“创新者需要对准使命并展示这可以向前发展。您需要有一个机构或一个组织,这些组织将在中间与您达到您,否则您需要在您的组织内进行那个地方。“- 亚利桑那州立大学助理教授yan shoshitaishvili
为什么故事对创新过程有关?分享故事的创新者可以灌输哪些值?创新领导者如何激发创作者告诉和分享他们的成功和失败故事?
我们与亚利桑那州立大学助理教授和一个完全自主黑客系统的共同创造者助理教授讲话,Angr..他是溢出的顺序,黑客会议的组织者def con ctf..Yan为有兴趣通过代码破坏游戏学习网络安全的人创建了一个网站,https://pwn.college/.PWN被描述为有助于初学者学习黑客攻击的基础知识。现在,不仅有网络安全初学者网站,而且亚利桑那州立大学有一个六个月的计划,其中一个人被称为毕业生,更好地了解研究生级网络安全研究所需的研究。然后,选择的个人将更好地了解网络安全研究,让他们在追求毕业生学位方面做出明智的决定。如果你想了解更多,请联系Yanyans@asu.edu.您还可以在社交媒体上与他联系:推特和linkedin..
Yan Shoshitaishvili是一位助理教授亚利桑那州立大学,他在自动化计划分析和漏洞识别技术中追求研究。作为其中的一部分,严领导了贝尔鱼和参与Darpa网络大挑战,将他的研究应用于创建竞争中第三位的完全自主的黑客系统。支撑这个系统是Angr.是多年来由Yan(和其他人!)创建的开源二元分析项目。当他没有进行研究时,燕正在将网络安全竞争领域推向未来溢出的顺序的组织者。def con ctf..
听播客
成绩单
这一集的动力来自于Untold Content的创新叙雷竞技电竞竞猜事雷竞技raybet提现.在这种沉浸式和互动的故事驱动的经验中增加购买。您的团队在哪个讲故事技术的最新项目,原型和投票 - 并通过25个史诗般的创新故事的史诗例子来启发。了解更多//www.hchb688.com/innovationstorytelling雷竞技raybet提现training-2/.
凯蒂:[00:00:00]我们今天的嘉宾是Yan Shoshitiashvili。他是亚利桑那州立大学网络安全方面的助理教授。他是世界上最好的黑客之一。他是世界上排名最高的黑客组织Shellphish的前任队长。他也是The Order of The Overflow的创始人,这是一个神秘的实体,它主持Def Con CTF:即Capture The Flag。在我们的谈话中我们会深入探讨这个问题。非常感谢你,燕,来到我们的播客。
燕:(00:00:32)很高兴来到这里,凯蒂。
凯蒂:(00:00:34)你是怎么进入黑客世界的?
燕:[00:00:37]我非常早,所以我六岁左右的时候,我的祖母给了我一本叫做Fortran教授的百科全书,这是一本书,在俄罗斯,孩子们学习计算和出版只是带孩子什么是计算机。各种各样的概念在这个漫画时尚。有一个Fortran教授。当然,Fortran也是一种编程语言的名称,这是一种双关语。有一只猫叫X,毛毛虫叫毛毛虫,还有一只鸟叫小鸟。所以他们一起探索了计算机世界。他们最终学会了编程和基础编程。这些都写在一本书上了。当时并没有真正意义上的个人电脑,俄罗斯更是如此。所以有一段时间,我会逃课,你知道,在小学,小学早期,我会逃课,躲在楼梯井里。 And I would just read this book over and over a cover to cover. And then eventually I got a chance to write some simple programs on the mainframe at my mom’s work.
凯蒂:(00:01:56)你妈妈做了什么?
燕:(00:01:58)我的妈妈做了 - 基本上,现在将被视为像数据库编程一样。然后,这是数学的分支。
凯蒂:[00:02:07]好的。是那个是那个哦。那时候女性的角色受人尊重吗?或者这是一种性别差异?在当时的俄罗斯,只有女性在做计算机工作吗?
燕:[00:02:21]从我记得的那样,她的部门很大程度上是女性。但我不知道是否存在性别分裂。真的,我不太了解这一点。
凯蒂:(00:02:31)一定一定。在美国历史,美国历史上,在美国宇航局周围和许多颜色的妇女中,围绕美国历史和许多人在背景中计算出了很多基地航班时,还有一些更可见。
燕:(00:02:47)哦,当然。是的。你知道,早些时候,我昨天给这所大学的网络安全俱乐部做了一个演讲。
凯蒂:(00:02:56)辛辛那提大学吗?
燕:[00:02:57]是的。是的。我访问了他们的网络安全俱乐部,我开始为我的会谈提出历史基础。我正在介绍程序分析的概念,我猜我们会稍后。但在介绍这个概念时,你知道,你从像查尔斯贝叶比一样开始。乌龟分析引擎的创造者。这是在19世纪。And as one of the first things that’s kind of recognizable as modern computer, you know, on the way to a modern computer, and then you very quickly start talking about Ada Lovelace and the first, you know, computer programmer, someone who wrote programs for four Babbage’s computer, she’s also the first computer program analyzer.
凯蒂:(00:03:46)是的!
燕:(00:03:46)所以她对运行的计算机软件进行了惊人的分析,或者说是在一个假设的分析引擎上运行的软件。
凯蒂:(00:03:56)说到最喜欢的孩子们的书籍,我有三个小孩,他们喜欢基于Ada Lovelace的科学家Ada Twist。
燕:[00:04:05]哦,太好了。
凯蒂:[00:04:06]是的。"艾达·玛丽,艾达·玛丽三岁之前没说过一句话"这本书讲的是她如何拥有科学头脑,而不一定是文学头脑,以及她如何探索自己的世界。总之,从我们开始写儿童读物开始。所以。所以。是的。好吧。所以当你向学生介绍这些概念的时候,你就是在带领他们了解历史和不同的可能是不为人知或看不见的声音。
燕:[00:04:31]是的,重要的是要接地。我的意思是,早期的历史是用名字的历史,你知道,虽然我们认识到Ada Lovelace,但我认为人们认识到Grace Hopper。你知道,他们不太意识到这些人的影响程度。这对表面来说很重要。当学生了解网络安全时,他们明白他们不仅在特定的实例中跳入了......
