亚利桑那州立大学的Yan Shoshitaishvili在网络安全方面打破了界限

www.hchb688.com/雷竞技raybet提现trainings/innovation-storytelling-training

成绩单

这一集的动力来自Untold Content的创新故事雷竞技电竞竞猜叙述雷竞技raybet提现．在这种身临其境、互动、故事驱动的体验中增加你的最佳想法。在这里，你的团队会为他们最新的项目、原型和提案改进讲故事的技巧，并从25个有影响力的创新故事的史诗般的例子中获得灵感。学习更多在//www.hchb688.com/innovationstorytelling雷竞技raybet提现training-2/．

凯蒂：[00:00:00]我们今天的嘉宾是Yan Shoshitiashvili。他是亚利桑那州立大学网络安全专业的助理教授。他是世界上最好的黑客之一。他是世界上排名最高的黑客组织之一Shellphish的前任队长。他也是The Order of The Overflow的创始人，这是一个神秘的实体，托管Def Con CTF:代表Capture The Flag。我们会在谈话中深入探讨这个问题。严，非常感谢你来到我们的播客。

燕:[00:00:32]高兴到这里来，凯蒂。

凯蒂：[0点00分34秒]你是如何进入这个黑客世界的？

燕:(00:00:37)我非常早,所以我六岁左右的时候,我的祖母给了我一本叫做Fortran教授的百科全书,这是一本书,在俄罗斯,孩子们学习计算和出版只是带孩子什么是计算机。漫画书中各种各样的概念。有个叫Fortran的教授。当然，Fortran也是一种编程语言的名字，这是一种双关语。那里有一只叫X的猫，一只叫毛毛虫的毛毛虫和一只叫伯德的鸟。所以他们一起探索了计算机世界。然后他们在学习如何编码和基础知识方面达到了顶峰。这些都写在书上了。当时并没有真正的个人电脑，尤其是在俄罗斯。有一段时间，我翘课，你知道，在小学，小学早期，我会翘课，躲在楼梯井里。 And I would just read this book over and over a cover to cover. And then eventually I got a chance to write some simple programs on the mainframe at my mom’s work.

凯蒂：[0时01分56秒]你妈妈是做什么的?

燕:[00:01:58]我妈妈做的——基本上，现在的东西被看作是数据库编程。当时，它是数学的一个分支。

凯蒂：[00:02:07]好的。是那是那哦。那时候女性的角色受人尊重吗?还是一种性别差异?在当时的俄罗斯，只有女性在做这个领域的计算吗?

燕:(00:02:21)从我记得的那样，她的部门很大程度上是女性。但我不知道是否存在性别分裂。真的，我不太了解这一点。

凯蒂：(00:02:31)当然,当然。至少在美国历史上，在NASA和很多有色人种的女性中有更多的人关注这个趋势她们在很多基地飞行的背景中进行计算。

燕:[○点02分47秒]哦,当然。是的。你知道，我昨天在这所大学的网络安全俱乐部做了一个演讲。

凯蒂：(00:02:56)美国辛辛那提大学？

燕:[0时02分57秒]是的。是的。我参观了他们的网络安全俱乐部，我开始我喜欢为我的演讲提供历史基础。我介绍了程序分析的概念，我想我们以后会讲到。但是在引入这个概念的时候，你可以从查尔斯·巴贝奇等人开始。巴贝奇分析机的创造者。这是在19世纪。的第一件事,是公认的现代计算机,你知道,在现代计算机中,然后你很快开始谈论Ada Lovelace的,首先,你知道,计算机程序员,写程序四巴贝奇的计算机的人,她也是第一个计算机程序分析器。

凯蒂：(00:03:46)是的!

燕:(00:03:46)所以她对计算机软件的运行情况进行了惊人的分析，或者假设它会在一个假设的分析引擎上运行。

凯蒂：(00:03:56)说到最喜欢的儿童书籍，我有三个孩子，他们喜欢《艾达·特威斯特》，是根据艾达·洛芙莱斯改编的。

燕:[0时04分05秒]哦,太好了。

凯蒂：(00:04:06)是的。"艾达·玛丽，艾达·玛丽直到三岁才开口说话"这都是关于她如何拥有科学思维，而不一定是文学思维，以及她如何探索她的世界。不管怎样，从我们开始研究儿童读物开始。所以。所以。是的。好吧。所以当你向学生介绍这些概念时，你是在向他们介绍历史，以及那些可能不为人知或看不见的声音。

燕:(00:04:31)是啊，接地很重要。我的意思是，早期的历史中有很多名字，你知道，我们认识阿达·洛芙莱斯，我想人们认识格蕾丝·霍珀。他们并没有意识到这些人的影响力有多大。这一点很重要，这样。当学生们学习网络安全时，他们明白他们不是在某个特定的时间点跳进来……

凯蒂：[00:05:09]是的。

燕:[00:05:09]他们真的参与了一个长期的连续的人们得到了计算的核心。这就是网络安全的核心所在，它挖掘了计算机科学的基础，计算的基础，程序的基础，以及我们对社会对软件和技术的依赖。

