这是一个创建于 4244 天前的主题,其中的信息可能已经有所发展或是发生改变。
俗话说不怕贼偷就怕贼惦记。
看了道哥这篇文章,觉得不全是小说,因为我曾做过类似的事情,盯了一个网站近一年,拿到了所有权限。
总有种感觉,我们的一切密码都是不可靠的,只是没人盯上你而已
原文: http://taosay.net/?p=189
看了道哥这篇文章,觉得不全是小说,因为我曾做过类似的事情,盯了一个网站近一年,拿到了所有权限。
总有种感觉,我们的一切密码都是不可靠的,只是没人盯上你而已
原文: http://taosay.net/?p=189
 |
1
sinxccc 2013-03-26 10:05:39 +08:00
那个题图是 http://wikiproject.oii.ox.ac.uk/mapping_wikipedia/ 生成的,是 wikipedia 中各语言条目对世界地点的覆盖,跟他说的内容完全没关系。
里面反复提他那本书《白帽子讲Web安全》,感觉就是个软文。 |
 |
2
subpo 2013-03-26 10:13:28 +08:00
对,就是软文,可能里面说的人的确是有原型的,但是进过ls这么一提,就感觉文章内容有点不靠谱了
|
 |
3
c1441112 2013-03-26 10:16:14 +08:00
网页游戏行业90%的公司,一些大型电商、大型论坛,80%的连锁酒店行业,80%以上的在线预订行业,手机App排行比较高的公司,几家最大的航空公司
这人真是有精力有时间啊。。。哦,有这么多时间精力的已经不算是人了。。。 |
 |
4
yanhopeless 2013-03-26 10:18:44 +08:00 via Android
@c1441112 感觉像是一个少数人组成团队。
|
 |
5
olnyshe 2013-03-26 10:22:15 +08:00
可信度还是挺高的.个人认为.
整天出来跳的一些.大部分都是混娱乐圈的 地下的黑客世界你无法想象... 确实有不少低调的黑客 亲身经历.忘记某坛子密码.后来找某黑客查出来了.. |
 |
6
zzNucker 2013-03-26 10:25:54 +08:00
10年前的那些黑客大都做了安全或者为国家服务去了 - -
至少我认识的几个差不多都这样 |
 |
8
nsa 2013-03-26 10:50:04 +08:00
文中yy的也就是菜鸟一般角色,不过是很多很多菜鸟积累的工作概括,真的没啥,作者给人的感觉就是傻b。。。实际上在很多国家有很多靠大型公司或机构的安全缺陷吃饭的家伙,巴西的家伙近年挣的不少。
|
 |
10
summic OP 上次大规模密码泄密事件,竟然那么多站都明文,让我一度怀疑是从电信路由做的监听
“网页游戏行业90%的公司,一些大型电商、大型论坛,80%的连锁酒店行业,80%以上的在线预订行业,手机App排行比较高的公司,几家最大的航空公司” 这些,从骨干网路由监听应该靠谱 |
 |
12
haohaolee 2013-03-26 11:40:54 +08:00
突然想到虎胆龙威4里面那种情况完全有可能的啊
|
 |
14
miizoo 2013-03-26 11:49:12 +08:00
公众对这个领域太不了解了。。
|
|
17
sinxccc 2013-03-26 13:03:07 +08:00  3
@summic 如果我没找错微博账号的话,你说的解释应该是指这个
“但如果更细心一些,也许会把图放大到原始尺寸,进行局部对比,然后会意识到它们可能是用类似工具生成的,但数据源并不同。” 和“这是V用开源的open layers + google maps api绘制的,通过另外一个api把ip换算成经纬度” 也就是说他的意思是图看起来是类似的,但是细节,也就是具体的点是不一样的,因为数据来源不一样。 于是我就手滑细心了一下   首先我不是处理图像的熟手,两张图的比例尺不是很一致=_= 注意我指出来的白点,上面(来自作者 blog)下面(Mapping Wikipedia)基本在同一位置。 从 Mapping Wikipedia 的说明,后者在这里标注是因为 wiki 条目中提到苏联的核潜艇 K-219 1986年发生事故的地点在这里。那么前者在这个地方也有一个点是什么原因呢?有人从一艘沉没了快30年的苏联核潜艇里登陆 Facebook 被传说中的 V 记录下了么 |
 |
19
likuku 2013-03-26 13:15:53 +08:00
哈哈,好傻好天真的文...听过一点比较真实的故事,国内信息安全的确不乐观,很多危险真离普通人很近,但也不像此文这么幼稚。
|
 |
20
ggsmd 2013-03-26 13:23:03 +08:00
好傻+1..