凯蒂:[00:05:09]是的。
燕:[00:05:09]他们真的参加了一个长期的人民获得了计算的核心。这就是在其核心,网络安全是什么,它正在挖掘计算机科学,计算机科学,您知道,我们认识,我们对我们对软件和技术的社会依赖的依赖的基础知识。
凯蒂:[00:05:38]绝对的。你所做的研究和你所建立的项目对于行业,学术界和我们的政府是多么的重要和适用。你能快点告诉我们你现在在做什么吗?我是说,对于一个年轻的助理教授来说,你发表的论文数量多得惊人。从你的博士学位毕业后,你已经在这个圈子里呆了两年半了。我猜你在这期间做过博士后?[00:06:07] [29.2]
燕:(00:06:08)现场状态的方式是现在的。有很大的巨大需求,有很明显的原因。如您所知,安全问题不断突出。
凯蒂:[00:06:21]并且技术创造的速度很快。
燕:[00:06:24]是的。
凯蒂:[00:06:24]安全问题与这种速度同时增加。
燕:[00:06:27]And actually, you know, an interesting thing there is… the lack of security is a source of friction in the creation of technology, so there’s only so fast that you can develop technology without thinking about security because eventually there will be massive security issues that start hampering adoption. Things like, you know, credit cards being leaked constantly. And what you see there is, you know, a couple years ago, everyone switched over from swiping to putting the chip in to the card reader. Right. For. For making purchases. And that has some cost. It took real resources to replace all these machines, etc, etc. And that was a security issue that drove behavior change as well.
凯蒂:[00:07:12]行为和愿意采纳。
燕:[00:07:14]所以我们很清楚看到的是一种挫折,就像我们前进道路上的一块石头,因为我们没有把事情想清楚,从一开始就确保它们安全。与此同时,从一开始就确保他们的安全是不可能的。你不能预见所有的问题,等等等等。因此,社会的发展速度和科技的发展速度在某种程度上建立在网络安全之上或者建立在对网络安全的需求之上。这就是为什么现在,市场的方式,我在这里说的是对网络安全专业人员和教育专业人员的需求,是有可能从博士直接成为教授的。我就是这么做的。
凯蒂:[00:08:04]一定一定。哦,当然。你作为博士学生发表了一个吨。您已作为教授出版了一个惊人的研究。告诉我们您在工作中您所做的一些工作以及您最喜欢的一些创新故事。
燕:[00:08:22]当然。因此,我们通过一种非常清晰的专业领域进行了广泛的研究。我们在亚利桑那州的实验室确实在网络安全的几乎各个方面都进行了研究。要从某些事情开始,你知道,是传统上是对我的关注领域。我们在10月份出版了一篇论文,我们在公司采访了安全工程师和安全管理人员,并理解了他们对实际优先事项的看法之间的矛盾,在确保安全方面等等,您知道,公司和学术机构和政府等等。对吧?所以这是一个重要的事情,因为在我们开发安全的技术时,开发它在某种意义上就是容易的部分。您也必须采用它。您必须,您知道,部署所有芯片读者,et cetera,等等,并说服人们这很重要。因此,这是一个传统上我没有做过的领域,我们一直在进行。 My area of strong focus has been binary analysis.
凯蒂:(00:09:41)是的。
燕:(00:09:42)当然的想法是......
凯蒂:(00:09:45)是的。分解二元分析。
燕:[00:09:46]是的。
凯蒂:[00:09:46]因为我想到了几个播客听众可能熟悉您的领域。我认为特别是来自Def Con或其他受众的人员调整。但我认为创新社区中的大多数人可能并不真正了解网络安全发生的内部工作。[00:10:04] [17.1]
燕:[00:10:04]当然。
凯蒂:[00:10:05]所以,是的。给我们讲讲二元分析。
燕:(00:10:07)所以让我们说我读了一个电脑程序。我坐下来,我打开我的开发环境,或者您不需要开发环境来编写软件。您可以打开记事本和写软件。一个记事本。你甚至不一定需要一个先进的东西。但我坐下来,我写了一份电脑程序。Traditionally in the early 90s, let’s say when I was writing my first programs, when you write this source code, you know, you type up a file that represents what a program should do and then you use what is called a compiler to translate that into machine code. Ones and zeros that a computer understands.
凯蒂:[00:10:54]你所做的太多......我的意思是,知识量,而不仅仅是历史知识,而是数学知识,就他们的基础设施来理解计算机作为一种方法来实现它们。您如何将研究至关重要的重要性,向工业合作伙伴提供资金的资金,对那些可能没有同样专业知识的人员?是的,我很乐意了解你发现自己使用的讲故事策略的更多信息。我喜欢你刚刚将我描述的一些隐喻,因为你知道,你知道,博士学位,你是在计算机科学中的博士学位。我们有点说出不同的语言,但是。但是,是的,你发现自己发现的讲故事技术是什么,你认为最重要的是什么?
