与Yan Shoshitaishvili一起打破网络安全的界限

“创新者需要调整任务，并展示如何向前推进。你需要有一个机构或一个组织来满足你的中间需求，或者你需要在你的组织中建立这个位置。”——亚利桑那州国家大学助理教授Yan Shoshitaishvili

为什么故事对创新过程很重要？哪些价值观可以灌输给分享故事的创新者？创新领导者如何激励创作者讲述和分享他们的成功和失败故事？

我们与Yan Shoshitaishvili交谈，Yan Shoshitaishvili是亚利桑那州立大学的助理教授，也是完全自主黑客系统的共同创造者，Angr.．他是其中的一部分溢出的顺序，黑客会议的组织者def con ctf.. Yan为有兴趣通过破译密码游戏学习网络安全的人创建了一个网站，https://pwn.college/．PWN被描述为有助于初学者学习黑客攻击的基础知识。现在，不仅有网络安全初学者网站，而且亚利桑那州立大学有一个六个月的计划，其中一个人被称为毕业生，更好地了解研究生级网络安全研究所需的研究。然后，选择的个人将更好地了解网络安全研究，让他们在追求毕业生学位方面做出明智的决定。如果你想了解更多，请联系Yanyans@asu.edu．你也可以在社交媒体上和他联系:推特和linkedin．

听播客

成绩单

这一集的动力来自Untold Content的创新故事雷竞技电竞竞猜叙述雷竞技raybet提现．在这种沉浸式和互动的故事驱动的经验中增加购买。您的团队在哪个讲故事技术的最新项目，原型和投票 - 并通过25个史诗般的创新故事的史诗例子来启发。了解更多https://undoldcontent.com/innovationstorytelling雷竞技raybet提现Trinning-2/．

凯蒂:(就是)今天我们的嘉宾是燕Shoshitiashvili。他是在网络安全亚利桑那州立大学的助理教授。他是世界上最好的黑客之一。他是Shellphish，在世界上排名最高的黑客团体之一的前队长。他也是溢出，一个神秘的实体主机防守精读CTF的顺序创始人：代表夺旗。它是我们要去潜入我们的谈话相当多。非常感谢你，燕，来这里的播客。

燕:[00:00:32]很高兴来到这里，凯蒂。

凯蒂:(00:00:34)你是怎么进入黑客世界的?

燕:(00:00:37)我非常早,所以我六岁左右的时候,我的祖母给了我一本叫做Fortran教授的百科全书,这是一本书,在俄罗斯,孩子们学习计算和出版只是带孩子什么是计算机。漫画书中各种各样的概念。有个叫Fortran的教授。当然，Fortran也是一种编程语言的名字，这是一种双关语。那里有一只叫X的猫，一只叫毛毛虫的毛毛虫和一只叫伯德的鸟。所以他们一起探索了计算机世界。然后他们在学习如何编码和基础知识方面达到了顶峰。这些都写在书上了。当时并没有真正的个人电脑，尤其是在俄罗斯。有一段时间，我翘课，你知道，在小学，小学早期，我会翘课，躲在楼梯井里。 And I would just read this book over and over a cover to cover. And then eventually I got a chance to write some simple programs on the mainframe at my mom’s work.

凯蒂:(00:01:56)你妈妈做了什么？

燕:[00:01:58]我妈妈做的——基本上，现在的东西被看作是数据库编程。当时，它是数学的一个分支。

凯蒂:[00:02:07]好的。是那是那哦。那时候女性的角色受人尊重吗?还是一种性别差异?在当时的俄罗斯，只有女性在做这个领域的计算吗?

燕:(00:02:21)据我记忆所及，她的部门主要是女性。但我不知道是否存在性别差异。我真的不知道该怎么回答。

凯蒂:(00:02:31)好的好的。在美国历史，美国历史上，在美国宇航局周围和许多颜色的妇女中，围绕美国历史和许多人在背景中计算出了很多基地航班时，还有一些更可见。

燕:(00:02:47)哦,当然。是的。你知道，我昨天在这所大学的网络安全俱乐部做了一个演讲。

凯蒂:(00:02:56)辛辛那提大学吗?

燕:(00:02:57)是的。是的。我参观了他们的网络安全俱乐部，我开始我喜欢为我的演讲提供历史基础。我介绍了程序分析的概念，我想我们以后会讲到。但是在引入这个概念的时候，你可以从查尔斯·巴贝奇等人开始。巴贝奇分析机的创造者。这是在19世纪。的第一件事,是公认的现代计算机,你知道,在现代计算机中,然后你很快开始谈论Ada Lovelace的,首先,你知道,计算机程序员,写程序四巴贝奇的计算机的人,她也是第一个计算机程序分析器。

凯蒂:(00:03:46)是的！

燕:(00:03:46)所以她对计算机软件的运行情况进行了惊人的分析，或者假设它会在一个假设的分析引擎上运行。

凯蒂:(00:03:56)说到我最喜欢的儿童读物，我有三个小孩，他们喜欢《科学家》艾达·特维斯，这本书是基于艾达·洛夫蕾丝的。

燕:(00:04:05)哦,太好了。

凯蒂:(00:04:06)是的。"艾达·玛丽，艾达·玛丽直到三岁才开口说话"这都是关于她如何拥有科学思维，而不一定是文学思维，以及她如何探索她的世界。不管怎样，从我们开始研究儿童读物开始。所以。所以。是的。好吧。所以当你向学生介绍这些概念时，你是在向他们介绍历史，以及那些可能不为人知或看不见的声音。

