亚利桑那州立大学的Yan Shoshitaishvili在网络安全方面打破了界限

www.hchb688.com/雷竞技raybet提现trainings/innovation-storytelling-training

成绩单

这一集的动力来自Untold Content的创新故事雷竞技电竞竞猜叙述雷竞技raybet提现．在这种身临其境、互动、故事驱动的体验中增加你的最佳想法。在这里，你的团队会为他们最新的项目、原型和提案改进讲故事的技巧，并从25个有影响力的创新故事的史诗般的例子中获得灵感。学习更多在//www.hchb688.com/innovationstorytelling雷竞技raybet提现training-2/．

凯蒂:(就是)我们今天的嘉宾是严氏。他是亚利桑那州立大学网络安全方面的助理教授。他是世界上最好的黑客之一。他是Shellphish的前任队长，Shellphish是世界上排名最高的黑客组织之一。他也是“溢出秩序”（Order of The Overflow）的创始人，这是一个神秘的实体，拥有Def Con CTF：代表“捕获旗帜”（Capture The Flag）。这是我们在谈话中要深入探讨的问题。非常感谢你，燕，在播客上。

燕:(00:00:32)很高兴来到这里，凯蒂。

凯蒂:(00:00:34)你是怎么进入黑客世界的?

燕:(00:00:37)我非常早,所以我六岁左右的时候,我的祖母给了我一本叫做Fortran教授的百科全书,这是一本书,在俄罗斯,孩子们学习计算和出版只是带孩子什么是计算机。漫画书中各种各样的概念。有个叫Fortran的教授。当然，Fortran也是一种编程语言的名字，这是一种双关语。那里有一只叫X的猫，一只叫毛毛虫的毛毛虫和一只叫伯德的鸟。所以他们一起探索了计算机世界。然后他们在学习如何编码和基础知识方面达到了顶峰。这些都写在书上了。当时并没有真正的个人电脑，尤其是在俄罗斯。有一段时间，我翘课，你知道，在小学，小学早期，我会翘课，躲在楼梯井里。 And I would just read this book over and over a cover to cover. And then eventually I got a chance to write some simple programs on the mainframe at my mom’s work.

凯蒂:(00:01:56)你妈妈是做什么的?

燕:(00:01:58)我妈妈做了——基本上，现在的情况会被看作是数据库编程。那时候，它是数学的一个分支。

凯蒂:(00:02:07)好的。是那是那哦。那时候女性的角色受人尊重吗?还是一种性别差异?在当时的俄罗斯，只有女性在做这个领域的计算吗?

燕:(00:02:21)据我所知，她所在的部门大部分都是女性。但我不知道是否存在性别差异。我不知道怎么回答这个问题，真的。

凯蒂:(00:02:31)当然,当然。至少在美国历史上，在NASA和很多有色人种的女性中有更多的人关注这个趋势她们在很多基地飞行的背景中进行计算。

燕:(00:02:47)哦,当然。是的。你知道，我昨天在这所大学的网络安全俱乐部做了一个演讲。

凯蒂:(00:02:56)辛辛那提大学吗?

燕:(00:02:57)是 啊对我参观了他们的网络安全俱乐部，我想为我的谈话建立一个历史基础。我刚才介绍了程序分析的概念，我想我们稍后会谈到。但是在介绍这个概念时，你知道，你从查尔斯·巴贝奇等开始。巴贝奇分析引擎的创建者。这是在19世纪。作为第一个被认为是现代计算机的人，你知道，在走向现代计算机的路上，你很快就会开始谈论Ada Lovelace和第一个，你知道的，计算机程序员，一个为四个巴贝奇的计算机写程序的人，她也是第一个计算机程序分析器。

凯蒂:(00:03:46)是的!

燕:(00:03:46)所以她对计算机软件的运行情况进行了惊人的分析，或者假设它会在一个假设的分析引擎上运行。

凯蒂:(00:03:56)说到最喜欢的孩子们的书籍，我有三个小孩，他们喜欢基于Ada Lovelace的科学家Ada Twist。

燕:(00:04:05)哦,太好了。

凯蒂:(00:04:06)是的。"艾达·玛丽，艾达·玛丽直到三岁才开口说话"这都是关于她如何拥有科学思维，而不一定是文学思维，以及她如何探索她的世界。不管怎样，从我们开始研究儿童读物开始。所以。所以。是的。好吧。所以当你向学生介绍这些概念时，你是在向他们介绍历史，以及那些可能不为人知或看不见的声音。

燕:(00:04:31)是的，重要的是要接地。我的意思是，早期的历史是用名字的历史，你知道，虽然我们认识到Ada Lovelace，但我认为人们认识到Grace Hopper。你知道，他们不太意识到这些人的影响程度。这对表面来说很重要。当学生了解网络安全时，他们明白他们不仅在特定的实例中跳入了......