凯蒂：(00:05:38)绝对的。你正在做的研究和你正在建立的项目对行业、学术界和我们的政府是多么重要和实用，这是难以置信的。你能快进告诉我们你现在做什么吗?我是说，你这么年轻的助理教授发表了这么多论文。你已经在这一行干了两年半了现在你已经拿到了博士学位。我猜你在这期间读过博士后吧?[00:06:07] [29.2]

燕:(00:06:08)现场状态的方式是现在的。有很大的巨大需求，有很明显的原因。如您所知，安全问题不断突出。

凯蒂：(00:06:21)技术创造的速度很快。

燕:(00:06:24)是的。

凯蒂：(00:06:24)随着速度的加快，安全问题也在增加。

燕:(00:06:27)And actually, you know, an interesting thing there is… the lack of security is a source of friction in the creation of technology, so there’s only so fast that you can develop technology without thinking about security because eventually there will be massive security issues that start hampering adoption. Things like, you know, credit cards being leaked constantly. And what you see there is, you know, a couple years ago, everyone switched over from swiping to putting the chip in to the card reader. Right. For. For making purchases. And that has some cost. It took real resources to replace all these machines, etc, etc. And that was a security issue that drove behavior change as well.

凯蒂：(00:07:12)行为和接受的意愿。

燕:(00:07:14)所以我们很清楚地看到，这是一种挫折，就像我们前进道路上的一块石头，因为我们没有考虑清楚，没有从一开始就确保它们的安全。与此同时，从一开始就保证它们的安全是不可能的。你不能预见所有的问题，等等。所以社会的步伐和技术的步伐是建立在网络安全之上的或者说建立在对网络安全的需求之上的。这就是为什么现在，这个市场，这个市场，我在这里说，就像对网络安全专业人员和教育专业人员等的需求，是有可能从博士直接晋升为教授的。我就是这么做的。

凯蒂：(00:08:04)当然,当然。哦,当然。你作为博士学生发表了一个吨。您已作为教授出版了一个惊人的研究。告诉我们您在工作中您所做的一些工作以及您最喜欢的一些创新故事。

燕:[00:08:22]确定。所以我们做了广泛的研究，有明确的专业领域。我们在亚利桑那州立大学的实验室确实在网络安全的几乎每一个方面进行研究。从一些事情开始，你知道，这不是我传统上关注的领域。我们在10月份发表了一篇论文我们采访了一些公司的安全工程师和安全经理了解了他们对于公司，学术机构，政府等等在确保安全方面的优先级的观点之间的矛盾。对吧?这是一件很重要的事情，因为当我们开发安全技术时，开发它在某种意义上是容易的部分。你还得让别人收养它。你必须，你知道，部署所有的芯片读取器，等等，等等，让人们相信这很重要。这是一个我一直没有涉足的领域。 My area of strong focus has been binary analysis.

凯蒂：(00:09:41)是的。

燕:(00:09:42)这个想法当然是…

凯蒂：[零点09分45秒]是的。分解二元分析。

燕:[0点09分46秒]是的。

凯蒂：[0点09分46秒]因为我觉得一些播客听众可能对你的领域很熟悉。尤其是Def Con的观众。但我认为，在创新社区中，有很大一部分人可能并不真正了解网络安全的内部工作原理。[00:10:04] [17.1]

燕:[00:10:04]确定。

凯蒂：[00:10:05]是的。给我们讲讲二进制分析。

燕:[00:10:07]假设我读了一个电脑程序。我坐下来，打开我的开发环境，或者你不需要开发环境来编写软件。你可以打开记事本，编写软件。一个笔记本。你甚至不需要那么高级的东西。但是我坐下来写了一个电脑程序。传统上在90年代早期，比如说当我在写我的第一个程序时，当你写源代码时，你知道，你输入一个代表程序应该做什么的文件然后你使用所谓的编译器把它转换成机器码。计算机能理解的1和0。

凯蒂：(00:10:54)我的意思是，你需要大量的知识，不仅仅是历史知识，还有数学知识，从计算机的基础设施作为一种方法来理解计算机。您如何将您的研究的关键重要性转化为资助实体、行业合作伙伴和可能没有同样专业知识的人?是的，我想知道更多关于你自己使用的讲故事的技巧。我喜欢你用的一些比喻，当你向我描述它时，你知道，你是英语博士，你是计算机科学博士。我们说着不同的语言，但是。但是，你发现自己用了什么讲故事的技巧，你认为什么是最重要的?

燕:(00:11:44)所以对我来说，重要的是传达我对这个主题的感受。所以当我奶奶给我那本书的时候。这不只是信息，就像打开了一个完整的世界。对吧?所以你正在阅读一个有着非常简单规则的世界。对吧?cpu的工作方式非常简单。我的意思是，这有很多复杂性，尤其是在现代处理器中:无序执行，大量内存缓存，等等。但从一个非常高的水平来看，这是非常简单的。它会收集一些数据，并解释其中一些是要做什么，另一些是要使用什么数据。 And then it does it. But somewhere at some point between the physical components that a CPU is made up: of logic gates and wires and et cetera. And the computer program, there’s some magical shift that happens, at which point we say, ‘that is a computer.” Because you don’t say that about a calculator.

