看来,坚持频繁更新blog的确不容易。近期把生活和工作的各种事项基于目标的优先级理了理顺序后,blog就让位于其他事而被一放再放。
Security救火工作是有趣的,但“多线程”救火,就令人偶尔头大、让black guest发笑了:以我这个不太勤劳的人为例,每年230天的工作时间里,发送的工作Mail稳定在2,000封左右,记录的Technical log数量有2,200笔,收到的内部安全相关Thread超过20,000个(在像MS这样的主要依赖于Exchange+Office工作流的公司里,来一次如MS08-039的CSRF,会引起更大破坏)。放下这分布式flood的事情,不用说blog,就连对家门口万头攒动、“直逼情趣内衣展”(语自J.Y)的ChinaJoy也心有余而力不足了。
和鲸粪研究者、大象绝育师一起,MSRC被列为2007年世界十项最糟糕工作之一
刚刚又发布了针对近期发现的Word 0day Targeted攻击的安全通告953635,同样还有一个缓解措施没有提到,就是使用Forefront Client Security防病毒软件(如下图)。然而这款软件目前并不流行,请正在使用Microsoft Office Word 2002 Service Pack 3的用户,可以考虑使用Microsoft Office Word 2003 Viewer Service Pack 3来打开陌生的Word文档。
此次发现的攻击事件和昨天发布的通告并无直接联系。针对昨天通告中涉及的Access Snapshot ActiveX缺陷利用,在接下来一段时间内可能会从针对攻击演变为大范围的挂马。对于没有使用Vista+保护模式的IE7用户来说,请IT管理员及时在域内分发Kill Bit策略。
这个该是让印度都慑于我朝天威而有了Great Wall的作品之一吧
近十天生活工作很忙,没来这里。生活里不只有工作,工作里也不只有security,经常也这么提醒自己,以免自己像过些天发布Beta2的IE8那样,差不多把security当成了努力的全部内容,对IE8来说理应如此也相当可圈可点,但对于个人,如果眼界看不到security以外的东西,或者只停留在“视而不做”的层面,那我可就真的要在真实生活中做很white的guest了。
今天发布了关于ActiveX Control for the Snapshot Viewer for Microsoft Access的安全通告955179,和过去一些通告的发布原因类似,这次也是因为发现了targeted的攻击行为。Sowhat说闭眼就知道是天朝高手所为,我并无直接证据,不过至少,对如此有胆魄携单刃剔骨圈day在列强的GOV家局域网里做俯卧撑的行为,我是断然不敢理直气壮驳斥列强的谴责“是毫无依据的”。通告里提到了几个缓解措施,比较有用的还是Kill Bit,还有一个没提到的缓解措施,就是用保护模式的IE7,可以抵御已有的攻击行为。
其实BG一个多月前已经功成身退了,不知一些老8卦比如沃卓斯基兄弟导演的短片是否还不让外放。无论怎样,这样的一生在我等外人看来真的很圆满了。
(Illustration Updated on 06/28)
Welcome to the real world
Looking Back, Moving Ahead
凌晨发布了Security Advisory 954462,还是面向IT Professional人士、关于防范SQL注入攻击的建议。这篇Blog昨天中午准备好了,不过看到SWI和诚云的Blog都提到了,就删除内容不再赘述。考虑到这是一个MS的SSIRP,因此每个Team都会发布相应信息,再加上很多网站已经深受注入挂马之扰,我这里做个体力劳动,把相关Links紧凑罗列一下,希望引起更多ASP Developer和IT人员注意做好安全防范。