燕:[00:04:31]是的，这很重要。我的意思是，早期的历史上有很多名字，你知道，当我们认识Ada Lovelace时，我认为人们认识Grace Hopper。你知道，他们还没有完全意识到这些人的影响力有多大。重要的是要让它浮出水面。当学生们学习网络安全时，他们明白他们不仅仅是在某个特定的时间插手…

凯蒂:(00:05:09)是的。

燕:(00:05:09)他们真的参与了一个长期的连续的人们得到了计算的核心。这就是网络安全的核心所在，它挖掘了计算机科学的基础，计算的基础，程序的基础，以及我们对社会对软件和技术的依赖。

凯蒂:[00:05:38]绝对的。这是令人难以置信的重要性和应用研究，你正在做的和程序，你正在构建的行业，学术界，我们的政府。你能快速转发现在我们你现在做什么呢？我的意思是，你有出版物的一个非常年轻的助理教授，一个疯狂的数字。你已经在游戏中了两年半，现在你的博士学位。我想也许你之间或做博士后？[00:06:07] [29.2]

燕:(00:06:08)现在，我们可以通过这种方式来判断场的状态。网络安全需求巨大，原因非常明确。如你所知，安全问题不断出现。

凯蒂:[00:06:21]并且技术创造的速度很快。

燕:[00:06:24]是的。

凯蒂:[00:06:24]安全问题与这种速度同时增加。

燕:[00:06:27]事实上，你知道，一个有趣的事情是，缺乏安全是技术创造中摩擦的来源，所以只有如此快，你可以在不考虑安全的情况下开发技术，因为最终会有大量的安全问题开始阻碍采用。比如，信用卡经常被泄露。你看到的是，几年前，每个人都从刷卡转为将芯片插入读卡器。正确的。对。进行购买。这是有代价的。这需要真正的资源来替换所有这些机器，等等。这也是一个促使行为改变的安全问题。

凯蒂:(00:07:12)行为和接受的意愿。

燕:[00:07:14]所以我们很清楚地看到，这是一种挫折，就像我们前进道路上的一块石头，因为我们没有考虑清楚，没有从一开始就确保它们的安全。与此同时，从一开始就保证它们的安全是不可能的。你不能预见所有的问题，等等。所以社会的步伐和技术的步伐是建立在网络安全之上的或者说建立在对网络安全的需求之上的。这就是为什么现在，这个市场，这个市场，我在这里说，就像对网络安全专业人员和教育专业人员等的需求，是有可能从博士直接晋升为教授的。我就是这么做的。

凯蒂:[00:08:04]当然，当然。哦，当然。你作为一名博士生发表了一篇文章。作为一名教授，你发表了大量的研究成果。告诉我们你所做的一些工作，以及你最喜欢的关于你工作的创新故事。

燕:[00:08:22]当然所以我们做了广泛的研究，有一个非常明确的专业领域。我们在亚利桑那州的实验室确实在网络安全的几乎每个方面进行了研究。首先，你知道，对我来说，传统上不是重点关注的领域。我们在10月份发表了一篇论文，采访了公司的安全工程师和安全经理，了解了他们对实际（你知道的）公司、学术机构和政府在确保安全方面的优先次序的看法之间的矛盾。对吗？所以这是一件需要理解的重要事情，因为当我们开发安全技术时，开发它在某种意义上是容易的。你还必须让它被采纳。你必须，你知道，部署所有的芯片阅读器，等等，等等，让人们相信这很重要。因此，这是一个传统上我没有做过的领域，也是我们一直在进入的领域。我重点关注的领域是二进制分析。

凯蒂:(00:09:41)是的。

燕:(00:09:42)当然，这个想法是…

凯蒂:(00:09:45)是的。分解二元分析。

燕:(00:09:46)是的。

凯蒂:(00:09:46)因为我认为一些播客听众可能熟悉你的领域。我想特别是那些收看Def Con或其他观众的人。但我认为，创新社区中的大多数人可能并不真正了解网络安全的内部运作。[00:10:04] [17.1]

燕:[00:10:04]当然。

凯蒂:[00:10:05]所以,是的。跟我们说说二元分析。

燕:(00:10:07)所以让我们说我读了一个电脑程序。我坐下来，我打开我的开发环境，或者您不需要开发环境来编写软件。您可以打开记事本和写软件。一个记事本。你甚至不一定需要一个先进的东西。但我坐下来，我写了一份电脑程序。Traditionally in the early 90s, let’s say when I was writing my first programs, when you write this source code, you know, you type up a file that represents what a program should do and then you use what is called a compiler to translate that into machine code. Ones and zeros that a computer understands.

凯蒂:[00:10:54]你所做的太多......我的意思是，知识量，而不仅仅是历史知识，而是数学知识，就他们的基础设施来理解计算机作为一种方法来实现它们。您如何将研究至关重要的重要性，向工业合作伙伴提供资金的资金，对那些可能没有同样专业知识的人员？是的，我很乐意了解你发现自己使用的讲故事策略的更多信息。我喜欢你刚刚将我描述的一些隐喻，因为你知道，你知道，博士学位，你是在计算机科学中的博士学位。我们有点说出不同的语言，但是。但是，是的，你发现自己发现的讲故事技术是什么，你认为最重要的是什么？

燕:[00:11:44]所以对我来说，重要的是传达我对这个主题的感受。所以当我奶奶给我那本书的时候。这不只是信息，就像打开了一个完整的世界。对吧?所以你正在阅读一个有着非常简单规则的世界。对吧?cpu的工作方式非常简单。我的意思是，这有很多复杂性，尤其是在现代处理器中:无序执行，大量内存缓存，等等。但从一个非常高的水平来看，这是非常简单的。它会收集一些数据，并解释其中一些是要做什么，另一些是要使用什么数据。 And then it does it. But somewhere at some point between the physical components that a CPU is made up: of logic gates and wires and et cetera. And the computer program, there’s some magical shift that happens, at which point we say, ‘that is a computer.” Because you don’t say that about a calculator.