凯蒂:(00:05:09)是的。

燕:(00:05:09)他们真的参与到了一个漫长的过程中，人们开始进入计算的核心。这就是网络安全的核心，它深入研究了计算机科学、计算、程序的基本原理，以及我们社会对软件和技术的依赖。

凯蒂:(00:05:38)绝对地令人难以置信的是，你正在做的研究和你正在建立的项目对工业界、学术界和我们的政府是多么重要和适用。你现在能告诉我们你现在在做什么吗？我的意思是，你有一个非常年轻的助理教授的大量出版物。从你的博士学位毕业到现在，你已经在游戏中玩了两年半了。我想也许你在这期间做过博士后？[00:06:07] [29.2]

燕:(00:06:08)这个字段现在的状态。网络安全的需求非常巨大，原因很明显。如你所知，安全问题不断出现。

凯蒂:[00:06:21]技术创造的速度很快。

燕:(00:06:24)是的。

凯蒂:(00:06:24)随着速度的加快，安全问题也在增加。

燕:(00:06:27)事实上，你知道，一个有趣的事情是，缺乏安全是技术创造中摩擦的来源，所以只有如此快，你可以在不考虑安全的情况下开发技术，因为最终会有大量的安全问题开始阻碍采用。比如，信用卡经常被泄露。你看到的是，几年前，每个人都从刷卡转为将芯片插入读卡器。正确的。对。进行购买。这是有代价的。这需要真正的资源来替换所有这些机器，等等。这也是一个促使行为改变的安全问题。

凯蒂:[00:07:12]行为和接受的意愿。

燕:[00:07:14]所以我们很清楚地看到，这是一种挫折，就像我们前进道路上的一块石头，因为我们没有考虑清楚，没有从一开始就确保它们的安全。与此同时，从一开始就保证它们的安全是不可能的。你不能预见所有的问题，等等。所以社会的步伐和技术的步伐是建立在网络安全之上的或者说建立在对网络安全的需求之上的。这就是为什么现在，这个市场，这个市场，我在这里说，就像对网络安全专业人员和教育专业人员等的需求，是有可能从博士直接晋升为教授的。我就是这么做的。

凯蒂:[00:08:04]当然,当然。哦,当然。你读博士的时候发表了很多文章。作为教授，你发表了大量的研究成果。告诉我们一些你做过的工作和一些你最喜欢的关于你工作的创新故事。

燕:(00:08:22)当然。因此，我们通过一种非常清晰的专业领域进行了广泛的研究。我们在亚利桑那州的实验室确实在网络安全的几乎各个方面都进行了研究。要从某些事情开始，你知道，是传统上是对我的关注领域。我们在10月份出版了一篇论文，我们在公司采访了安全工程师和安全管理人员，并理解了他们对实际优先事项的看法之间的矛盾，在确保安全方面等等，您知道，公司和学术机构和政府等等。对吧?所以这是一个重要的事情，因为在我们开发安全的技术时，开发它在某种意义上就是容易的部分。您也必须采用它。您必须，您知道，部署所有芯片读者，et cetera，等等，并说服人们这很重要。因此，这是一个传统上我没有做过的领域，我们一直在进行。 My area of strong focus has been binary analysis.

凯蒂:(00:09:41)是的。

燕:(00:09:42)当然的想法是......

凯蒂:(00:09:45)是的。分解二元分析。

燕:(00:09:46)是的。

凯蒂:(00:09:46)因为我认为一些播客听众可能熟悉你的领域。我想特别是那些收看Def Con或其他观众的人。但我认为，创新社区中的大多数人可能并不真正了解网络安全的内部运作。[00:10:04][17.1]

燕:(00:10:04)当然。

凯蒂:(00:10:05)所以,是的。跟我们说说二元分析。

燕:(00:10:07)假设我读了一个电脑程序。我坐下来，打开我的开发环境，或者你不需要开发环境来编写软件。你可以打开记事本，编写软件。一个笔记本。你甚至不需要那么高级的东西。但是我坐下来写了一个电脑程序。传统上在90年代早期，比如说当我在写我的第一个程序时，当你写源代码时，你知道，你输入一个代表程序应该做什么的文件然后你使用所谓的编译器把它转换成机器码。计算机能理解的1和0。

凯蒂:[00:10:54]我的意思是，你需要大量的知识，不仅仅是历史知识，还有数学知识，从计算机的基础设施作为一种方法来理解计算机。您如何将您的研究的关键重要性转化为资助实体、行业合作伙伴和可能没有同样专业知识的人?是的，我想知道更多关于你自己使用的讲故事的技巧。我喜欢你用的一些比喻，当你向我描述它时，你知道，你是英语博士，你是计算机科学博士。我们说着不同的语言，但是。但是，你发现自己用了什么讲故事的技巧，你认为什么是最重要的?

燕:(00:11:44)所以对我来说，重要的是传达我对这个主题的感受。所以当我奶奶给我那本书的时候。这不只是信息，就像打开了一个完整的世界。对吧?所以你正在阅读一个有着非常简单规则的世界。对吧?cpu的工作方式非常简单。我的意思是，这有很多复杂性，尤其是在现代处理器中:无序执行，大量内存缓存，等等。但从一个非常高的水平来看，这是非常简单的。它会收集一些数据，并解释其中一些是要做什么，另一些是要使用什么数据。 And then it does it. But somewhere at some point between the physical components that a CPU is made up: of logic gates and wires and et cetera. And the computer program, there’s some magical shift that happens, at which point we say, ‘that is a computer.” Because you don’t say that about a calculator.

凯蒂:(00:12:58)是 啊正确的。

燕:(00:12:59)你不能这么说。我的意思是，现代的计算器，当然，是计算机，但你不能把它说成是一个简单的电路，可以把两个数字相加。你不会说那是一台电脑，但在某种程度上你会说这是一台电脑。然后这个点就是计算机可以执行算法，可以用代码表示的任意算法。这个概念是由艾伦·图灵在上个世纪中叶进行的学术探索。这是一种图灵障碍，它本质上定义了什么时候不是电脑的东西变成了电脑，这就是我的想法。这个屏障很神奇。你不会真正理解，从哲学上讲，是什么突然发生了变化。让机器开始能够执行算法。对吧? We understand mathematically what a Turing machine is. And the difference between a Turing machine and other forms of automaton, so forth, other computational models. But philosophically, deep down inside, I feel there’s a similar divide between that, between a non computer and a computer, as there is between a computer and human, right? So in the push for AI, we are also facing this concept of: at what point does a very, very smart machine become sentient? And there’s no real answer, even philosophically, that we have. In a smaller way, there’s a similar question in the step from not computing into computing. To me, that point, that threshold is there’s some magic there. And the reason I do binary analysis is that it is as close as you can get to that threshold.