燕:[00:11:44]所以对我来说,最重要的是传达我对这个主题的感受。我奶奶给我那本书的时候。这不仅仅是信息,就像打开了一个世界。对吧?所以你读到的是一个有着简单规则的世界。对吧?cpu的工作方式非常简单。我的意思是,有很多复杂性,特别是在现代处理器中:乱序执行,大量的内存缓存,等等。但是从一个非常高的层面来看,它非常简单。它提取数据,并将其中一些解释为该做什么,而另一些则解释为该使用什么数据。 And then it does it. But somewhere at some point between the physical components that a CPU is made up: of logic gates and wires and et cetera. And the computer program, there’s some magical shift that happens, at which point we say, ‘that is a computer.” Because you don’t say that about a calculator.
凯蒂:[00:12:58]是的。正确的。
燕:[00:12:59]你不能这么说。我的意思是,现代的计算器,当然,是计算机,但你不能说它就像一个简单的电路,把两个数字相加。你不会说那是一台电脑,但有时你会说这是一台电脑。到那个时候,计算机就可以执行算法,可以用代码表示的任意算法。这个概念是艾伦·图灵在上世纪中期,在学术上进行的探索。这里有一种图灵势垒,它本质上定义了什么时候不是计算机的东西变成了计算机,这就是我的想法。这个障碍很神奇。你不能真正理解,从哲学的角度来说,是什么突然改变了。让机器开始能够执行算法。对吧? We understand mathematically what a Turing machine is. And the difference between a Turing machine and other forms of automaton, so forth, other computational models. But philosophically, deep down inside, I feel there’s a similar divide between that, between a non computer and a computer, as there is between a computer and human, right? So in the push for AI, we are also facing this concept of: at what point does a very, very smart machine become sentient? And there’s no real answer, even philosophically, that we have. In a smaller way, there’s a similar question in the step from not computing into computing. To me, that point, that threshold is there’s some magic there. And the reason I do binary analysis is that it is as close as you can get to that threshold.
凯蒂:(00:14:57)唔。
燕:(00:14:58)从另一边。从计算侧。
凯蒂:(00:15:02)是的。
燕:(00:15:02)这就像计算的核心是你的CPU发生的事情,就在那个层次上,如果你再进一步,它只是一堆逻辑门。对我来说没有魔法。但是当你回过头来,突然间你在谈论一个能够模拟整个世界的机器,在那里人们会花上几十个小时玩游戏。
凯蒂:(00:15:29)是啊是啊。
燕:(00:15:32)所以我试图传达这一点,实际上,我教导了我的课程,从那个非常基地和基础,基础上的基础。这就是为什么我谈论这个历史,这就是为什么我的一个课程...所以我教这种黑客课程,基本上,我教会学生在二进制水平上可能发生的各种特定安全问题。我开始用:这是二进制级别的原因。我们有点回到这是一个逻辑门,然后我们跨越该阈值。在某些时候,有这种魔力。所以从学生的角度来看,我试图灌输这一点......欣赏这个领域,对于计算,计算,对吗?然后。你必须进一步进一步,你必须让他们热衷于黑客攻击。关于网络安全。所以从一定的角度来看,你可以在很长一段时间内观看。 Society did view hackers purely, let’s say, a nuisance or, you know, renegades or something.
凯蒂:(00:17:00)是的,对的。
燕:[00:17:03]你可以看到这个。当我们建立我们早期的网络安全法时,第一个Def Con I实际上有一个安全研究员在谈论他在某个文件保护方法中发现的一个缺陷。他在台上发表演讲,当然,是对Def con的人群。然后他下台,就在那里被逮捕了。
凯蒂:(00:17:30)我曾是。所以这是一个燃烧的问题,我对你的领域,你的工作。你如何做出关于分享的内容,发表的是什么,不分享的是什么,是否揭示你的身份,如果你正在做这种工作吗?
燕:(00:17:46)正确的。例如,肯定是匿名安全研究人员。对吧?在学术作品中展出了匿名安全研究人员。我读了一篇论文......
凯蒂:(00:17:58)迷人。
燕:(00:17:59)当然,这个词作者列表你有。您知道,在学术界,作者是我们我们的货币,基本上是。所以…
凯蒂:[00:18:08]是的。
燕:[00:18:09]所以你有你的作者列表,其中一个名字是匿名的。这真的很有趣,因为你知道,正如你在一开始,你看着我的出版物,那些出版物是我的谷歌学者的个人资料或其他任何东西,因为我是那里的作者,那就是那里。
凯蒂:(00:18:29)你有匿名发表过文章吗?
燕:(00:18:33)我不会 - 我不承认这一点。然后媒体必须双向工作,以便无法从出版物中讲话,而且还从该人那里到出版物。但…
凯蒂:(00:18:47)好吧,是的,告诉我们这个词,这种黑客,你知道,今天,我认为海克索在创新社区内很受欢迎。我看到他们,我们一直看到它们。这是一个期望。这是一种解决大问题的乐趣,有点利用黑客攻击的力量。
燕:[00:19:07]是的。
凯蒂:(00:19:08)这是如何转变的呢?我的意思是,我确信它仍然有恐惧的内涵。
燕:(00:19:14)让黑客有两个意义。对吧?实际上有两种竞争含义。黑客的一个意思是hackathon,对吧?那就是。你在一起破解了一些东西的意义越多?你抓住了一个目的意味着的东西。你抓住了目的意味着什么的东西,你用这个东西给目的是一个,目的是为了完成C.吧?这就是一般的哈克萨斯所做的。
凯蒂:(00:19:49)Gotcha。计算机与艺术与计算机科学。正确的。它仍然存在于你所居住的世界里面?
燕:(00:19:56)但是你。出色地…
凯蒂:[00:19:57]我见过其他人以俏皮的方式做到这一点。是的。就像有点艺术一样。
燕:(00:20:01)正确的。完全正确。
凯蒂:[00:20:02]创建…
燕:[00:20:03]在这方面,你可以拥有一个工程的黑客攻击。对吧?