凯蒂:[00:12:58]是的。正确的。

燕:[00:12:59]你不能这么说。我的意思是，现代的计算器，当然，是计算机，但你不能把它说成是一个简单的电路，可以把两个数字相加。你不会说那是一台电脑，但在某种程度上你会说这是一台电脑。然后这个点就是计算机可以执行算法，可以用代码表示的任意算法。这个概念是由艾伦·图灵在上个世纪中叶进行的学术探索。这是一种图灵障碍，它本质上定义了什么时候不是电脑的东西变成了电脑，这就是我的想法。这个屏障很神奇。你不会真正理解，从哲学上讲，是什么突然发生了变化。让机器开始能够执行算法。对吧? We understand mathematically what a Turing machine is. And the difference between a Turing machine and other forms of automaton, so forth, other computational models. But philosophically, deep down inside, I feel there’s a similar divide between that, between a non computer and a computer, as there is between a computer and human, right? So in the push for AI, we are also facing this concept of: at what point does a very, very smart machine become sentient? And there’s no real answer, even philosophically, that we have. In a smaller way, there’s a similar question in the step from not computing into computing. To me, that point, that threshold is there’s some magic there. And the reason I do binary analysis is that it is as close as you can get to that threshold.

凯蒂:(00:14:57)隐马尔可夫模型。

燕:(00:14:58)从另一边。从计算机方面来说。

凯蒂:(00:15:02)是的。

燕:(00:15:02)像计算的核心这是发生了什么事你的CPU中，右键上水平，如果你去任何进一步的，它只是一堆逻辑门。没有什么神奇的来给我。然后，但是当你退后一步跨越的门槛，突然你谈论的是一台能够模拟整个世界，人们花，你知道，几十个小时玩耍或类似的东西。

凯蒂:(00:15:29)是的,是的。

燕:(00:15:32)所以我想表达的是，事实上，我的课程是从非常基础的水平开始的，就像基础和基础，基础。这就是为什么我要讲这方面的历史，这就是为什么我的一门课…我教这类黑客课程，本质上，我教学生在二进制级别上可能发生的各种特定的安全问题。我开始说:这是二进制水平。我们回到这是一个逻辑门，然后我们跨过那个门槛。在某种程度上，有一种魔力。所以从学生的角度来说，首先，我试着灌输。对这一领域的欣赏，对可计算性，对计算的欣赏，对吧?然后。你必须走得更远，你必须让他们对黑客也充满热情。关于网络安全。所以从某种角度来看，你可以观察很长一段时间。 Society did view hackers purely, let’s say, a nuisance or, you know, renegades or something.

凯蒂:[00:17:00]是的,对的。

燕:[00:17:03]你们看到了。当我们建立我们早期的网络安全法律时，第一个Def Con I实际上有一个安全研究人员在谈论他在某个文件保护方法中发现的漏洞。当然，他在台上发表了演讲，然后对Def con的人群发表了演讲。然后他下台了，就在那里被逮捕了。

凯蒂:(00:17:30)我是。这是我对你的领域，你的工作的一个迫切的问题。你如何决定分享什么，发布什么，不分享什么，是否暴露你的身份，如果你在做这类工作?

燕:(00:17:46)正确的。比如，肯定有匿名的安全研究人员。对吧?甚至有匿名的安全研究人员出现在学术研究中。我读过一篇论文....

凯蒂:(00:17:58)迷人的。

燕:(00:17:59)当然，你有那个单词作者列表。你知道，在学术界，作者身份基本上是我们的货币。所以…

凯蒂:[00:18:08]是的。

燕:[00:18:09]你有你的作者名单，其中一个名字是匿名的。这真的很有趣，因为你知道，正如你在开始时所说，你看了我的出版物，这些出版物是我的谷歌学者简介或其他什么，因为我是那里的作者。

凯蒂:[00:18:29]你有匿名出版物吗?

燕:(00:18:33)我不会——我不会承认这一点。然后媒体必须双管齐下，才能分辨出出版物中的人物，也能分辨出出版物中的人物。但是…

凯蒂:(00:18:47)嗯，是的，告诉我们这个术语，这个黑客行为，你知道，今天，我认为黑客行为在创新社区中非常流行。我看到他们，我们一直看到他们。这是一种期待。这是一种好玩的邀请，用来解决大问题，某种程度上利用黑客的力量。

燕:(00:19:07)是的。

凯蒂:[00:19:08]这是如何转变的?我的意思是，我敢肯定它仍然隐含着恐惧。

燕:(00:19:14)所以hacking有两个意思。对吧?实际上有两种相互矛盾的含义。hacking的一个意思是hackathon，对吧?这就是。就越有意义，对吧?你拿的东西只有一个目的。你把原本是为了目的B的东西拿走然后把这个目的A的东西，目的B的东西放在一起来完成c，对吧?这就是黑客马拉松通常做的事情。

凯蒂:(00:19:49)明白了。计算机、艺术和计算机科学。正确的。它仍然在你生活的世界里？

燕:(00:19:56)但你。嗯…

凯蒂:[00:19:57]我见过其他人用好玩的方式做。是的。就像艺术一样。

燕:(00:20:01)正确的。完全正确。

凯蒂:(00:20:02)创建…

燕:[00:20:03]从这个角度看，你可能会有一场工程学的黑客竞赛。对吗？

凯蒂:[00:20:06]Mmhm。

燕:[00:20:06]你可以来一场黑客马拉松式的舞蹈。是的。是的。当然，你也可以举办一场电影黑客马拉松。你把两部，或者几部电影放在一起，然后把它们剪辑在一起。

凯蒂:[00:20:18]明白了。

燕:[00:20:18]你把它们弄乱，然后得到一些有趣的结果。对吧?