凯蒂:(00:14:57)隐马尔可夫模型。

燕:(00:14:58)从另一边。从计算的角度来看。

凯蒂:(00:15:02)是的。

燕:(00:15:02)这就像计算的核心是CPU中发生的事情，如果你再进一步，它只是一堆逻辑门。对我来说没有什么魔力。然后，当你跨过门槛，突然间，你谈论的是一台可以模拟整个世界的机器，人们在那里花上几十个小时玩或者诸如此类的东西。

凯蒂:(00:15:29)是的,是的。

燕:(00:15:32)所以我想表达的是，事实上，我的课程是从非常基础的水平开始的，就像基础和基础，基础。这就是为什么我要讲这方面的历史，这就是为什么我的一门课…我教这类黑客课程，本质上，我教学生在二进制级别上可能发生的各种特定的安全问题。我开始说:这是二进制水平。我们回到这是一个逻辑门，然后我们跨过那个门槛。在某种程度上，有一种魔力。所以从学生的角度来说，首先，我试着灌输。对这一领域的欣赏，对可计算性，对计算的欣赏，对吧?然后。你必须走得更远，你必须让他们对黑客也充满热情。关于网络安全。所以从某种角度来看，你可以观察很长一段时间。 Society did view hackers purely, let’s say, a nuisance or, you know, renegades or something.

凯蒂:(00:17:00)是的,对的。

燕:(00:17:03)你们看到了。当我们建立我们早期的网络安全法律时，第一个Def Con I实际上有一个安全研究人员在谈论他在某个文件保护方法中发现的漏洞。当然，他在台上发表了演讲，然后对Def con的人群发表了演讲。然后他下台了，就在那里被逮捕了。

凯蒂:(00:17:30)我是。这是我对你的领域，你的工作的一个迫切的问题。你如何决定分享什么，发布什么，不分享什么，是否暴露你的身份，如果你在做这类工作?

燕:(00:17:46)正确的。例如，肯定有匿名安全研究人员。对吗？甚至有匿名的安全研究人员也出现在学术研究中。我读过一篇论文…。

凯蒂:(00:17:58)迷人。

燕:(00:17:59)当然，那个词的作者名单，你有。你知道，在学术界，作者身份本质上是我们的一种货币。所以…

凯蒂:(00:18:08)是的。

燕:(00:18:09)所以你有你的作者列表，其中一个名字是匿名的。这真的很有趣，因为你知道，正如你在一开始，你看着我的出版物，那些出版物是我的谷歌学者的个人资料或其他任何东西，因为我是那里的作者，那就是那里。

凯蒂:(00:18:29)你有匿名出版物吗?

燕:(00:18:33)我不会，我不会承认的。媒体必须在两方面工作，不能从出版物上辨别出人，也不能从人到出版物。但是…

凯蒂:(00:18:47)好吧，告诉我们这个术语，黑客，你知道，今天，我认为黑客马拉松在创新社区非常受欢迎。我看到他们，我们经常看到他们。这是一个期待。这是一种有趣的邀请去解决大问题，用黑客的力量做好事。

燕:(00:19:07)是的。

凯蒂:(00:19:08)这是如何转变的?我的意思是，我敢肯定它仍然隐含着恐惧。

燕:(00:19:14)所以黑客有两层含义。对吗？实际上有两种相互竞争的含义。黑客的一个意思是黑客运动，对吗？就是这样。越是意味着你把东西拼凑在一起，对吗？你抓住的东西是为了一个目的。你抓住了其他的东西，是为了B目的，你把这个东西放在一起，为了A目的，为了B目的，来完成C目的。对吗？而这正是黑客通常所做的。

凯蒂:(00:19:49)明白了。计算机、艺术和计算机科学。正确的。它还在你生活的世界里吗?

燕:(00:19:56)但你。嗯…

凯蒂:(00:19:57)我见过其他人以好玩的方式做这件事。是 啊就像艺术一样。

燕:(00:20:01)正确的。确切地

凯蒂:[00:20:02]创造……

燕:[00:20:03]从这个角度来看，你可以举办一场工程黑客马拉松。对吧?

凯蒂:(00:20:06)Mmhm。

燕:(00:20:06)你可以来一场黑客马拉松式的舞蹈。是的。是的。当然，你也可以举办一场电影黑客马拉松。你把两部，或者几部电影放在一起，然后把它们剪辑在一起。

凯蒂:(00:20:18)明白了。

燕:(00:20:18)你把它们打开，最终得到一些有趣的结果。对吗？

凯蒂:(00:20:23)你们的世界里用过黑客马拉松这个词吗?

燕:(00:20:25)不。

凯蒂:[00:20:26]好的。好的。

燕:[00:20:27]所以我们在黑客的第二个层面上运作，或者说，黑客的第二个意思就是。当你黑进什么东西的时候，对吧?这是. .你取了，是的，你取了一个目的为a的东西，用一种甚至可能明确地不打算被使用的方法来处理它。你把它变成b目的，这是一个更…这就是黑客攻击的网络安全含义。它是侵入计算机系统或破坏一个系统，在某种程度上，你重新调整它，以达到不同的目的。这可能是，你知道，闯入一些大公司的信用卡处理系统把它变成信用卡收集系统。对吧?等等。

凯蒂:(00:21:33)再次，善恶的力量。

燕:(00:21:35)正确的。

凯蒂:(00:21:36)你们的课程教道德吗?

