黑客精神与信息安全实践:从汽车破解到卫星通信

本文分享了Jennifer Steffens在HITB2014AMS会议上的主题演讲,探讨了信息安全领域的挑战与机遇,包括汽车黑客、卫星通信安全及核弹模拟等实际案例,强调创新思维与责任披露的重要性。

HITB2014AMS – 第二天 – 主题演讲4:黑客向前进

早上好,阿姆斯特丹!早上好,读者们!欢迎来到Hack In The Box会议的第二天。第一位主题演讲者没有到场,因此我们直接进入下一场主题演讲。

Jennifer以解释自己有幸能够参加许多会议并结识许多杰出的人士开始她的演讲。在与信息安全/黑客领域的人交谈时,他们经常提到受到许多事物的启发,并常常被“自由生活”的意识形态所驱动。Jennifer解释说,一些黑客受到电影和励志电影的启发,黑客甚至启发了漫画。引用孔子的话(“选择一份你热爱的工作,你将一生无需工作”),Jennifer表示她非常喜欢在信息安全领域工作,无法想象在其他行业工作。尽管事情可能很困难,并非总是完美,但它很有趣,技术给我们带来了许多伟大的东西。信息安全应该找出利用新技术的方法,并以安全的方式实现。

安全很难。这是任何人能做的最困难的事情之一。我们必须跳出框框思考,如何以不同的方式做事,以提供更多/更好的安全性。但如果不难,我们都会感到无聊。Jennifer继续说,如果你对这个想法感到害怕,也许你应该选择另一个行业。“接受挑战吧,”她说。如果你一遍又一遍地做同样的事情,你不应该对被入侵感到惊讶。

这个行业有无限的可能性。每个人都可以做伟大的事情,赚大钱,享受乐趣……周而复始。漏洞赏金让研究人员为他们所做的工作获得报酬。如果我们想利用这些机会,我们需要改变我们的游戏方式,以不同的方式思考事物。安全是一场给予和索取、拉和给的游戏。物联网证明有疯狂的方式利用现有技术。

“船长”Jennifer继续分享来自IOActive的一些“海盗故事”,这些故事展示了IOActive人员的动机和灵感,包括涉及汽车黑客、ATM接管、医疗设备、卫星通信和核弹的项目。

“努力工作”
汽车黑客研究(C. Valasek/C. Miller)最初由DARPA网络快速追踪计划资助,该计划让研究人员能够做伟大的事情,获得否则很难获得的资金和资源。做这样的研究是艰苦的工作,但也很有趣,并通过媒体报道引起人们的关注。所有关注的副作用是,人们现在开始关注我们驾驶的汽车内部的安全性。

“只管去做”
信息安全的工作很难。有无数理由解释你为什么无法完成工作。借口是哔哔。Cesar Cerrudo有一长串成就清单。他出生在阿根廷,不得不通过艰难的方式一步步向上爬。他没有预算购买很多电脑,不得不依靠书籍和自己的研究达到今天的成就。他最近关于黑客攻击美国交通系统的工作只是他做的酷事的一个例子。Jennifer说,停止躲在借口后面。不要接受“不”作为答案。

“教导他人”
Barnaby Jack是行业中最聪明的人之一。我们都从他创新的ATM机工作中认识他。这项工作花了几个月才完成,经常失败,但他从未放弃。Jennifer解释说,在为BlackHat演讲做准备时,他真的很想把自我放在一边,确保房间里所有人都能理解他在说什么。当你失败时,从中学习并再次尝试。

“用心黑客”
“我父亲启发了我,”Jennifer继续说。Barnaby Jack想黑与我们日常使用的事物相关的东西。他知道Jennifer的父亲有一个起搏器,想看看这些设备的安全性。当你把东西放进身体时,不时修补并不容易。这样的研究将使这个世界更安全。黑真实的东西是重要且必要的。

“不同思考”
有一些很酷的东西即将出现。Ruben Santamarta对智能手机感到无聊,想出了黑卫星通信的想法。在与Jennifer分享一些初步结果时,她正在航海旅行中,她感到 terrified,甚至一度认为他黑进了航海船上使用的通信系统。

“说正确的语言”
报告卫星通信中的安全问题是大事,应该以适当的方式处理,以便技术细节交给正确的人,问题得以解决。Jennifer解释说,Ruben没有报告技术细节,而是专注于问题的影响,这有助于说服应该被说服的人解决问题。

“享受乐趣”
IOActive的人员从eBay购买了一堆智能电网仪表并开始黑客攻击。由于许多聪明人的工作,研究人员正在被交谈,一些ICS部署正在放缓,安全性正在评估……这是一个好的演变。同时,并非所有东西都能以500美元从eBay购买。如果可以自己建造,为什么要买?受“曼哈顿计划”的启发,Mike Davis决定建造一颗核弹。“在你黑它之前,你需要理解技术,”Jennifer说。你不需要成为程序员就能黑出一些工作的东西。

“我在寻找下一个黑客时看重什么?”
你不需要成为下一个Chris Valasek或Ruben Santamarta。你所需要的只是努力工作的欲望和热情。你需要想做这项工作,无论是否获得报酬。提出新想法,并为之努力。开始破坏东西。了解社区。提问,负责任地披露,受到启发并享受乐趣。最终,目标是让世界更安全。信息安全是最酷的行业。你可以做惊人的事情。

关于Jennifer Steffens

作为首席执行官,Jennifer Steffens负责IOActive业务的各个方面,包括销售、交付和财务,以及推动公司的战略愿景。Steffens为公司带来了丰富的行业和商业经验,曾是几家成功初创公司的早期成员。

在她职业生涯的早期,Steffens是Sourcefire的总监,她在四年内帮助将业务从25万美元发展到超过3500万美元的运行率。与CTO密切合作,Steffens帮助商业化开源Snort技术,并围绕研究计划构建了几项服务产品。在加入IOActive之前,她来到西雅图帮助 struggling 初创公司GraniteEdge重新发明自己。她带头倡议重组公司,并制定了产品策略以推动早期市场渗透,最终确保了两轮额外的资金。

拥有超过10年的行业经验,Steffens还在Ubizen、NFR Security和StillSecure担任高级管理职位。她毕业于玛丽华盛顿大学,获得心理学理学士学位。

© 2014, Peter Van Eeckhoutte (corelanc0d3r)。保留所有权利。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次