凯蒂：(00:12:58)是的。正确的。

燕:(00:12:59)你没有这么说。我的意思是，现代计算器当然是计算机，但你没有说它像一个将添加两个数字的简单电路。你没有说这是一台电脑，但在某些时候，你说这是一台电脑。然后那点是当计算机可以执行算法时，可以在代码中表达的任意算法。它的概念真的是由艾伦来回探索的，你知道，上个世纪中叶。并且有这种情况，这是一种计算机 - 基本上定义了计算机的东西成为计算机的东西，这就是我的想法。障碍是神奇的。你真的不明白，哲学上讲，突然变化。有机器开始能够执行算法。对吧? We understand mathematically what a Turing machine is. And the difference between a Turing machine and other forms of automaton, so forth, other computational models. But philosophically, deep down inside, I feel there’s a similar divide between that, between a non computer and a computer, as there is between a computer and human, right? So in the push for AI, we are also facing this concept of: at what point does a very, very smart machine become sentient? And there’s no real answer, even philosophically, that we have. In a smaller way, there’s a similar question in the step from not computing into computing. To me, that point, that threshold is there’s some magic there. And the reason I do binary analysis is that it is as close as you can get to that threshold.

凯蒂：(00:14:57)嗯。

燕:(00:14:58)从另一边。从计算侧。

凯蒂：(00:15:02)是的。

燕:(00:15:02)这就像计算的核心是在你的CPU中发生的事情，就在那个层面上，如果你再进一步，它只是一堆逻辑门。对我来说没有魔力。但是当你退回去跨过门槛，突然间你就会看到一个机器，它可以模拟整个世界，在那里人们花了几十个小时玩游戏或类似的东西。

凯蒂：(00:15:29)是的,是的。

燕:[○时15分32秒]所以我想表达的是，事实上，我的课程是从非常基础的水平开始的，就像基础和基础，基础。这就是为什么我要讲这方面的历史，这就是为什么我的一门课…我教这类黑客课程，本质上，我教学生在二进制级别上可能发生的各种特定的安全问题。我开始说:这是二进制水平。我们回到这是一个逻辑门，然后我们跨过那个门槛。在某种程度上，有一种魔力。所以从学生的角度来说，首先，我试着灌输。对这一领域的欣赏，对可计算性，对计算的欣赏，对吧?然后。你必须走得更远，你必须让他们对黑客也充满热情。关于网络安全。所以从某种角度来看，你可以观察很长一段时间。 Society did view hackers purely, let’s say, a nuisance or, you know, renegades or something.

凯蒂：[00:17:00]是的，对。

燕:[00:17:03]你们看到了。当我们建立我们早期的网络安全法律时，第一个Def Con I实际上有一个安全研究人员在谈论他在某个文件保护方法中发现的漏洞。当然，他在台上发表了演讲，然后对Def con的人群发表了演讲。然后他下台了，就在那里被逮捕了。

凯蒂：(00:17:30)我曾是。因此，这是一个亟待解决的问题，我对你的领域，你的工作。你怎么做就怎么共享，发布什么样的决定，什么不能分享，是否透露自己的身份或没有，如果你正在做这方面的工作？

燕:[0时17分46秒]正确的。比如，肯定有匿名的安全研究人员。对吧?甚至有匿名的安全研究人员出现在学术研究中。我读过一篇论文....

凯蒂：[零点17分58秒]令人着迷。

燕:[00:17:59]当然，你有那个单词作者列表。你知道，在学术界，作者身份基本上是我们的货币。所以…

凯蒂：[00:18:08]是的。

燕:[00:18:09]你有你的作者名单，其中一个名字是匿名者。这真的很有趣，因为你知道，就像你开始说的，你看了我的出版物这些出版物是我的谷歌学者简介之类的，因为我是那里的一个作者。

凯蒂：[00:18:29]你有匿名出版物吗?

燕:(00:18:33)我不会 - 我不承认这一点。然后媒体必须双向工作，以便无法从出版物中讲话，而且还从该人那里到出版物。但…

凯蒂：(00:18:47)好吧，是的，告诉我们这个词，这种黑客，你知道，今天，我认为海克索在创新社区内很受欢迎。我看到他们，我们一直看到它们。这是一个期望。这是一种解决大问题的乐趣，有点利用黑客攻击的力量。

燕:[零点19分07秒]是的。

凯蒂：[00:19:08]这是如何转变的?我的意思是，我敢肯定它仍然隐含着恐惧。

燕:(00:19:14)所以hacking有两个意思。对吧?实际上有两种相互矛盾的含义。hacking的一个意思是hackathon，对吧?这就是。就越有意义，对吧?你拿的东西只有一个目的。你把原本是为了目的B的东西拿走然后把这个目的A的东西，目的B的东西放在一起来完成c，对吧?这就是黑客马拉松通常做的事情。

凯蒂：(00:19:49)Gotcha。计算机与艺术与计算机科学。正确的。它仍然存在于你所居住的世界里面？

燕:(00:19:56)但你。嗯…

凯蒂：(00:19:57)我见过其他人用好玩的方式做。是的。就像艺术一样。

燕:(00:20:01)正确的。完全正确。

凯蒂：(00:20:02)创造……

燕:(00:20:03)在这方面，你可以拥有一个工程的黑客攻击。对吧?

