标题: 江海客与工大学子的通信 注: 本文为转载,不代表转载者同意原作者所有观点。 这里援引哈工大计算机学院信息安全专业04级学生陈天钰和江海客之间的通信: -------------------------------------------------------------------------- 肖老师: 您好! 我是工大04级计算机学院信息安全专业学生,近期我们班级准备举办一个黑客工具展 示的活动,我们想请您为我们做一些技术上的指导和策划。希望您能给我们帮助,谢 谢! 我们班的王耀同学曾经和您提到过这件事情了吧,知道您好像对这样的活动不是很感 兴趣,我今天写信给您只是想向您再介绍一下我们这次活动的目的及意义。希望能在 您的百忙之中抽空看完这封信。 先说说我们的班级吧。当初我们班的同学报这个专业,很大程度就是冲着“信息安全” 这个名字来的,我们对信息安全这个专业都有着非常浓厚的兴趣,我们也期望我们能 在这个行业中能有所作为,于是刚上大学的时候我们勤奋学习,第一学期我们班级的 成绩是全院最好的,但是在第二个学期,我们的成绩却出现了非常严重的倒退,期末 时我们的成绩在全院排在倒数几名,和全院第一的班级有很大的差距。我们在想是不 是我们在平时太少真正的接触到本专业的知识了,对自己的专业不再那么感兴趣了, 更没有了那种“我们是搞安全”的优越感,以前要是在别的同学面前提到我们是学信 息安全的,我们好像都很自豪一样,但是一年来的学习,我们却没学到多少这方面的 知识,我们感觉好像被信息安全骗了一样,我们不再勤奋学习了,更多的同学花大量 的时间在玩游戏、看电影、电视剧......学习全被耽搁了,于是导致了现在的情况。 以上就是我们班级的大体情况。这学期,我们选了一些新的班委(我也新官上任),我 们都很有激情,都非常想把班级搞好,非常希望我们的班级能像大一第一学期那样辉 煌,因此我们想到了这个活动,希望从这个活动中,大家能更多地了解一些黑客知识, 让大家对自己的专业能更加感兴趣,这就是我们的初衷。 听王耀说您提到了“工具狂”的问题,还有以前听您和孙志岗老师做讲座的时候,我 也听您说过一个叫什么“源代码抄袭狂”(忘记那个什么名词了,大概就是专门抄袭 别人的代码,然后弄一些小程序出来威风一下)。在这个问题上,我绝对支持您的观 点,作为一个计算机专业的学生我们绝对不允许自己仅限于能用别人的工具,能看得 懂别人的代码,我们应该拿出我们自己的东西,所以我们绝对要扎实自己的知识。 现在我想为我们的这次活动做一些“狡辩”。我高中的时候有一个同学,他不是学计 算机的,但是他对计算机有很大的兴趣,特别是对“黑客”之类东西他有着很浓厚的 兴趣。刚开始的时候,他是自己学习使用一些小软件,他也很有能耐,从51,唐悦等 人那里弄了一些工具来,然后自己钻研,自己又自学了dos、unix等,反正看起来好 像对黑客这东西很精通的样子,有时候我和他讨论一些问题的时候,对于他提出的一 些名词,我听都没听说过,我自己都感到很自卑,自己学计算机的居然被一个外行的 人考倒了,当然我也承认在某些方面他的确比我强。所以通过这个活动我们是不是应 该学到很多书本上没有的东西,扩大我们的知识面。 我们的想法就是通过这次活动,先对一些工具有一个大概的了解,之后再逐步地深入 了解更多信息安全的知识。 希望您能给我们一些帮助,例如某些工具的使用,使用某些工具后会照成什么样的后 果等等。同时也希望您能对我们的活动提出您的建议和意见,不论是好的还是坏的我 们都会接受和思考的。谢谢您! 期待您的回信! 此致 敬礼 -------------------------------------------------------------------------- 江海客的回信: -------------------------------------------------------------------------- 致信息安全专业同学们的信: 很抱歉这么晚才回信,无奈连日来的工作实在过于紧张,今晚返回北京,因此在路上 给你们写了回信。 你们的状况其实很典型,专业的优越感如果不加以良好引导,则会转化为失落和下滑, 大学生成长心理是微妙的,而其中比较可怕的是专业梦想的幻灭,这将是巨大的挑战 和挫折。 