首页 > 代码库 > 聊聊我对WannaCry产生的感慨
聊聊我对WannaCry产生的感慨
这几天看到网上对WannaCry勒索病毒讨论得沸沸扬扬,不免有些感触。
其实该病毒的这次爆发,完全可以类比N年前“熊猫烧香”爆发的情况。也就是国内杀软纷纷歇菜,让本来就没什么技术含量的病毒横行于世。所不同的是,这次在病毒横行的时候,假设有技术爱好者出来质疑国内杀软的查杀水平,那么该杀软厂商的公关人员就会第一时间跳出来辟谣,内容无非是自己被黑了,要采用法律手段惩处造谣者,我们最新的病毒库已经可以防御该病毒,我们的杀软是最安全的等等。也算是借机蹭了一下热点,为自己的产品打了广告。并且还会尽可能快地将病毒分析报告写出来,可能还会放出专杀工具或者解密工具之类,表明自己的应急响应工作做得还是不错的。
当大家都在热火朝天地讨论这款病毒的逆天之处的时候,我甚至都有点不好意思和卡巴斯基的俄罗斯技术大神们讨论这件事,因为怕当我们眉飞色舞添油加醋地把这件事告诉他们之后,换来的仅仅是一个轻蔑与不屑的“哦”。
毕竟,他们确实有充足的资本表现出不屑的态度。为什么这么说呢?
前两天在卡饭论坛,有一个帖子出名了,叫做《WanaCrypt0r勒索病毒:20款杀软主防测试》。作者在自己的测试环境中,在断网并且只使用去年12月份的病毒库的前提下,测试了国内外知名杀软厂商对WannaCry勒索病毒的防御情况,结果是只有6款杀软能够成功拦截住这次的威胁,卡巴斯基位列其中。
于是帖子的作者得出了一个非常重要的结论,也就是之前传闻说,世界上几家顶级安全厂商的技术水平领先国内N个月,看来是真的。
杀软即便半年不更新,用户的计算机依旧是安全的。这就是不屑的资本。
有公关团队说这种测试方法不科学,因为现实中杀软的病毒库当然会经常更新,当然需要联网不断升级来保护用户的安全。
这件事说得没错,但是有个很重要的问题也许大家没注意到,仅仅通过病毒库的更新来对抗恶意程序,那么杀软永远只能处于后手地位。在新病毒大规模爆发的时候,杀软厂商的反应再快,那也是需要时间的,也是在无数用户中招之后,分析师获取了样本,加入黑名单,才能更新病毒库,才能真正保证自己用户的安全。
说实话,这类杀软厂商估计还活在史前时期。
自从我应聘屡屡失败以来,有件事很是感慨。那些面试我的面试官们,既然拥有那么高超的技术水平,招聘到的人才似乎无所不精无所不懂,但是这些年积累的技术经验,做出的产品怎么就没有一丁点儿的进步呢?与国外顶尖厂商相比,差距怎么还是这么大呢?你的产品的界面确实做得越来越漂亮,平面广告设计原来越精美,但是技术水平却还在原地踏步。说得不好听一点,尽管某些杀软所采用的一些系统底层的技术我不懂,但是凭借着我今天的开发水平,我自己开发一个杀软出来,也不见得比你们差多少。
这几天我还了解到,国内某老牌杀软厂商,还在拼命地到处收集样本,赶紧加入到自己的黑名单,从而抵御这波攻势。真的,我真是有些感慨。你一个一个地拉黑这些样本,你得干到什么时候才能把不断出现的新变种都加到黑名单呢?你们怎么就不能根据手上现有的样本,好好做一下分析,写出启发或者主动防御的特征来彻底堵死病毒蔓延的势头呢?
哀其不幸,怒其不争。
大神们入职国内的这些杀软企业后,似乎也开始散漫颓废了。
总能看到,我国的一些大神在国际级别的漏洞挖掘领域获得大奖的新闻,那些大神在世界上也都有着响当当的名号,促使无数的后辈们投身于漏洞挖掘的事业中。同时还能给人以一种高大上的感觉,似乎真的成为了顶尖黑客。
确实,我也承认,国人在逆向破解和漏洞挖掘方面确实有独到之处,但是,这毕竟是单打独斗,并不能将其转化为实实在在的工程项目。就如同开锁,天下一切锁头都拦不住你,那么你确实是旁人眼中的大神。但是,请问大神,锁头要怎么设计才会更加安全呢?你能提出一套完整的解决方案吗?
这就是我们国内安全领域的一个可悲之处。
国外的大神们,很多人真的不屑于去研究怎么撬锁,而是将精力花在了如何设计出更加安全的锁头出来,这就极大地推进了安全工程的发展。这是一项庞大且复杂的事业,需要多人协同研究,单打独斗是不可以的。那么其实这也就解释了,为什么国外会有6款杀软在半年不更新的前提下,依旧能够有效预防未知的威胁了。
这就是差距。
当然,我也承认,那六款杀软也许碰巧就能拦住这次的威胁,你换一种病毒,也许那六款杀软也会无一幸免。这种可能性是存在的,但是,我并没有看到。
作为一个杀软厂商,如果还停留在写病毒分析报告,制作专杀工具的层面,那与我当初求职应聘时候的情况又有什么区别?这种工作对于一个在安全领域刚刚入门的人来说,是必备的基本功,但是如果作为一个杀软厂商还倚重这些,是不是有点Low了?
最后,欢迎大家关注我的《从苏宁电器到卡巴斯基》故事系列,CSDN的朋友,没看的赶紧看看吧。看过的,再看几遍也是好处多多的。
聊聊我对WannaCry产生的感慨