技术自信
转自:白帽汇赵武 赵武的自留地
2008年我在bugtraq上发布了pangolin,当时用了一个创新的技术,可以做 oracle 的快速数据获取,这一点引发了很多讨论。因为默认是英文界面,国内的很多技术人员都以为是国外作者开发的,所以当大家发现那个技术是走到中国的服务器的时候,老外们就不淡定了,一口咬定pangolin是后门,当时liudieyu和cocoruder也参与了讨论。你知道,很多领先的技术如果是中国人开发的,大概率会引发口水,国外会质疑不说,连国内都会怀疑。
原本这种事情不会再拿出来讨论,但是发生了一件事情。我们最近发布了一个免费的工具叫fapro嘛,在twitter上讨论的比国内要多得多。有一天我们的同事在reddit上面发了个帖子,然后有趣的事情再次发生了,一个老外(应该是印度的)过来质疑说这是来自中国的木马。
十几年前我是极其愤慨的,今天我倒并不感到气愤,相反还有点得意。我不再需要根据别人的评价来了解我们的输出,做没做出成绩,我们心里一清二楚,先不管外界是否喜欢,我们的输出能否做出创新,能否完成攻坚和突破,我们自己都心知肚明。后来那篇帖子被删除了,我们身正不怕影子斜,但是楼被带歪后就失控了。事实上当时也有很多人在问源代码的事情,问我们为什么不开源。
我们很清楚大家为什么会找过来,因为很多技术是我们独一份解决了的:单文件跨平台多协议深入模拟,RDP,SMB,DCERPC,工控等等。每一个点似乎都有一些开源的实现,但是无论是从深入度还是用户体验,我们都还是很有信心的。我们首先要做最好的协议模拟器(最全的协议,和尽可能深入的协议业务交互);然后我们可以做非常多的模块和工具出来,包括全网的情报分析输出。我们希望他是一个乐高的积木块,然后可以做任意多个模型。
即便只是一个小模块,我们得到的认可也是还不错的,比如github上很快star过了500,一个不开源的系统有这个成绩我觉得也还行。另外twitter上很多技术人员自主自发地在发布相关内容,这远比FOFA本身在国外的热度好多了。
我们短时间没并没有想过开源,原因主要还是一个,暂时不想让一堆的商人用来卖钱。但是,我们基于fapro做平台的方法和思路以及一些脚本,我们都是会开源出来的。比如我们在想,既然已经做了这些协议模拟,能不能把全网做网络空间测绘的平台做个分析,能不能把扫描器做个分析,能不能把爆破的蠕虫的被控点做个分析。先做元数据采集,再做标签数据的提取,最后做业务数据的情报。
于是我们顺带手的又做了一个互联网的搜索平台,也就是http://faweb.fofa.so,我们在全球几十个国家部署了服务器,然后用fapro作为底层模拟器,把元数据存储下来做情报分析,目前平台已经上线,界面非常简单,满足我们的一贯作风。
这里面我们能够看到每天有哪些是在做全网扫描的,有哪些是扫一个端口,哪些是扫描大量端口,哪些是做深度协议识别了的,哪些是在做爆破。这么说可能还不是很清楚,那我简单的说我们可以每天监控到shodan,censys,zoomeye,quake等平台的动作,哪些技术是真实的,哪些技术是吹牛的,就一目了然。比如如下几张图,大家能区分出来分别是哪个平台的吗?
为了避免口水,我把国内公司的IP打个码,当然元数据都在那,大家可以自己判断确定。
我们把整个搭建过程都写成了文档发布在:https://nosec.org/home/detail/4890.html 同时把所有对应的脚本都开源在了github:https://github.com/fofapro/fapro 大家可以很快的搭建属于自己的分析平台。我们的故事会分成几个部分来完成,元数据的采集部分已经完成了,数据分析引擎的部分正在编写,也会进行公开。今天仅仅是一个开始,我们希望在网络空间测绘领域挖掘出更有意思的情报。
写到这,我又想起了很多事,有一次跟一个朋友讨论出海的事情,因为最近国外写FOFA的文章多了起来,用Goby的也多了起来,朋友说要先打中小市场,我打断了她,我问你是觉得我们的技术不好吗?她稍微愣了一下,说没有啊。我说那为什么我们不是先进世界500强呢?是政策问题还是品牌问题,亦或是技术不自信的问题?
还有一次,同事问我说一个技术有ab两个方案,问我选哪一个。我问哪个难一点?同事也愣了一下,说b方案难一点。我说那就做b方案。我当然不是为了炫技没事找事,而是因为我非常确定,容易的路别人抄袭就会很简单,那算不了护城河,恰恰是那种大家都觉得可行但是都不敢去挑战的路,才会是我们未来保持持续领先的基石。今天我们手里有多少技术储备,明天,我们就能活地多么的自信。等到我们领先一代的技术出来的时候,我就会连“自信”这两个字都懒得提。
最新评论