凯蒂：(00:20:06)Mmhm。

燕:(00:20:06)你可以来一场黑客马拉松式的舞蹈。是的。是的。当然，你也可以举办一场电影黑客马拉松。你把两部，或者几部电影放在一起，然后把它们剪辑在一起。

凯蒂：(00:20:18)Gotcha。

燕:(00:20:18)你把它们弄乱，然后得到一些有趣的结果。对吧?

凯蒂：(00:20:23)你们的世界里用过黑客马拉松这个词吗?

燕:(00:20:25)不。

凯蒂：(00:20:26)好的。好的。

燕:(00:20:27)所以我们在黑客的第二个层面上运作，或者说，黑客的第二个意思就是。当你黑进什么东西的时候，对吧?这是. .你取了，是的，你取了一个目的为a的东西，用一种甚至可能明确地不打算被使用的方法来处理它。你把它变成b目的，这是一个更…这就是黑客攻击的网络安全含义。它是侵入计算机系统或破坏一个系统，在某种程度上，你重新调整它，以达到不同的目的。这可能是，你知道，闯入一些大公司的信用卡处理系统把它变成信用卡收集系统。对吧?等等。

凯蒂：(00:21:33)还是善与恶的力量。

燕:(00:21:35)正确的。

凯蒂：(00:21:36)您是否在您的计划中教道德？

燕:(00:21:38)是的。我们每个班级都至少要有道德成分或者应该有道德成分。正确的。这些都是我们教的孩子，有时候他们不懂事。所以你必须非常明确。[00:21:57] [18.7]

凯蒂：(00:21:58)因为你知道，我们的途径仍在加深。

燕:[0时22分○○秒]是的，你必须非常明确。我看到过在计算机科学领域，不一定是亚利桑那州立大学，孩子们做了一些愚蠢的事情，然后被开除，他们的成功就这样被阻碍了。

凯蒂：(00:22:18)甚至现在一些最著名的创始人，比如扎克伯格，开始说什么来着?我不想说一个艰难的开始，因为这也证明了他的能力。但是，你知道，当时黑进了哈佛的系统。

燕:(00:22:38)正确的。

凯蒂：(00:22:38)所以…

燕:(00:22:38)是的，这是一种平衡，对吧?你想要的。你需要一张网来抓住这些孩子，确保他们不会被关进监狱。原因是一样的。就像大学有自己的警察部门一样。正确的。当我还是一名大学生的时候，我对大学感到愤怒，我觉得这是一件压抑的事情。正确的。但后来我意识到，大学里的警察部门在某种程度上是存在的，所以他们可以给你一个轻微的惩罚，而不会造成更大的问题。我们在学术网络安全中也有类似的东西。 Right? You have you know, you have the kid that breaks into your grading system. And…

凯蒂：[0点23分29秒]这也发生在你身上吗？

燕:[00:23:32]好吧，是的，实际上。所以我最近为网络安全创建了一个平台......

凯蒂：[00:23:37]这是否学生得A？

燕:(00:23:38)是的。所以这就是我所做的，实际上部分是为了教这个道德黑客课程，我创造了一种系统，这是我的课程。它是一种实践，使基于完美的概念在我教授二进制安全的概念时，它会为学生提供特定的程序，如定制，所以没有两个问题是相同的，利用这些概念，以便人们必须锻炼他们在实践中学到的东西。

凯蒂：(00:24:20)好的。

燕:[00:24:21]我们也知道，我教的过程中，现在，我的主要课程有像八个，九模块从去：这是你如何使用命令行现代计算机上你这是怎么闯入什么所谓的内核。您的操作系统的核心，你知道，在两者之间的所有步骤。而正是这种基于云的系统，学生可以连接，很多还是为他们生成一个挑战上运行，就可以解决的挑战。当您通过黑客入侵系统解决了这些挑战，您可以访问一个文件，你不能访问时，你只是解决挑战之前连接起来。然后，该文件已经为你兑换年级密码。

凯蒂：[0时25分07秒]好的。

燕:[00:25:08]这是标准。

凯蒂：(00:25:11)这非常有趣。

燕:[00:25:13]是的，这真的是“抓住旗帜”，非常清楚地应用到教育中，这正是网络安全竞赛的形式。所以当我们为DEFCON创建提示时，它是相同的概念。当然，你有一个复杂得多的，运行我们部署和运行的计算机系统，竞争对手必须侵入它，窃取信息，并交换这些信息来获得积分。

凯蒂：(00:25:43)我最生动、最喜欢的记忆之一,小时候是在树林的中间的夏令营,分手到团队和玩夺旗和隐藏你的国旗,这样没人能找到它,创建一个监狱,你知道,试图突破没有人看见你穿过周边或回抢国旗和运行。请告诉我们这种游戏风格或游戏方法是如何在黑客世界中使用的。所以这就是为什么我想让你们告诉我们溢出的顺序。

燕:(00:26:15)正确的。

凯蒂：(00:26:16)如果你能。

燕:[00:26:18]所以…所以。

凯蒂：[00:26:18]这个组织有多神秘？

燕:(00:26:20)我认为这很…

凯蒂：(00:26:22)我只是在和你开玩笑!

