YouTube 安全场景

2022-01-21 17:01:57 浏览数 (2)

代码语言:javascript复制
  从 BBS 和文本文件,通过 IRC 和书籍,到现代互联网
在论坛和博客中,黑客主要以文本形式交换信息。
这当然意味着,大多数年长的黑客更喜欢文本,这使得它
难以建立新型媒体。

  当我在 2015 年开始制作视频时,我经常收到这样的反馈:
文字更好,没人会看视频,我应该写
文章。所以当我被要求写关于“YouTube黑客场景”的文章时
对于 Phrack,我觉得视频制作终于达到了某种程度
验收。

  虽然这篇文章的标题是“YouTube Hacking Scene”,但我也想
包括 Twitch 和其他平台上的流媒体 - 谁知道多久
产品 YouTube 将继续存在,我相信 Phrack 将在很久之后存在。

  鉴于我个人的经验是有偏见的,历史是艰难的
要研究,这篇文章肯定不客观。所以我们会去
法国谚语“宣扬虚假以了解真相”。所以如果你知道
更好,请联系。


--[ 2. 2014年之前

  挖掘有关 2000 年代初期黑客视频的信息是
很难,但很明显它不是很受欢迎。我个人
还记得 2006 年的“Lenas Reversing for Newbies”[0] 视频系列
好吧,但它不是通过 YouTube 分发的。这是一个令人难以置信的详细
以及 Windows 逆向工程和破解的实践演练
OllyDbg。多年来,我已经看到它得到了很多推荐,这表明
对视觉教学方法的渴望。 

  最早的黑客表演尝试之一似乎是由
2003 年的凯文·罗斯[1]。然后在 2005 年,达伦厨房开始了
Hak5 show[2] 值得一提,因为它可能是最长的
运行黑客视频制作。YouTube 在刚开始时就已经存在,
但它还没有流行,所以分发严重依赖
洪流。值得注意的还有 IronGeek,他开始上传会议
2007 年 YouTube 上的视频。他 2007 年的 Notacon 之旅可能是有史以来的第一次
“黑客 Vlog”[3]。但所有这些视频项目大多只是
触及黑客的表面。很少有视频真正在挖掘
进入技术细节。

  2007 年,vivekramac 在印度发起了 SecurityTube 项目。
可能是受到 YouTube 的启发,它是一个适合所有人的地方
上传和分享黑客视频内容,但 vivekramac 本人
负责制作大量视频。多年来似乎
是免费视频课程的最佳来源。但2011年网站慢慢
过渡到新的付费课程平台 Pentester Academy。
有趣的事实,当我在 2015 年开始制作视频时,我显然遇到了
SecurityTube 和我试图在那里提交我的视频,但他们从来没有
公认。该平台已经被遗弃了,内容有点
过时了,而且不是我一直在寻找的深度。尽管如此,一个非常
视频创作者历史的重要组成部分。

  多年来,我一直在收集 YouTube 频道或多或少
技术安全内容。并创建下面的图表(图 1),
我查看了他们第一次相关上传的年份。还有大部分
频道只有少数视频,不久就被放弃了。
但事后看来,我什至注意到有一些非常早期的尝试
制作更多技术视频演练,例如 lordparody (2009)[4]。
从数据来看,2010 年之后似乎出现了小幅增长,
但我认为 2015 年是当前黑客创造者的真正场景
开始成长。

        2005 年:*
        2006 年:
        2007 年:**
        2008 年:*
        2009: *****
        2010:****
        2011: *******
        2012 年:************
        2013 年:*********
        2014 年:******
        2015 年:***************
        2016 年:**************************
        2017 年:****************************
        2018 年:*********************
        2019 年:************
        2020 年:*********************

            图 1. 显示数量的条形图 
                   每年都有新的黑客 YouTube 创作者


--[ 3. 我的2015年开始

  大约在 2014 年左右,我开始在自己的学习进度上碰壁。那里
有大量关于网络安全、WiFi 黑客的(书面)教程,
Metasploit 和缓冲区溢出,但材料主要涵盖基础知识。
要真正学习更高级的主题,我必须玩兵棋推演[6] 和 CTF。
我记得在玩 w3challs 或
io.smashthestack 改进非常非常缓慢 - 我是一个经典的烦人
菜鸟,甚至被 IRC 的 bla 禁止;)

  我相信进步不应该这么难。在里面
您依赖论文的传统学术科学社区,以建立
先前的研究。虽然我们有同等的资源,例如
Phrack,我们缺少像大学这样的教育机构
更有效地传递这些知识。所以在过去,新人必须
走一条崎岖不平的道路,赶上最先进的技术。在我之后
终于“理解”了 ret2libc 和 ROP,我觉得这东西是
实际上很容易,但是现有的材料很难解释它。