凯蒂:[00:20:06]Mmhm。
燕:[00:20:06]你可以举办一场舞蹈的黑客马拉松。是的。是的。当然,你也可以举办一场电影黑客马拉松。你把两个,或者你知道,一些电影放在一起,然后把它们整合在一起。
凯蒂:[00:20:18]Gotcha。
燕:[00:20:18]你挠过他们并结束了一些有趣的结果。对吧?
凯蒂:(00:20:23)你的世界里有使用黑客马拉松这个词吗?
燕:(00:20:25)不。
凯蒂:[00:20:26]好的。好的。
燕:[00:20:27]所以我们在第二级黑客攻击...或者,黑客攻击的第二个含义,这是你知道的。当你破解某物时,对吧?那是......你拍了,是的,你拿出目的a的东西,并通过甚至可能明确地拟使用它的方式来接近它。你把它转向目的B.这是一个......这是黑客攻击的网络安全意义。它正在进入计算机系统或打破系统,以便您将其重新调整到不同的目的。这可能是,你知道,打破,你知道,一些大公司信用卡处理系统将其变成信用卡收获系统。对吧?等等。
凯蒂:(00:21:33)再次,善恶的力量。
燕:[00:21:35]正确的。
凯蒂:[00:21:36]您是否在您的计划中教道德?
燕:(00:21:38)是的。我们。每一门课都必须至少有一个道德成分,或者真的应该有一个道德成分。正确的。这些是我们教的孩子,有时候他们不懂事。所以你必须非常明确。[00:21:57] [18.7]
凯蒂:(00:21:58)因为你知道,我们的途径仍在加深。
燕:(00:22:00)是的,你必须非常明确。我在CS的那样看到的那样,不一定像随着ASU,孩子们做点什么愚蠢,被驱逐出来,真的让他们的成功。
凯蒂:(00:22:18)甚至一些最著名的创始人,比如扎克伯格,也开始了,怎么说呢?我不想说这是一个艰难的开始,因为这也证明了他的能力。但是,你知道,当时黑进了哈佛的系统。
燕:(00:22:38)正确的。
凯蒂:(00:22:38)所以…
燕:(00:22:38)是的,这是一种平衡,对吧?你想要的。你需要一张网来抓住这些孩子,确保他们不会被关进监狱。原因是一样的。就像你有大学管理自己的警察局一样。正确的。当我还是个大学生的时候,我很愤怒,因为大学在某种程度上我觉得这是一件压抑的事情。正确的。但后来我意识到,大学警察部门的存在在某种程度上是为了给你一个小小的惩罚而不是让这个问题变得更严重。我们在学术网络安全领域也有类似的东西。 Right? You have you know, you have the kid that breaks into your grading system. And…
凯蒂:[00:23:29]这也发生在你身上吗?
燕:[00:23:32]好吧,是的,实际上。所以我最近为网络安全创建了一个平台......
凯蒂:(00:23:37)那个学生得到了一个吗?
燕:(00:23:38)是的。所以这就是我所做的,实际上部分是为了教这个道德黑客课程,我创造了一种系统,这是我的课程。它是一种实践,使基于完美的概念在我教授二进制安全的概念时,它会为学生提供特定的程序,如定制,所以没有两个问题是相同的,利用这些概念,以便人们必须锻炼他们在实践中学到的东西。
凯蒂:[00:24:20]好的。
燕:[00:24:21]我们知道,我现在教导的课程,我的主课程有八个或九个模块,这就是你如何在现代计算机上使用命令行是如何闯入所谓的内核的方式。您知道的操作系统的核心,以及之间的所有步骤。它在这个基于云的系统上运行,学生可以连接很多或为他们产生挑战,他们可以解决挑战。当您通过黑客攻击系统解决挑战时,您可以访问您在解决挑战之前在挑战之前连接的文件。然后该文件有密码供您兑换成绩。
凯蒂:(00:25:07)好的。
燕:(00:25:08)这是标准。
凯蒂:[00:25:11]这是非常有趣的。
燕:[00:25:13]是的,它是,它真的“捕捉旗帜”非常清楚地应用于教育正是网络安全竞赛的格言。因此,当我们为defcon创建提示时,它是相同的概念。您有一个复杂,更复杂的计算机系统,这些计算机系统运行,我们部署和运行和竞争对手必须闯入它并窃取信息并交换点的信息。
凯蒂:[00:25:43]好吧,我作为一个孩子的最活泼和最喜欢的回忆之一是在树林中间的夏令营,分手队和捕获旗帜并掩饰你的国旗,以便没有人能找到它,创造一个监狱,你知道,试图突破没有任何人看到你穿过周边或抓住国旗并跑回来。因此,请告诉我们如何在黑客世界内使用该游戏风格或游戏类型的方法。所以这就是为什么我会要求你告诉我们溢出的顺序。
燕:[00:26:15]正确的。
凯蒂:[00:26:16]如果你能。
燕:[00:26:18]所以…所以。
凯蒂:[00:26:18]这个组织有多神秘?
燕:[00:26:20]我觉得这相当......
凯蒂:[00:26:22]我只是在逗你玩!
燕:[00:26:22]完全正确。我们有一些匿名的人,而不是匿名,黑客组织,但匿名,你知道,不公开可识别。所以我们有 - 我们开始了,你知道,在我的博士期间,我开始和贝壳一起玩。然后我成了,只是通过对CTF的纯粹的热情,我成了球队的队长,然后我毕业。这是毕业是一种非常创伤的体验。正确的。所以你花在实验室里的所有时间。你住在实验室里。对吧?如果你......你可以通过两种方式进行博士骑行。 One, you can maintain a good work-life balance. I have a friend that at 5 p.m. he gets up from his desk and he goes home and he does his PhD like a good employee at a good at a job. He shows up at 8:00, he leaves at 5:00 and he does the PhD. But while he’s there he’s doing the PhD.