你可以看到,面对缺陷利用,作为软件厂商的MS技术上所做的,依然是守和堵---一定程度上是技术所限。这次的文章很前瞻出彩吗?No,工具很巧妙精悍吗?No,不过每个工具和文章都是“不懂创新却坚持为有价值的产品不断更新”的MS的缩影。相比于一些厂商或者专业安全厂商等,这样的努力的确微不足道,比如来自于Linux社区的“Vista终于达到了Linux 1995年的安全设计水平”。只能说MS十年的努力是“做了正确的事”,相信确保了态度、方向是正确的基础上,坚持摸索、向专业厂商社区学习并持续更新,工作就会离“正确的做事”更近一些,脚步会更快一些。
很多时候能够往前进,不在于自己有能力做什么,而在于清楚明白自己该做什么并行动
重新发布不是第一次,前天看到内部在讨论也只是扫了一眼没细看,现在真的大汗了一下,这个重新发布实在是该受BS,谢谢TK和Sowhat,没有Bin Diff就不会发现此问题。缺陷自身是内部发现、内部修复的,却最终也因为发布人员的疏忽在XP SP2/SP3的Patch上犯了可笑的错误。这个错误也许会是安全科普8卦史上的经典案例,从此若其他厂商有类似错误,不必太过羞愧或自豪,因为你已不是第一了。
本周对“吹气球”的LL表示感谢,虽然稍显保守,不过QZ也稍豪放了些吧,这边正在Fix几周前相似的Privately的Report,那边就“发了发了”。
这里非正式地套用a7的话给多数不认识的朋友:
假如你偶然发现、或不慎检到了别人丢出去的MS圈day,你可以丢封邮件到这个信箱里。作为回报,第一个提供圈day样本并协助我们暂时保持低调的,我们会对你回赠,如首先得到Fix,公告上署名感谢,免费参加MS活动,赠阅书籍等,目前虽不多,但相信在我们的努力争取下这样的回赠会越来越多,因为只有这样才足够尊重你的付出。在发邮件的时候提供什么信息?请参考这里。补充一句的是,我们并无权利要求,你更无义务约束,这里不存在可见的、短期的利益交换。事实上,也有一些折中的、对双方都还好的方案,你也可以考虑。
一周人物LL,你们的杂志不错,继续下去,支持
昨天同学从他老家---有“中国杨梅之乡”之称的余姚带回一筐杨梅,与人分享后还有剩余,酸甜大小适中,于是洗净、晾干、买来几斤高度老白干浸泡,简单,无需烘焙蒸馏碳化泥炭过滤等复杂工序,一个月后便可做为消暑缓解肠胃不适的中度果药酒。至此,家中藏酒品种数量已经足以接待宾朋一年之需,随心任选口味,但无白酒,少甜酒,多烈酒,可自调,也可略加冰纯饮,豪饮可用口杯,细品可选宽口。有朋自远方来一定以酒接待,不必昏暗酒吧,在家、天台、草地都好,小酌即可畅怀,无需豪言壮语,不必意气用事,无拘谨,不过火。爱酒非嗜酒,更非酗酒,心情不好滴酒不沾。适度、分享、畅谈、互尊、积极,才是对得起了这微醺的畅快和美妙。
借这里我们的实习生之一Liang把Rootkit实现习作晒出来,程序测试运行在Windows XP SP2上。除小部分涉及利用Windows或HIPS商业产品中潜在设计缺陷实现隐藏或者逃避的技巧代码已经隐去之外,完整代码可在下面下载,如有指正、交流可以通过chenliang0817@hotmail.com与他取得联系。Liang对习作的简单介绍如下:
Win32平台下的Rootkit习作 Codename: Zion by Liang
Zion是一套Rootkit攻防函数库,我(Liang)负责全部的攻击部分,检测部分由另一实习生同学完成,能够躲避常见的安全检测工具这是本次练习中的关键任务,针对这些流行的内核级Rootkit隐藏技术,我一一对它们进行了实现。用户可通过命令行输入特定命令,达到特定的隐藏目的,效果图如下:
目前的实现包括:
A 挂钩系统服务描述表隐藏进程与文件
用户可在用户模式下自定义挂钩函数,放在缓冲区中传入内核态。进入内核态后,程序分配一段非分页区存放该例程。利用这种方式,即使检测软件发现了SSDT HOOK的存在,也无法得知该HOOK 例程属于哪一驱动模块(因为分配的这段非分页区不在任何模块的地址空间范围中),达到了其隐藏目的。因而是本次练习的一个亮点所在。
