子被删除了，我们身正不怕影子斜，但是楼被带歪后就失控了。事实上当时也有很多人在问源代码的事情，问我们为什么不开源。

       我们很清楚大家为什么会找过来，因为很多技术是我们独一份解决了的：单文件跨平台多协议深入模拟，RDP，SMB，DCERPC，工控等等。每一个点似乎都有一些开源的实现，但是无论是从深入度还是用户体验，我们都还是很有信心的。我们首先要做最好的协议模拟器（最全的协议，和尽可能深入的协议业务交互）；然后我们可以做非常多的模块和工具出来，包括全网的情报分析输出。我们希望他是一个乐高的积木块，然后可以做任意多个模型。

       即便只是一个小模块，我们得到的认可也是还不错的，比如github上很快star过了500，一个不开源的系统有这个成绩我觉得也还行。另外twitter上很多技术人员自主自发地在发布相关内容，这远比FOFA本身在国外的热度好多了。

       我们短时间没并没有想过开源，原因主要还是一个，暂时不想让一堆的商人用来卖钱。但是，我们基于fapro做平台的方法和思路以及一些脚本，我们都是会开源出来的。比如我们在想，既然已经做了这些协议模拟，能不能把全网做网络空间测绘的平台做个分析，能不能把扫描器做个分析，能不能把爆破的蠕虫的被控点做个分析。先做元数据采集，再做标签数据的提取，最后做业务数据的情报。

       于是我们顺带手的又做了一个互联网的搜索平台，也就是http://faweb.fofa.so，我们在全球几十个国家部署了服务器，然后用fapro作为底层模拟器，把元数据存储下来做情报分析，目前平台已经上线，界面非常简单，满足我们的一贯作风。

       这里面我们能够看到每天有哪些是在做全网扫描的，有哪些是扫一个端口，哪些是扫描大量端口，哪些是做深度协议识别了的，哪些是在做爆破。这么说可能还不是很清楚，那我简单的说我们可以每天监控到shodan，censys，zoomeye，quake等平台的动作，哪些技术是真实的，哪些技术是吹牛的，就一目了然。比如如下几张图，大家能区分出来分别是哪个平台的吗？

       为了避免口水，我把国内公司的IP打个码，当然元数据都在那，大家可以自己判断确定。

我们把整个搭建过程都写成了文档发布在：https://nosec.org/home/detail/4890.html 同时把所有对应的脚本都开源在了github：https://github.com/fofapro/fapro 大家可以很快的搭建属于自己的分析平台。我们的故事会分成几个部分来完成，元数据的采集部分已经完成了，数据分析引擎的部分正在编写，也会进行公开。今天仅仅是一个开始，我们希望在网络空间测绘领域挖掘出更有意思的情报。

       写到这，我又想起了很多事，有一次跟一个朋友讨论出海的事情，因为最近国外写FOFA的文章多了起来，用Goby的也多了起来，朋友说要先打中小市场，我打断了她，我问你是觉得我们的技术不好吗？她稍微愣了一下，说没有啊。我说那为什么我们不是先进世界500强呢？是政策问题还是品牌问题，亦或是技术不自信的问题？

      还有一次，同事问我说一个技术有ab两个方案，问我选哪一个。我问哪个难一点？同事也愣了一下，说b方案难一点。我说那就做b方案。我当然不是为了炫技没事找事，而是因为我非常确定，容易的路别人抄袭就会很简单，那算不了护城河，恰恰是那种大家都觉得可行但是都不敢去挑战的路，才会是我们未来保持持续领先的基石。今天我们手里有多少技术储备，明天，我们就能活地多么的自信。等到我们领先一代的技术出来的时候，我就会连“自信”这两个字都懒得提。