凯蒂:[00:27:31]是的。
燕:[00:27:31]或者你也可以。这是一个很好的方法。另一个好方法是你就住在实验室里。[00:27:38] [7.0]
凯蒂:[00:27:39]嗯嗯。
燕:[00:27:39]这意味着你在实验室工作,但你也不是在实验室工作。对吧?这就是我所做的。当你这样做的时候,毕业是很棒的,因为你完成了一些惊人的事情。你有你知道,你有博士学位,然后大家开始叫你医生等等。但这也会造成极大的创伤。突然之间,你就被赶出了自己的家。我在那个实验室里住了七年。有些时候,尤其是在网络犯罪挑战期间,我一天要在实验室里待20个小时,真的,然后回家,睡4个小时。
凯蒂:[00:28:16]是的。
燕:[00:28:18]你知道,我传递了队长和贝菲什的火炬。当时我在亚利桑那州立大学试着训练那里的人,当然还有我那些很棒的同事。然后这个机会来了Def Con CTF的组织者退休了。组织者大约每五年退休一次。跑步需要很多时间,你真的想保持新鲜感,对吧?所以每五年就会有热情的新人。太好了。组织者已经退休了,人们在寻找组织者。我想,“我想做这个。”
凯蒂:[00:29:07]这就是我的生活在这一点上努力。
燕:[00:29:09]完全正确。完全正确。这是难以置信的。所以这是一种内在的快乐,你知道,只是继续玩Shellphish,以参与者的身份在黑客世界的巅峰运行,或者成为推动和指导这个领域的组织者。是的。我觉得从学术角度来看,这是一个非常好的角色。
凯蒂:[00:29:40]是的,当然。它真的模仿了你所描述的你学习如何嵌入价值观,并教导学生和指导学生进入这个领域的方式。所以看到你从博士生到教授的转变是很巧妙的同时也改变了你参与Def Con的方式以及你在那里产生的影响。
燕:[00:30:01]是的。是的,究竟。
凯蒂:(00:30:02)这些竞争非常激烈。我看了一些YouTube视频。在YouTube上看Def Con CTF很有趣看看它的一些工作方式和一些策略,看起来很漂亮。这就像年轻人谈论的那样。我认为即使在那些视频中,他们仍然是一种保密的,不能透露太多。你不想透露太多关于你的策略,因为那样的话明年就会有人入侵。所以…
燕:(00:30:33)是的。明年也不行。我的意思是,我们在游戏中遇到了社交工程攻击。我们有一些队友,不管出于什么原因,他们看起来不像黑客,他们只是走来走去,他们会,你知道,哦,你在做什么?你知道,他们会坐下来开始,你知道,和其他团队交谈,其他团队会说,哦,对了,我们在做些什么。
凯蒂:(00:31:00)天啊。哦,人类的黑客攻击?
燕:[00:31:03]人类的黑客。绝对的。我的意思是,没有其他。
凯蒂:(00:31:05)这是一种古老的艺术形式。
燕:(00:31:08)完全正确。它总是最薄弱的一环。有些团队甚至做了更疯狂的事。我听说过有人喜欢剪断网线,然后将其拼接到……
凯蒂:(00:31:19)模拟黑客!
燕:(00:31:19)模拟黑客攻击。这种事经常发生。那一年还是合法的。这是违法的。我们有一个小机器人可以绕着无线天线旋转。当它旋转无线天线的时候,它会进行所谓的反身份验证攻击。它会和你的无线网卡通话,它会假装是接入点,你的无线接入点,说,“哦,该死,你现在断网了”然后你的电脑就会失去网络。正确的。所以每三秒钟,我们就会和周围的每个人断开连接,除了我们自己。
凯蒂:(00:31:57)天啊。
燕:(00:31:58)从无线。还有一些团队依赖于无线互联网。我们会,你知道,第二天我们到处走,有一个特别的团队他们有全新的匹配的有线网络电缆,因为他们他们无法再处理这种断开。
凯蒂:(00:32:16)如此令人沮丧。
燕:(00:32:17)是的。实际上是明年......所以这是法律的去年。现在,这些去认证攻击算作堵塞,在美国不合法。
凯蒂:[00:32:28]好的。
燕:(00:32:29)所以,是的,它做到了。还有所有这些黑客行为。但不管怎样。我们决定放手去做。我,我在亚利桑那州立大学的同事亚当,一个教授。我们坐下来,我们想,“好吧,我们要做这个。这将是一种为社区做出贡献的很棒的方式,也是一种向人们宣传,嘿,亚利桑那州立大学是认真对待网络安全的很棒的方式。”对吧?然后我可以详细说明一下因为如果没有亚利桑那州立大学内部很多实体的支持我们是做不到这一点的。
凯蒂:[00:33:11]我会问你。你知道,所以。所以这个播客的心灵和灵魂是考虑讲故事以创新速度发挥的作用。您是如何在一个学术机构获得的,以引领世界上最具竞争力的黑客游戏的学术机构?