//V哥别黑我.. 我随便说说的 |
 |
21
treo 2013-03-26 16:13:54 +08:00
|
 |
22
args 2013-03-26 22:44:36 +08:00
地摊传说
|
 |
23
Fenng 2013-03-26 23:03:45 +08:00
基本真实. 为什么说「基本」呢? 因为要隐藏去相关背景.
超出你们认知范围内的事情不代表就是小说。 就是这样. 另外,那张图也没问题. 聪明的人很多,但质疑的人基本都是小聪明。 |
|
24
sinxccc 2013-03-26 23:03:51 +08:00
|
 |
26
dragonszy 2013-03-26 23:20:05 +08:00
努力学习,赶超V哥。。
|
 |
27
Just1n 2013-03-27 09:02:23 +08:00
如果一切属实,那么V该要掌握多少计算机的相关知识啊。
|
 |
29
chengchao0311 2013-03-27 09:39:38 +08:00
看每一段的标题 就觉得是软文,发在天涯更合适点。
先说 “之所以是之一,是因为我还认识另外一个叫A的黑客,A宣称自己成功入侵了包括Google、Facebook、Twitter等你几乎能叫得上名字的所有大型互联网公司。 而V要低调的多。” 然后V说 “我曾经持续观察了一个女孩3年” 不从技术角度 从人格分析,感觉V就是在向作者倾诉伟大的爱情故事,和告诉作者自己有多牛b。 |
 |
30
sharkli 2013-03-27 09:51:30 +08:00
@chengchao0311 12306没有3年吧?从12306入手获取女孩及其家人身份证信息那段。
|
 |
31
ljbha007 2013-03-27 09:57:25 +08:00
有可能性 但是不大可能
然后听作者这种说评书一样的夸张语气(什么“王者”“地下黑客世界”),可信度就更低了 |
|
32
sinxccc 2013-03-27 10:24:32 +08:00
唔,看到作者更新了一篇( http://taosay.net/?p=200 ),对大洋中的那些白点继续闪烁其词:“大洋上那些星星点点是船还是岛?说实话,这个问题我认为V也答不上来。API转化出来的经纬度,鬼知道那是啥。”
然后还拿出另一个 Hacker 画出的 IP 地图来做旁证  另外附上作者题图  上面这幅图做了模糊处理,大洋中的白点可以用被模糊掉了来解释。 但可以观察新闻/旅游热点地区,比如古巴,西非,苏丹,马达加斯加岛,阿富汗,还有朝鲜。这些地方的 wikipedia 条目很多,但是在线的机器和 IP 是相对较少的。这些两张图里对比很明显。我觉得前者是合乎网络现状的,而后者是合乎 wikipedia 的:) |
 |
33
feiandxs 2013-03-27 10:48:40 +08:00 1
赞 @sinxccc 的质疑精神和严谨。说起来在很多帖子里我都注意到你的名字了,因为你实在是理性思维的可怕,客观,严谨,逻辑严密,深得我心。
那篇文章可能唬到了一些人,引起了不少质疑,但我相信,类似的团队和个人,肯定有不少人干得出这种事——而且数量绝对不是稀少。 在我的认知范围内——即我未必亲见过也无法证实,但我接触和了解过的范围内——在机房若干距离或者内部直接无线电波窃听,光纤窃听,机房使用的硬件在出厂时就内置窃听,这些听起来好像好莱坞电影里才有的东西,似乎真的存在。 我无法证实或者证伪,但至少这些故事讲起来——不比原文中的逊色。 |
|
35
sinxccc 2013-03-27 12:37:00 +08:00 2
@Fenng 各种误差可以解释为什么白点会出现在大洋中间,但没法解释为什么跟 mapping wikipedia 的地图重合度这么高。