凯蒂:(00:20:23)你们的世界里用过黑客马拉松这个词吗?

燕:(00:20:25)不。

凯蒂:(00:20:26)好的。好的。

燕:[00:20:27]所以我们在第二级黑客攻击...或者，黑客攻击的第二个含义，这是你知道的。当你破解某物时，对吧？那是......你拍了，是的，你拿出目的a的东西，并通过甚至可能明确地拟使用它的方式来接近它。你把它转向目的B.这是一个......这是黑客攻击的网络安全意义。它正在进入计算机系统或打破系统，以便您将其重新调整到不同的目的。这可能是，你知道，打破，你知道，一些大公司信用卡处理系统将其变成信用卡收获系统。对吧?等等。

凯蒂:(00:21:33)同样，善或恶的力量。

燕:[00:21:35]正确的。

凯蒂:[00:21:36]你在课程中教授道德吗？

燕:(00:21:38)是的。我们...每个类都必须有至少一个道德成分或真的应该有一个道德成分。正确的。这些都是孩子我们教他们有时不经过思考的东西。所以，你必须非常明确。[00:21:57] [18.7]

凯蒂:(00:21:58)因为你知道，我们的道路仍在深化。

燕:(00:22:00)是的，你必须非常明确。我看到过在计算机科学领域，不一定是亚利桑那州立大学，孩子们做了一些愚蠢的事情，然后被开除，他们的成功就这样被阻碍了。

凯蒂:(00:22:18)甚至现在一些最著名的创始人，比如扎克伯格，开始说什么来着?我不想说一个艰难的开始，因为这也证明了他的能力。但是，你知道，当时黑进了哈佛的系统。

燕:(00:22:38)正确的。

凯蒂:(00:22:38)所以…

燕:(00:22:38)是啊，这是一个平衡的，对不对？你想要。您需要一个网络来样抓这些孩子，并确保这一点，你知道，他们没有得到扔进监狱。这是一样的道理。就像你在运行自己的警察部门的大学。正确的。当我还是一名大学生，我被激怒了，大学是不知何故，我觉得这是一个压抑的事情。正确的。但后来我意识到，大学警察部门一部分而存在，这样他们可以种一巴掌，你在手腕上没有这是一个更大的问题。我们有这样的事情在学术网络安全。 Right? You have you know, you have the kid that breaks into your grading system. And…

凯蒂:(00:23:29)这也发生在你个人身上吗？

燕:[00:23:32]嗯，是的，事实上。所以我最近创建了一个网络安全平台…

凯蒂:[00:23:37]那个学生得了A吗?

燕:(00:23:38)是 啊这就是我所做的，实际上部分是为了教授这个道德黑客课程，我创建了一个系统来支撑我的课程。这是一个“实践使完美”的概念，在我教授二进制安全性概念时，它生成特定于学生的程序，并像定制的一样，因此没有两个问题是相同的，利用这些概念，人们必须练习他们在实践中学到的东西。

凯蒂:(00:24:20)好的。

燕:[00:24:21]我们知道我现在教的课程，我的主要课程有八到九个模块，从这是如何在现代计算机上使用命令行到这是如何进入所谓的内核。操作系统的核心，以及中间的所有步骤。它运行在一个基于云计算的系统上，学生可以连接很多东西，或者为他们创造一个挑战，他们可以解决这个挑战。当你通过破解系统来解决挑战时，你可以访问一个文件，这是你在解决挑战之前连接网络时无法访问的。然后那个文件里有一个密码，你可以用它来换成绩。

凯蒂:(00:25:07)好的。

燕:[00:25:08]这就是标准。

凯蒂:(00:25:11)这是非常有趣的。

燕:[00:25:13]是的，这真的是“抓住旗帜”，非常清楚地应用到教育中，这正是网络安全竞赛的形式。所以当我们为DEFCON创建提示时，它是相同的概念。当然，你有一个复杂得多的，运行我们部署和运行的计算机系统，竞争对手必须侵入它，窃取信息，并交换这些信息来获得积分。

凯蒂:[00:25:43]好吧，我作为一个孩子的最活泼和最喜欢的回忆之一是在树林中间的夏令营，分手队和捕获旗帜并掩饰你的国旗，以便没有人能找到它，创造一个监狱，你知道，试图突破没有任何人看到你穿过周边或抓住国旗并跑回来。因此，请告诉我们如何在黑客世界内使用该游戏风格或游戏类型的方法。所以这就是为什么我会要求你告诉我们溢出的顺序。

燕:(00:26:15)正确的。

凯蒂:(00:26:16)如果你可以的话。

燕:[00:26:18]所以…所以。

凯蒂:[00:26:18]这个组织有多神秘？

燕:[00:26:20]我认为这相当…

凯蒂:[00:26:22]我只是在和你开玩笑!

燕:[00:26:22]完全正确。我们有一些匿名的人在上面，不是匿名黑客组织，而是匿名的，你知道的，不能公开识别。所以我们开始了，你知道，我开始玩Shellphish等在我的博士学位。由于对CTF的热情，我成为了球队的队长，然后我毕业了。毕业是一个非常痛苦的经历。正确的。所以你一直待在实验室里。你住在实验室里。对吧?你可以用两种方式来读博士。 One, you can maintain a good work-life balance. I have a friend that at 5 p.m. he gets up from his desk and he goes home and he does his PhD like a good employee at a good at a job. He shows up at 8:00, he leaves at 5:00 and he does the PhD. But while he’s there he’s doing the PhD.