燕:(00:21:38)是 啊我们……每个班级都必须至少有一个道德成分，或者说真的应该有一个道德成分。正确的。这些是我们正在教的孩子，有时他们没有把事情想清楚。所以你必须非常明确。[00:21:57] [18.7]

凯蒂:(00:21:58)因为你知道，我们的道路还在加深。

燕:(00:22:00)是的，你必须非常明确。我在CS领域见过，不一定是ASU，孩子们做了一些愚蠢的事情，被开除，真的让他们的成功倒退了。

凯蒂:(00:22:18)甚至现在一些最著名的创始人，比如扎克伯格，开始说什么来着?我不想说一个艰难的开始，因为这也证明了他的能力。但是，你知道，当时黑进了哈佛的系统。

燕:(00:22:38)正确的。

凯蒂:(00:22:38)所以…

燕:(00:22:38)是的，这是一种平衡，对吗？你想。你需要一张网来抓住这些孩子，确保他们不会被关进监狱。这是同样的原因。就像你有大学管理自己的警察部门一样。正确的。当我还是一名大学生时，我很愤怒，因为我觉得这是一件令人压抑的事情。正确的。但后来我意识到，大学警察部门的存在部分是为了让他们可以打你的手腕，而不会造成更大的问题。我们在学术网络安全方面也有类似的东西。对吗？你知道，你有一个闯入你评分系统的孩子。而且…

凯蒂:(00:23:29)你自己也遇到过这种情况吗?

燕:(00:23:32)嗯,是的。所以我最近创建了一个网络安全平台……

凯蒂:(00:23:37)那个学生得了A吗?

燕:(00:23:38)是的。这就是我所做的，在某种程度上是为了教授这个道德黑客课程，我创建了一个系统来支撑我的课程。这是一个基于实践的完美概念，当我教授二进制安全的概念时，它生成特定于学生的程序，就像定制的，所以没有两个问题是相同的，利用这些概念，让人们不得不在实践中练习他们学到的东西。

凯蒂:[00:24:20]好的。

燕:(00:24:21)我们知道我现在教的课程，我的主要课程有八到九个模块，从这是如何在现代计算机上使用命令行到这是如何进入所谓的内核。操作系统的核心，以及中间的所有步骤。它运行在一个基于云计算的系统上，学生可以连接很多东西，或者为他们创造一个挑战，他们可以解决这个挑战。当你通过破解系统来解决挑战时，你可以访问一个文件，这是你在解决挑战之前连接网络时无法访问的。然后那个文件里有一个密码，你可以用它来换成绩。

凯蒂:(00:25:07)好的。

燕:(00:25:08)这就是标准。

凯蒂:[00:25:11]这是非常有趣的。

燕:(00:25:13)是的，它是，它真的是“捕捉旗帜”，非常明确地应用于教育，这正是网络安全竞赛的实际形式。因此，当我们为DEFCON创建提示时，这是相同的概念。当然，你有一个复杂得多的计算机系统，它运行着我们部署和运行的计算机系统，竞争对手必须破门而入，窃取信息，并将这些信息交换给积分。

凯蒂:[00:25:43]我最生动、最喜欢的记忆之一,小时候是在树林的中间的夏令营,分手到团队和玩夺旗和隐藏你的国旗,这样没人能找到它,创建一个监狱,你知道,试图突破没有人看见你穿过周边或回抢国旗和运行。请告诉我们这种游戏风格或游戏方法是如何在黑客世界中使用的。所以这就是为什么我想让你们告诉我们溢出的顺序。

燕:[00:26:15]正确的。

凯蒂:[00:26:16]如果可以的话。

燕:(00:26:18)所以…所以。

凯蒂:(00:26:18)这个组织有多神秘?

燕:(00:26:20)我觉得这相当......

凯蒂:[00:26:22]我只是在和你开玩笑!

燕:[00:26:22]确切地我们有一些匿名的人在上面，不是匿名的，黑客组织，而是匿名的，你知道的，不可公开识别的。所以我们——我们开始了，你知道，我在读博士期间开始和Shellphish玩等等。然后我成为了，仅仅是因为对CTF的热情，我成为了球队的队长，然后我毕业了。这次毕业是一次非常痛苦的经历。正确的。所以你把所有的时间都花在实验室里，你住在实验室里，对吗？如果你…你可以用两种方式来获得博士学位。第一，你可以保持良好的工作生活平衡。我有一个朋友，下午5点，他从办公桌上起来，回家后，他像一个好员工一样在一份好工作中完成他的博士学位。他在8:00出现，5:00离开，他做博士。但是当他在那里的时候，他正在攻读博士学位。

凯蒂:(00:27:31)是的。

燕:(00:27:31)或者你也可以。这是一个很好的方法。另一个很好的方法就是你住在实验室里。[00:27:38] [7.0]

凯蒂:[00:27:39]嗯嗯。

燕:[00:27:39]这意味着你在实验室工作，但你也不在实验室工作。对吧?这就是我所做的。当你这样做的时候，毕业是一件很棒的事情，因为你已经完成了一些惊人的事情。你有你知道，你有一个博士学位，每个人都开始叫你博士，等等。但这也带来了极大的创伤。突然间，你就被赶出了家。我在那个实验室住了七年。有一些时候，尤其是在网络犯罪挑战期间，我每天在实验室里待20个小时，真的，然后我回家，睡4个小时。