  上图来自 mapping wikipedia,下图来自 blog 的题图。观察圈进去的六个点(嗯,第一个图手抖多圈了一个)。 上图左边四个从上到下依次是:Mons Vinogradov-月球上的地名(这个属于数据提取的错误,把月球的经纬度直接拿来显示在地球上了);火星拓荒者探测器(原因同第一个);纳粹德国潜艇 U-1224;纳粹德国潜艇 U-66。 右边两个从上到下依次是:英国海军弹射飞机商船 SS Primrose Hill;纳粹德国辅助巡洋舰 Kormoran。 可以看到下图六个白点的分布和相对位置基本一致,我也可以保证目前不会有人类从这六个地方登陆网络。不知道多巧合的经纬度误差能误差出这个结果。 我实在是不想再干一次这个活儿了。从 Mapping wikipedia 的大西洋和太平洋里找军舰或者商船,然后去 blog 题图里找对应的点,基本弹无虚发。 读者愿意相信也好不愿相信也好,作者的故事本身并不差,不知道为什么在这么个细节上这么马虎。 |
|
36
sinxccc 2013-03-27 12:43:44 +08:00
|
 |
37
flashfx9 2013-03-27 13:23:33 +08:00
|
|
38
flashfx9 2013-03-27 13:33:27 +08:00
@sinxccc
 貌似真的很容易把海上的东西给处理掉,但是作者没有去做,是懒呢,还是他觉得不需要掩饰这些小毛病? 我到是愿意相信这个故事的,在于最后V描述得苦衷: V接受我采访的初衷,是希望告诉大家,真正强大的黑客们 “在尝试去做对这个社会有正面价值导向的事情,而不是去让这个社会变得更糟糕!” |
 |
39
momo5269 2013-03-27 13:42:17 +08:00
很想进入一个 我已经被ban掉的qq空间怎么破
|
 |
40
for4 2013-03-27 13:46:21 +08:00
扯谈文
不论细节, 就逻辑上来说都有快一半的漏洞. "他最大的成就,是积累了一个去重后有13亿条数据的数据库。每条记录,都包含了用户名、密码、身份证号(社保ID)、手机号、邮箱、登录IP等信息。" 这句最搞笑, 先了解下全球共有多少网民吧. |
|
42
sinxccc 2013-03-27 13:58:30 +08:00
|
|
43
flashfx9 2013-03-27 14:08:24 +08:00
|
 |
46
est 2013-03-27 14:29:39 +08:00
|
|
47
flashfx9 2013-03-27 14:35:40 +08:00
@for4
你这个人太喜欢钻牛角尖了。 for4:123456:[email protected]:430922198501010101 for4:password:[email protected]:430922198501010101 for4:for4!@#:[email protected]:430922198501010101 这个也就是去重后的数据啊,大数据时代,V不会傻到放弃你的任何一个邮箱所关联的数据吧? |
 |
50
forghed 2013-03-27 15:06:40 +08:00
我不知道这里面有多少人是搞安全的,估计很多人连编程经验都没有到10年吧。微博上的一些老黑客都是力挺的,也许有人会说他们是互相抬着混,我觉得更像是捏泥人的看搞机器人的科幻一样,有些事,还是长点心吧。
|
 |
51
test591 2013-03-27 16:57:46 +08:00
相信这里大部分是圈外人士吧。本人看这篇文章时一点都不质疑,也许大家可以先去看看Kevin David Mitnick的故事。:)