凯蒂:[00:27:31]是的。

燕:[00:27:31]或者你也可以。这是一个很好的方法。另一个很好的方法就是你住在实验室里。[00:27:38] [7.0]

凯蒂:[00:27:39]嗯嗯。

燕:[00:27:39]这意味着你在实验室工作，但你也不在实验室工作。对吧?这就是我所做的。当你这样做的时候，毕业是一件很棒的事情，因为你已经完成了一些惊人的事情。你有你知道，你有一个博士学位，每个人都开始叫你博士，等等。但这也带来了极大的创伤。突然间，你就被赶出了家。我在那个实验室住了七年。有一些时候，尤其是在网络犯罪挑战期间，我每天在实验室里待20个小时，真的，然后我回家，睡4个小时。

凯蒂:(00:28:16)是的。

燕:(00:28:18)你知道，我把船长和贝壳鱼的火炬传给了他。我当时在亚利桑那州立大学试图训练人们，当然还有我优秀的同事。然后这个机会来了Def Con CTF的组织者退休了。组织者大约每五年退休一次。跑起来要花很多时间，你真的想保持新鲜感，对吧?所以每五年就会有新鲜、热情的人。太好了。组织者都退休了，于是就开始寻找组织者。我想，“我想做这个。”

凯蒂:(00:29:07)这就是我的生活在这一点上努力。

燕:[00:29:09]完全正确。完全正确。这难以置信。因此就出现了这样的快乐中，你知道，只是继续与Shellphish玩，在黑客世界的高度，作为一个参与者或移动到推动人的组织者这一角色操作和指导领域。是的。我认为这是一个从学术的角度很好的作用。

凯蒂:(00:29:40)是的,当然。它真的是你描述的模型，你如何学习嵌入价值观，教导和指导学生进入这个领域。从博士生到教授的转变也改变了你在Def Con的工作方式以及你所产生的影响。

燕:(00:30:01)是的。是的，究竟。

凯蒂:(00:30:02)这些竞争非常激烈。我看过一些YouTube视频。在YouTube上看看Def Con CTF，看看它的运作方式和策略，真的很有趣。就像很多年轻人谈论的那样。我认为即使在这些视频中，他们仍然是一种安静的沉默，不要透露太多。你不想透露太多关于你的策略，因为这样别人可能会在明年窃取你的策略。所以…

燕:(00:30:33)是的。然后甚至不是明年。我的意思是，我们已经......已经有游戏中的社会工程攻击。我们有队友，无论出于何种原因，根本不像黑客，他们会走来走去，他们会，你知道，哦，你的工作吗？你知道，他们会坐下来，开始了，你知道的，谈话的其他球队和其他球队会是什么样子，哦，是的，我们正在做的等等，等等，等等。

凯蒂:(00:31:00)哦,我的。哦,人类的黑客?

燕:(00:31:03)人类的黑客。绝对的。我的意思是，没有其他。

凯蒂:(00:31:05)这是一种古老的艺术形式。

燕:[00:31:08]完全正确。它总是最薄弱的环节。有些球队做了更疯狂的事情。我听说有人喜欢剪断网络电缆，然后拼接到……

凯蒂:[00:31:19]模拟黑客!

燕:[00:31:19]模拟黑客攻击。这种情况经常发生。有一年它还是合法的。这是违法的。我们有一个可以绕着无线天线旋转的小机器人。当它旋转无线天线时，它会执行所谓的去认证攻击。它会和你的无线卡通话假装是接入点，你的无线接入点，说"哦，该死，你现在断网了"然后你的电脑就会失去网络。正确的。所以每三秒钟，我们就会切断周围所有人的联系，除了我们自己。

凯蒂:[〇时31分57秒]哦，天哪。

燕:[0时31分58秒]从无线。并有依靠了无线上网的那支队伍。我们会，你知道，我们第二天走动，有一个特定的团队，他们都全新匹配有线网络电缆，因为他们只是他们无法与断开处理了。

凯蒂:[○时32分16秒]如此令人沮丧。

燕:(00:32:17)是 啊所以事实上明年…。这是最后一个合法的一年。现在，这些取消身份验证的攻击算不算干扰，这在美国是不合法的。

凯蒂:(00:32:28)好的。

燕:(00:32:29)所以，是的，它做到了。有很多黑客的东西。但不管怎样。我们决定去尝试一下。我，我在亚利桑那州立大学的同事亚当，也是一位教授。我们坐下来，我们想，“好吧，我们要这么做。将会有一种很棒的方式为社区做出贡献，一种很棒的方式向人们宣传，嘿，亚利桑那州立大学是认真对待网络安全的。”对吧?然后我可以详细说明因为如果没有亚利桑那州立大学内部很多机构的支持我们就无法做到这一点。

凯蒂:(00:33:11)我正要问你。你知道，所以。因此，本播客的核心和灵魂是思考讲故事在创新速度中所起的作用。你是如何在一个学术机构中赢得领导世界上最具竞争力的黑客游戏的认可的？

燕:[00:33:33]因此，我们的角色是教授是教育，但也是领域未来的发展，以及你通过研究以及通过所谓的，曾经在服务中召集的方式的发展。您所做的是您形成决定会议诉讼程序的委员会。正确的。所以出版过程实际上是相当艰苦的。你写论文，你提交它，然后是一些双盲。所以匿名审查人员表示你的论文是垃圾然后。

凯蒂:[00:34:13]您需要修改并重新提交。你再这样做，一年后它就消失了。

燕:(00:34:16)完全正确。所以匿名评审团的成员通常都是该领域的教授。我们用非常相似的方式来表示。大学说，看，我们想要。推动应用网络安全的发展。我们想要这样做，因为它将证明我们在亚利桑那州立大学所做的是真正领先的领域。

