小榕是英雄还是败类

本文是一篇安全技术顾问的手记，并没有发表过，文中所谈到的是整个黑客、红客及安全技术联盟存在的问题，因为小榕在这当中的特殊地位，所以本文以小榕为一个评论点。然而，作者真正想让读者关心的是在文中谈及事件所说明的问题，而不是要激起读者对小榕个人的不满，所以本文绝对不是对小榕个人攻击的文章，而是一篇希望激起大家对中国网络安全深思的文章！ 
Internet从它在中国出现的那一刻算起到今天已有十几年的历史了，在这期间，IT产业从萌发到飞速发展再到今天一片萧条几乎破产，可谓饱经风霜了。而在网络世界里的另一批人也可谓几经变革，他们的名字叫做“黑客”。这个名字最早丝毫没有贬义的意思，它是指那些对网络有相当了解的计算机技术人才，他们可以在必要的时候从别人的系统中得到自己想要的东西，这与今天的恶意攻击者完全不同，可是在中国也不知道是怎么的渐渐的黑客就与恶意攻击者画了等号。 
言归正传，无论是夕日的“绿色兵团”还是今天的“红客联盟”。一说到小榕的名字，可谓无人不知，无人不晓。小榕无疑已经成为中国黑客或是红客界的代表人物之一。几年来，小榕也算是得到了不少的鲜花和掌声。支持者之多只要看看小榕的个人网站的浏览量就知道了。可是，有谁真正静下心来，仔细想过小榕都做了些什么呢？他做的事真的如红客们说的那样是一起在为中国的网络安全而努力吗？也许你想过，也许你没有，但是无论怎样，请先听听我个人的一点愚见。小榕等一类人，他们在现实中在做什么，我并不了解，可能也是安全顾问之类。然而，他们在网络上在做什么，我是看见的。如果小榕他们真的是在为网络安全而努力，那么他的个人网站就应该是一个有利于培养网络安全工程师的网站，只有当中国有更多的网络安全工程师的时候，中国的网络才可以谈安全，而不是更多的黑客。 
那么作为一个真正的安全技术网站应该做到什么呢？来看看专业的安全人士是怎么说的： 
①、 网站上必须有网络安全教程的下载及一些发现被攻击时的具体解决方案； 
②、 详细介绍防火墙的原理及实现； 
③、 给出安全软件的编写策略及原码（可以是部分）； 
④、 即使给出一些攻击性软件，也应该指出是用于安全漏洞测试的，最重要的是应该同时具体的攻击原理，最好同时有防卫方案及防卫原理介绍，而且对防卫软件的介绍应该更加的具体。 
以上四点才是一个网络安全网站应该做的。但是，小榕的个人网站做到了多少呢？人们在他的网站上看见的是大量最新最好的攻击性软件及使用方法介绍供人下载，并且指出是菜鸟一看就懂，立刻上手，但是却丝毫不给出防御的措施，就算不给，给出攻击原理也好啊，至少敏感的网络安全人士会立刻给出解决方案，这样可以缩短安全软件的开发周期。但是这也极少看见，或是无关痛痒的略点一二。根本是对网络安全不负责任。唯一看上去好象算负责的就是那句“劝告大家不要用本网站提供的软件攻击他人”，但是这样的话有什么用呢？有时反而更容易激起人们的兴趣。至于提供安全教程下载要么根本没有要么就是名字这样叫内容还是攻击教程，这一点我不说，网民应该可以感觉到的。当然有时到是可以看见安全防卫软件的下载，也是十分陈旧的。就好象武器店卖的是雪亮崭新的矛却卖锈迹斑斑的盾。 
这样造成的后果是什么呢？“盾”老化了的已经不能用了，安于防守，必然一败涂地，结果是所有的人一涌而上，打着“维护中国网络安全”的大旗，在网络上展开拼杀，并自称是变被动为主动，以攻击代替防守，而自己的防御系统没有什么改进，一旦中拳也是很痛的，这就象小孩子打架，结果使得网络上一旦展开黑客大战往往两败俱伤，谁赢只是看谁先攻击罢了，可悲，可叹啊！但是作为网络工程师希望造成的不是这样的氛围。我们希望网络上到处都是身着铠甲，一手持盾，一手拿矛的甲士。在受攻击时可以做到足够的防卫，并给对方警告，在对方顽固不化时，才用矛给予教训，而在任何情况下不主动攻击他人，这才是仁者之风，才是网络应有的气氛，要有这样的气氛，网络可供下载的应该是最好的盾和必要的矛，不是现在这样的。 
