老电影里有这么一句话:“叫做悄悄的进村,打枪的不要。”这句话一度成为学校里互相取笑的语言,但是很显然,这句话适用于所有需要偷偷摸摸做的事。
所以与大多数文学作品中描述的不同,这一次攻击并不是轰轰烈烈的,除了参战双方以外,并没有太多的观众,甚至可以说根本没有观众,因为任何一次攻击,发起者都不可能事先通知对方,以堂堂之兵对煌煌之阵的事,我们老祖宗几千年前就不干了,西方人开化晚一、点,也就能追到中世纪,到三个火枪手的时代,面对面的决斗就已经很少见了,等到那个用水深做笔名的大作家的时代,就已经演变成了一种很时髦的游戏了。所以像很久以前那次被媒体热炒的五一黑客大战,最后除了变成一个大笑话,就什么都不是。
攻击虽然是在今天才突然出现,但是只前的嗅探工作,早就已经开始了,《人世间》安全组的巫师们本身就是优秀的网络安全从业人员,当然敏锐的从这些看似毫无联系的接触中发现了问题,不然也不可能有半个月前的那次安全会议。这么长的时间过去了,se等人也没有闲着,至少已经从自己的渠道了解到了对手是什么人。
随着网络商业的蓬勃发展,网络安全的主要战场早已从初始阶段的国家机构网站,转移到了商业机构,必竟这个战场利益更加丰厚,危险性相比起来也要低得多,必竟你在白宫的页面上挂上自己的头像看起虽然拉风,却根本不能当饭吃,运气好的话倒是能尝尝著名的窝头是什么味道。军方搜刮黑客那只是传说中的事,这么胆大的家伙,首先一条政审就过不去。所以说来说去,还是商业战场上比较有钱途。比较有名的案例就是中国大陆版网游《传奇》源码泄密与windows源码泄密这两件事情,虽然从后来的种种迹象,很多人认为windows的源码泄漏是一场炒作,用basce不是不能写系统级代码,可至少世面上流行的编译器效率不怎么样。但是当年一夜之间遍布网络的《传奇》私服给运营公司代来的伤害,似乎从一个侧面证明了这次泄密门的真实性。从那个时候开始,窃取当红网游的代码就成为了一些黑客组织的谋生手段。
thecrack就是这样的一个松散的组织,这个组织的成员来源于世界各地,也并不固定,相互间通过网络联系,这一点与其说与《人世间》巫师们的工作方式很相似,不如说这是所有通过互联网络相互联系的officer们的主要工作方式。有风声说这一次有人出50万美元购买《人世间》这款世界第一网游的关键代码。
干过逆向工程的人都知道,对于一个程序来说,作了关键性代码之外,组成一个程序更多的是界面控制以及容错处理,这些东西用起来必不可少,但是在程序员的眼中却是可有可无的——没有自己也能加上去。而对于一款网游的服务端来说,体积最大的部分是相关数据库支持,而数据库结构也是可以从程序段中分析出来的。事实上,几乎所有的程序员都知道不能在程序中使用明文存储用户id和密码,但是真正严格做到的连一半都不到,更不要说使用加密后的数据库连接字符串了,所以大多数时候,对数据库操作的sql字符串在程序中都是明文的,更别说存储过程在加密方面的先天劣势了,thecrack的工作其实很简单,就是拿到客户需要的关键代码,然后通过自己的修改、补充,让这份代码能够可以运行。当然只是可以运行,就算目标的网络安全做得像个漏勺,想下载什么就下载什么,也未必能够把整个服务端都下载下来,网游的服务端必竟不是客户端那么简单,晦涩一点的程序安装的时候甚至需要经过专门培训的专业人员来进行。所以thecrack有专门的人来做这种修补工作,而逆向工程也从来都是属于计算机安全范畴之内。
不过逆向程序员们必竟不是正统的程序员,他们的工作只是让程序可以运行,至于安全性和稳定性就不在他们的考虑之内了,反正不论想要拿到这些东西的买家出于什么目地,这些东西都是见不得光的,做私服虽然比较爽,钱途却未必看好。
拥有强大安全力量的《人世间》巫师们既然知道了对手是谁,很多东西自然就知道了,每个行业内部都有自己既定的操作规程,官面上的叫法是行业规范,其实就是业内人士总结摸索出来的规律,有些是不这样作不行,有些则是不这样做就需要多费力气,提高了成本。别以为行业规范的目的之一是提高进入门槛,就会有人人为的在行业规范里设置障碍,那是技术垄断的活,行业规范的目地是保证生产质量、降低成本,如果有人为的障碍,那么业内人自己就会绕过去,一个没人遵守的行业规范还是行业规范吗?
女婿小说