燕:[00:33:33]因此,我们的角色是教授是教育,但也是领域未来的发展,以及你通过研究以及通过所谓的,曾经在服务中召集的方式的发展。您所做的是您形成决定会议诉讼程序的委员会。正确的。所以出版过程实际上是相当艰苦的。你写论文,你提交它,然后是一些双盲。所以匿名审查人员表示你的论文是垃圾然后。
凯蒂:[00:34:13]您修改并重新提交。你再次这样做,然后一年后就是出局。
燕:[00:34:16]完全正确。因此,这是如此,匿名审查员群体通常是该领域的教授。我们以非常相似的方式提出了这一点。大学说,看,我们想要。推进应用网络安全的领域。我们想这样做,因为它将证明我们在ASU在这里做的事情真的是领先的领域。
凯蒂:(00:34:41)是的。
燕:(00:34:41)对吧?所以突然间,你不仅仅是出版出来的出版物,这太棒了。不仅仅是现实世界适用的原型和工具,我们还会尝试专注于ASU,这很棒。但是你也有这个活动,这是非常独特的事情,即世界冠军的黑客攻击。ASU可以帮助实现这一现实。和ASU的令人惊叹的事情就是...所以随着新美国大学开始,这最初意味着进入途径的差异。正确的。因此,ASU实际上试图尽可能多地承认。我们认为,唯一的大学,他的人口统计数据完全符合亚利桑那州的人口统计。正确的。 So minorities and so forth…
凯蒂:(00:35:41)优先考虑包容性。
燕:[00:35:43]对,就是这样。极端包容。有些学生我已经辉煌,因为它只能上大学。因为ASU。正确的。这太酷了。它面对它挑战。一个典型的大学。他们实际上想要是独家的。正确的。 Because also part of the measure of university rankings is how few people you admit. How low your admission rate is. So it’s… The lower the admission rate. It’s not the only measure, of course, but it is a measure…
凯蒂:[00:36:16]它会影响您的整体分数。
燕:[00:36:18]是啊是啊。是的。所以这是一种不同的方法。但作为这种重新评估成为一个大学的一部分。ASU也看了,在其社会中大学的地方是什么?正确的。而这是,我认为,通过帮助领导这一活动,一个完美的机会展示大学可以在社会中接受社会。事件是,我的意思是,组织难以置信的复杂。我是说…
凯蒂:(00:36:51)我甚至无法想象。这是……
燕:(00:36:52)而不仅仅是……
凯蒂:(00:36:53)甚至决定如何构建游戏本身。但是是啊。是的。
燕:[00:36:57]是的。我的意思是,一切。所以你会有非常多的复杂性。我认为“防御CTF”,仅仅是“防御CTF”每年就需要大约15万美元来运行和维护会议……
凯蒂:(00:37:12)为组织者统称,你觉得多少小时?
燕:[00:37:14]这并不算上时间......集体为组织者,我们基本上不存在于7月,6月和5月的月份。正确的。这只是,我们不存在。
凯蒂:(00:37:28)是啊是啊。
燕:(00:37:29)如果我们在4月初休假,那么资格赛事。现在我们不存在。我们只是准备合格的活动。正确的。喜欢,它是大约有十几个人在溢出的顺序。他们并非所有人都在。这只是......我和我的同事,我们有几个学生在ASU,然后有这些神秘的其他人......
凯蒂:[00:38:02]如果没有害怕被黑客攻击,你如何在这么重要的事情上合作?
燕:(00:38:07)是的,我的意思是,我喜欢告诉别人,这完全是假的。然后只是勇敢的是“我们是人们应该害怕的人”。你知道?所以我让学生紧张地去做“yan,我不知道我是否应该拍我的笔记本电脑。我不知道我是否应该啊。“不,别担心。你是谁应该害怕。但这只是......
凯蒂:[00:38:31]这应该是今天的口号。完全正确。它应该是正确的。
燕:(00:38:34)完全正确。在某些时候,你只是说,你知道你只能活下来一直活下来透露骗局。所以,这就是你的合作方式。
凯蒂:(00:38:45)是的。是的。它真的,它非常令人难以置信。我在想,你知道,只要我们包裹起来就要几个外卖。是:您通过与本组织的整体使命对齐,从大学中获取买入。这适用于工业内部的创新者或黑客......任何在任何文化组织内部运营的人,都在弄清楚任务是什么,并确保在您如何投入这种可能性以及这个想法的对齐。
燕:(00:39:16)但你也需要这个机构。所以有两部分。有那种创新者。所以要说,就像那个正在向机构制作投资的人。但也有机构部分。我们在ASU再次真的很幸运。我们拥有制度部位,asu的许多不同部分有所帮助。那种核心是一个被称为全球安全计划 - GSI的核心。而且它是ASU的一部分,其目标是增加现实世界的网络安全,一般安全,但这以及我们的研究和我们在大学的网络安全影响。我提到Def Con CTF每年花费大约五万美元才能运行。 Over half of that, Def Con the conference, actually provides. So, you know, things like hotel rooms, admission to the conference, that adds up quite a lot. But there’s things like servers, things like food, or the organizers, et cetera, that cost quite a lot as well. And ASU managed to, you know, somehow find funding for this so that, that’s been incredible.
凯蒂:[00:40:36]是的。确实。
燕:[00:40:37]我会对这个评论说,创新者需要两个探戈,那种。正确的。因此,您拥有创新者需要对准任务并展示如何向前发展。但你需要。要么有一个机构,要么是在中间遇到你的组织,要么你需要在你的组织内做出那个地方。
凯蒂:[00:41:08]我爱。我喜欢这个建议。你对专业人士或年轻的专业人士有什么其他建议吗?或者是想成为黑客的学生。关于他们如何表达这种愿望,你有什么建议吗?如何…?是的,我想我只是好奇你是否有建议给他们,因为他们不仅了解了黑客的艺术形式,而且还了解了做好黑客所涉及的交流方式。
燕:[00:41:39]是的,这是一个非常好的问题。有三件事会说。一个是要记住,世界不仅仅是网络空间。我会说我看到的最大限制因素之一是:焦点100%的人在虚拟上焦点,忘记他们生活在遇到空间。正确的。与其他人一起认识。贝尔照片不会是最大的,你知道,最长的CTF团队运行最长。如果它不适用于不仅仅是熟练黑客的个人。但也是熟练的人类。正确的。 So, you know, my advisor is a great example of this. He’s super capable of creating this social environment that allows Shellphish to thrive as well. And other teams don’t. You have teams, and I’ve seen them come and go, that, you know, a collection of super good hackers who never talk to each other and never talk to other people who never, you know, propagate their skills. And then when they stop hacking, the team is gone. And that’s also fine. Right. Maybe, you know, this coming and going….