燕:(00:26:22)完全正确。我们有一些匿名的人在上面，不是匿名黑客组织，而是匿名的，你知道的，不能公开识别。所以我们开始了，你知道，我开始玩Shellphish等在我的博士学位。由于对CTF的热情，我成为了球队的队长，然后我毕业了。毕业是一个非常痛苦的经历。正确的。所以你一直待在实验室里。你住在实验室里。对吧?你可以用两种方式来读博士。 One, you can maintain a good work-life balance. I have a friend that at 5 p.m. he gets up from his desk and he goes home and he does his PhD like a good employee at a good at a job. He shows up at 8:00, he leaves at 5:00 and he does the PhD. But while he’s there he’s doing the PhD.

凯蒂：(00:27:31)是的。

燕:(00:27:31)或者你可以。这是做它的好方法。另一种好方法是你只是住在实验室里。[00:27:38] [7.0]

凯蒂：(00:27:39)嗯嗯。

燕:(00:27:39)这意味着你在实验室工作，但你也不在实验室工作。对吧?这就是我所做的。当你这样做的时候，毕业是一件很棒的事情，因为你已经完成了一些惊人的事情。你有你知道，你有一个博士学位，每个人都开始叫你博士，等等。但这也带来了极大的创伤。突然间，你就被赶出了家。我在那个实验室住了七年。有一些时候，尤其是在网络犯罪挑战期间，我每天在实验室里待20个小时，真的，然后我回家，睡4个小时。

凯蒂：(00:28:16)是的。

燕:(00:28:18)你知道，我把船长和贝壳鱼的火炬传给了他。我当时在亚利桑那州立大学试图训练人们，当然还有我优秀的同事。然后这个机会来了Def Con CTF的组织者退休了。组织者大约每五年退休一次。跑起来要花很多时间，你真的想保持新鲜感，对吧?所以每五年就会有新鲜、热情的人。太好了。组织者都退休了，于是就开始寻找组织者。我想，“我想做这个。”

凯蒂：(00:29:07)这就是我现在的人生目标。

燕:(00:29:09)完全正确。完全正确。这是难以置信的。所以这是一种乐趣，你知道，只是继续玩Shellphish，作为一个参与者在黑客世界的高度运作或成为一个组织者的角色推动和引导这个领域。是的。我觉得从学术角度来看，这是一个很好的角色。

凯蒂：[0时29分40秒]是的,当然。它真的是你描述的模型，你如何学习嵌入价值观，教导和指导学生进入这个领域。从博士生到教授的转变也改变了你在Def Con的工作方式以及你所产生的影响。

燕:[〇时30分01秒]是的。是的,没错。

凯蒂：[零点30分02秒]这些竞争非常激烈。我看过一些YouTube视频。在YouTube上看看Def Con CTF，看看它的运作方式和策略，真的很有趣。就像很多年轻人谈论的那样。我认为即使在这些视频中，他们仍然是一种安静的沉默，不要透露太多。你不想透露太多关于你的策略，因为这样别人可能会在明年窃取你的策略。所以…

燕:(00:30:33)是的。甚至明年也不会。我的意思是，我们曾经在游戏中遭遇过社交工程攻击。我们有队友，不管什么原因，他们看起来不像黑客，他们会四处走动，然后，你知道，哦，你在做什么?你知道，他们会坐下来，开始，你知道，和其他团队交谈，其他团队会说，哦，对，我们在做什么，什么，什么。

凯蒂：(00:31:00)哦,我的。哦,人类的黑客?

燕:[0时31分03秒]人类的入侵。绝对的。我是说，没有别的。

凯蒂：[00:31:05]这是一种古老的艺术形式。

燕:[00:31:08]完全正确。它总是最薄弱的环节。有些球队做了更疯狂的事情。我听说有人喜欢剪断网络电缆，然后拼接到……

凯蒂：[00:31:19]模拟黑客！

燕:[00:31:19]模拟黑客攻击。它发生了很多。有一年，当它仍然是合法的。现在，这是非法的。我们有一个 - 我们有一个小机器人，将左右旋转无线天线。而且因为它纺无线天线，它会执行什么叫做解除认证攻击。因此，它会跟你的无线网卡，它会假装是接入点，无线接入点，说：“哦，该死，你现在断开连接”，然后您的计算机将失去互联网。正确的。所以每三秒钟，我们会切断周围的每个人，除了我们。