B DKOM方式隐藏进程、驱动模块
对于DKOM,没有很好的创新思路,唯一的原则便是分析检测工具的原理,然后制定相应的执行体对象修改方案。在隐藏驱动以及注册表部分可以绕过ICESword检测。然而,IceSword检测进程使用了四种不同的方式,其中直接搜索内存的方式无法通过DKOM方式绕过。
C 驱动派遣例程挂钩方式隐藏网络连接信息
在《Subverting the Windows Kernel》中给出了隐藏TCP连接的示例代码,本次练习中我在此基础上对其进行了完善,使其能够绕过一些Anti-rootkit如IceSword的检测(原版并不能绕过),并增加了过滤功能(例如用户可自定义需要隐藏的ip信息与端口,操作非常友好)。另外,逆向了tcpip中查询连接信息的代码,分析出UDP的相关查询结构,实现了UDP通信的隐藏。
D 文件过滤驱动实现隐藏文件或文件夹
修改自Winodws DDK的Sample Code: Sfilter。 删去了很多功能:例如,动态绑定卷等。 这种方式与驱动派遣例程挂钩原理类似,并没有实际意义,仅仅为了Zion的完整性而加入。
E 挂钩注册表储巢查询例程实现注册表隐藏
参考Pediy的《也谈rootkit 注册表信息隐藏》。
F 对检测工具的一点总结
无论是Cross-View检测技术还是扫描内核代码检测Hook的技术,要确保检测结果的正确性,就必须保证检测所采用的技术比Rootkit本身更底层。而Zion Rootkit之所以能绕过IceSword对内核模块、端口信息、注册表的检测,正是因为在隐藏手段上,Zion使用了更为底层的技术。
从本质上讲,内核态Rootkit之所以存在,是因为Windows为了提高查询操作的效率,在内核中预留了许多冗余信息,例如:Windows采用遍历EPROCESS链表的方式枚举进程,然而CPU调度的最基本单位是线程,断链EPROCESS并不会影响到CPU对线程的调度。如果检测工具能够找到CPU调度线程的真实链表对其进行枚举,那么得到的结果必将是准确的(这里排除了Shadow Walker这类Rootkit技术),因为一旦Rootkit断链了CPU调度线程列表,那么被断链的线程将永远得不到执行,这种操作应当视为“删除”,而非“隐藏”。
可以这么说,运行于Windows内核级的所有检测技术,永远是不可靠的。必须比内核级Rootkit优先级别高,才能真正实现可靠检测。将操作系统以虚拟化模式运行,在其之上进行实时监测,是一种比较理想的方法(如North Security Labs 推出的Hypersight RD),因为在这种情况下,Rootkit理论上不可能知道运行在其之上的检测程序的存在。(但是,对于目前最新的硬件级Rootkit,这种检测方式也是不可靠的。比如Bluepill Rootkit) - END by Liang
家住磁悬浮和国内第二的干部学院(浦东新区“前程路”99号,靠近“锦绣路”)之间,经常会看到人民警察警备戒严,确保来往于此的公仆、名门望族、豪门权贵的安全---也理应如此。不过半小时前是第一次了解到红绿灯原来只是教育给老百姓的,懵懂无知的我和一干遵纪守法群众看着绿灯过斑马线时差点被突如其来的高速行驶闪灯车队撞上,而车队丝毫无减速刹车迹象。同人不同命,可以理解,并无需怨天尤人,积极生活努力工作便是,但车中前台后台迥然不同的公仆,着实让我等主人翁自责。
慎重“呯”论,关我什么事,我出来买酱油的