凯蒂:[00:43:05]但这可能会减缓整个行业的发展速度。
燕:[00:43:08]完全正确。
凯蒂:[00:43:08]喜欢社区整体的进步和创新。
燕:[00:43:11]还有人。
凯蒂:[00:43:11]记忆丢失了,如果你不这样做......
燕:[00:43:13]记忆丢失了。没有......有没有人因为贝什而去UCSB。对吧?这就是你的开始,你知道,推动社区。而且我希望有人实际上,由于溢出的顺序,有人们已经来到ASU。那已经去了。我的意思是,就像我说溢出的顺序不仅仅是随着ASU。我们刚才发生了。我们在那里创造了。但我的意思是,我有同事,教授,也是溢出的顺序,迄今为止[不清楚]和法国,对吗?
凯蒂:[00:43:49]是的是的。
燕:(00:43:50)等等。二是你现在就可以开始黑客了。对吧?你不需要接受正式的教育。现在我要给第三个警告。但你不需要接受正规教育。我高中就开始做黑客了,对吧?
凯蒂:(00:44:05)是的。
燕:(00:44:05)您可以在线查找大量材料。在管道下来的一件事是我之前描述的这个课程。我实际上是在线免费提供的,包括练习在线,但讲座只是幻灯片。所以我需要记录讲座并将其置于讲座。但那会像一个交钥匙资源,只需使用二进制安全来推出。
凯蒂:[00:44:36]我很高兴在演出中分享到该课程的链接。
燕:(00:44:39)行,可以。绝对的。它也很容易记住它,所以有一个术语来利用一些东西,pwning。那是p.w.n.n.从我认为“拥有”你知道,“我拥有那个服务器。”所以我会盯着它。所以pwn.college - Pwn Dot学院。超级易记忆。
凯蒂:[00:45:03]惊人的。而且我现在说的那样,所有练习都是上来,但不是我的意思和所有的讲座笔记。但是,但在下一个学期结束时,这仍然很难做好,我会记录一切。并把它放在网上。但是,那只是一件事。有百万不同的资源如何开始黑客。
凯蒂:(00:45:24)我认为大多数黑客都是男性。
燕:(00:45:27)嗯嗯。
凯蒂:[00:45:29]文化。你的母亲和祖母是把你介绍给这个世界的人,我真的很着迷。你看到这种文化了吗?黑客文化是这样的吗?你看到变化了吗?你对性别差异有什么看法?
燕:[00:45:45]正确的。所以我想说,首先....还有,为了对我爸爸公平,如果他觉得自己被排挤了,他会听这个播客。我爸爸真的……
凯蒂:(00:45:55)喊出!
燕:(00:45:56)鼓励我向网络安全专业方向发展,我其实不相信你能以网络安全为生,在2000年代中期,当我刚从大学毕业的时候。不是很清楚你能不能。对吧?
凯蒂:(00:46:10)这都是形成的。
燕:(00:46:11)所以他说,这就是未来。你应该去争取。”
凯蒂:[00:46:13]他怎么知道的?
燕:(00:46:15)他也在计算机科学领域。我爸爸是一个数学家,但是,你知道,他知道更多地应用和更少应用的数学。并且越来越多的数学往往是计算机科学。
凯蒂:[00:46:30]你是在俄罗斯长大然后搬到这里来的吗?
燕:(00:46:32)当我八岁时,我在这里移动。所以我在俄罗斯有很早的童年。然后我在亚利桑那州长大了。
凯蒂:[00:46:38]好吧。
燕:[00:46:39]是的。
凯蒂:[00:46:40]我们让爸爸喊道。
燕:[00:46:41]完全正确。有个爸爸在喊。所以你的看法完全正确。这是一个大问题。总的来说,计算机科学,我没有确切的数字,但大约90%是男性。特别是网络安全是最糟糕的子领域。
凯蒂:[00:47:01]真的吗?
燕:[00:47:01]它是95到98%的男性。在整个竞争性的黑客社区中。让我们在去年在Def Con CTF上说,可能有。所以有16支球队将其转到决赛。每个团队平均地让我们说12人。整个集团,数百人,可能有四个女孩。
凯蒂:[00:47:37]是的。
燕:[00:47:39]这很糟糕。
凯蒂:[00:47:42]是的。是的。
燕:[00:47:44]所以这是社区正在努力解决的问题。每个人都可以做一些事情来改变现状。一件事是明确地扩展到计算机科学中未被充分代表的群体。事实上,这比计算机科学领域缺少女性更糟糕。只是缺少了…
凯蒂:[00:48:11]多样性?
燕:[00:48:12]多样性。
凯蒂:[00:48:14]是的。这主要是高加索人吗?
燕:[00:48:18]我会在各个主要地区说,主要是主要区域。正确的。所以在美国,社区我会说它大致遵循高等教育的人口统计。减去一些原因,妇女是奇怪的,因为我们谈到的大多数伴随着女性,Ada Lovelace,Grace料斗等,他们创造了这个领域,然后球场以某种方式由男性主导地位。并且有很多原因。有理由我看到这是非常非常清晰,愚蠢的原因,这是极度令人沮丧的,这陷入了这种可怕的类别,你知道,男孩将是男孩或其他什么。正确的。你得到一群男人。所以目前尚不清楚这是如何开始的。但现在它已经传播了。 You get a group of men together in a hacking team and there are, you know, non-inclusive jokes flying around and et cetera, et cetera. And it’s something that’s….