凯蒂：(00:31:57)哦,我的天啊。

燕:(00:31:58)来自无线。并且有依靠无线互联网的团队。我们会，你知道，第二天我们走来走来，有一个特定的团队，他们拥有所有全新的匹配有线网络电缆，因为它们只是他们不再处理了该断开。

凯蒂：(00:32:16)如此令人沮丧。

燕:(00:32:17)是的。实际上，第二年是....这是最后一年合法的。现在，这些去认证攻击算干扰吗，这在美国是不合法的。

凯蒂：(00:32:28)好的。

燕:(00:32:29)所以，是的，它做到了。有很多黑客的东西。但不管怎样。我们决定去尝试一下。我，我在亚利桑那州立大学的同事亚当，也是一位教授。我们坐下来，我们想，“好吧，我们要这么做。将会有一种很棒的方式为社区做出贡献，一种很棒的方式向人们宣传，嘿，亚利桑那州立大学是认真对待网络安全的。”对吧?然后我可以详细说明因为如果没有亚利桑那州立大学内部很多机构的支持我们就无法做到这一点。

凯蒂：(00:33:11)我正要问你。你知道的,所以。所以这个播客的核心和灵魂是思考讲故事在创新速度中所扮演的角色。你是怎么得到学术机构的认可来领导世界上最具竞争力的黑客游戏的?

燕:(00:33:33)所以，作为教授，我们的职责是教育，但同时也是该领域未来的发展，而实现这一目标的方式是通过研究，通过所谓的服务。你要做的就是成立委员会来决定会议的进程。正确的。所以出版的过程实际上是相当累人的。你写论文，交论文，然后双盲。匿名评审团说你的论文是垃圾，然后。

凯蒂：(00:34:13)您修改并重新提交。你再次这样做，然后一年后就是出局。

燕:(00:34:16)完全正确。所以匿名评审团的成员通常都是该领域的教授。我们用非常相似的方式来表示。大学说，看，我们想要。推动应用网络安全的发展。我们想要这样做，因为它将证明我们在亚利桑那州立大学所做的是真正领先的领域。

凯蒂：(00:34:41)是的。

燕:(00:34:41)对吧?所以突然之间你就不只是出版了，这很了不起。不仅仅是现实世界中可应用的原型和工具，我们在亚利桑那州立大学也致力于这方面，这很了不起。但你也有这个活动，这个非常独特的活动有点像世界黑客锦标赛。亚利桑那州立大学可以帮助实现这一目标。亚利桑那州立大学令人惊讶的是，它是一所新的美国大学，这最初意味着招生方式的不同。正确的。所以亚利桑那州立大学会尽可能多地招收学生。我认为，我们是唯一一所人口结构与亚利桑那州完全匹配的大学。正确的。 So minorities and so forth…

凯蒂：(00:35:41)优先考虑包容性。

燕:(00:35:43)对，就是这样。至尊包含边界。有同学说我有他们的辉煌，只能去上大学，因为。由于ASU的。正确的。这仅仅是超爽。和它的挑战在它的脸上。一个典型的大学。他们实际上希望是排他性的。正确的。 Because also part of the measure of university rankings is how few people you admit. How low your admission rate is. So it’s… The lower the admission rate. It’s not the only measure, of course, but it is a measure…

凯蒂：(00:36:16)它会影响你的总分。

燕:(00:36:18)是的,是的。是的。所以这是一种不同的方法。但是但是作为重新评估作为一所大学意味着什么的一部分。亚利桑那州立大学还研究了，大学在社会中的地位是什么?正确的。我认为，这是一个绝佳的机会，通过帮助领导这个活动来展示大学在社会中所能占据的地位。这个活动，我的意思是，组织起来非常复杂。我的意思是……

凯蒂：(00:36:51)我简直无法想象。这是……

燕:[00:36:52]而不仅仅是……

凯蒂：[00:36:53]甚至决定如何构建游戏本身。但是是的。是的。

燕:(00:36:57)是的。我的意思是,一切。所以你会有大量的复杂性。我认为DEFCON CTF，仅仅是CTF每年要花费大约15万美元来运行和DEFCON会议。

凯蒂：(00:37:12)你认为组织者总共要花多少时间?

燕:(00:37:14)而这还不包括小时......集体的组织者，我们基本上是不存在的七月，六月和五月。正确的。它只是，只是我们不存在。

凯蒂：(00:37:28)是的,是的。

燕:(00:37:29)如果我们在4月初给April放个假就是预选赛。现在我们不存在了。我们正在准备预选赛。正确的。就像，有大约十几个人在拥挤的秩序中。他们并不都是亚利桑那州立大学的。我和我的同事，我们有几个学生在亚利桑那州立大学，还有一些神秘的人…

凯蒂：(00:38:02)如何在如此重要的事情上进行虚拟合作而不用担心被黑客攻击?