自从Snort采用有偿Rule服务的形式以后,不知国内还有多少厂商和客户在“用”这个采用“较古老”的低效率规则匹配方式的轻量级IDS。昨天早上看到Snort VRT宣布发布了针对六月微软安全公告的Rules Update,其中包括针对MS08-035的检测(GID:3, SID: 13835),于是晚上搭了DC+Snort 2.8的平台尝试自定义一个Rule来匹配这个D.o.S Exploit Code。很不幸,测试下来我并不认为这个Exploitation code可以通过Snort的单条Rule实现有效检测,并且其误报率一定会很高,因为这样的攻击流程事实上是基于正常的LDAP访问(发现者也是无意中发现),形成了一个表面看起来的普通Crash(但引起了LSASS的某模块出错,属于Security Bug),而且这样的攻击并不总能成功,成功的前提还需DC本身的使用情况配合(非配置情况),因此即使存在一个这样的IDS Rule,也应该只是一个潜在恶意攻击尝试(Attempt)的报警。或许我有误,打算过一个月用注册账号下载免费的Rule看看他们是怎么做到的。
MS08-035是由发现者在做程序coding过程中无意发现的,最终却是由这家公司的一名网管因为出于对安全的警觉而报告给了MS,我想这种警觉一定是来自于网管在一线工作中对攻击场景的敏感和意识。这几天的出差,也再次看到了一线人员有益的安全敏感。这是MS在华的第一个XXXX项目,我参与其中做了些并不太擅长的ASP .NET平台的代码审计和安全评估工作,目前该Anti-Injection&XSS做的还可以,对常规的黑盒攻击场景也进行了评估和应对。即使如此,在讨论时客户的一线人员仍然提出了不少的安全顾虑,尽管这些顾虑中反映出的攻击场景多数属于Missions Impossible for Hacker或者甚至是错误的,但这种“想象”出的攻击场景还是给了我几个不错的提示,特别是在合法用户的滥用行为审计上。
安全问题为什么一直存在,或者为什么说bug是软件的属性之一?不是为软件厂商推脱责任,而是原因的确很简单:人不是万能的,即使一“万”个人也不是万能的,“万能”即“无穷”,只有人“敏感与意识”之上的“想象力”才能与之划上等号。因此尽管安全的攻击与防守只有量变而没有质变,这项工作也因为不断挑战了攻防双方的想象力而充满了乐趣。每当看到新的漏洞报告时,常有一种我们是在和"艺术家"合作的感觉。
"艺术家"们:Tell us,盲测式漏洞挖掘是不是一个充满"艺术"、"灵感"和"激情"的过程?
这一期依然几乎是面向IT Professional的安全专刊,Security内容覆盖如下几个方面,建议负责Win平台的系统管理员打印出来,可以做为卫生间休闲读物:
上面最后一篇文章辩论的内容集中在重命名管理员账号是否有安全价值:“根据Wikipedia中的注释……经常可以看到一些人遭到嘲笑,重命名管理员一类的努力被否定为'只是通过隐匿性来实现安全'。简而言之,通过隐匿性来实现安全违反了 Kerckhoffs 原理,该原理认为应该靠系统的设计来确保系统安全性,而不是让攻击者无法知晓系统的设计来确保系统安全性。Kerckhoffs 原理的基本前提是秘密迟早会被揭开。Windows NT® LAN Manager (NTLM) 身份验证协议就是一个很好的例子,该协议最初被认为是设计机密。为了对基于 UNIX 操作系统实施 Samba 互操作性产品,Samba 小组不得不对该协议进行反向工程。结果导致有关 NTLM 最完备的文档全部泄露,同时也发现了许多错误。由于加密产生了太多安全性问题,并且很多机密设计也被揭示,因此很多安全性实践人员都认为所有信息安全性都应遵循 Kerckhoffs 原理。" "通过隐匿性来实现安全总是有害吗?” 这个疑问可在卫生间阅读时找到答案。(我始终认为文章若能被做为卫生间读物是作者的荣幸)
