曹政:处处皆黑客,说到底黑客是一种思维方式

前段时间写了一篇文章《开脑洞的套利骗局》。

有一些专业人士说,这个方案其实并不可行,目前比特币的套利规则和套利方式和我的想象是有所不同的。

嗯,必须承认,我并没有认真分析和研究现在的交易规则和网上公开的套利算法,存在一些想当然和不专业的情况。

但是我希望读者更多关注的是一种思考问题的方式,而且,这个基本的逻辑,其实也并不是空穴来风。
看几个前提:

1、有没有开源的比特币套利系统?
有。而且有人靠这个还在赚钱,虽然钱不多。

2、有没有可能把网上开源的系统加上一些自己的隐藏逻辑发布出去?
有。还记得当初网上苹果编译器木马事件么,多少巨头都中招了。这事比那个容易。当然,逻辑漏洞比木马后门需要更多的思考,这个需要对业务逻辑有深入了解。

3、有没有可能搭建一个自己控制的市场,作为套利系统中的定时炸弹使用?
有。网上第三方市场那么多,很多都是小团队搭建的,搭建成本没那么高,你说套利系统需要对方有帐号,可以交易,这很容易啊,平时确实可以注册,可以交易,关键的时候交易后台程序人为出错啊,套利系统可是无人值守的,双方对冲,如果一边出了问题,呵呵,呵呵。你说这边出了问题套利系统发现不了?拜托,套利系统是你发布的啊,你想让他发现不了,还不容易?

以比特币为案例来说,其实就是因为这个东西既没有严格的监管,又存在大量第三方平台,所以漏洞和空档几乎是必然存在的,而其他交易市场,当然也有漏洞,但利用难度可能会高一些。

但今天,其实不是谈这个。

黑客,说到底是一种思维方式,并不只是说我入侵网站,黑人家电脑叫做黑客。

创业圈有个流行词汇叫做增长黑客,什么是增长黑客?就是通过低成本获得海量用户的方法,为什么存在这样的方法?说到底,就是研究一些大平台的排名规则漏洞,从而加以利用,比如SEO,搜索引擎的排名规则;比如ASO,比如一些电商平台,如果你熟练了解淘宝的排名规则,你做网店就会比别人有一大截优势。我知道有知名黑客就研究过这个,而且获利不菲,当然,那是规则不完善的时候,现在利用难度高多了。

除此之外,钻研人性的缺陷,社交推广,病毒式营销都是基于人性运营。

在黑客的世界里,社交工程也是一项非常重要的领域,抓住人性,无需技术,就可以实现入侵和破解,比如前段时间,很多微信公众号被盗号的事情,最近案件告破,其实就是一封伪造官方的邮件+钓鱼网站,如此没有技术含量的招数,还是让很多大号中招。

所谓黑客的思维,就是对缺陷的敏感和把握,一是规则的缺陷,二是人性的缺陷。所以那些对冲基金,各种玩资本套利的,其实,也可以认为是黑客思维。

有几篇热传文章隆重介绍的,美国空神保尔森,在次贷危机中狂薅280亿美元的神人,其实也是利用了一些套利产品设计的缺陷,炒作CDO和CDS,这个产品设计的缺陷在于,风险收益比实在不合理。所以他才有机会以小博大,用根本不算多的资金,迅速把一些百年巨头薅到吐血。 (风险收益比是什么?玩过德州扑克的都知道,想赢钱就靠这个。)

说个好玩的,其实那些赞赏和吹捧保尔森的文章,都没有提后续的事情,在次贷危机大出风头力压索罗斯成为新一代空头之王的保尔森,后续光环不再,连续失手股票和黄金,旗下基金最近几年亏损连连,好玩的是,股票领域最大的一笔损失是,被中国无良公司的财务造假跟坑了,有兴趣的可以搜一下“嘉汉林业”。 保尔森当年坑死那么多金融圈大佬,连老东家贝尔斯登都被他给坑没了,却没料到坑中更有坑中手,来自中国的某些商人,在钻市场规则漏洞方面,显然更有一套心得。

我以前讲过,所谓赚钱的三个思路。

第一,利用信息不对称。
第二,利用现有商业规则漏洞。
第三,创建新的商业规则。

第二条很常见,黑客思维在商业中其实是非常重要的。
比如羊毛党,很多人拿这个当生意做,能做到一年赚几百万,几千万的大有人在,你说你怎么不知道,这玩意水深的呢,谁傻啊公开出来讲,前两周和创业者聊天还遇到一个。

我以前公开过一部分
商旅服务的水有多深

那么具体怎样培养黑客思维呢?
说到底就是逆向思维。

软件程序的系统规则。商业交易系统的业务规则。
搜索引擎,软件市场的排名规则。

各种我们日常接触到的规则,除了极少数别有用心的设计者会暗藏逻辑陷阱外,大部分都是正向思维,按照正常的业务和用户操作来定义规则,而只有我们用到逆向思维,从不同的逻辑和视角来看这个规则,才可能发现缺陷和漏洞所在。

很多软件巨头,对信息安全这块,即便针对已经被黑客发现并通报的安全漏洞,都会犯下很致命的错误,最容易犯的两个错误。

1、这个漏洞已经被修复了。

2、这个漏洞没有利用价值。

这两个错误微软就犯过无数次,已经被安全专家各种打脸了。

这其实就是一种思维逻辑,在正常的逻辑里,我确实处理了这个漏洞,确实看上去没有什么可以利用的办法,但是如果正常逻辑能看出来,那就不需要黑客存在了对吧。

黑客技术分两块,第一是发现规则缺陷,第二是创建利用方法,好几次,微软对第三方的安全专家说,你发现的这个缺陷确实存在,但不具备利用价值;然后,就被打脸了。 所以,针对交易市场和交易规则也是同理,不要轻易的认为,某个漏洞已经修复,某个缺陷无法利用,那只是在你的逻辑里。

一个真正的安全高手,是不断的反思和分析,都存在哪些可行的突破手段,而不是基于简单的判断说,这里不可行。

以前我们讲过科学的逻辑,是,必须全部案例都符合,才是一条科学的结论,不能允许出现不符合的案例。

以前我们讲过商业的逻辑,是,足够多数人,或者足够多数购买力认可的东西就是对的。就好比稀缺资源的竞拍,只要最少存在两个购买者认为值这么多钱,就可以拍到这么多钱。

那么现在我们讲黑客的逻辑,就算全世界都不认为这个缺陷可利用,只要我找到了利用方法,我完成了缺陷利用,我就是对的。 只要一个成功案例就够了。

看上去写的有点乱是么? 哦,我故意的。

按理说应该总结一下,然而并没有。

【文/曹政  “caoz 的梦呓”(微信号:caozsay)】

·氧分子网(http://www.yangfenzi.com)延伸阅读:

分享给您的好友:

您可能还喜欢…