凯蒂:(00:28:16)是的。

燕:[00:28:18]你知道，我把船长和贝壳鱼的火炬传给了他。我当时在亚利桑那州立大学试图训练人们，当然还有我优秀的同事。然后这个机会来了Def Con CTF的组织者退休了。组织者大约每五年退休一次。跑起来要花很多时间，你真的想保持新鲜感，对吧?所以每五年就会有新鲜、热情的人。太好了。组织者都退休了，于是就开始寻找组织者。我想，“我想做这个。”

凯蒂:[00:29:07]这就是我现在的人生目标。

燕:[00:29:09]确切地确切地这真是难以置信。因此，你知道，内心有一种喜悦，就是继续与Shellphish合作，作为参与者在黑客世界的高度运作，或者成为推动和引导领域的人的组织者。是 啊我觉得从学术角度来看，这是一个非常好的角色。

凯蒂:(00:29:40)是的,当然。它真的是你描述的模型，你如何学习嵌入价值观，教导和指导学生进入这个领域。从博士生到教授的转变也改变了你在Def Con的工作方式以及你所产生的影响。

燕:(00:30:01)是的。是的,没错。

凯蒂:(00:30:02)这些竞争非常激烈。我看过一些YouTube视频。在YouTube上看看Def Con CTF，看看它的运作方式和策略，真的很有趣。就像很多年轻人谈论的那样。我认为即使在这些视频中，他们仍然是一种安静的沉默，不要透露太多。你不想透露太多关于你的策略，因为这样别人可能会在明年窃取你的策略。所以…

燕:(00:30:33)是 啊甚至明年也不行。我的意思是，在一场比赛中，我们遇到了……社会工程攻击。不管出于什么原因，我们的队友看起来不像黑客，他们只是四处走动，他们会，你知道，哦，你在做什么？你知道，他们会坐下来开始，你知道，与其他球队和其他球队交谈会像，哦，是的，我们在做废话，废话，废话。

凯蒂:(00:31:00)哦，天哪。哦，人类黑客？

燕:(00:31:03)人类的入侵。绝对的。我是说，没有别的。

凯蒂:(00:31:05)这是一种古老的艺术形式。

燕:(00:31:08)完全正确。它总是最薄弱的环节。有些球队做了更疯狂的事情。我听说有人喜欢剪断网络电缆，然后拼接到……

凯蒂:(00:31:19)模拟黑客!

燕:(00:31:19)模拟黑客攻击。这种情况经常发生。有一年它还是合法的。这是违法的。我们有一个可以绕着无线天线旋转的小机器人。当它旋转无线天线时，它会执行所谓的去认证攻击。它会和你的无线卡通话假装是接入点，你的无线接入点，说"哦，该死，你现在断网了"然后你的电脑就会失去网络。正确的。所以每三秒钟，我们就会切断周围所有人的联系，除了我们自己。

凯蒂:[00:31:57]天啊。

燕:[00:31:58]从无线。有些团队依赖无线互联网。我们会，你知道，第二天我们四处走动有一个特定的团队他们有全新的匹配的有线网络电缆因为他们。他们无法再处理断开的问题了。

凯蒂:[00:32:16]太令人沮丧了。

燕:(00:32:17)是 啊所以事实上明年…。这是最后一个合法的一年。现在，这些取消身份验证的攻击算不算干扰，这在美国是不合法的。

凯蒂:[00:32:28]好的。

燕:(00:32:29)所以，是的，它做到了。有很多黑客的东西。但不管怎样。我们决定去尝试一下。我，我在亚利桑那州立大学的同事亚当，也是一位教授。我们坐下来，我们想，“好吧，我们要这么做。将会有一种很棒的方式为社区做出贡献，一种很棒的方式向人们宣传，嘿，亚利桑那州立大学是认真对待网络安全的。”对吧?然后我可以详细说明因为如果没有亚利桑那州立大学内部很多机构的支持我们就无法做到这一点。

凯蒂:[00:33:11]我正要问你。你知道，所以。因此，本播客的核心和灵魂是思考讲故事在创新速度中所起的作用。你是如何在一个学术机构中赢得领导世界上最具竞争力的黑客游戏的认可的？

燕:(00:33:33)所以，作为教授，我们的职责是教育，但同时也是该领域未来的发展，而实现这一目标的方式是通过研究，通过所谓的服务。你要做的就是成立委员会来决定会议的进程。正确的。所以出版的过程实际上是相当累人的。你写论文，交论文，然后双盲。匿名评审团说你的论文是垃圾，然后。

凯蒂:(00:34:13)你修改并重新提交。你再做一次，一年后它就出来了。

燕:(00:34:16)确切地所以这是一个匿名的评论者小组，他们通常是这个领域的教授。我们以一种非常相似的方式展示了这一点。大学说，看，我们想去。推动应用网络安全技术的发展。我们之所以想这样做，是因为这将证明我们在华硕所做的是真正领先于这个领域的。

凯蒂:(00:34:41)是的。

燕:(00:34:41)对吧?所以突然之间你就不只是出版了，这很了不起。不仅仅是现实世界中可应用的原型和工具，我们在亚利桑那州立大学也致力于这方面，这很了不起。但你也有这个活动，这个非常独特的活动有点像世界黑客锦标赛。亚利桑那州立大学可以帮助实现这一目标。亚利桑那州立大学令人惊讶的是，它是一所新的美国大学，这最初意味着招生方式的不同。正确的。所以亚利桑那州立大学会尽可能多地招收学生。我认为，我们是唯一一所人口结构与亚利桑那州完全匹配的大学。正确的。 So minorities and so forth…