考虑一下上面的highlight部分,内存保护中的几个Cookie和地址空间随机化的引入也似乎违反了Kerckhoffs原理。不过还好事实上并没有违反---逆向得到Cookie值的选取机制也无法改变值随机分布的现状,而且起码,Windows系统的安全增强远不止Cookie和随机化这么多。这个原理也反过来再次证明了一切Rootkit都是纸老虎。过些天,初涉安全不久但进步快速的我们的实习生Liang,会把自己的Rootkit SDK文章代码放在这个blog里,其中有几个不错的Bypass主动防御和Rootkit Detection的亮点,之所以公开也符合Kerckhoffs的原理:让Rootkit的秘密揭开的更深入,并且Rootkit的秘密或者说被多数人守口如瓶的秘密,都是经过深入研究而结论却显得是一点即破的技术技巧---事实上多数的安全攻防都是如此。届时欢迎指正。
PS: 此刻上海正经历暴风雨,三分钟前是我第一次看到滂沱大雨在非台风状态下并不直落,而像云雾般急速飞舞、悬浮、逆升。
免费的Technet杂志不知国内有多少人订阅,其中不乏精彩文章,而且有中文版
以前谈到过第三方软件中缺陷的引入,可能成为影响Windows特别是Vista平台安全的短板之一。这里说到的“引入”,除了我们常说的由软件自身编码缺陷和未经安全编译使得系统保护形同虚设而导致风险引入之外,还有一个现实状况是由“打包”(Package)引入。
大家熟悉的典型案例,是过去某IM在一段时间里因继续保留存在缺陷的RICHED20.DLL而导致了不少安全事件的发生。也许是这件事情并没有引起过多厂商的关注,类似的情况依旧还有,最近的例子大概就是某流行软件最新的安装文件依然包含有115的控件。希望下个周二/三那天,某某流行软件可以关注一下,在安装包和更新包里更新一下修复了安全缺陷的Made in MS的组件。毕竟,MS已经弥补的错误,不能连累了别的厂商。
看到同事用的Windows Server 2008 Robot屏保,挺有意思,加上: [1] [2]
本不打算再借blog闲谈了,做为偏重于技术的人闲扯,多少有点不务正业的自责。不过看了Swan博士的非马戏团blog后,我觉得我还是相当恪尽职守的,虽然博士的*Q让人感觉有些受挫。前天又参加了JA的志愿者活动,再次误人子弟般和一些优秀的学生谈了就业等话题,聊聊这些年经常和毕业生们讨论的一些东西,谈到了我在MS由于面试人通过率很低而被“逐出”实习生面试官队伍等,也再次得到演说最有感染力和“听得爽”的评价。下面借这里给还没有走出校园的非博士们记录一下,不敢说面试和工作建议,权当tips,希望能够仔细读完,如果能对少部分学生有所帮助,就可以了,起码,这是我几年的真实感悟。在我毕业那会儿,如果有人给我这般提示,我也不会后知后觉,所幸,下面的这些思考帮助我度过了刚开始的几年工作生活,并没有让我太跌跌撞撞。错与非在所难免,所以请不要客气尽管指出不当之处。(下面的言论,原谅我以“你”直称)
- 在校生,相比于工作过的,是没有“过去”的人;
- 你要做的,是在毕业前,尽力为自己写精彩的“过去”和“背景”;
- 人生是一个长跑,其实是没有阶段的,不要人为划分为童年、少年、高中、本科、研究生、博士、毕业等阶段;
- 毕业并不是新生活、新阶段的开始,而是早就被你的“过去”基本决定了的;
- “过去”,不是你经历过什么,而是“你有什么”;
- 简历上写的所有课程、参加的活动,是你的经历,而不是“你有什么”;
- “你有的”,一定是独一无二的,是每次学习、每次活动带给你的思考、感悟和执行力带来的结果,你所经历的,一定会有你自己的思考和感悟,请用简短的话写出来;
- 简历虽然是一张纸,但背后是几十张纸的感悟,对每一个“你有的”,总结出15秒钟、30秒钟、3分钟的几种答案,随时准备给面试官听;
- 求职意向中如果多于三项跨度很大的岗位,虽然让我明白你爱好广泛、能力不错,但我难以认同你对一项事业的执着,起码在几十分钟的面试里;
- 当你对很多事情感兴趣时,其实并不需要每一种都去尝试,多与曾经尝试过的朋友沟通,这是一个节省时间并增强你对人、对事进行判断的机会,因为你会从一个小时的交谈里学习到朋友在一个月甚至一年里的亲身感受;
- 当别人告诉你一件事或者未来有多么多么艰难时,请想一想小马过河的故事;