  然后在 2014 年末,2015 年初,发生了两件事
对我的影响。第一个事件是不断壮大的程序员社区
reddit 称为 /r/WatchPeopleCode[7] - 关于直播的子版块
编程。虽然这与安全无关,但每个人都知道
如果您进行任何形式的更深入的学习,编程技能至关重要
黑客攻击。第二个事件是geohot直播自己解决pwnable
来自 overthewire.org[8] 的挑战。

  这两个事件的共同点是这是第一次
我看着专业人士的肩膀。我意识到所有的
会谈、博客文章和文章仅涵盖结果,很少涉及
实际过程。因为我没有足够的幸运身边有人
我亲自学习,在经验丰富的人的肩膀上看着
开发商或 geohot 令人大开眼界。

  要查看 geohot 是如何使用终端的,编写漏洞利用脚本和
导航 IDA Pro 非常有见地。但更重要的是,它
也暴露了后续过程中的失败和错误
故障排除和修复错误。这把我推过墙
在我自己的教育中受到打击。

  我渴望更多。我在哪里可以找到更多人流或视频
正在黑客攻击?不幸的是,在 YouTube 上搜索时,我唯一的视频
可以找到 Metasploit 教程或如何使用 aircrack-ng
破解WiFi。这些话题对我来说很无聊,因为我更
对发现这些缺陷的过程感兴趣,而不是
只是使用其他人发现的东西。

  当然我离geohot的技能还很远,我确实懂ROP
我想我可以为
追我的人。这导致我开始直播 pwnable
来自exploit-exercises.com(今天exploit.education)的挑战[9],以及
涵盖其他 CTF。但是我很快注意到我在
流媒体,并很快转变为制作有重点的脚本视频
关于视觉解释[10]。我的另一个认识是,事实上,我做到了
不能正确理解 ROP 和其他主题。所以有志向
创建更好的教程,它迫使我更深入地挖掘,这意味着
项目也使我自己的教育受益。

  当然这是我从我自己的角度说的,我不想
让它听起来像我是唯一的一个。我只是想提供见解
关于什么动机可以引导人们创建视频。所以此时
我想提一些其他制作视频的人
那个时候更“高级”的话题。来自龙界的 Gynvael
CTF 团队[11]、MurmusCTF[12]、ipp[13]、psifertex[14]、Zeta Two[15] 和 
不幸的是,可能还有更多我从未遇到过。

  制作好的视频非常耗时,尤其是一旦更多 
而不是“只是”屏幕录制或直播。所以很少有创作者
能够在更长的时间内做到这一点,我相信约翰哈蒙德[16]
我有最长且持续运行的发布时间表。


--[ 4.今天的场景

  与任何黑客领域一样,商业化也是如此
钻进这个场景。我也不能幸免,因为时间
投资是巨大的,必须以某种方式证明是合理的。这很不幸
导致视频有时更受曝光或产品的激励,
而不是纯粹的知识分享;而且很难找到
在这些对立的力量之间取得平衡。也导致了上一代
的免费视频内容(SecurityTube、Cybrary、...)来放置他们的内容
在付费墙后面。

  但我想实现一项令人惊奇的积极商业发展
强调。在过去的几年里,像谷歌这样的公司赞助了很多
技术视频[17] 分享对自身漏洞的见解
产品。谁会想到这会发生,当这
社区过去常常害怕因任何事情被起诉。

  Google/YouTube 和其他网站也出现了新问题
大型社交媒体平台。例如,YouTube 有一项政策反对
某些类型的黑客视频[18],导致几个
视频甚至整个频道。然而,还应该注意 99% 的
时间这是一个明显的错误,决定被推翻了。 

     “黑客:演示如何使用计算机或信息
      旨在窃取凭据、妥协的技术
      个人数据或对他人造成严重伤害,例如(但 
        不限于)侵入社交媒体账户。”
        - YouTube 的有害或危险内容政策

  黑客视频可以是道德的还是不道德的?这是一个很难的话题
我与其他创作者经常发生冲突的一个。我相信有
一种制作“正确”教程的方法——到目前为止我还没有任何教程
YouTube 的问题;)

  例如,我了解 Google 不想要分步视频
当网络钓鱼发生时,脚本小子设置糟糕的网络钓鱼页面的指南
谷歌账户的第二大常见来源[19]。并
我这不是审查制度,因为基础技能是非常基本的网络
发展。所以对我来说,网络钓鱼教程有点欺骗性
不必要地隐藏真正的“黑客”技能 - 网络开发。但是我
知道我的许多同行不同意这里。