燕:(00:38:07)是的，我的意思是，我喜欢告诉别人，这完全是假的。然后只是勇敢的是“我们是人们应该害怕的人”。你懂？所以我让学生紧张地去做“yan，我不知道我是否应该拍我的笔记本电脑。我不知道我是否应该啊。“不，别担心。你是谁应该害怕。但这只是......

凯蒂：[00:38:31]这应该是今天的口号。完全正确。它应该是对的。

燕:[00:38:34]完全正确。有时候，你就说，你只活一次，一直活到Def con，这就是合作的方式。

凯蒂：[○时38分45秒]是的。是的。真的，太不可思议了。我在想，你知道，在我们结束的时候有几个要点。是:通过将工作与组织的整体使命相一致，你得到了大学的支持。这适用于行业内、学术界、或任何文化组织内的创新者或黑客。任何在任何文化组织内运作的人，都要弄清楚自己的使命是什么，并确保与你的想法和可能性保持一致。

燕:(00:39:16)但你也需要制度。这有两个部分。有一种创新者。也就是说，就像向机构推销产品的人一样。但还有制度方面的问题。在亚利桑那州立大学，我们又很幸运。我们有机构的部分，亚利桑那州立大学的很多不同部门都提供了帮助。其中最核心的是所谓的全球安全倡议GSI。这是亚利桑那州立大学的一部分，其目标是提高现实世界的网络安全，总体安全，当然，网络安全影响了我们在大学的研究和工作。我提到Def Con CTF每年需要15万美元运行。 Over half of that, Def Con the conference, actually provides. So, you know, things like hotel rooms, admission to the conference, that adds up quite a lot. But there’s things like servers, things like food, or the organizers, et cetera, that cost quite a lot as well. And ASU managed to, you know, somehow find funding for this so that, that’s been incredible.

凯蒂：(00:40:36)是的。肯定。

燕:(00:40:37)我想说的是，创新者需要两个人来跳探戈。正确的。所以创新者需要调整自己的使命，并展示如何向前推进。但是你需要。要有一个机构或组织来满足你的需求或者你需要在你的组织中找到合适的位置。

凯蒂：(00:41:08)我爱。我喜欢这个建议。你对专业人士或年轻的专业人士还有什么建议吗?或者是想成为黑客的学生。关于他们如何表达这种欲望，你有什么建议吗?如何…?是的，我想我只是想知道你是否能给他们一些建议，因为他们不仅知道黑客的艺术形式，还知道如何进行沟通。

燕:[00:41:39]这个问题问得好。我想说三件事。一是要记住，世界不仅仅是网络空间。我认为最大的限制因素之一是:人们100%专注于虚拟世界，却忘记了他们生活在会面空间。正确的。和，你知道，和其他人。Shellphish不会是最大的，最长的，最酷的CTF团队。如果不是一群不仅仅是精通黑客的人。同时也是熟练的人类。正确的。 So, you know, my advisor is a great example of this. He’s super capable of creating this social environment that allows Shellphish to thrive as well. And other teams don’t. You have teams, and I’ve seen them come and go, that, you know, a collection of super good hackers who never talk to each other and never talk to other people who never, you know, propagate their skills. And then when they stop hacking, the team is gone. And that’s also fine. Right. Maybe, you know, this coming and going….

凯蒂：(00:43:05)但这可能会放慢整个行业的发展速度。

燕:[00:43:08]完全正确。

凯蒂：[00:43:08]像社区的整体和创新的进步一样。

燕:[○时43分11秒]所以有人。

凯蒂：[○时43分11秒]记忆失去了，如果你不…

燕:(00:43:13)记忆丢失了。有一些人因为Shellphish去了UCSB。对吧?这就是你如何开始的，你知道，推动社区。我希望有一些人，事实上，有一些人来到亚利桑那州立大学是因为这里人满为患。那已经去了。我是说，就像我说过的溢出会不仅仅是亚利桑那州立大学的。我们刚刚发生。我们创建了。但我的意思是，我有一些同事，一些教授，他们也在溢出的秩序中(用词不清)和法国，对吧?

凯蒂：(00:43:49)是啊是啊。

燕:(00:43:50)等等。二是你现在可以实际开始黑客攻击。对吧?你不需要正规教育。我现在我现在给出了三号的警告。但你不需要正规教育。我开始在高中攻击，对吧？

凯蒂：(00:44:05)是的。

燕:(00:44:05)你可以在网上查阅大量的资料。有一件事是我之前描述过的。我把它放到网上免费提供，包括已经在网上的练习，但讲座只是幻灯片形式。所以我需要把讲座录下来。但这就像一个交钥匙资源，可以用二进制安全进行前滚。

凯蒂：(00:44:36)我很高兴能在讲义中分享这门课的链接。

燕:(00:44:39)哦没问题。绝对的。它也很容易记住它，所以有一个术语来利用一些东西，pwning。那是p.w.n.n.从我认为“拥有”你知道，“我拥有那个服务器。”所以我会盯着它。所以pwn.college - Pwn Dot学院。超级易记忆。

凯蒂：(00:45:03)太棒了。就像我现在说的，所有的练习都结束了，但不是所有的课堂笔记。但是，这还是很难做到，所以在下个学期，我会把所有的东西都录下来。把它放到网上。但这只是一件事。关于如何开始黑客攻击有很多不同的资源。

凯蒂：[〇时45分24秒]我认为有一种联系，即大多数黑客都是男性。

燕:[00:45:27]嗯嗯。

凯蒂：(00:45:29)文化。你的母亲和祖母是把你介绍给这个世界的人，我对此很感兴趣。你看到这种文化了吗?黑客文化是这样的吗?你看到这种变化了吗?你对性别差异有什么看法?