- 不要和95%的人比,树立自己是那5%成功者的自信;
- 如果你发现你的简历和95%的人雷同,那你还没有认识到“你有什么”,你的简历,也就是你对自己的总结,多少是有问题的;
- 在毕业前,请弄清楚三个问题“你喜欢什么”,“你有什么”,“你想要什么”;
- 相比于“你喜欢什么”和“你有什么”,你的专业和未来事业的成功之间关系其实很小,这方面可以参考YG, FS和TK等等等等;
- 如果在面试前,你还没有找到“急于想要表现你自己能力”的迫切感觉,请及时反思、并行动;
- 自信,但不要自负,最起码你不会比面试官见过的所有人都牛,MS的面试官总会有理、有据而且有节的“难倒你”;
- “你有什么”和“你想要什么”,之间是差距,就是你要做的努力;
- 你现在每走一步,都是为自己的将来书写“过去”,也就是为实现“你想要什么”而铺平道路;
- 在努力的过程中,请“只做有意义的事情”;
- 一切可以延缓你的目标实现的事情,都可以归结为“缺乏意义的事情”,请不要放在心上,起码不要做为生活的重心而耗费太多时间;
- 当你发现时间不够用的时候,你已经找到“只做有意义的事情”的感觉了,因为你会发现只做有意义的事情,已经基本占据了我们生活的大部分时间,你的生活就不会有空虚的感觉;
- 善于思考,每日三省吾身,然后坚持自己的目标;
- 我们常说坚持,然而坚毅并不是一个人的品格特性,所有人都会有,而且和“盲目”一词毫无关系,坚持是一个人善于思考、通盘考虑的结果,因为他深思熟虑后知道,自己只要坚持做有意义的事情、及时修正和完善,就终有收获;
- 我们也常说“只要有1%的希望,就付出100%的努力”,但是,当面对你的新梦想、或者外界诱惑、或者他人对你的承诺时,请慎重考虑,特别是当你发现这种梦想、承诺实现的50%可能性并不是掌握在你手里,换句话说不是你通过努力就可以实现的时候,请放弃这个无谓的空想;
- 一个人之所以优秀,是因为够独立;
- 企业和学校完全不同,虽然我们(MS)非常乐意培养人,但不要苛求同事或者企业对你有“足够”的耐心,独立研究先;
- 最终当你工作几年后,回头看看自己的成绩突然发现自己基本上是靠自学,那是正常的,那时你会发现你已经独挡一面了;
- 当你发现自己都是靠自学才变得优秀,不要抱怨这个环境,不要抱怨没有强人可以帮助你,你至少要感谢这个平台;
- 一个人之所以成功,是因为善合作;
- 你可以独挡一面,但绝不会样样精通,请学会欣赏别人,找到2-5个志同道合、可以弥补你不足的朋友,你的成功才有可能;
- 如果你选择在一家公司打工,而非创业,请时刻做好“如果有一天这个公司被一把火烧掉了,我第二天就可以和这几个志同道合的兄弟们东山再起”的准备;
- 一个人成熟的标志,是学会感恩,回头看看自己取得的每个成就,是不是都包含很多人对你或大或小或有意或无意的帮助?如果你没有发现,至少想想你的父母兄弟;
- 学会对他人或大或小或有意或无意的帮助表示感谢,最重要的是及时付诸行动;
- 你可以选择“轻松快乐过活”,因为你不想有压力,因为你认为自己没有世俗的“欲望”,但你要有责任心,当想到你要感恩后,发现自己事实上承载了很多人的寄托时,请放弃这种“只为自己快乐而轻松过活”的想法;
- 如果你的某个奖项是团队合作的结果,请写简历时不要只写上自己的名字;
- 请务必树立“凡事只能靠自己”的想法,但并不是要你放弃与他人合作,而是时刻提醒自己不要有依赖外部“可能性”的侥幸;
- 请养成两个“一定”的思维习惯:“这件事失败了,一定是我错在哪里了”,“如果这个人比我成就(或职位)高,他一定有超过我的优点”;
- 如果你遇到一个你认为可以超越你的人,你会怎么做?我的想法和做法是:我求贤若渴,我希望我成为他成功路上的一个推手;
- 真诚待人,对待老师、同学、面试官、未来的同事,他们都有可能成为你的“推手”;
- 所有的面试官在聆听、查看你的表现时,在潜意识里都会有一条主观判断“我愿不愿意每天8小时和这样的人在一起工作?”
