了解江民最新動態(tài)
2019-09-10?來源:公司動態(tài)
三尺講臺,訴不盡殷殷之情;四季晴雨,道不完拳拳之心。值此教師節(jié),小編有幸采訪了國內(nèi)頂尖的逆向分析大師錢林松,錢老師多年從事反病毒逆向技術(shù)研究與教學(xué),為國內(nèi)信息安全
三尺講臺,訴不盡殷殷之情;四季晴雨,道不完拳拳之心。值此教師節(jié),小編有幸采訪了國內(nèi)頂尖的逆向分析大師錢林松,錢老師多年從事反病毒逆向技術(shù)研究與教學(xué),為國內(nèi)信息安全領(lǐng)域培養(yǎng)了超過千名頂尖信息安全人才,其中許多人成為了知名安全企業(yè)高管、首席技術(shù)專家,被信息安全業(yè)界敬稱“錢校長”,桃李滿天下。以下是訪談原文:
武漢科銳軟件技術(shù)有限公司創(chuàng)始人--錢林松
逆向分析技術(shù)最開始出現(xiàn)在船舶工業(yè),是在戰(zhàn)爭時期發(fā)展起來的。它的目的是通過分析一個產(chǎn)品,推斷其內(nèi)部構(gòu)造以及構(gòu)造過程。
時至今日,逆向分析已經(jīng)發(fā)展至各行各業(yè),在信息安全領(lǐng)域,主要是指軟件逆向分析以及攻擊回溯。針對這一領(lǐng)域,從2007年開始,國內(nèi)有立法,就是把逆向工程合法的行為要怎么做畫了一條紅線。從那時候開始,逆向工程就已經(jīng)合法化。
在2007年以前,黑客軟件,游戲輔助外掛等等一直都很活躍,市場也停留在無序混亂的狀態(tài),也沒有形成學(xué)術(shù)化、學(xué)科化、體系化。從2007年開始,司法部劃了紅線以后,各大高校以及民間的培訓(xùn)機構(gòu)以及相關(guān)的安全團隊就開始對逆向工程進行了深入的研究,并逐漸形成學(xué)術(shù)化、學(xué)科化、體系化。
我原來是從事醫(yī)療相關(guān)的行業(yè),在醫(yī)院上班,因為我從事的是放射相關(guān)的專業(yè),大部分工作時間4 - 6個小時,所以有很多空余時間用來琢磨自己感興趣的事。由于在90年代末,我加入了民間的黑客團隊,所以對安全技術(shù)有特別濃厚的興趣。隨著這個安全技術(shù)的增長,我也遇到瓶頸了,我發(fā)現(xiàn)僅會用工具的一些黑客,其實不是我們想象中傳統(tǒng)意義的黑客,需要再往深處扎一下,那就必須要懂程序,而且精于程序,并且達到可以對別的程序做逆向分析的程度,這樣才可以找漏洞。
眾所周知,安全的對抗,攻方也好,防方也好,是拿不到對方的源代碼的。所以這個時候逆向分析技術(shù)實際上是開門磚,同時它也是基本功,也就是說沒有逆向分析技術(shù),后面的任何工作開展都是存疑的,然后在這個基礎(chǔ)上,我們就深入研究了逆向分析,從1998年開始研究 - 到2007年,C語言和C++的逆向技術(shù)基本上算是研究完了,2007年的時候,由于法律的放開,我們就把逆向技術(shù)進行了整理,希望安全人員重視這門技術(shù),然后我們就成立了這家公司。
我原來搞醫(yī)療的時候,逆向技術(shù)在醫(yī)療行業(yè)里面,其實也是一個同樣的方法,同樣的思維模式??梢哉f醫(yī)療的技術(shù)和逆向分析技術(shù)具有同樣的方法論以及同樣的論證模式,為什么呢?因為醫(yī)療實際上本質(zhì)研究的是人體安全,那么很多情況下,在分析內(nèi)部病因的時候,是無法直接把肚子打開來看的,所以需要通過很多檢查,比如:X光,穿刺,血液檢查,條件反射檢查,這一系列的方式來推斷其內(nèi)部的病因,這一點在我們信息安全行業(yè)里面,就是一種側(cè)性道攻擊,所謂他們的方法論和論證模式以及檢驗的方法,其實具有同樣的嚴謹,同樣的一套成熟的流程,所以很容易的就從醫(yī)療行業(yè)或者說是人體安全行業(yè)轉(zhuǎn)換到信息安全行業(yè)。
