昨天incaseformat蠕虫在全国爆发,各大安全厂商纷纷发布公告。安全行业似乎迎来了新的发展机遇……全国所有的安全厂商都在报道这个Worm事件,估计会有一个人坐立不安,那就是这个病毒的作者,至于原因,大家应该明白了(开玩笑的)...其实这个病毒早在2009年就开发出来了,作者估计本来是想在愚人节大做文章,没想到因为一个bug,12年后这个病毒会在全国爆发,引起这么大的骚动。估计笔者昨天看到了各大安全厂商的报道,才知道自己的“作品”受到了如此大的“欢迎”,说不定这位作者已经成为“某安全厂商”的安全“砖头”专家了,也许这个作者转行了,也许这个作者还在从事“黑客”“生产”活动,大家随意猜测,虽然这个病毒本身没有盈利,但也可以按破坏计算机信息系统罪处理.这个病毒的技术含量也很低。与“熊猫烧香”相比,该病毒的技术含量可能较低。其实这种病毒在十多年前就很流行了。当时U盘蠕虫很多。十几年过去了,没想到这么简单的一条虫子竟然在全国产生了这么大的影响,这是什么原因呢?笔者从2005年开始研究病毒,到现在已经快十年了。从PC时代(Windows/Linux)病毒到后来研究移动端(Android、IOS)病毒、OSX(Mac)病毒,以及这两三年新出现的IOT僵尸网络病毒。入行十几年,基本上对各个平台的恶意软件都有深入的研究。这几年一直在做ToB,主要从事PC病毒的研究,基于Window/Linux两大平台,好像兜了一个大圈回来了。经常听到有人说“现在没有病毒”,我用“mac”保险起见,Mac没有病毒,“Linux系统没有病毒”等等。其实我不懂病毒,更不懂安全行业。无论是几十年前还是现在,计算机病毒一直存在,而且没有减少,反而越来越多。原因是关注的人少了。至于原因,后面再说,从几十年前DOS平台的COM感染病毒,到后来Windows系统的蠕虫病毒、感染类型、远程控制、木马、后门、下载器、DDOS.近年来流行的病毒、挖矿病毒、勒索病毒、IOT僵尸网络病毒、APTTema等,可以说计算机病毒一直存在,从未消失,只是在不同的时代,表现形式和攻击方式会有所不同,因为黑产的盈利模式会随着时代的变化而变化。过去,大多数黑客编写病毒都是为了“好玩”和“炫技”。现在大多数黑客组织只有一个目的,就是“赚钱”,还有一些高端黑客组织,将成为国家间网络安全战争的“特种部队”。此类高端黑客组织会基于政治和军事目的,攻击他国重要政企单位,获取核心数据。其实蠕虫和传染性病毒现在基本没什么意义,因为它们只能造成一些破坏性的行为,而且随着操作系统的升级,大部分蠕虫和传染性病毒都失去了作用,只能在一些老操作系统上运行系统,基本上没有坏处。现在主要的危害有勒索病毒、挖矿病毒、僵尸网络和APTTema等,以上简单的给大家介绍了一些病毒的方向知识。再来说说引起全国性“炒作”的蠕虫事件。从这个现象中,可以看出什么本质的东西。通过这件事可以看出,现在的企业病毒真的太多了,新型窃取、远程控制、后门、APTTema病毒更不用说了,但是很多老病毒都没有被清理干净。十几年前,很多老牌病毒家族还在国内很多企业悄悄“躺着”,为什么会造成这样的形象呢?没有办法打败这些病毒安全厂商。其实很多老病毒,安全厂商是可以彻底清理干净的,包括各种传染性病毒和蠕虫,但是现在关注病毒的人少了,做病毒研究的人也少了,为什么会导致现在这个形象呢?十几年前的一个蠕虫病毒,怎么会在全国引起这么大的动静,安全圈一直在炒作:大数据,数据安全,然后说:传统安全没用等等。其实这个安全是一个很常见的“传统”安全事件,这样的事件,十多年前,安全厂商的病毒研究人员,基本上每天都会遇到,分析各种蠕虫,传染性家族样本,幽灵病毒后面等等,几年后的今年,十几年前的一个蠕虫病毒,能造成这么大的影响。是toC安全的春天回来了,哈哈哈哈。先不说老病毒,什么蠕虫,传染性病毒,其实现在新型病毒很多,为什么现在研究病毒的人越来越少了?咋不关注呢,我来说说我自己的一些观点。许多年前,安全供应商专注于病毒。反病毒工程师是每个安全厂商不可或缺的职位。反病毒工程师的工作就是每天抓取最新的病毒样本,然后进行逆向分析,提取相应的特征,融入杀毒软件引擎,这样的生活充实而充满激情。以前的杀毒软件是收费的,突然间出现了一个厂商免费提供这项服务,于是其他厂商的日子就越来越难过了。越来越难了,这家厂商做大之后,通过流量广告等方式赚钱,后来也不做安全了,而是做了很多其他的事情,导致其他厂商的安全从业者纷纷转行,因为“安全”如果不赚钱,大家都要生存,只能转行。很少有人能坚持做安全,导致研究病毒的人越来越少。研究的人少了,自然会认为病毒少了,因为发现“问题”的人少了,“问题”自然就没有了,然后很多人就会说“现在没有病毒了”,加上一些新的名词开始炒作,各种新产品推出,大数据、AI加入进来,未来更多的人开始做大数据、AI。事实上,这些人中的大多数人根本不懂安全或计算机病毒。那么这群人就会说,这是传统的安全,我们要做“新”的安全,就成了现在的情况。反病毒工程师这个词在国内基本消失了。现在大家都叫securityanalyst。其实,真正的安全分析师不就是之前的反病毒工程师吗?而且现在还有数据安全工程师之类的。总之,各种新名词出现,整个安防行业又重新燃起了希望。ToC安全不赚钱。安全从业者,要么做其他安全,要么直接转行,有的做管理基本不研究安全技术。现在新型病毒很多,大家寄希望于大数据、AI安全,这就导致“传统”安全的人越来越少,也就是研究病毒的人越来越少,很多“新”安全研究人员对病毒知之甚少,对病毒了解不多。我明白,我不知道病毒。其实我怪这个病毒太老了,他们没机会知道。其实无论是tocsecurity还是tobsecurity,安全问题都没有变。只是之前关注的人少,现在关注的人多了。正如我所说,有多少公司仍在受到攻击和监视。特洛伊木马后门是一个未知数。企业数据被黑客组织监控获取。安全还有很长的路要走。病毒爆发只是安全问题的冰山一角。事实上,黑客组织正在研究的新病毒更多,用于对一些重要的政府和企业单位进行针对性攻击。距离安全还有很长的路要走。基于这次病毒的爆发,我想谈谈我的一些想法,同时也将有关病毒的知识普及给大家。借用一句话:这是最好的时代,也是最坏的时代。历史总是惊人的相似。各种病毒肆虐,安防未来可期,机遇无处不在。
