黑客精神与信息安全实践

本文记录了HITB2014AMS会议上Jennifer Steffens的主题演讲,探讨了信息安全领域的黑客精神、技术创新与责任意识,涵盖汽车黑客、医疗设备安全、卫星通信等多个前沿领域的研究案例与实践经验。

HITB2014AMS – 第二天 – 主题演讲4:黑客精神传承

早上好阿姆斯特丹,早上好读者们,欢迎来到Hack In The Box大会第二天。第一位主题演讲者未能到场,我们将直接进入下一场主题演讲。

Jennifer在开场时表示,她很幸运能够参加众多会议并结识许多杰出人才。在与信息安全领域从业者/黑客交流时,他们常提到受到许多事物启发,并往往被"自由生活"理念所驱动。Jennifer解释道,有些黑客受到电影和励志影片的启发,黑客文化甚至激发了漫画创作。引用孔子名言"择其所爱,终生不倦",Jennifer表示她非常热爱信息安全行业,无法想象从事其他行业。尽管有时会遇到困难,并非事事完美,但这个领域充满乐趣,技术为我们带来了众多精彩可能。信息安全应该探索如何运用新技术,并以安全的方式实现。

安全是艰巨的。这是最具挑战性的工作之一。我们必须跳出框架思考,如何以不同方式提供更强大/更好的安全保障。但如果不具挑战性,我们都会感到无聊。Jennifer继续说道,如果这个想法让你畏惧,或许应该选择其他行业。她表示"迎接挑战吧",如果反复重复相同工作,遭遇安全漏洞也不应感到意外。

这个行业拥有无限可能。每个人都能成就伟业,获得丰厚回报,享受乐趣…周而复始。漏洞赏金计划让研究人员能够通过工作获得报酬。如果想要把握这些机遇,我们需要改变策略,以不同角度思考问题。安全是场给予与获取、推拉之间的游戏。物联网证明了利用现有技术存在各种创新方式。

“船长"Jennifer继续分享了来自IOActive的"海盗故事”,这些故事展现了IOActive员工的动力与灵感,包括涉及汽车黑客、ATM接管、医疗设备、卫星通信和核弹等项目。

“努力奋斗” 汽车黑客研究(C. Valasek/C. Miller)最初由DARPA网络快速通道计划资助,该计划让研究人员能够开展重要工作,获得原本难以获取的资金和资源。此类研究虽然艰苦,但也充满乐趣,并通过媒体报道引起公众关注。所有这些关注带来的副作用是,人们开始关注日常驾驶车辆的内部安全性。

“付诸行动” 信息安全工作充满挑战。有无数理由可以解释为何未能完成工作。但借口毫无意义。Cesar Cerrudo拥有辉煌的成就记录。他出生于阿根廷,必须通过艰苦努力才能出人头地。他没有预算购买大量计算机,只能依靠书籍和自主研究达到今日成就。他最近关于黑客攻击美国交通系统的工作只是他众多精彩项目中的一例。Jennifer说,停止躲在借口后面,不要接受否定的答案。

“教导他人” Barnaby Jack是行业中最杰出的天才之一。我们都通过他在ATM机上的创新工作认识他。这些工作耗时数月,经常失败,但他从未放弃。Jennifer解释道,在为BlackHat演讲做准备时,他真正希望放下自我,确保所有听众都能理解他的演讲内容。当你失败时,从中学习并再次尝试。

“用心黑客” “我父亲启发了我”,Jennifer继续说道。Barnaby Jack希望黑客攻击与我们日常使用相关的事物。他知道Jennifer的父亲装有心脏起搏器,希望研究这些设备的安全性。当物体植入体内时,不时进行修补并不容易。此类研究将使世界变得更安全。黑客攻击真实事物重要且必要。

“差异化思考” 不断有创新成果涌现。Ruben Santamarta对智能手机感到厌倦,萌生了黑客攻击卫星通信的想法。当他在Jennifer航海旅行期间分享初步成果时,她感到惊恐,甚至一度认为他黑客入侵了帆船上使用的通信系统。

“使用正确语言” 报告卫星通信中的安全问题事关重大,应以恰当方式处理,将技术细节传达给合适人员,以便解决问题。Jennifer解释道,Ruben没有报告技术细节,而是聚焦于问题的影响,这有助于说服应该被说服的人员解决问题。

“享受乐趣” IOActive员工从eBay购买了一批智能电网仪表并进行黑客攻击。通过众多聪明人才的工作成果,研究人员正在接受咨询,某些工业控制系统部署正在放缓,安全性得到评估…这是良好的发展。同时,并非所有东西都能以500美元从eBay购得。如果可以自己建造,为何要购买?受"曼哈顿计划"启发,Mike Davis决定建造核弹。“在黑客攻击技术之前需要先理解它”,Jennifer说。你不需要成为程序员也能黑客出可工作的东西。

“我在寻找什么样的下一位黑客?” 你不需要成为下一个Chris Valasek或Ruben Santamarta。你只需要渴望努力工作并充满热情。无论是否获得报酬,你都愿意完成工作。提出新想法,并为之努力。开始破解事物。了解社区。提出问题,负责任地披露,获得灵感并享受乐趣。最终目标是让世界变得更安全。信息安全是最酷的行业。你可以成就惊人事业。

关于Jennifer Steffens

作为首席执行官,Jennifer Steffens负责IOActive业务的各个方面,包括销售、交付和财务,以及推动公司战略愿景。Steffens为公司带来了丰富的行业和商业经验,曾是多家成功初创公司的早期成员。

在其职业生涯早期,Steffens曾担任Sourcefire总监,在短短四年内帮助公司将业务从25万美元发展到超过3500万美元的运营率。与首席技术官密切合作,Steffens帮助将开源Snort技术商业化,并围绕研究计划构建了多项服务产品。在加入IOActive之前,她来到西雅图帮助陷入困境的初创公司GraniteEdge重新自我改造。她牵头推动公司重组,制定了推动早期市场渗透的产品策略,最终确保了两轮额外融资。

拥有超过10年行业经验的Steffens还曾在Ubizen、NFR Security和StillSecure担任高级管理职位。她毕业于玛丽华盛顿大学,获得心理学理学学士学位。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次