其實我的經(jīng)驗和建議很樸實的,“剛?cè)胄械娜讼矚g追求花哨,喜歡追求復(fù)雜,喜歡追求拉風(fēng)的效果。”其實當這些東西玩多了以后,真正沉淀下來的其實還是基本功??梢赃@么說吧,在我們信息安全,網(wǎng)絡(luò)安全相關(guān)的行業(yè),或者說是各行各業(yè),其實都差不多的一個道理,當你從業(yè)足夠長時間了,5-10年以后,如果你還在這個行業(yè)生根的話,那么這樣同行與同行競爭,所比拼的并不是哪個花招更多,而是誰的基本功更扎實。因為當你在這個行業(yè)生根5年或者10年以后,沒有哪個技巧,哪個技術(shù),是你知道而別人不知道的了,基本上你用了什么詭計,其實你的對手和你的同行都心知肚明的,那么這個時候,你要想在這個行業(yè)里面繼續(xù)能立足,并且打一個漂亮仗的話,其實雙方拼的是一個基本功,而不是所謂的技巧啊,招式啊這些東西。所以在我們這個行業(yè)里面,混的比較好的,如果到現(xiàn)在,年紀大的沒轉(zhuǎn)行搞銷售、管理、運營、甚至自己改行的,如果還在我們技術(shù)圈混的人,40歲以上的人,無一例外,都是基本功很扎實的。他們基本功強在什么地方呢?對操作系統(tǒng)的理解,對編譯原理的理解這兩方面。而操作系統(tǒng)和編譯原理,又有一個先修的課程,是對數(shù)據(jù)結(jié)構(gòu)的理解以及其他的基礎(chǔ)學(xué)科的支撐,所以這一塊,我對入行的新人,就是希望他們不要忽視基本功,而醉心于各種花巧的招式研究,這對他們長久的發(fā)展是不利的。
這一點很多行業(yè)的牛人、前輩以及我們之前在博客上面都發(fā)表過,比如:知名安全專家譚曉生曾經(jīng)說過,“國內(nèi)的信息安全人才有70萬的缺口”。其實我認為現(xiàn)實情況還不容樂觀,我覺得缺口恐怕遠遠不止70萬,為什么呢?當有70多萬人做防御的時候,攻擊方的人數(shù)會呈現(xiàn)兩個趨勢,當攻擊方覺得防御的很牛,就放棄攻擊行業(yè)換行業(yè)。要么就是攻擊方?jīng)Q定加大投入,誓把防御方的體系干垮,對于這種,我個人持悲觀態(tài)度。我覺得更多的團隊會涉足灰產(chǎn),尤其信息領(lǐng)域,涉足灰產(chǎn),畢竟風(fēng)險小、見效快。但更有可能找一些投資,自己通過前期的資產(chǎn)積累傾向于把這個防守方體系干掉,然后自己默默地去賺一點錢。剛開始70萬的人才缺口是靠譜的,但是隨著攻防的演練,如果是這種對抗很激烈的時候,很有可能70萬是不夠的。
眾所周知,國外的信息安全的綜合能力其實比中國是要差一些的。國外的攻防技術(shù)領(lǐng)先于中國,這個我們是贊同的,但是對于實戰(zhàn)的信息安全演練,很多是那種技術(shù)強度并不高,但是量很大的一些安全問題,那么中國就具有這種與生俱來的中國特色的人口優(yōu)勢,人力資源優(yōu)勢。那么這一點呢,我剛才所說的那種對抗現(xiàn)象可能會在中國演練的更加突出,但是可能未來的戰(zhàn)場,人在國外,戰(zhàn)場在國內(nèi),其實現(xiàn)在已經(jīng)有這種苗頭了,就像現(xiàn)在有很多搞黑產(chǎn)的都跑到了澳大利亞,東南亞。
江民投身于高端人才培養(yǎng),我覺得這是一個功德無量的事情,江民為黨政機關(guān),其他同行安全企業(yè)培養(yǎng)高端安全人才,是一件值得贊頌,值得肯定的事情,因為做培訓(xùn)實際上是不賺錢的,更多是踐行企業(yè)的社會責(zé)任。
剛才一不小心已經(jīng)把差距談過了,現(xiàn)在再補充下,像國內(nèi)的技術(shù)理念和國外的技術(shù)理念其實有很大的分歧,國外的人比較喜歡追求技術(shù)上、學(xué)術(shù)上的極致,而不在于市場上能不能夠?qū)嵱茫运麄冄芯砍龅暮芏喾桨甘呛茈y傳播的,我們知道一個惡意軟件,除了考察它的隱蔽性、傳播性、最后考察它的破壞性。關(guān)于傳播性來說,一個技術(shù)過強過于尖端的時候,中國有句古話叫著“曲高和寡”那么這樣一來,傳播就很困難。我舉例來說,比如:談虛擬機對抗,國外的虛擬機對抗就會研究很多穿透虛擬機啊,研究虛擬機的存儲格式以及虛擬機的驅(qū)動工作機制啊等這方面去搞。
