第四十四章 困境与机遇!
陈国泰看着刚刚测试出的SM2漏洞,内心的震惊甚至超过林耀。
在网信工作这么多年,他对于这种级别的漏洞所能造成的危害比任何人都清楚。
而且这个堆溢出BUG的易操作性极高,一旦被人发现,可以预想传播速度会有多快。
自从搞清楚Lazarus黑客组织的渗透目的和手段,网信的工作人员就一直在寻找他们可能利用的算法漏洞。
但谁也没想到,他们找了那么多久却一无所获漏洞竟然就隐藏在OpenSSL自身的解密格式里。
网信部门大部分一线工作者都是身经百战的白帽或者像老陈这样曾经叱咤风云,晚景从良的黑客。
论技术和经验大部分人都不会输给林耀,但黑客靠得从来不是所谓的经验。
甚至不是单纯的技术,而是在技术基础上天马行空的想象力和抓住瞬间灵感的反应力。
在那个最初确立80字符标准的年代,程序员需要用打孔机在纸带上完成编程。
那是对记忆,创造,想象力的巨大考验,不夸张的说那时候的程序员很多甚至没有见过计算机,但依旧可以创造出无数可以电脑上顺利运行的程序。
直到后来最底层的汇编语言出现,然后是C.P.J等高级语言,他们把程序的设计逐渐简化。
到后来,写代码更像是做排列组合的数学题。
在成千上万的程序员中,能满足把自己想象出来的东西变成可运行代码这一基础要求的都少之又少。
而林耀在程序语言上的敏锐度连陈国泰都自愧不如,这种惊人的天赋也是他一直害怕林耀误入歧途的重要原因。
“这至少是评级9.2以上的致命漏洞。”
老陈平复一下心情,根据以往的经验做出判断:
“这件事还不能曝光,明天一早我会及时上报。”
他看了林耀一眼,毕竟这BUG是林耀发现的,如果提交到SCR网站这个漏洞报告绝对能领到140万美金的最高级别奖励。
林耀也明白,如果他像当年的NeelMehta那样在网上公开这个漏洞,在运营商完成修复前。
这个BUG会被无数黑产盯上,到时候就不是一个Lazarus组织那么简单了。
像老陈说得,十年前的混战也许真的会再次上演。
“按照Lazarus组织之前的习惯,他们只要找到可以利用的零日漏洞就会连续进行攻击。
老陈你预计完成升级修复需要多久,如果不能快速铺开的话,只怕还会有很多企业受到影响。”
陈国泰叹了口气:
“这次他们瞄准的是商用算法,涉及的除了国有资产以外还有很多国外持股的大型企业。
说白了就算你告诉他们现在的系统存在巨大的安全隐患,他们也不可能让网信部的人接触核心资料库。”
林耀有些难以置信的看了老陈一眼:
“这怎么可能,你们对合资企业也一样有监管权力吧。”
老陈拉了把凳子坐在林耀身边:
“很多事没有你想的那么简单,我们当然有监管权利,但是也只是监管。
如果对方没有网络犯罪记录和现行事实我们也不可能直接介入对方的网络管理。”
“那他们就不怕遭到攻击吗?孰轻孰重难道他们分不清楚?”
林耀还是接受不了一个人明明知道有小偷觊觎自己的财产,却还要拒绝别人的帮忙。
老陈:
“你错了,他们就是因为太清楚‘孰轻孰重’才绝不会接受我们的帮助。
就拿这段时间一直联系你的燕山药业集团来说。
上次他们的资料被盗为什么不寻求我们的帮助,反而要花大价钱从外面找人。
对于有些合资企业来说,外资都是带着‘核心产业资料’入股的。
他们把这些资料的保密性看得比什么都重要,因为那才是他们最根本的‘利润’来源。”
林耀这才明白老陈的意思,不过他很快想到什么忙说道:
“白天我跟燕药集团的李俊见了一面,他手下的人明显是调查过我的。
而且看他的意思好像要通过我让你加入他们的防护系统建设。”
老陈露出一个意味深长的笑容:
“这是两码事,他们不想让网信部门介入不代表不想让网信的工程师们加入。”
“你的意思是他们想让你以私人名义介入?这样是违规的吧。”
老陈:
“几乎每个月机关里都有人被一些大企业挖走,这在我们这一行是屡见不鲜。
尤其是我这种以前做过黑客半路加入的老家伙是最容易被撬动的。”
“虽然我没什么兴趣,不过林耀我觉得这次燕药集团的邀请对你来说是一个机会。”
“机会?”
老陈走到窗边,点了一根烟这才不紧不慢的说到:
“现在国内的几家网安公司你应该都很了解吧,你觉得他们的实力怎么样?”
林耀摇了摇头:
“这几年国内网安公司的技术增速很快,但和国外相比还是有很大的差距。”
老陈:
“不是很大,是有着难以逾越的差距。
这么说吧,不管是大家提到比较多得聚能,光盾,晨星这些知名企业。
还是沉淀更深的天信和安中,他们都是合资或者外资企业。
他们的IDS和核心芯片技术都掌握在外国人手中。
而一些近几年发展起来的国资企业因为国内资源整合不足,立项的时候都需要国外技术大牛的参与。
可以说,我们国内根本没有技术全都完全掌握在自己手里的网安产品。”
这个情况林耀也很清楚,或者说国内所有涉足互联网行业得人都清楚。
国内的网络安全发展最大得限制不光是技术,还有难以完成的网络资源整合。
国内网络安全公司光收录类别就有13个大类,数量更是超过2500家,技术领域细分也极其分散。
大家各立山头,设置技术闸口让彼此的发展都要多走很多弯路。
可以说,国内互联网行业是最不具备“互联网精神”的行业。
而这不光限制了技术的进步,更增加了投资者的试错成本。
这就导致,资本只愿意选择那些兼容性更好的大型网安公司,而不愿意在小企业身上浪费成本。
从2010年到2023年,大洋彼岸的鹰国共有704笔与网络安全相关的投资,其交易总金额达到了122亿美元。
而国内的投资规模连这个数字的零头都达不到。
技术上的先天落后,和投资环境上的后天畸形,导致国内网络安全的发展一直出于滞后状态。
“这几年,国家一直在着手进行技术整合,想要打造一个完全属于我们自己的网络安全企业。”
老陈认真的看向林耀:
“林耀通过今天这件事,我觉得你完全有能力组建一支属于自己的网安队伍。
当年我带领‘行军蚁’没能完成的事,或许你可以试上一试。”