现在再来看看所谓的网络安全论坛，有很多人认为这样的形式很好，大家可以交流经验，但是就靠这个是远远不够的，诚然现在的安全论坛分类详细，条目繁多，但是它的缺点也是很多的。这里说最大的三点： 
首先，论坛即使提到安全问题，也是零零星星的，很难系统化，自然对安全意识的推广十分不利，而且问题提出了，回答也是少有着边际的，即使很有水平的人，回答的正确的也只是告诉你去装什么软件，少有谈及理论之人，也许是自己用来吃饭的技术不便传人吧； 
其次，论坛上灌水之人众多，真正懂技术的人太少了，很多人只是在某某电脑杂志上看见有关黑客的文章就上传，甚至随便抓一篇就是，可能是连自己也看不懂的文章。上传只是为了多骗些经验值，让更多的菜鸟崇拜自己，这样的文章往往没有什么价值，反而浪费很多人的时间去看； 
再次，就是网管自己管理不到位，很多过期的毫无价值的东西，可以删的就删了它，这样以避免长期积累一个论坛多达数十上百页，新来的人不知道看什么。 
当然这样还有一个问题，什么是没有价值的东西？这一点很多网管往往误解我们的意思，他们会认为在网上放了半年或是一年的东西，很多人看过了，就没有价值了，就可以删了，这样往往造成想“CEO是什么？”，“ISDN是什么？”，“ADSL是什么？”等等这些对初学者是永远有用的，而且是新手们特别想问的问题，而要新手们每次都问一边这样的问题无疑那些自以为是老鸟的人又会笑他们无知，这样使得新手的入门变的比提高更难，所以对于这样的问题就应该一直在网络上。 
上面说的种种问题，归一下就是象小榕这样有关安全技术的网站，应该提供的知识（网络安全知识）没有提供，甚至是提供
4000
了相反的知识（黑客攻击知识）。已经提供的服务（安全技术论坛）又办的十分糟糕。结果使人们想在网络上找到有关网络安全的知识来保护自己变的很困难，往往最多是在受攻击后在求救，还不一定有救。而这样的网络提供的服务却使那些对网络略知一二的人很容易找到攻击别人的方法，软件及实例。可谓全套服务。这样就培养了一大批恶意的攻击者，给网络增加了危险，给国家带来了损失。同样的问题不只在小榕网站，红客联盟中国网络安全技术联盟也一样。有时甚至提供攻击教程的下载。根本就成为一个培养黑客的网站。 
这些网站，他们都有共同的标语“为中国的网络安全而努力”，他们都说：“为了中国的主权，向老美发起攻击。”他们都以为自己是一颗红心向着党，是爱国的。但是他们是否想过，他们在网络上教人的方式是否有错呢？他们教出的都是什么样的人？他们的行为是给中国带来了福音还是灾难？ 
我想所有有志于中国网络安全的人们是不是都应该好好想想，“小榕”，是英雄还是败类？是救世主还是罪人？小榕及整个网络安全界的人们是不是应该又所作为呢？ 
小榕论坛网友评论摘要： 
我觉得攻击和防守是互相支持的，我原来看过很多的只讲如何使网络安全的文章，对于网络攻击根本就没有认识，只是在小榕这里学到了一些攻击手段才对网络安全有具体的认识，知道网络安全的重要，才更加重视网络安全。 
如果大家都做那种讲如何防守的网站的话，谁能知道这些攻击手段，只是讲解安全原理，这样的网站官方的、私人的有很多，不用小榕来做。大多数人给他讲解原理并不能让他认识更深刻，只有当亲眼看到才会被深深的震撼。 
对于安全来说，重要的是要知己知彼。我认为，小榕的做法很好，公开了攻击工具给更多的人让大家都能看到我们的网络是多么的不安全，提高大家的安全意识，更重要的是可以提高大多数菜鸟（包括我）的安全意识。 
看了这篇手记，值得深思... 