凯蒂:(00:34:41)是的。

燕:(00:34:41)对吧?所以突然之间你就不只是出版了，这很了不起。不仅仅是现实世界中可应用的原型和工具，我们在亚利桑那州立大学也致力于这方面，这很了不起。但你也有这个活动，这个非常独特的活动有点像世界黑客锦标赛。亚利桑那州立大学可以帮助实现这一目标。亚利桑那州立大学令人惊讶的是，它是一所新的美国大学，这最初意味着招生方式的不同。正确的。所以亚利桑那州立大学会尽可能多地招收学生。我认为，我们是唯一一所人口结构与亚利桑那州完全匹配的大学。正确的。 So minorities and so forth…

凯蒂:(00:35:41)优先考虑包容性。

燕:[00:35:43]是的,没错。极端的在内地。我有一些学生他们很优秀，能上大学是因为。因为ASU。正确的。这真是太酷了。从表面上看，这是一个挑战。一个典型的大学。他们其实是想要独占。正确的。 Because also part of the measure of university rankings is how few people you admit. How low your admission rate is. So it’s… The lower the admission rate. It’s not the only measure, of course, but it is a measure…

凯蒂:(00:36:16)它会影响您的整体分数。

燕:[00:36:18]是的,是的。是的。所以这是一种不同的方法。但是但是作为重新评估作为一所大学意味着什么的一部分。亚利桑那州立大学还研究了，大学在社会中的地位是什么?正确的。我认为，这是一个绝佳的机会，通过帮助领导这个活动来展示大学在社会中所能占据的地位。这个活动，我的意思是，组织起来非常复杂。我的意思是……

凯蒂:(00:36:51)我简直无法想象。这是……

燕:[00:36:52]而不仅仅是……

凯蒂:(00:36:53)甚至决定如何构建游戏本身。但是是的。是 啊

燕:[00:36:57]是的。我的意思是，应有尽有。所以，你刚才疯狂数量的复杂性。我认为DEFCON CTF，只是周大福需要像15万美元，每年运行和高清精读会议...

凯蒂:(00:37:12)你认为组织者总共要花多少时间?

燕:[00:37:14]这还不包括组织者的工作时间……我们基本上在7月、6月和5月都不存在。正确的。只是，只是我们不存在。

凯蒂:(00:37:28)是的,是的。

燕:(00:37:29)如果我们在4月初给April放个假就是预选赛。现在我们不存在了。我们正在准备预选赛。正确的。就像，有大约十几个人在拥挤的秩序中。他们并不都是亚利桑那州立大学的。我和我的同事，我们有几个学生在亚利桑那州立大学，还有一些神秘的人…

凯蒂:(00:38:02)如何在如此重要的事情上进行虚拟合作而不用担心被黑客攻击?

燕:(00:38:07)是的，我的意思是，我喜欢告诉人们的，这是完全错误的。然后只是虚张声势，就像“我们是人们应该害怕的人”你知道吗？所以我有一些学生很紧张要去Def Con，比如“Yan”，我不知道我是否应该带上笔记本电脑。我不知道我是不是应该啊，“不，别担心。你是他们应该害怕的人。但这只是一种…

凯蒂:[00:38:31]这应该是今天的口号。完全正确。它应该是对的。

燕:(00:38:34)完全正确。在某些时候，你只是说，你知道你只能活下来一直活下来透露骗局。所以，这就是你的合作方式。

凯蒂:(00:38:45)是的。是的。真的，太不可思议了。我在想，你知道，在我们结束的时候有几个要点。是:通过将工作与组织的整体使命相一致，你得到了大学的支持。这适用于行业内、学术界、或任何文化组织内的创新者或黑客。任何在任何文化组织内运作的人，都要弄清楚自己的使命是什么，并确保与你的想法和可能性保持一致。

燕:(00:39:16)但你也需要这个机构。所以有两部分。有那种创新者。所以要说，就像那个正在向机构制作投资的人。但也有机构部分。我们在ASU再次真的很幸运。我们拥有制度部位，asu的许多不同部分有所帮助。那种核心是一个被称为全球安全计划 - GSI的核心。而且它是ASU的一部分，其目标是增加现实世界的网络安全，一般安全，但这以及我们的研究和我们在大学的网络安全影响。我提到Def Con CTF每年花费大约五万美元才能运行。 Over half of that, Def Con the conference, actually provides. So, you know, things like hotel rooms, admission to the conference, that adds up quite a lot. But there’s things like servers, things like food, or the organizers, et cetera, that cost quite a lot as well. And ASU managed to, you know, somehow find funding for this so that, that’s been incredible.

凯蒂:[00:40:36]是的。确实。

燕:[00:40:37]我想对那个评论说的是，那个创新者有点像探戈。正确的。因此，创新者需要调整任务，并展示如何向前推进。但是你需要。要么有一个机构或一个组织会在中间遇到你，要么你需要在你的组织内建立这个位置。

凯蒂:[00:41:08]我爱。我喜欢这个建议。你对专业人士或年轻的专业人士还有什么建议吗?或者是想成为黑客的学生。关于他们如何表达这种欲望，你有什么建议吗?如何…?是的，我想我只是想知道你是否能给他们一些建议，因为他们不仅知道黑客的艺术形式，还知道如何进行沟通。

燕:[00:41:39]这个问题问得好。我想说三件事。一是要记住，世界不仅仅是网络空间。我认为最大的限制因素之一是:人们100%专注于虚拟世界，却忘记了他们生活在会面空间。正确的。和，你知道，和其他人。Shellphish不会是最大的，最长的，最酷的CTF团队。如果不是一群不仅仅是精通黑客的人。同时也是熟练的人类。正确的。 So, you know, my advisor is a great example of this. He’s super capable of creating this social environment that allows Shellphish to thrive as well. And other teams don’t. You have teams, and I’ve seen them come and go, that, you know, a collection of super good hackers who never talk to each other and never talk to other people who never, you know, propagate their skills. And then when they stop hacking, the team is gone. And that’s also fine. Right. Maybe, you know, this coming and going….