@sinxccc 科普一下!刺是幻影组织www.ph4nt0m.org的老大,幻影组织是啥?个人认为是国内最多安全牛人最具影响力的安全组织,这组织大把像腾讯、百度这种互联网公司的安全工程师和顶级牛人,而且对行业做出很多贡献。 刺=axis=大风=aullik5 在圈子里极具人气(好吧,我也是他粉丝),人品技术都一流的,参加过blackhat等世界大会,可以看看他博客 hi.baidu.com/aullik5 《白帽子讲Web安全》这本书的意义和技术含量也不必多说。如果你也是懂点技术的。 另外写黑客文章有很多细节是不能写的,比如说“v曾经利用xx技术搞过fbX”,那v以后就不好混了,x别人也利用xx技术浑水摸鱼,v存在“社工”的危险…… 我相信黑客是网络中的上帝,没有啥做不了的。 大家应该更关注这篇文章所表达的意义。:) |
|
52
olnyshe 2013-03-27 17:29:06 +08:00
@test591 这就是 外行看热闹~~~何况这个圈子本就复杂..里面还有不少是娱乐的.so....... 不相信的人...就继续不相信吧..反正也不会改变什么. 这个圈还是这个圈....低调的黑客还是有很多的..
|
|
53
Fenng 2013-03-27 17:38:26 +08:00
@est 3月14日消息 腾讯控股有限公司今天公布截至2011年12月31日未经审核的第四季度综合业绩及经审核的全年综合业绩。财报同时披露了腾讯最新的平台用户数,数据显示腾讯即时通信服务活跃帐户数达到7.210亿,“QQ空间”活跃帐户数达到5.521亿。
截至2012年6月底,中国网民数量达到5.38亿 恩。这些数据都是忽悠人的。 |
|
54
olnyshe 2013-03-27 17:59:41 +08:00
|
 |
55
Air_Mu 2013-03-27 18:56:47 +08:00
Plz Hack The Wall!
|
|
58
feiandxs 2013-03-27 22:09:08 +08:00
好吧。。。其实我觉得,文中所描述的东西并不科幻——甚至应该说远远不够科幻,“到今天了v才只做到这个地步”?
很多人质疑,主要是被作者那一副“我给你们讲一个故事,long long ago,there was a V...”的部落先知的感觉给弄的不舒服了。 |
 |
59
sdysj 2013-03-27 22:14:33 +08:00
技术上可能=现实中可能。
但是楼上各位都不要为了证明自自己立场而死掐,应该继续讨论技术上问题。 |
 |
60
rainchen 2013-03-27 22:55:28 +08:00
应该是有真实的也有加工的,当小说看吧,只是作者有点夸大了主角的“功力”和孤傲,比如这句:
我问V,“还有什么网站是你黑不掉的吗?” V答道:“目前成功率是100%,只要有耐心,还没有黑不掉的。 当然,不炒作不会火嘛 |
|
61
sinxccc 2013-03-27 23:20:21 +08:00
@test591 多谢科普!我稍微懂点技术,只是不了解 Web。然后从绿色兵团吵架散伙之后就没继续关心过网络安全这个圈子,确实是完全不了解现在的人和事…
如果没有这个蹩脚的题图,我对这篇文章的信任度也许会更高一点,毕竟从技术上是可能的,只是需要当事人有相当的精力、时间还有金钱。 当一个文章所基于的证据让人发现漏洞而被打上“存疑”标签的时候,它所想要表达的初衷、立场和想要透出的意义都是无力的,因为完全没有说服力。之前有位社会 hacker 说过一段“靠谎言去打击敌人”的话,不知道听说过没有。 你会信任一个存在着已知漏洞不去 patch 的网站提供的其他服务么? |
 |
62
anonop 2013-03-28 11:49:41 +08:00 1