榕哥的作品，实在很厉害，当一个略懂网络的人拿起他们时，就可以轻而易举的拿下一个管理疏忽的站点，不同人的xx作，对网站的影响不同。我在这个站点，更多的时候是一个观众，见到这篇文章，就说说自己的看法，仅仅个人观点： 
从作者的角度看，也许他觉得这个站点更像一个交流crack知识的地方。小弟无意和作者辩论，但有些地方还是想说几句，引用到原文的地方，请求谅解：） 
（1）就网络而言，矛和盾是一个矛盾的统一体，如果仅仅因为矛厉害了，“老”盾就不能适应，那盾还在进化吗？我想矛和盾有一个互相促进的作用 
（2）“首先，论坛即使提到安全问题，也是零零星星的，很难系统化”这是一个个人站点，主人不可能有更多的精力去做一个系统的教程，各个管理员也有自己的事情做，所有的工作对我们观众来说都是义务的!况且知识也是一个积累的过程。新人来了，有问题可以问，多数时间还是有很多热心人回答的，对新手来说，我想主要还是要靠自学。 
（3）“小榕软件”里面最有杀伤力的流光对国内ip采取了一定的措施。流光像一个集大成者的作品，和其部分功能相似的工具在网络上可以找得到，所以对扫描工具的作者，还是不要对之发表更多的评论。倒是要因该反思一下自己该怎么对待这些现象，所谓“存在即合理”：）。 
（4）关于国内网络，真的不想说什么了！既然有专业安全人士的说法，那国内的网络为什么还是那么不堪一击,但愿那些专业网络安全人士没有做政府网站的安全顾问：）也许那种人在全国就几个吧，不然我们的网络为什么....?有的网站被黑真想说“活该！”，对国内网络，用一位新加坡华人高级记者对中国的看法“哀其不幸，怒其不争！” 
（5）我也有志于国内的网络安全：），但我国国情大家也很了解，国家经济为主体把握了一切。 
（6）对于榕哥，我是尊敬的，至少对它的软件和它的个人站点（因为我并不了解现实中的他），我想不论是英雄或者是败类，他都没有着意去当吧：）？如果榕哥能够开发防御方面的工具，我想一定也会很好的，但是一个人的精力毕竟有限，走上了写攻击工具的路，有些难得回来吧：）？ 
不经理风雨！怎么见彩虹！人！只有在风雨中才能长成真正的人！中国的网络也是如此！中国的网络安全工程师！难道就为我们作了些什么吗？没有！因为他们没有能力！没有能力造出好的盾！建议这位老兄多学习学习马克思的“矛盾的普片性”！不要整天只会想如何骂人？多把精力用来学习的了！我希望你能编写出对抗小榕软件的安全工具。不能吗？就不要在这里满口吐粪！ 
观点我赞同，但不要对他人身攻击，其实我们自己也应该反思，像红客联盟做的真的有些过份，我在台湾，越南，韩国，甚至中国政府网站都见到过他们发布的那种主页，呵呵，不知道是谁干的（红客联盟的老兄可不要打我啊......）. 
这位网络顾问，看完你的帖子后很有一些想法。对你说到了小榕这个网站上全是些功击性的东东，对于安全的一些问题提到的不多，是的我同意你的这些看法，但这并不代表小榕这样做不对，而且你的标题也很不好，起码我不喜欢！！！！怎么能用这样的词来形容小榕呢？？那你又怎么知道小榕有没有为中国的网络事业做出过贡献呢？就只为小榕在自己的网站发表了自己写的一些功击性软件，就来讨论一下小榕是英雄还是败类这类的话呢？我自己的一些愚见，小榕的这些做法没有什么不对的！！！！！！事物总是有两面性的，有你这样的“网络顾问”，就有一些黑客，找出一些网站的漏洞，来提高网络的完全性，不然要你们这样顾问来吃闲饭呀？一天什么事也不做，就只看到了小榕做出了一些功击性很高的软件你们就坐不住了，跳出来发个帖子来说说小榕是个英雄还是败类吗？？？？而你们也就可以稳坐泰山了吧！！！虽然你在文中说到了这不是对小榕的人身功击，但傻子都看的出来，你都说了些什么，你还蛮会狡辩的嘛！！！中国的网络在发展，同样国外的网络也在发展，没有像小榕这样的网络人才来给人们提醒中国的网络还有许许多多的漏洞，也让你们这些“网络顾问”不要一天总是无事可做，不是吗？？？？也希望你们不要一天只会说，多做一点实际的事好吗？多看看你的那个网络还有什么地方不好，还有什么不完善的地方，努力去做好它行吗？还有下回发帖子把标题想好再写好吗？拜托了！！！！！ 
说的着是什么呀！！ 乱七八糟的东东呀！！有谁想教我们防范的技术呀，会攻击不就会防了！！ 哎！！中国的有些事呀，全是他们记者高燥的！！好事不成败事有余呀！！ 不要尿他呀？记者=逼王+逼仙呀！！ 去死吧记者！！！！ 
小榕的软件有多神秘吗？不神秘！例如ipc$密码简单！sql服务的sa密码为空或是密码简单！unicode漏洞！sam，cif等等，这些安全问题都好解决啊！只是那些“网络安全的工程师”们水平太差了！ipc$是win2k（NT）的默认共享！u漏洞是多少年前的东西了？？sql服务如果不用sa账户就禁止！或采用复杂的密码！这些道理谁都知道～！曾进入国内某主机！看到了容量在600多M的黄色图片和录像！在服务器上浏览黄色网站，并下载色情图片！这本身就是不安全行为！网络不安全的因素在自身！而不在于别人！本来我门可以把网络高得更安全的！有这个权利的人不干！而我们没有权利！这就是现实！是符合国情的！我最狠那些B歪还怪尿壶漏的人！偏要哗众取宠！在我眼中！我只会说一句：网络流氓！ 
这位所谓的网络安全顾问我想可能他根本就不是什么顾问。他其实可能根本就不懂网络安全，我想他可能是某记者也说不上。大家不要理会这种所谓的人。 
在我心里小榕不是英也不是败类他是高手.他有能力,但或许他的用力方向有点偏如果他能调一下角度一方面来发表一些关于当前网络漏洞方面的知识,一方面也为这些漏洞做一些补救办法那应该没人会现运他的行为提也质疑了。