而國內(nèi)的很多黑客,他要檢查虛擬機的存在,就會用很low,很low的方法。比如:檢查桌面顏色是否單一呀?一個大的循環(huán)多長時間跑完啊? 國內(nèi)的這種方法其實是容易同行內(nèi)傳播的,也容易用于實戰(zhàn)的,這樣一來呢,國內(nèi)的技術(shù)偏向于那種土包子但很實用的這一種。而國外的技術(shù)偏向于高冷,冷艷的這一種,看起來漂亮一些,然后學(xué)術(shù)成就比較尖端一些。國內(nèi)的更實用,不管好不好看,我這一招打的你爬不起來,但是我能解決問題。兩幫人對勝利的標注點是不一樣的。
武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院崔競松副教授的觀點:
在國內(nèi)和國外的形式對比上,國外的這個軟件逆向?qū)沟男问娇赡懿幌駠鴥?nèi)這么嚴峻,因為在發(fā)達國家,對于知識產(chǎn)權(quán)的保護意識以及法律完善的程度,應(yīng)該普遍高于中國內(nèi)地,所以呢在中國內(nèi)地要想保護知識產(chǎn)權(quán),依靠法律手段來進行保護的程度比例低于西方國家,所以呢在國內(nèi)對抗的形式更加嚴峻,對抗的難度更大。
在我看來,我覺得安全就跟一個碉堡一樣,它的孔越多,門越多,就越不安全。那么這個時候,你的人工智能技術(shù)也好,區(qū)塊鏈技術(shù)也好,每多一種輸入輸出的方式,就會多一個安全隱患,這一點我是這么認為的。雖然有現(xiàn)在的密碼學(xué),現(xiàn)在的安全體系支撐它,但是我總覺得沒有這一個比多一個再加防范肯定是更危險的,這一點從人工智能、區(qū)塊鏈以及大數(shù)據(jù)、量子計算機來說,這些技術(shù)既有可能被防御方所使用,也有可能被攻擊方所使用。比如:量子計算機會讓解密的速度提高很多倍,當然量子計算機一出來,對于傳統(tǒng)密碼學(xué)也是一個重大的挑戰(zhàn)。那么這一點下來,隨著技術(shù)的發(fā)展,攻防的技術(shù)套路可能會往某一方面傾斜,但是我個人搞逆向工程的來看,不管怎么傾斜,不管怎么攻,怎么防,你總得知道別人的意圖以及攻擊的思路,那么這一點逆向工程將會是一個永恒不變的一個主題,形成信息安全中的一個方法論的問題。
首先一般90年代搞計算機的,甚至是搞安全的人,對江民公司是有一定的情懷的。因為當時江民的殺毒軟件在國內(nèi)出現(xiàn)的比較早,大家都用過,也經(jīng)歷過它的一些風(fēng)波,那么將來呢,江民再次在安全行業(yè)啟航的時候,我覺得還是可以做的很漂亮的,我對江民的未來充滿信心。國家現(xiàn)在對安全行業(yè)很重視,習(xí)主席也講過“沒有網(wǎng)絡(luò)安全,就沒有國家安全”。同時國家這么大一個攤子,也不是哪一家安全巨鱷能把這個攤子全收拾了的,而且我相信國家也不會允許一家安全巨鱷的存在,肯定會扶持很多家齊頭并進,然后呢在國家項目中競爭上崗,所以這一點,我希望江民公司能夠保持傳統(tǒng),能夠與時俱進,能夠堅持初衷,能夠不離不棄。這樣呢,保持一個堅定的信仰、堅定的立場、不忘初心,在一場場戰(zhàn)爭中走到最后,走的更好,我覺得是沒問題的。
人物簡介:錢林松
武漢科銳軟件技術(shù)有限公司創(chuàng)始人,資深軟件開發(fā)工程師和架構(gòu)師、著名逆向分析技術(shù)專家,從事計算機安全和軟件開發(fā)工作十多年,實踐經(jīng)驗極其豐富。尤其精通軟件逆向分析技術(shù),對C/C++技術(shù)和Windows的底層機制也有非常深入的研究?!禖++反匯編與逆向分析技術(shù)揭秘》作者。常年從事逆向分析人才培養(yǎng),多年來為國內(nèi)計算機安全領(lǐng)域培養(yǎng)和輸送了大量人才。