@sinxccc 请见下面文章作者最新回应:
axis 三 28, 2013 上午 10:55 当内心已经认定是假的时候,就会不断的去找证据来支持内心的观点,这就是认知的障碍,并非客观。原来那条线是本初子午线,感谢提醒,不过这正说明了本图的真实性,作假的话不会这么明显。 V提供的图背景是copy来的,被找到了出处而已。哪天V公布渲染的源代码和付费API,一切就清楚了。80w的库而已。不过有那必要吗?在这些事情上浪费时间真是无聊,和方舟子质疑韩寒没有区别。 |
 |
63
wuma 2013-03-28 12:07:25 +08:00
积累数据很容易,我曾经积累了几年(06年之前)的许多个北京技术行业峰会参与者的信息。
Feng的手机号我就有。 本人不是任何意义上的黑客,得到数据的途径也很简单,某猎头公司不知道从哪儿买来的数据,然后内网外网并用一个系统,不小心露出来了。 一些数据有心收集的话很容易。 |
|
64
test591 2013-03-28 12:08:54 +08:00
|
 |
65
binux 2013-03-28 12:43:20 +08:00
@anonop 哇,copy背景把别人的点也copy进去。那还画个屁啊!
此文毫无疑问是可行的,但不一定是可信的,就像v2ex充满想象力的MD5一样。 至于有多少可信度,就算是99.999%安全的系统,被无数人盯10年也保证不了安全。 风险总是无处不在的,只要让破解的成本高于收益就好了。 |
 |
66
reverland 2013-03-28 12:45:38 +08:00
感觉是炒作啊= =
在这个不断变化的世界中怎么能维护数据库的实时性和有效性啊…… 积累数据比较容易,一时玩得开心……过一段就忘了……再过一段发现用不了了…… |
 |
67
Sunya 2013-03-28 13:19:00 +08:00
相信奇迹, 至少我会信文中的一些内容.
|
|
68
test591 2013-03-28 16:10:55 +08:00
摘自知乎 http://www.zhihu.com/question/20888507#
云舒,阿里巴巴集团高级安全专家 26 票,来自 尹益恩、韦东锏、钢盅郭子 更多 末日入侵不知道是什么,没看过那个电影。我来回答一下第一个问题。其实回答这个问题很简单,“我奶奶一直不相信人能登上月球,甚至不相信飞机能飞。”搞定。但是我还是想借题发挥写多点。 首先,对于看起来很拽但是自己又不了解的东西,有的人会相信然后盲目崇 拜,有的人则是完全拒绝嗤之以鼻。没有对错之分,我想说的是对自己不懂的东西不要随便做出判断。如同我们不了解娱乐圈的内幕,在外界随意揣测只是徒惹懂行 的人耻笑而已。在懂的人看来,这些看起来科幻甚至像玄幻的外皮下,背后里只不过是一行一行的代码,一个一个寂寞的夜晚。由0和1构成的世界,没有魔法,没有侥幸,有的只是天才和汗水。 其次,收集到上亿条的数据难不难?搞定京东能有多少数据?当当呢?淘宝呢?腾讯呢?铁道部呢?政府社保网呢?世纪佳缘呢?这些大企业真的那么难入侵吗?一个企业上千上万的员工,不说社工,你直接去泡一个客服MM都行啊。举个简单的例子,我随便挑一个下午去滨江阿里巴巴园区的星巴克坐着,就能黑掉网易信不信?我想不懂安全的人会不信,觉得我吹NB。懂的人会知道,“擦,这么没技术含量的事情你也做。不就因为网易办公楼在阿里巴巴旁边,然后你去搭建一个伪造的AP引网易的人登录,然后偷密码植入密码么?”对,就这么简单。阿里巴巴能否被入侵?肯定能,只是时间问题,3个月?半年?1年?不怕贼偷,就怕贼惦记。 最后,对于个人来说,不用惊慌。好好用正版软件,不乱逛不健康的内容,装一个杀毒软件,有升级就升级,没事的。至于那些大网站被拖库,不是普通人能控制。但是,我们每一个安全从业人员,都在努力。 |