凯蒂:(00:43:05)但这可能会放慢整个行业的发展速度。

燕:[00:43:08]完全正确。

凯蒂:[00:43:08]喜欢社区的整体和创新的进步。

燕:(00:43:11)还有人。

凯蒂:(00:43:11)记忆丢失，如果你不…

燕:(00:43:13)记忆丢失了。没有......有没有人因为贝什而去UCSB。对吧?这就是你的开始，你知道，推动社区。而且我希望有人实际上，由于溢出的顺序，有人们已经来到ASU。那已经去了。我的意思是，就像我说溢出的顺序不仅仅是随着ASU。我们刚才发生了。我们在那里创造了。但我的意思是，我有同事，教授，也是溢出的顺序，迄今为止[不清楚]和法国，对吗？

凯蒂:(00:43:49)是的是的。

燕:(00:43:50)等等。二是你现在可以实际开始黑客攻击。对吧?你不需要正规教育。我现在我现在给出了三号的警告。但你不需要正规教育。我开始在高中攻击，对吧？

凯蒂:(00:44:05)是的。

燕:(00:44:05)您可以在线查找大量材料。在管道下来的一件事是我之前描述的这个课程。我实际上是在线免费提供的，包括练习在线，但讲座只是幻灯片。所以我需要记录讲座并将其置于讲座。但那会像一个交钥匙资源，只需使用二进制安全来推出。

凯蒂:[00:44:36]我很高兴在展示笔记中分享到该课程的链接。

燕:(00:44:39)哦，当然。绝对地它也很容易记住，所以有一个术语用来表示利用某物，PWNing。这是P.W.N.我想“拥有”你知道，“我拥有那台服务器。”所以我把它删掉了。所以PWN.college–PWN.dot college。超级容易记住。

凯蒂:[00:45:03]惊人的。而且我现在说的那样，所有练习都是上来，但不是我的意思和所有的讲座笔记。但是，但在下一个学期结束时，这仍然很难做好，我会记录一切。并把它放在网上。但是，那只是一件事。有百万不同的资源如何开始黑客。

凯蒂:(00:45:24)我认为有关联，大多数黑客都是人。

燕:[00:45:27]嗯嗯。

凯蒂:[00:45:29]文化。你的母亲和祖母是把你介绍给这个世界的人，我对此很感兴趣。你看到这种文化了吗?黑客文化是这样的吗?你看到这种变化了吗?你对性别差异有什么看法?

燕:(00:45:45)正确的。首先是....还有，对我爸爸公平点，因为他听这个播客，如果他觉得自己被排斥。我爸爸真的……

凯蒂:(00:45:55)喊出!

燕:(00:45:56)鼓励我向网络安全专业方向发展，实际上我并不认为可以以此为生，当我在2000年代中期大学毕业的时候。我不太清楚你能不能。对吧?

凯蒂:[○时46分10秒]这都是形成的。

燕:(00:46:11)他说:“这就是未来。你应该去争取。”

凯蒂:(00:46:13)他是怎么知道的?

燕:(00:46:15)他也在计算机科学领域工作。我爸爸是数学家，但是，你知道的，他擅长应用和非应用数学。应用数学越倾向于计算机科学。

凯蒂:[00:46:30]而你长大了，在俄罗斯，然后移动吗？

燕:[○点46分32秒]我八岁时搬到这里来的。所以我很早就在俄罗斯度过了童年。然后我在亚利桑那州长大。

凯蒂:(00:46:38)好的。

燕:(00:46:39)是的。

凯蒂:[00:46:40]我们把老爸叫进来了。

燕:[00:46:41]完全正确。我们有一个父亲的呐喊。所以你的看法是完全正确的。这是一个大问题。总的来说，计算机科学，我没有确切的数字，但大约90%是男性。特别是网络安全是最糟糕的子领域。

凯蒂:(00:47:01)真的吗?

燕:(00:47:01)大约95%到98%是男性。在整个竞争激烈的黑客社区。比如说在去年的Def Con CTF上，可能有。所以有16支球队进入了决赛。每个团队平均有12人。在这整个群体中，有数百人，大概有四个女孩。

凯蒂:(00:47:37)是的。

燕:(00:47:39)这很糟糕。

凯蒂:[00:47:42]是的。是的。

燕:[00:47:44]所以这件事情，这个社会真是挣扎。有些事情，个别人能做到有所作为。有一点是明确的推广计算机科学的人数不足群体。而实际上，它不仅仅是缺乏女性在计算机科学中的更差。这里还有一个缺乏...

凯蒂:[00:48:11]多样性?

燕:[00:48:12]多样性。

凯蒂:[00:48:14]是的。大部分是白人吗?