凯蒂:(00:35:41)优先考虑包容性。

燕:(00:35:43)是的,没错。极端的在内地。我有一些学生他们很优秀，能上大学是因为。因为ASU。正确的。这真是太酷了。从表面上看，这是一个挑战。一个典型的大学。他们其实是想要独占。正确的。 Because also part of the measure of university rankings is how few people you admit. How low your admission rate is. So it’s… The lower the admission rate. It’s not the only measure, of course, but it is a measure…

凯蒂:[00:36:16]它会影响你的总分。

燕:[00:36:18]是的，是的。是 啊所以这是一种不同的方法。但作为重新评估大学意义的一部分。ASU也研究过，大学在其社会中的地位是什么？正确的。我认为，这是一个绝佳的机会，通过帮助领导这次活动，展示大学在社会中的地位。我的意思是，这个活动组织起来非常复杂。我是说…

凯蒂:(00:36:51)我简直无法想象。这是……

燕:(00:36:52)而不仅仅是……

凯蒂:(00:36:53)甚至决定如何构建游戏本身。但是是的。是 啊

燕:(00:36:57)是 啊我的意思是，一切。所以你有着惊人的复杂性。我认为DEFCON CTF，只是CTF每年大约需要15万美元来运行，def con会议…

凯蒂:(00:37:12)你认为组织者总共需要多少小时？

燕:(00:37:14)这还不包括组织者的工作时间……我们基本上在7月、6月和5月都不存在。正确的。只是，只是我们不存在。

凯蒂:(00:37:28)是的,是的。

燕:(00:37:29)如果我们在四月初的四月份休息，那就是资格赛。现在我们不存在。我们正在准备排位赛。正确的。比如说，它是，大约有十几个人在溢出的订单上。他们不都是华硕。只是…我和我的同事，我们在华硕有几个学生，然后还有一些神秘的其他人…

凯蒂:(00:38:02)如何在如此重要的事情上进行虚拟合作而不用担心被黑客攻击?

燕:(00:38:07)是的，我的意思是，我喜欢告诉人们的，完全是错误的。这只是一种虚张声势，因为"我们是人们应该害怕的人"你知道吗?有些学生在参加Def Con时很紧张，他们会说:“严，我不知道我是否应该带着笔记本电脑。”我不知道我是否应该……”不,别担心。你才是他们应该害怕的人。但这只是一种…

凯蒂:(00:38:31)这应该是今天的口号。完全正确。它应该是正确的。

燕:(00:38:34)完全正确。有时候，你就说，你只活一次，一直活到Def con，这就是合作的方式。

凯蒂:(00:38:45)是的。是的。真的，太不可思议了。我在想，你知道，在我们结束的时候有几个要点。是:通过将工作与组织的整体使命相一致，你得到了大学的支持。这适用于行业内、学术界、或任何文化组织内的创新者或黑客。任何在任何文化组织内运作的人，都要弄清楚自己的使命是什么，并确保与你的想法和可能性保持一致。

燕:(00:39:16)但你也需要制度。这有两个部分。有一种创新者。也就是说，就像向机构推销产品的人一样。但还有制度方面的问题。在亚利桑那州立大学，我们又很幸运。我们有机构的部分，亚利桑那州立大学的很多不同部门都提供了帮助。其中最核心的是所谓的全球安全倡议GSI。这是亚利桑那州立大学的一部分，其目标是提高现实世界的网络安全，总体安全，当然，网络安全影响了我们在大学的研究和工作。我提到Def Con CTF每年需要15万美元运行。 Over half of that, Def Con the conference, actually provides. So, you know, things like hotel rooms, admission to the conference, that adds up quite a lot. But there’s things like servers, things like food, or the organizers, et cetera, that cost quite a lot as well. And ASU managed to, you know, somehow find funding for this so that, that’s been incredible.

凯蒂:(00:40:36)是的。肯定。

燕:(00:40:37)我想对那个评论说的是，那个创新者有点像探戈。正确的。因此，创新者需要调整任务，并展示如何向前推进。但是你需要。要么有一个机构或一个组织会在中间遇到你，要么你需要在你的组织内建立这个位置。

凯蒂:[00:41:08]我爱。我喜欢这个建议。你对专业人士或年轻的专业人士还有什么建议吗?或者是想成为黑客的学生。关于他们如何表达这种欲望，你有什么建议吗?如何…?是的，我想我只是想知道你是否能给他们一些建议，因为他们不仅知道黑客的艺术形式，还知道如何进行沟通。

燕:(00:41:39)是的，这是一个很好的问题。我想说三件事。一是要记住，世界不仅仅是网络空间。我所看到的最大的限制因素之一是：人们100%地关注虚拟世界，却忘记了自己生活在社交空间。正确的。还有，你知道，和其他人。Shellphish不会是最大的，你知道的，运行时间最长的，最酷的CTF团队。如果不是一群不仅仅是精通黑客的个人。但他们也是熟练的人。正确的。我的导师就是一个很好的例子。他非常有能力创造这样的社会环境，让Shellphish也能茁壮成长。其他球队则不然。你们有团队，我看到他们来来去去，你们知道，一群超级优秀的黑客，他们从不相互交谈，也从不与其他人交谈，他们从不，你们知道，传播他们的技能。当他们停止黑客攻击时，团队就消失了。这也很好。正确的。也许，你知道，这来来往往…。

凯蒂:[00:43:05]但这可能会放慢整个行业的发展速度。

燕:(00:43:08)完全正确。

凯蒂:(00:43:08)喜欢社区的整体和创新的进步。

燕:(00:43:11)还有人。

凯蒂:(00:43:11)记忆丢失了，如果你不这样做......

