黑客精神与技术实践:从汽车破解到卫星通信安全

本文记录了HITB2014会议第四场主题演讲,涵盖汽车黑客、医疗设备安全、卫星通信漏洞等真实案例,强调信息安全工作的挑战与乐趣,倡导负责任披露与技术创新。

HITB2014AMS – 第2天 – 主题演讲4:黑客向前进

早上好阿姆斯特丹,早上好读者们,欢迎来到Hack In The Box会议第二天。第一位主题演讲者未能到场,因此我们将直接进入下一场主题演讲。

Jennifer在演讲开场时表示,她很幸运能够参加众多会议并结识许多杰出人士。在与信息安全领域/黑客交流时,他们常提到受到许多事物启发,并常被“自由生活”理念驱动。Jennifer解释道,有些黑客受电影和励志影片启发,黑客甚至能启发漫画创作。引用孔子名言(“择其所爱,爱其所择”),Jennifer表示她非常享受在信息安全领域工作,无法想象从事其他行业。尽管有时困难重重、并非完美,但乐趣无穷,技术带给我们许多美好事物。信息安全应探索如何运用新技术并以安全方式实现。

安全很难。这是任何人能做的最困难的事情之一。我们必须跳出框框思考,如何以不同方式做事以提供更多/更好的安全性。但如果不难,我们都会感到无聊。Jennifer继续说道,如果这个想法让你害怕,或许你应该选择其他行业。“迎接挑战吧”,她说。如果你反复做同样的事情,就不应惊讶被入侵。

这个行业拥有无限可能。每个人都能做伟大的事情,赚取丰厚收入,享受乐趣……周而复始。漏洞赏金让研究人员因工作获得报酬。如果我们想利用这些机会,就需要改变策略,以不同方式思考。安全是一场给予与索取、推拉与给予的游戏。物联网证明存在利用现有技术的疯狂方式。

“船长”Jennifer继续分享来自IOActive的一些“海盗故事”,这些故事展示了IOActive员工的动机和灵感,包括涉及汽车黑客、ATM接管、医疗设备、卫星通信和核炸弹的项目。

“努力工作”
汽车黑客研究(C. Valasek/C. Miller)最初由DARPA网络快速追踪计划资助,该计划让研究人员能够做伟大的事情,获得否则难以获取的资金和资源。进行这样的研究是艰苦的工作,但也充满乐趣,并通过媒体报道引起人们关注。所有关注的副作用是,人们现在开始担心我们驾驶的汽车内部安全性。

“只管去做”
信息安全工作很困难。有无数理由解释为何无法完成工作。借口是哔哔。Cesar Cerrudo有一长串成就清单。他出生在阿根廷,必须艰难地奋斗。他没有预算购买许多电脑,只能依靠书籍和自己的研究达到今天的位置。他最近关于黑客攻击美国交通系统的工作只是他做过酷炫事物的一个例子。Jennifer说,停止躲在借口后面。不要接受否定的答案。

“教导他人”
Barnaby Jack是行业中最聪明的人之一。我们都从他创新的ATM机工作中认识他。这项工作花了数月完成,经常失败,但他从未放弃。Jennifer解释道,在为BlackHat演讲做准备时,他真正想放下自我,确保房间里所有人都能理解他在说什么。当你失败时,从中学习并再次尝试。

“用心黑客”
“我父亲启发了我”,Jennifer继续说道。Barnaby Jack想黑客与我们日常使用事物相关的东西。他知道Jennifer的父亲有心脏起搏器,想研究这些设备的安全性。当你把东西放入体内时,不时修补并不容易。这样的研究将使世界更安全。黑客真实事物重要且必要。

“不同思考”
有一些酷炫的东西出现。Ruben Santamarta对智能手机感到无聊,想出了黑客卫星通信的想法。在与Jennifer分享一些初步结果时,她正在航海旅行中,感到 terrified,甚至一度以为他黑客了航海船上使用的通信系统。

“说正确的语言”
报告卫星通信中的安全问题是大事,应以适当方式处理,以便技术细节交给正确的人,问题得以解决。Jennifer解释道,Ruben没有报告技术细节,而是专注于问题的影响,这有助于说服应该被说服的人解决问题。

“享受乐趣”
IOActive的员工从eBay购买了一堆智能电网仪表并进行黑客攻击。由于许多聪明人的工作,研究人员正在被交谈,一些ICS部署正在放缓,安全性正在评估……这是一个良好的演变。同时,并非所有东西都能以500美元从eBay购买。如果能自己建造,为什么要买?受“曼哈顿计划”启发,Mike Davis决定建造一颗核弹。“在你黑客之前需要理解技术”,Jennifer说。你不需要是程序员就能黑客出一些工作的东西。

“我在寻找什么样的下一个黑客?”
你不需要成为下一个Chris Valasek或Ruben Santamarta。你只需要渴望努力工作并充满激情。你需要想做这项工作,无论是否获得报酬。提出新想法,并为之努力。开始破解事物。了解社区。提问,负责任地披露,受到启发并享受乐趣。最终,目标是让世界更安全。信息安全是最酷的行业。你可以做惊人的事情。

关于Jennifer Steffens

作为首席执行官,Jennifer Steffens负责IOActive业务的各个方面,包括销售、交付和财务,以及推动公司的战略愿景。Steffens为公司带来了丰富的行业和业务经验,曾是几家成功初创公司的早期成员。

在她的职业生涯早期,Steffens是Sourcefire的董事,她在短短四年内帮助业务从25万美元增长到超过3500万美元的运营率。与CTO密切合作,Steffens帮助商业化开源Snort技术,并围绕研究计划构建了几项服务产品。在加入IOActive之前,她来到西雅图帮助 struggling 初创公司GraniteEdge重塑自身。她带头倡议重组公司,并制定了产品策略以推动早期市场渗透,最终确保了两轮额外融资。

拥有超过10年的行业经验,Steffens还在Ubizen、NFR Security和StillSecure担任高级管理职位。她毕业于玛丽华盛顿大学,获得心理学理学学士学位。

© 2014, Peter Van Eeckhoutte (corelanc0d3r)。保留所有权利。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次