  然后是“黑客影响者”的演变。重要的是
我一开始是匿名的。但多年来我的看法
略有改变。我经常回想起我坐着的时候
独自一人在我的房间里试图理解一篇文章,并希望我有
我今天制作的视频。所以对我来说,使用社交媒体和
他们的算法提要最大限度地提高曝光率;希望能接触到那个孩子
想冲破我撞到的那堵墙。现在我相信
我希望让这些信息很容易被发现的愿望超过了
将教育资源限制在不起眼(或地下)的地方。

  2019 年 TheCyber​​Mentor 加入现场直播基础
在 Twitch[20] 上免费测试课程。有点像OSCP
材料,仅以视频形式且免费。之前有过尝试
创建免费的渗透测试课程,例如 SecurityTube 或 Cybrary,以及
也许其他人也是如此。但TheCyber​​Mentor无疑是最
成功的一篇,达到了几百万的浏览量。这没有持续
不过,自从建立了最初的观众之后,他就转型离开了
也进入付费课程。

  也有一些关于原创内容与采取的批评
现有的(书面)教程并将其转化为视频。肯定有
是改进演示的附加值。但也有道德
关于突出来源的问题。这尤其影响新人
有时很明显他们遵循其他人的典型轮廓
材料,不参考。

  在过去的几年里,也有一个有趣的发展
视频创作者场景涵盖的主题。因为已经完全
以“漏洞赏金”为主。尽管我喜欢看到大量涌入
有动力的年轻人,感觉这就是我们社区的版本
“快速致富”骗局。它导致对付费课程的巨大需求
以及直接或间接承诺让您成为
成功的错误猎人。目前很少看到除 bug 之外的内容
赏金,我希望有更多的多样性。

  有时我也会思考黑客社区是如何组织的,以及如何
创作者改变了这一点。在过去,社区通常被划分为
感兴趣的话题,现在社区围绕着个性形成。
有时这让我有点不舒服,但这也导致了
大量增加接触黑客世界(它有利于创造者
当粉丝群增长时)。

  当文化变迁远离
我们一起长大的。但回想我的少年时代,我希望我
本来可以更容易地找到这样的地方,而不是
不得不等到我 20 多岁时才意外跌入其中。

  除了制作视频,还有越来越多的现场直播
抽搐。他们中的大多数人致力于应对来自 HackTheBox 或 TryHackMe 的挑战,这
是具有商业利益的平台。这意味着流媒体提供
为这些平台提供价值数百万美元的免费广告。在一个
看到这么多内容真是太棒了,但令人遗憾的是社区越来越少
显示了定向兵棋推演/CTF。涵盖的主题种类繁多
也很低。

  风格(屏幕录像、人说话和繁重的编辑),以及
创作者的技能水平差异很大。我不介意,因为种类繁多
使我们所有人受益。只要有更多的人分享他们的工作,我就很高兴
以视频形式。我什至希望看到更多的初学者记录他们的
旅行。但在内心深处,我为资深专业人士而心跳,比如
当时的地热,谁让我们回头看看。

  今天也有一些很棒的渠道,比如硬件研究员
stacksmashing[21],gamozo,他刚刚开发了全新的操作系统
用于模糊测试[22](绝对疯狂)或闪回团队潜入
他们的 Pwn2Own 获奖路由器黑客[23];那些渠道让我
兴奋的。

  黑客视频的流行,以及整个创作者的演变
场景,只有在社交媒体平台的发展下才有可能。
他们的算法帮助我们将我们的视频展示给那些没有
知道他们在找他们。随着互联网的快速变化,社交
媒体平台也在发生变化,而现在 TikTok 似乎是一个
吸引新受众的有趣平台,但短格式不
允许涵盖深入的主题。MalwareTech[24] 在这方面处于领先地位
有数百万的浏览量。

--[ 4. 最后的话

  不幸的是,今天有太多的创作者,我无法包括在内
每个人。但请注意,这篇文章是献给你们所有人的。

  以下人通过分享他们的文章帮助了我
经验或事实核查信息(按字母顺序):

BlindHacker, CryptoCat, gamozo, Gynvael, hacksplained, insiderphd, ipp,
约翰哈蒙德,贾斯汀史蒂文,Murmurs,psifertex,冷落,stacksmashing,
superhero1, TheColonial, Zeta Two

  向波兰和印度的视频创作者致敬。我不明白
一句话,但你们看起来都很积极和敬业。特别大喊
到 geohot,因为没有他的 CTF 直播,我就不会在这里。和
向 Gynvael 大喊,因为他是我真正关心的第一个人
承认我的工作。

     “别忘了点赞、评论和订阅。”

0 人点赞