燕:(00:48:18)我会说，在每个主要领域，主要是那个主要领域。正确的。因此，在美国，我可以说社区大体上遵循高等教育的人口统计。由于某种原因，女性，这很奇怪，因为我们谈论的大多数早期名字都是女性，艾达·洛夫蕾丝，格蕾丝·霍珀等等，她们创造了这个领域，然后这个领域以某种方式被男性主宰。这有很多原因。我看到了一些非常，非常清楚，愚蠢的原因，这些原因非常令人沮丧，属于这个可怕的类别，你知道，男孩就是男孩，或者其他什么。正确的。那里有一群男人。所以不清楚这是怎么开始的。但是现在它被传播了。你让一群人组成一个黑客团队，你知道，到处都是非包容性的笑话等等。这是一件…。

凯蒂:(00:49:26)即使是文化也可以是独家的。

燕:[00:49:29]即使是文化。所以当我说。当你在黑客的时候，你不能忽视你是在一个人类的空间。这不仅仅是一个虚拟的空间。这就是我想说的。它需要努力确保你的黑客团队不是一个，你知道，不恰当的评论是....的团队轻轻地走。正确的。

凯蒂:[00:49:58]绝对的。

燕:[00:49:59]我们很容易在网上遇到这样的情况，因为黑客团队真的在网上生活。有一些。你知道，大部分时间生活在网上和…

凯蒂:[0时五十分16秒]废话。

燕:(00:50:17)废话。你知道，有“OK垃圾话”，但也没有“OK垃圾话”。

凯蒂:(00:50:24)是的。

燕:(00:50:24)我认为，那些“不好”的垃圾言论，才是真正伤害包容性的东西。老实说，这就产生了很大的影响。

凯蒂:[00:50:34]是 啊绝对地

燕:(00:50:35)I think at ASU in our group, and I should have these numbers, but I don’t have them off the top of my head, in a group of roughly 50 researchers, let’s say, we have something like eight or nine female computer scientists. Right. That is unheard of numbers in cybersecurity. Right. I would say out of the big labs that I know of and I don’t know the exact makeup of every big lab in the world, but out of the big labs I know of. We have probably the most gender balance, this eight or nine out of 50. I mean, that’s horrible.

凯蒂:[0点51分09秒]正确的。

燕:[0点51分09秒]正确的。但对于计算机科学整体而言。

凯蒂:(00:51:11)是的。

燕:(00:51:12)是 啊几乎20%。这是疯狂的高。

凯蒂:(00:51:15)你是说自己是黑客?

0:51:16][1.1]燕:(00:51:17)是的，当然。

凯蒂:(00:51:18)不要等着别人来做。

燕:[零时51分19秒]是的。

凯蒂:[00:51:20]戴上那个徽章。[00:51:20][0.4]

凯蒂:[00:51:20]是的。

燕:[00:51:21]我认为所有的创新都是如此。作为一名作家，我也是如此。一定要称自己为作家。如果你坐着等待获奖或发表在你完美的杂志上。这不是……

燕:(00:51:34)完全正确。是的，我认为这适用于一切，也适用于黑客。绝对的。我从高中开始学黑客，没有受过正式训练。雷竞技raybet提现介绍我的是一位很棒的高中计算机科学老师。

凯蒂:(00:51:53)还有你妈妈。

燕:(00:51:53)对对还有我妈妈，还有我奶奶等等。就你奶奶来说也是。不，她给了我那本书。我奶奶是数学家。凯蒂：(00:52:03)好吧，很接近了。

燕:(00:52:04)但是，是的。完全正确。和。而且，你知道，我是，我只是自己向前推进，你可以完全这样做。有一些魔法，但它是没有人理解的魔法。甚至不是专家。正确的。所以你只是......

凯蒂:(00:52:22)我爱。

燕:(00:52:22)所以你刚刚开始推进。我会说的第三件事。你可以从我的轨迹中看到它是我能够自己开始，但我无法自己完成轨迹进入黑客。为此，我需要去研究生院。我会说的是，如果你在那里，你有一些兴奋的是你对计算，关于黑客攻击，甚至与计算机有关的事情。这适用于任何字段，真的。而且你有点丢失，或者你是一点点难以捉摸，因为你知道，完成你的本科生，看着现实世界或你在现实世界。而且，你知道，看着你的九到五......想想毕业生，对。在ASU我们总是在寻找学生。事实上，随着网络安全的需求，每个人都一直在寻找学生。但有这些。 Institutions that are very committed to this real world applicable thing. Like ASU, right? One thing that we have, and I don’t mean this to be like a sales pitch. What I started at Arizona State is an apprenticeship program. So if you are interested, just shoot me an email. We have basically an open program where we bring promising people in for a research apprenticeship.

凯蒂:[00:54:07]惊人的。

燕:[00:54:08]有人会说，嘿，我想知道做网络安全研究和顶级黑客在CTF中竞争是什么感觉……我的学生仍然会玩每一个CTF。我玩每一个CTF。不是每个CTF，但我玩的CTF不是Def Con限定符因为这是利益冲突。所以你可以通过这封电子邮件。我们有一个项目，基本上是六个月。你拿的是研究生工资，但风险很低。你只要试着了解研究是什么样子的，如果它对你有好处，那么你就可以申请研究生院。

凯蒂:[00:54:49]那么，怎样才能听众与你联系？

燕:[00:54:52]yans，Y A N S@asu.edu或。

凯蒂:[00:54:56]你经常使用什么社交媒体?

燕:[00:54:59]是的,主要是Twitter。

凯蒂:(00:55:00)是的。

燕:(00:55:00)如果你想联系我，推特上的扎尔达斯，Z-A-R-D-U-S。

凯蒂:[00:55:06]惊人的。

燕:(00:55:07)那是我的黑客手柄。

凯蒂:(00:55:09)燕，我对我们谈论的一切感到很兴奋。我认为创新社区渴望知道网络安全接下来会发生什么。这是一个顶级的创新产业。我——听到所有的幕后工作和其中存在的好玩的文化真的很酷。我认为这是这个行业非常独特的一面。所以谢谢你们。

燕:[00:55:34]是的，当然。

凯蒂:[00:55:34]感谢你在播客上。

燕:[00:55:34]很高兴来到这里。

你可以多听几集不计其数的创新播客故事．

*面试不是对个人或企业的认可。