燕:(00:43:13)记忆丢失了。有一些人因为Shellphish去了UCSB。对吧?这就是你如何开始的，你知道，推动社区。我希望有一些人，事实上，有一些人来到亚利桑那州立大学是因为这里人满为患。那已经去了。我是说，就像我说过的溢出会不仅仅是亚利桑那州立大学的。我们刚刚发生。我们创建了。但我的意思是，我有一些同事，一些教授，他们也在溢出的秩序中(用词不清)和法国，对吧?

凯蒂:(00:43:49)是的是的。

燕:(00:43:50)等等。二是你现在可以开始黑客了。对吧?你不需要接受正规教育。现在我要给第三个警告。但你不需要接受正规教育。我从高中就开始黑客了，对吧?

凯蒂:(00:44:05)是的。

燕:(00:44:05)你可以在网上查阅大量的资料。有一件事是我之前描述过的。我把它放到网上免费提供，包括已经在网上的练习，但讲座只是幻灯片形式。所以我需要把讲座录下来。但这就像一个交钥匙资源，可以用二进制安全进行前滚。

凯蒂:(00:44:36)我很高兴在演出中分享到该课程的链接。

燕:(00:44:39)哦,当然。绝对的。这也很容易记住所以有一个术语用来形容利用某物，PWNing。这是p。w。n，我想是"拥有"的意思，就是"我拥有那个服务器"所以我把它弄坏了。所以PWN。college - PWN dot college。也很容易记住。

凯蒂:(00:45:03)太棒了。就像我现在说的，所有的练习都结束了，但不是所有的课堂笔记。但是，这还是很难做到，所以在下个学期，我会把所有的东西都录下来。把它放到网上。但这只是一件事。关于如何开始黑客攻击有很多不同的资源。

凯蒂:(00:45:24)我认为有一种关联，大多数黑客都是男性。

燕:(00:45:27)嗯嗯。

凯蒂:(00:45:29)文化。你的母亲和祖母是把你介绍给这个世界的人，我对此很感兴趣。你看到这种文化了吗?黑客文化是这样的吗?你看到这种变化了吗?你对性别差异有什么看法?

燕:(00:45:45)正确的。首先是....还有，对我爸爸公平点，因为他听这个播客，如果他觉得自己被排斥。我爸爸真的……

凯蒂:(00:45:55)喊出!

燕:(00:45:56)鼓励我向网络安全专业方向发展，实际上我并不认为可以以此为生，当我在2000年代中期大学毕业的时候。我不太清楚你能不能。对吧?

凯蒂:[00:46:10]这一切都在形成。

燕:(00:46:11)他说:“这就是未来。你应该去争取。”

凯蒂:(00:46:13)他是怎么知道的?

燕:(00:46:15)他也在计算机科学领域工作。我爸爸是数学家，但是，你知道的，他擅长应用和非应用数学。应用数学越倾向于计算机科学。

凯蒂:(00:46:30)你是在俄罗斯长大然后搬到这里来的吗？

燕:[00:46:32]我八岁时搬来这里。我的童年是在俄罗斯度过的。然后我在亚利桑那州长大。

凯蒂:(00:46:38)好吧。

燕:(00:46:39)是的。

凯蒂:(00:46:40)我们把老爸叫进来了。

燕:(00:46:41)完全正确。我们有一个父亲的呐喊。所以你的看法是完全正确的。这是一个大问题。总的来说，计算机科学，我没有确切的数字，但大约90%是男性。特别是网络安全是最糟糕的子领域。

凯蒂:[00:47:01]真的吗?

燕:[00:47:01]大约95%到98%是男性。在整个竞争激烈的黑客社区。假设在去年的Def Con CTF上，可能有。总共有16支球队进入了决赛。假设每个团队平均有12个人。在这一群人中，有几百人，大概有四个女孩。

凯蒂:[00:47:37]是的。

燕:[00:47:39]这很糟糕。

凯蒂:(00:47:42)是的。是的。

燕:(00:47:44)因此，这是社区正在努力解决的问题。个人可以做一些事情来改变现状。一件事是在计算机科学领域与代表性不足的群体进行明确的联系。事实上，这比缺少女性计算机科学更糟糕。只是缺少…

凯蒂:(00:48:11)多样性?

燕:(00:48:12)多样性。

凯蒂:(00:48:14)是的。大部分是白人吗?

燕:[00:48:18]我会在各个主要地区说，主要是主要区域。正确的。所以在美国，社区我会说它大致遵循高等教育的人口统计。减去一些原因，妇女是奇怪的，因为我们谈到的大多数伴随着女性，Ada Lovelace，Grace料斗等，他们创造了这个领域，然后球场以某种方式由男性主导地位。并且有很多原因。有理由我看到这是非常非常清晰，愚蠢的原因，这是极度令人沮丧的，这陷入了这种可怕的类别，你知道，男孩将是男孩或其他什么。正确的。你得到一群男人。所以目前尚不清楚这是如何开始的。但现在它已经传播了。 You get a group of men together in a hacking team and there are, you know, non-inclusive jokes flying around and et cetera, et cetera. And it’s something that’s….