在今年招聘的过程中和武汉大学信息安全专业的同学们交流的过程中,我就感受到这 一点,一个同学说,直到大三,他才知道这个专业不是培养技术间谍的...... 想想我自己,当年带着对航天事业的神圣使命感来到了哈工大的自控专业,如果不是 因为某事突发了这种幻灭,不会改弦易辙选择做程序员的道路。我深知这种幻灭对人 的影响。 但同时,我也希望向你们指出的是,无论一个人高中时代是否很出色,其对专业的选 择和理解,都是幼稚而浅薄的。凡是在自己所选择的方向上有所发展的人,都无法不 经历过彷徨与茫然、反思与自新的凤凰涅磐、浴火重生。而这个过程其实不是仅仅依 靠校方的专业引导能实现的,要靠大家自己。 在此我要强调一下,我并不反对你们积极地投身于很具体的安全实践。我很不喜欢那 种只会纸上谈兵式的安全工作者,云晓春老师曾忧心忡忡的慨叹:“全国每年以入侵 检测课题毕业的学生这么多,却没有几个能完成一个规范的入侵现场勘查和事后取证”, 我深以为然。 对于你们的活动,我也是很支持的,信息安全专业的学生,如果连一些常见的安全工 具都没有接触过当然是不可想象的。当然我的确有一些担心,但这种担心不在活动本 身。而在于任何事情都有其潜在的结果。 我希望这个活动达到的目的是,增加同学们对信息安全的感性认识和理解,增强对安 全本质与体系的思考,增强实际分析问题、解决问题的能力,在成长为一个全面的信 息安全工作者的路上,打开兴趣的大门。但另外一些引导我觉得也是需要在活动中贯 彻的,那就是信息安全的全景视图和信息安全工作者的从业道德。 我过去批评过几类人,入侵迷、工具收集狂和bugtraq的fans。而这种人所以能大量 涌现,的确是相关的活动确实带给实施者以难以名状的快感。 从那些每日比拼着肉鸡数量、比拼着所进入的站点、比拼着所拥有的独门暗器、比拼 着自己所了解漏洞的多少的所谓小红客们身上,不知道你们是否能读出我的忧虑,这 些东西无不带给人极大的快感,这也是一个江湖,甚至这个江湖还支撑着一个地下产 业。但这里是不是一个信息安全工作者的正途?这难道不是一种狭隘而偏执的安全观 么? 我不禁想起周光召院士的一句话,只有纽约贫民区的黑人杀手才比金项链的粗细呢, 我小时候有些同学津津乐道的是他们打打杀杀的英勇,但他们并没有成长为大侠,当 然,也没有成长为黑社会老大。 信息安全技术是体系化和层次化的,我从不否认实际环境下渗透攻击和测试也是一种 艺术,犹如人的双手,重要、灵活,但决不是信息安全体系的全部。 如我在一篇文章中所说,说钱学森顶得上五个师,不是说钱老能手刃五个师的美国大 兵,而是说技术的价值。而确有一些人在说什么让博士和高中生各配一台服务器互相 黑一下,看看谁更牛,这就有如让钱老和美国大兵一对一掐一下,实在幼稚可笑。 而一些青年则确实乐此不疲,在这些重复的事情被以高度的热情和不懈的努力进行时, 信息安全技术体系进展飞速,安全产品走入整合时代,漏洞发掘走向对方法论的探讨, MD5算法被破解,而一些新的算法正在被构造。这也是一个江湖,一个真正庞大、深 邃、值得我们凝视深思并为之奉献一生的体系。 信息安全需要去避免浮华和虚荣,避免那种相互交流中变得虚泛和夸夸其谈,避免那 种可能因一城一地的得失、一两个新名词、一两个新漏洞的不知晓带来的沮丧,安全 是一个庞大的体系,2000年,我能就每一个领域和朋友们交流,但如今大家在一起的 时候,都变成如果不确实从事同一方向,基本无法深入到细节交流,这种分化本身就 是一种进步。 我在和高校信息安全专业老师们的交流中,我表达了这样一个观点,即信息安全专业 的学生和对普通计算机专业学生的要求应该是同质基础、更高要求,如果说一个计算 机专业的本科生能编写合理、稳定的程序是一个基本的要求,那么信息安全专业的本 科生要求就是编写合理、稳定、安全的程序。而不是现在我们所看到的一些认为自己 是“搞安全的”毕业生,居然写不出合格的程序。这一点,我的这个认识,我觉得需 要传达给你们。 一个信息安全工作者的成长需要深刻的经受寂寞的考验,需要经受诱惑的洗礼。 我转我以前写的其他两篇文章给你,可以提提你们的看法。并预祝你们的活动取得成 功! --------------------------------------------------------------------------