ISF 2011，脱库事件和其他。

最近CSDN等知名网站密码泄漏的事情闹得沸沸扬扬，我的1个主帐号和几个马甲不幸中招，然后我才突然想起来前几天我的新浪微博两次被莫名其妙添加关注和粉丝，看来是这几次脱库有点关系。于是我也在慌乱之中洋洋洒洒地改了无数密码。

平静之余，我想起来11月底在上海参加的ISF 2011。这是我第一次参加比较正式的安全界的会议，虽说ISF的规模和影响力在业内还不是非常地知名，但是于我来说仍有重要的意义。

本次ISF的议题主要侧重于“网络战争”和“互联网隐私保护”。这让我想起这次脱库事件引起的一连串蝴蝶效应，追根到底就是国内互联网的隐私问题没有得到重视。且不说为什么会被脱库，我们的很多网站在让用户注册的时候，会让用户填写敏感的信息，小到邮箱，大到身份证号、手机号。我们的用户也选择了信任那些网站，把我们的筹码都交给了那些他们。可是这些网站在存储用户的隐私信息的时候，有多少会注意保护这些数据？简单的如数据加密，数据混淆模糊，复杂点的如数据和逻辑分离，加强网站程序的安全性。这次脱库事件就说明，很多网站连最简单的保护措施都没有做到。而这些信息一旦泄漏，对于用户来说，轻则账户失窃，重则人际关系泄漏、财产失窃。

纵观国内的互联网大环境，2011年我们似乎也能偶尔听到有关“用户隐私”的消息，但是无非是借着用户隐私的噱头来打压竞争对手，抬高自己。国内的互联网，外人看来无限商机，前景大好一片，实则缺乏规范准则，混乱动荡。大家不选择齐心协力，脚踏实地做技术，而去投机倒把，抱着赚一票走人的心态。不说别的，就谈安全界和黑客界，安全界的现状不用多说，2010年年底到2011年年中，很多人都把安全界当作了娱乐圈。可是黑客界却在一直研究怎么去盗号，怎么去渗透，怎么去挖0 day，怎么去脱库。如果以前安全界和黑客界还是在同一跑道上不断你追我赶，而目前来看，国内的安全界和黑客界渐行渐远，而且似乎开始不在同一跑道上了。

我个人以前一直主张网络真实性，所以很早以前我就在我的个人网站上留下自己的真实信息，所以如果一个人知道了我的一点信息，通过google基本只要几步就能知道我是谁。然后的几年，经过几次人肉事件，再加上这次的脱库，我渐渐感到无助，我发现社会固然需要人人坦诚相待，但是在这规范、法律没有得到完善，道德基准还没到提升的大环境下，身在明处就意味着不可控的风险，会被他人凌驾于制高点，让你变得被动。

说到这里，我恍然意识到ISF本次议题的前瞻性，不得不对主办方产生了一丝敬意。而我自己以前也没有这方面的保护意识，现在想想，还真是有点亡羊补牢的味道。

本次ISF提到以下几点，让我印象比较深刻：

1. 用户隐私信息的处理。通过拓扑结构的变化，达到用户信息的模糊和混淆。这样即便你的信息失窃，也不能通过其他相关信息，诸如人际关系，来定位“你是谁”。

2.工业控制系统的安全。对于Stuxnet，以前也就只限于分析样本，看看安全厂商的分析报告，所以对stuxnet一直没有宏观上的认识。这次ISF上，赵世平博士从工业控制的高度给我们讲解了Stuxnet利用的原理，很清晰很生动。

3. 网络战争。Raoul据说是很牛B的一个黑客。他给我们讲述了网络战争的前景，如各国的网络军队等等。这方面自己以前机会没有机会涉及，所以还是十分新鲜。

其他几个议题，诸如国内邮箱都可被跨站确实也让我大惊失色了一把，键盘芭蕾的密码保护方式我在后来也看到了某游戏网站已经在运用，我也跟武大的彭国军教授聊了聊安全教育在高校里的现状和前景，等等这些确实让我知道了安全行业在公司的门外发生了什么，收获丰富，顿觉津津有味。

上面提到的课题，大部分都可以在这里下载到演讲资料。

此次ISF上海之行，我又重回到了阔别一年有余的上海张江，感慨良多。上海的阳光很暖，11月底仍然是满眼的绿色。吃了苏州羊肉，坐了有轨电车，跟韩伟同学看了场IMAX的《铁甲钢拳》，结果他的黑莓9700失窃， 见了近4年的合租好友熊姐、雪哥，大家变化不大，却似乎都各有各的心事。不禁让人慨叹身在别处，活在当下。

最后，上一张蹭拍的照片：