黑客精神与信息安全实践:HITB2014大会主题演讲深度解析

本文记录了HITB2014阿姆斯特丹大会第二天主题演讲内容,涵盖汽车黑客、医疗设备安全、卫星通信漏洞等多个信息安全领域,探讨了黑客精神、漏洞奖励计划及信息安全行业发展趋势。

HITB2014AMS – 第二天 – 主题演讲4:黑客精神传承

早上好阿姆斯特丹,早上好各位读者,欢迎来到Hack In The Box大会第二天。第一位主题演讲嘉宾未能到场,因此我们直接进入下一场主题演讲。

Jennifer在开场时表示,她很幸运能够参加众多会议并结识许多杰出人才。在与信息安全领域从业者/黑客交流时,他们常提到受到许多事物启发,且往往被"自由生活"理念所驱动。Jennifer解释道,有些黑客受到电影启发,而黑客本身甚至能激发漫画创作。引用孔子名言"择其所爱,从此不再工作一日",Jennifer表示她真心热爱信息安全行业,无法想象从事其他行业。尽管有时面临困难且并非事事完美,但这个领域充满乐趣,技术为我们带来了众多精彩可能。信息安全应该探索如何安全地运用这些新技术。

安全防护极具挑战,这是最具难度的工作之一。我们必须跳出框架思考,探索不同的方法以提供更全面/更好的安全保障。但若此事轻而易举,我们反而会感到乏味。Jennifer继续说道,如果这个想法让你畏惧,或许应该考虑转行。“直面挑战吧”,她说。如果反复重复相同操作,遭受入侵就不足为奇。

这个行业充满无限可能。每个人都能成就伟业,获得丰厚回报,享受工作乐趣…如此循环。漏洞奖励计划让研究人员能够因其工作获得报酬。若要把握这些机遇,我们需要改变策略,以不同角度思考问题。安全是场给予与索取、推拉之间的博弈。物联网证明了技术应用的无限可能。

“船长"Jennifer继续分享了来自IOActive的"海盗故事”,这些故事展现了IOActive员工的动力与灵感,包括涉及汽车黑客、ATM接管、医疗设备、卫星通信和核弹等项目。

“努力奋斗” 汽车黑客研究(C. Valasek/C. Miller)最初由DARPA网络快速通道计划资助,该计划让研究人员能够完成重要工作,获得原本难以获取的资金和资源支持。进行此类研究虽艰辛,但也充满乐趣,并通过媒体报道引起公众关注。所有这些关注带来的副作用是,人们开始担忧日常驾驶车辆的安全性。

“付诸行动” 信息安全领域工作充满挑战。有无数理由可以解释为何未能完成工作。但借口毫无价值。Cesar Cerrudo拥有辉煌成就清单。他出生于阿根廷,必须通过艰难方式向上攀登。他没有预算购买大量计算机,只能依靠书籍和自主研究达到今日成就。他最近关于入侵美国交通系统的工作只是其精彩成果之一。Jennifer强调,停止寻找借口,不要接受否定答案。

“教导他人” Barnaby Jack是行业中最杰出的天才之一。我们都通过他在ATM机上的创新工作认识他。这些工作耗时数月,经常失败,但他从未放弃。Jennifer解释道,在为BlackHat演讲做准备时,他真心希望放下自我,确保所有听众都能理解演讲内容。当你失败时,从中学习并再次尝试。

“用心黑客” “我父亲激励了我”,Jennifer继续说道。Barnaby Jack希望入侵与日常生活密切相关的设备。他知道Jennifer的父亲装有心脏起搏器,希望研究这些设备的安全性。当设备植入体内后,定期修补并不容易。此类研究将使世界变得更加安全。入侵真实设备重要且必要。

“另辟蹊径” 不断有创新成果涌现。Ruben Santamarta对智能手机感到厌倦,萌生了入侵卫星通信的想法。当他在Jennifer航海旅行期间分享初步成果时,她感到惊恐,甚至一度认为他侵入了帆船正在使用的通信系统。

“使用正确语言” 报告卫星通信安全漏洞事关重大,应以恰当方式处理,将技术细节传递给正确人员以便解决问题。Jennifer解释道,Ruben没有专注于技术细节,而是聚焦问题的影响,这有助于说服相关人员解决问题。

“享受乐趣” IOActive员工从eBay购买了一批智能电网仪表并进行入侵研究。通过众多聪明人才的努力,研究人员获得对话机会,某些工业控制系统部署被延缓,安全性得到评估…这是积极的发展。同时,并非所有设备都能以500美元从eBay购得。若能自行建造,何必购买?受"曼哈顿计划"启发,Mike Davis决定建造核弹。“在入侵技术前需要先理解它”,Jennifer说。你不需要成为程序员也能成功入侵某些系统。

“我在寻找什么样的下一位黑客?” 你不需要成为下一个Chris Valasek或Ruben Santamarta。你只需要渴望努力工作并充满热情。无论是否获得报酬,都要愿意投入工作。提出新想法并为之努力。开始破解系统。了解社区。提出问题,负责任地披露漏洞,获得灵感并享受乐趣。最终目标是让世界变得更加安全。信息安全是最酷的行业,你可以成就非凡。

关于Jennifer Steffens

作为首席执行官,Jennifer Steffens负责IOActive业务的各个方面,包括销售、交付和财务,并推动公司战略愿景。Steffens为公司带来了丰富的行业和商业经验,曾是多家成功初创公司的早期成员。

在其职业生涯早期,Steffens曾任Sourcefire总监,帮助公司在短短四年内将业务从25万美元发展到超过3500万美元的运营规模。与首席技术官密切合作,Steffens帮助将开源Snort技术商业化,并围绕研究计划构建多项服务产品。在加入IOActive之前,她来到西雅图帮助陷入困境的初创公司GraniteEdge重塑自身。她牵头推动公司重组,制定产品策略以推动早期市场渗透,最终确保获得两轮额外融资。

拥有超过10年行业经验的Steffens,还曾在Ubizen、NFR Security和StillSecure担任高级管理职位。她毕业于玛丽华盛顿大学,获得心理学理学士学位。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次