凯蒂:[00:49:26]即使是文化也可以是独家的。
燕:[00:49:29]甚至是文化。所以当我说的那样。当你在黑客攻击时,你不能忽视你在人类的空间。这不仅仅是一个虚拟空间。这是我的意思之一。确保您的黑客团队不是团队,您所知,不合适的评论是......轻轻地走。正确的。
凯蒂:[00:49:58]绝对的。
燕:[00:49:59]我们很容易在网上遇到这样的情况,因为黑客团队真的生活在网上。有一些。你知道,大部分时间生活在网上和…
凯蒂:(00:50:16)垃圾谈话。
燕:[00:50:17]垃圾垃圾谈话。你知道,还有垃圾垃圾谈话,但那时没有好的垃圾谈话。
凯蒂:(00:50:24)是的。
燕:(00:50:24)我认为,“不可以”的垃圾言论真的会损害包容性。老实说,这影响很大。
凯蒂:(00:50:34)是的。绝对的。
燕:(00:50:35)我认为在亚利桑那州立大学,我应该有这些数字,但我没有马上想到,在一个大约50名研究人员的团队中,假设,我们有八九名女性计算机科学家。正确的。这在网络安全领域是前所未闻的。正确的。我想说在我所知道的大实验室之外我不知道世界上每个大实验室的确切组成,但是在我所知道的大实验室之外。我们的性别平衡可能是最平衡的,50个人中有8到9个人。我是说,这太可怕了。
凯蒂:(00:51:09)正确的。
燕:(00:51:09)正确的。但对于计算机科学整体而言。
凯蒂:[00:51:11]是的。
燕:(00:51:12)是的。近20%。这很高兴。
凯蒂:(00:51:15)所以你称自己为黑客?
0:51:16] [1.1]燕:[00:51:17]是的,绝对。
凯蒂:[00:51:18]不要等着别人去做。
燕:(00:51:19)是的。
凯蒂:[00:51:20]把那件徽章放在上面。[00:51:20] [0.4]
凯蒂:[00:51:20]是的。
燕:[00:51:21]我认为这对所有创新都是如此。所以对我来说也是一名作家。把自己称为作家。如果您围绕并等待获得奖励或在完美的日记中发布。那不是......
燕:(00:51:34)完全正确。是的,我认为这是为了所有东西,都是为了攻击。绝对的。我开始在高中攻击,没有真正的正式培训或任何东西。雷竞技raybet提现我有一个令人敬畏的高中计算机科学老师介绍了我。
凯蒂:(00:51:53)和你的妈妈也是。
燕:(00:51:53)是的。是的。和我的妈妈然后是我的奶奶等等。就你的奶奶也是如此。不,她给了我那本书。我的奶奶是一个数学家。凯蒂:[00:52:03]嗯,这很接近。
燕:(00:52:04)但是,是的。完全正确。和。而且,你知道,我是,我只是自己向前推进,你可以完全这样做。有一些魔法,但它是没有人理解的魔法。甚至不是专家。正确的。所以你只是......
凯蒂:(00:52:22)我爱。
燕:(00:52:22)所以你刚刚开始推进。我会说的第三件事。你可以从我的轨迹中看到它是我能够自己开始,但我无法自己完成轨迹进入黑客。为此,我需要去研究生院。我会说的是,如果你在那里,你有一些兴奋的是你对计算,关于黑客攻击,甚至与计算机有关的事情。这适用于任何字段,真的。而且你有点丢失,或者你是一点点难以捉摸,因为你知道,完成你的本科生,看着现实世界或你在现实世界。而且,你知道,看着你的九到五......想想毕业生,对。在ASU我们总是在寻找学生。事实上,随着网络安全的需求,每个人都一直在寻找学生。但有这些。 Institutions that are very committed to this real world applicable thing. Like ASU, right? One thing that we have, and I don’t mean this to be like a sales pitch. What I started at Arizona State is an apprenticeship program. So if you are interested, just shoot me an email. We have basically an open program where we bring promising people in for a research apprenticeship.
凯蒂:[00:54:07]惊人的。
燕:[00:54:08]有人找到我说,嘿,我想知道做网络安全研究与顶级黑客在CTF竞争是什么感觉……我的学生仍然在玩每个CTF。我玩过所有的CTF。这不是所有的CTF,但我玩的CTF不是Def Con的限定因为这是利益冲突。所以你可以通过这封邮件发送。我们有一个项目,你来这里待六个月。你拿的是研究生的薪水,但风险很低。你要试着了解研究是什么样子的如果它对你有好处,那么你就可以申请研究生院。
凯蒂:[00:54:49]那么听众怎样才能和你联系呢?
燕:[00:54:52]yans,y a n s @ asu.edu或。
凯蒂:[00:54:56]您在社交媒体上有哪些社交媒体?
燕:[00:54:59]是的,大多推特。
凯蒂:[00:55:00]是的。
燕:[00:55:00]如果你想联系我,推特的扎达斯,Z-A-R-D-U-S。
凯蒂:[00:55:06]惊人的。
燕:(00:55:07)那是我的黑客手柄。
凯蒂:(00:55:09)燕,我对我们谈到的一切感到兴奋。我认为创新社区渴望知道在网络安全下将发生的事情发生了什么。这是一个最佳创新行业。我 - 听到所有下面的工作和中存在的俏皮文化真的很酷。我认为这是该特定行业的一个非常独特的方面。所以谢谢你。
燕:[00:55:34]是的,绝对。
凯蒂:[00:55:34]在播客上。
燕:[00:55:34]很高兴在这里。
你可以收听更多的创新播客的解开故事.
*访谈不是个人或企业的认可。