凯蒂:(00:49:26)甚至文化也可能是排外的。

燕:(00:49:29)甚至是文化。所以当我这么说的时候。当你进行黑客攻击时，你不能忽视你身处人类空间。这不仅仅是一个虚拟空间。这是我的意思之一。这需要努力确保你的黑客团队不是一个有不恰当评论的团队…。轻轻地走。正确的。

凯蒂:[00:49:58]绝对的。

燕:(00:49:59)我们很容易在网上遇到这样的情况，因为黑客团队真的在网上生活。有一些。你知道，大部分时间生活在网上和…

凯蒂:[00:50:16]废话。

燕:[00:50:17]垃圾垃圾说话。你知道，有些垃圾话是可以接受的，但也有不可以接受的垃圾话。

凯蒂:(00:50:24)是的。

燕:(00:50:24)我认为，那些“不好”的垃圾言论，才是真正伤害包容性的东西。老实说，这就产生了很大的影响。

凯蒂:(00:50:34)是的。绝对的。

燕:(00:50:35)我认为在我们小组中的ASU，我应该有这些数字，但我没有把它们记在脑子里，在一个大约有50名研究人员的小组中，比方说，我们大约有8到9名女性计算机科学家。正确的。这在网络安全领域是前所未闻的数字。正确的。我会说，在我所知道的大实验室中，我不知道世界上每个大实验室的确切组成，但在我所知道的大实验室中。我们的性别平衡可能是最多的，50分之八到九。我的意思是，这太可怕了。

凯蒂:[00:51:09]正确的。

燕:[00:51:09]正确的。而是对整个计算机科学而言。

凯蒂:(00:51:11)是的。

燕:(00:51:12)是的。近20％。这很高兴。

凯蒂:(00:51:15)你是说自己是黑客?

0:51:16] [1.1]燕:(00:51:17)是的,当然。

凯蒂:(00:51:18)不要等着别人来做。

燕:[00:51:19]是的。

凯蒂:(00:51:20)把那件徽章放在上面。[00:51:20] [0.4]

凯蒂:(00:51:20)是的。

燕:(00:51:21)我认为所有的创新都是如此。作为一名作家，我也是如此。一定要称自己为作家。如果你坐着等待获奖或发表在你完美的杂志上。这不是……

燕:(00:51:34)确切地是的，我认为它适用于一切，也适用于黑客。绝对地我在高中时就开始黑客攻击，没有经过任何正式的训练。我有一位很棒的高中计算机科学老师介绍了我。雷竞技raybet提现

凯蒂:(00:51:53)还有你妈妈。

燕:(00:51:53)是的。是的。还有我妈妈，还有我奶奶，等等。你的祖母也是。不，那本书是她给我的。我奶奶是数学家。凯蒂:(00:52:03)好吧，很接近了。

燕:(00:52:04)但,是的。完全正确。和。你知道，我只是，我自己向前滚，你完全可以这样做。有些魔法，但没人能理解。甚至连专家也不知道。正确的。所以你只…

凯蒂:(00:52:22)我爱。

燕:(00:52:22)所以你就开始往里挤。我要说的第三件事是。你们可以从我的轨迹中看到我可以自己开始，但我不能独自完成成为一个黑客的轨迹。为此，我需要去读研究生。我想说的是，如果你在那里，有一些兴奋，关于计算机，关于黑客，甚至关于任何与计算机有关的事情。这适用于任何领域。当你完成了你的本科学业，看着真实的世界，或者你是在真实的世界，你就会有点难以捉摸。而且，你知道，看着你朝九晚五的生活，想想研究生院，对吧。在亚利桑那州立大学，我们一直在寻找学生。事实上，在网络安全的需求下，每个人都在寻找学生。 But there are these. Institutions that are very committed to this real world applicable thing. Like ASU, right? One thing that we have, and I don’t mean this to be like a sales pitch. What I started at Arizona State is an apprenticeship program. So if you are interested, just shoot me an email. We have basically an open program where we bring promising people in for a research apprenticeship.

凯蒂:(00:54:07)太棒了。

燕:(00:54:08)有人会说，嘿，我想知道做网络安全研究和顶级黑客在CTF中竞争是什么感觉……我的学生仍然会玩每一个CTF。我玩每一个CTF。不是每个CTF，但我玩的CTF不是Def Con限定符因为这是利益冲突。所以你可以通过这封电子邮件。我们有一个项目，基本上是六个月。你拿的是研究生工资，但风险很低。你只要试着了解研究是什么样子的，如果它对你有好处，那么你就可以申请研究生院。

凯蒂:[00:54:49]那么听众如何与你取得联系呢？

燕:(00:54:52)yans, Y A N S @asu.edu或。

凯蒂:(00:54:56)你经常使用什么社交媒体？

燕:[00:54:59]是的,主要是Twitter。

凯蒂:[00:55:00]是的。

燕:[00:55:00]如果你想联系我，推特上的扎尔达斯，Z-A-R-D-U-S。

凯蒂:[00:55:06]太棒了。

燕:(00:55:07)那是我的黑客手柄。

凯蒂:(00:55:09)燕，我对我们谈论的每件事都很兴奋。我认为，创新界渴望知道网络安全领域下一步会发生什么。这是一个顶级的创新产业。我——听到所有的工作和其中存在的那种好玩的文化真的很酷。我认为这是这个特定行业的一个非常独特的方面。谢谢你。

燕:(00:55:34)是的,当然。

凯蒂:(00:55:34)上了播客。

燕:(00:55:34)很高兴来到这里。

你可以多听几集不为人知的创新故事播客．

*采访不是对个人或企业的认可。