先曝光一张黑客全家福
左起:
余弦,知道创宇第X号黑客。微信公众号「Lazy-Thought」,知乎账号“余弦”。黑客大会总负责。
Tombkeeper,腾讯“玄武”安全实验室负责人
蓝色di雪球,新浪微博安全团队安全工程师
redrain,360 网络安全攻防实验室安全研究员(黑色产业链揭秘者)。“资深赛棍”,喜欢各种 CTF、WarGame;渗透师,专搞各种工程师。集 Web 狗、渗透狗于一身,擅长于各种主流,非主流入侵手段。
冷风,天融信阿尔法实验室安全研究员
Evi1m0,知道创宇安全研究员,邪红色信息安全组织创始人,HackerSoul.com 发起人。
黑哥,知道创宇首席安全官。
下午的压轴演讲是redrain的《藏匿在黑暗世界的利益链条》,本文根据现场录音整理,未经作者确认。
钱是好东西,谁不希望有钱啊,我要是有钱我就出任CEO抱着白富美啦。但是金钱不是丈量黑客能力的标准,我们有能力,但是不是互联网空间的屠夫,不能把网民当做猪肉、白菜一样,放在互联网上赚钱,这与我的价值观不符。我们可以很牛逼,我们就是很牛逼,但是我们不会用牛逼的技术赚黑心钱!
这是今天我要讲的一个目录,会简单说一下什么是黑产这是WHAT。然后是黑产的一个流程,我今天披露这个流程,不是教大家如何操作而是告诉大家如何遏制,这是HOW。接下来我会举例介绍黑产技术,这是WHY,然后会讲一个现在未成产业,未规模化的一个东西,但是影响力非常大,而且相当牛逼。最后希望大家勿忘初心,保持自己的本心。
首先看WHAT黑客产业链,它来钱很快,可能我们做安全的研究人员,做到底月薪5万已经
非常高了,可是人家一个星期赚了你一个月的钱。
补充一下,妹子的肉鸡要比男生的肉鸡贵很多,你懂的J
比如我做了一个博彩站,我要把它推广出去,我要你们都成为我的用户,这是推广方式;知道了我的博彩站,但不一定是我的用户,所以我要想办法把你们转化成我的用户,最后才是盈利。
网络博彩一般分3个层级:
(1) 出资方:大老板,出钱,购买、代理博彩平台
(2) 运营方:优化、代码整改、上线
(3) 黑客运作:通过各种各样方式,比如入侵一些服务器,把权限稳定住,往里面加些博彩关键词,比如“赌博网”“世界杯”“足彩”等。然后做优化的人再把已经入侵的站点往搜索引擎上推,一推你就会发现,有时当你搜索一个很正常的网站,比如中国站长网(chinaz.com),你发了一些博彩信息,难道站长网还做博彩吗?不是,是网站被入侵了,被黑客植进去的,就这样chinaz.com成了某个赌博网站的导流入口。
老用户的转化是这样,比如有一家运营已久的博彩公司叫ABC,我新建一个网站也叫ABC’,所有关键词设置与ABC一样,用户搜索关键词时无法分清哪个是ABC哪个是ABC’,这样就把部分ABC的用户或潜在用户导入ABC’了。
接下来看如何盈利?
前几年很流行,现在没落了。举个例子,去游戏厅玩,如果你有很多游戏币,可以存在卡里,淘宝上很多商家在卖这个破解服务,可以修改你卡中的游戏币数量,退更多的钱出来。
GNUradio是开源软件无线电,非常非常棒的一个项目,麻省理工大学的一个项目分支。目的是为了解决边远地区无法通信的问题,在基站覆盖不到的地方,用这个设备可以做一个基站,实现GSM通信的功能。这个项目被黑客利用后,就能很顺利的做出伪基站了。可以伪造任意号码发任意内容。如果安卓手机接入伪基站,黑客就可以在你的手机上静默安卓软件,神不知鬼不觉你来参加个大会,手机就已经被控制了。
可能觉得有点伤感,互联网空间真的是那么不安全吗?真的是那么可怕吗?
不!有那么一群人,他们真的很伟大,他们在默默的贡献力量坚守自己的价值观,可能你们都不知道谁在做,他们真是无名英雄,非常的棒!
屠夫们把和谐黑了,我们做安全服务,攻击溯源,把坏人找到。
他们做非法推广,我们更新收录,更新排名规则,把推广上去的站全都K掉。
我选择做一个黑客,只因为有趣,我不需要用钱的多少证明我有多牛逼,我只觉得它很好玩,我喜欢hacking,我爱hacking,所以我要做一名黑客。