- 学会聆听,不要轻易否认他人的意见,特别是别人的感悟,对他人的感受不等同于他人的自我体会,人际交往成功的最大秘诀是什么?给人以快乐;
- 与人多沟通,尊重和平视他人,人最潜在的情感需求是什么?渴望被认可、理解和尊重,但当对方有严重的或原则性错误时,请及时指出,善于思考的人会感谢你;
- 面试官的问题分为两种,怀疑和好奇,请尽可能避免可引起怀疑的句子和话;
- 知之为知之,不知为不知;
- 很多时候,面试官表现出好奇不是因为他希望得到正确的答案,而是给你show的机会;
- 面试官追问不出问题的回答,不是好回答,因为你连show出你自己的机会都没有了;
- 成功的面试,是由你主导,而非面试官主导,因为好的面试官会善于挖掘你的优点,而你则早已是有备而来;
- 至少我,除了技术,还会在面试时和实习期考察以上你的所有方面,这是构建一个“和谐”优秀团队的基本要求;
- 最后,当你参加面试时,专心应对面试官的问题,暂时不要在乎结果,无欲则刚,人有欲望的时候却是最脆弱的,放下它;
推荐一首我很喜欢的歌:信乐团-海阔天空,歌词很好地阐释了奋斗、执着和感恩
上周六拜访了一位老朋友,看了他们基于开源的一些系统,有一个感觉越来越强烈:MS最大的对手始终是开源(Open Source)。尽管身在非开源的环境,但我始终对三种人表示理解:院士、砸蛋糕的和扔鸡蛋的,对开源有深刻理解的人,至少在感情上的确是无法容忍微软一类非开源厂商的,做出一些举动、发表一些言论都可以理解。下面借着这个话题随便闲聊两句。
软件即服务(SaaS, Software as a service),对开源来说更是如此。大家都可以想象到,开源战胜MS的那一天,一定是以服务取胜的那一天,然而这一天不会那么快到来,经历了2000年左右那段时期尝试“开源安全工具(免费)+安全服务(有偿)”模式但都又因种种原因被迫放弃的人都有深刻的体会。在开源战胜MS之前,有一天会提早到来,那就是软件客户端完全免费,大家或许已经注意到最早的那种模式已经转变为“安全软件(免费)+安全服务(有偿)”,当然,如果继续把软件封装在工控机箱内就另当别论。在这种情况下,很显然企业发展依赖于是服务的完善,呵呵,然而不少安全人员,总是不自觉的习惯于PK技术,这本无可厚非,但放在针对个人用户的、并且已经初现同质化问题的桌面级安全软件产品上时,就显得过于书生意气、舍本逐末的了。做为桌面级安全产品面临的主要问题,以完善服务消除同质化的影响首当其冲。
安全软件,对安全人员来说是得意的艺术品,站在普通用户的角度或者站在如我一样的实用主义者的角度来看,它只是玩具(电脑)上的一个部件或工具,站在企业角度,得意之处不是因为艺术,而是做出用户需要的部件和工具。关注企业发展就是关注服务完善,关注服务完善就是关心客户,关心客户就是关注于用户体验,站在用户角度想其所需才是心思重点,这道理很浅显而且都明白,却是知易行难。和机器打交道需要的是技术,和人交往需要的则是技巧,我们却偶尔会因为对技术的热爱而过于习惯性只用技术的技巧和人打交道,多少忽略了正常的人际交往和对客户需求的了解,久而久之会不会造成事实上的滞缓了行业的发展呢。撇开技术深度来看这一波波由国内潜水几年的人士发起的攻击,其力度“进步”步伐是如此之大,行业的发展却依然缓慢,我们如果眼界仍只放在对细节的偏执和争论上而忽略对行业的思考,于己,激情难免消失,于行业,无积极推动。做为中流砥柱、初尝螃蟹的圈子内的“前浪”勇士们如不时刻提醒自己这一点,这个圈子里的人再增加,在微观世界里技巧PK得再热火朝天,各个都个性十足,只怕最后只能是一浪接一浪倒在沙滩上。(泛指的行业事,含MS和我,听者勿怪)
贴近用户的安全保护,有时候不必高技术含量,却是最值得花时间思考的