|
69
sinxccc 2013-03-29 08:17:07 +08:00
@anonop 首先他承认了这些点是跟背景一起 copy 来的(所以存在一样的细节),然后他又在这个基础上画上了自己的点。至于画了多少点呢,他自己说是 80 万(maps API 的 limits 是 80 万)。且不说这种行为是否合适,原图上的点也就 80 万,两个图对比怎么都不像多了一倍的样子。
除了作者玄之又玄的文字之外,这幅图就是 V 的唯一证据了。不过这也是无聊且没必要的,因为我也就是个小聪明又无知还有认知障碍的圈外人而已。 Fin. |
 |
70
taogogo 2013-03-29 10:16:18 +08:00
想搞不难,我也是做安全的,这个说的有些夸张,照这么说,一个小偷也能神出鬼没,不也是很神奇么?以前发过一个收集黑客技术的一个小站的帖子,有兴趣的可以看看
|
|
71
taogogo 2013-03-29 10:42:25 +08:00
丢个骇客的分析链接: http://www.hackdig.com/?03/hack-2497.htm
|
|
72
anonop 2013-03-29 15:38:32 +08:00
V的解释有点避重就轻吧,V的解释起码证实了他的图背景是来自维基maping,从两张图相似来看,V使用的源代码和API可能是维基maping使用的(tracemedia.co.uk),而V的80W数据是叠加在上面的,所以大海里有点,我的疑问是:
1,维基maping可以自己生成图(大家可以去试试),它的限制是最多80万个数据,V这个说对了,大家也可以去题图的左上角看到这个限制;问题是,最多只能有80W数据,V的IP就有80W了,那维基数据点在图上有多少了?从两张图相似来看,维基数据点占的比例不小,那我就不明白V用这张图想说明什么问题?大家分不出来哪些是他的,哪些是维基的? 2,有人说了,他可能是直接在已有的维基图上叠加的,我在想V为什么要用这张和IP根本不相关的维基图作为背景来叠加?V这么强大,厉害,为什么不在一张空白的地图上显示他的数据?我想手头有80万数据,画在一张空白地图上,现在应该不是件难事吧? 再看看博主提到的internetcensus2012.bitbucket.org 项目有类似的图,这项目的图和V的图有两个明显差异: a,这项目的图大海里非常干净,点很少 b,大家可以观察新闻/旅游热点地区,比如古巴,西非,苏丹,马达加斯加岛,阿富汗,朝鲜。这些地方的维基条目很多,但是在线的机器和IP是相对较少的。这些两张图里对比很明显。我觉得这项目的图是合乎网络现状的,而V的图是合乎维基的 很明显这项目图是用自己真实的数据在一张空白地图上画出来的,是符合网络现状的。 |
 |
74
glume 2013-03-29 23:16:26 +08:00
办公室环境有一句俗语:明白的人不说,不明白的人到处乱说。但出于希望了解高端黑的心理,还是愿意听到一些示例来明白到底能黑到哪个地步。用社会工程学+技术能做到哪一步。传说中进出NORAD如自家后院,操作隐藏卫星如自家服务器?
|
 |
75
iambeginner 2013-04-06 22:36:41 +08:00
|
 |
76
Neoth 2021-02-04 08:53:01 +08:00
2013 年比较轰动的一片「伪纪实文学」《中国黑客传说:游走在黑暗中的精灵》
本文看似黑客无所不能,其实,真正影射的是这个「网络 /数字时代」,Big Tech 网络 /数字极权 /霸权的「制度化」崛起的充分&必然。 现在拿来回顾一下,对人类文明走向深度反思~没有障碍。 |
Select Language