燕:(00:45:45)正确的。所以我会说，首先离开......也是为了公平给我父亲，因为他倾听这个播客，如果他感到被排除在外。我爸爸真的很...

凯蒂：(00:45:55)喊出!

燕:(00:45:56)鼓励我专业地朝着网络安全的方向移动，我......我实际上并没有相信你可以作为生活，而且你知道，我在2000年代中期毕业时回来。你可以的不太清楚。对吧?

凯蒂：(00:46:10)这一切都在形成。

燕:(00:46:11)他说:“这就是未来。你应该去争取。”

凯蒂：[0时46分13秒]他是怎么知道的？

燕:[○时46分15秒]他也是在计算机科学领域。我的父亲是一个数学家，但是，你知道，他更多的应用，减少应用数学中的驱动器。而更多的应用数学往往是计算机科学。

凯蒂：[00:46:30]你是在俄罗斯长大然后搬到这里的吗?

燕:(00:46:32)当我八岁时，我在这里移动。所以我在俄罗斯有很早的童年。然后我在亚利桑那州长大了。

凯蒂：[0时46分38秒]好的。

燕:[0时46分39秒]是的。

凯蒂：[00:46:40]我们得到了爸爸在喊出来。

燕:[00:46:41]完全正确。我们有一个父亲的呐喊。所以你的看法是完全正确的。这是一个大问题。总的来说，计算机科学，我没有确切的数字，但大约90%是男性。特别是网络安全是最糟糕的子领域。

凯蒂：(00:47:01)真的吗?

燕:(00:47:01)它是95到98％的男性。在整个竞争性的黑客社区中。让我们在去年在Def Con CTF上说，可能有。所以有16支球队将其转到决赛。每个团队平均地让我们说12人。整个集团，数百人，可能有四个女孩。

凯蒂：(00:47:37)是的。

燕:(00:47:39)这很糟糕。

凯蒂：(00:47:42)是的。是的。

燕:[00:47:44]所以这是社区真正在努力解决的问题。每个人都可以做一些事情来改变世界。其中一件事就是明确地向计算机科学中未被充分代表的群体进行推广。事实上，这比计算机科学领域缺少女性更糟糕。只是缺少…

凯蒂：[00:48:11]多样性？

燕:[00:48:12]一般的多样性。

凯蒂：[00:48:14]是的。大部分是白人吗?

燕:(00:48:18)我想说，在每个主要领域，主要是那个主要领域。正确的。所以在美国，我想说的是，这个社区大致遵循的是高等教育的人口结构。不包括女性，这很奇怪，因为我们早期谈论的名字大多是女性，Ada Lovelace, Grace Hopper，等等，他们创造了这个领域然后这个领域不知何故被男性主导了。原因有很多。有一些原因，我认为非常非常清楚，非常愚蠢的原因，非常令人沮丧，属于这个可怕的类别，你知道，男孩就是男孩之类的。正确的。有一群人。所以不清楚这是怎么开始的。但现在它被传播了。 You get a group of men together in a hacking team and there are, you know, non-inclusive jokes flying around and et cetera, et cetera. And it’s something that’s….

凯蒂：(00:49:26)甚至文化也可能是排外的。

燕:[00:49:29]即使是文化。所以当我说。当你在黑客的时候，你不能忽视你是在一个人类的空间。这不仅仅是一个虚拟的空间。这就是我想说的。它需要努力确保你的黑客团队不是一个，你知道，不恰当的评论是....的团队轻轻地走。正确的。

凯蒂：(00:49:58)绝对的。

燕:(00:49:59)而且它很容易跌入一个地方网上哪里是这种情况，因为如果......黑客团队真正的网上直播。这里也有一些。有间，你知道的，居住的大多是在网上和一些相关...

凯蒂：(00:50:16)垃圾话。

燕:(00:50:17)垃圾垃圾谈话。你知道，还有垃圾垃圾谈话，但那时没有好的垃圾谈话。

凯蒂：(00:50:24)是的。

燕:(00:50:24)我认为，那些“不好”的垃圾言论，才是真正伤害包容性的东西。老实说，这就产生了很大的影响。

凯蒂：[00:50:34]是的。绝对的。

燕:(00:50:35)我想在亚利桑那州立大学的团队中，我应该有这些数字，但我没有马上想到，在一个大约50名研究人员的团队中，我们有大约8到9名女性计算机科学家。正确的。这在网络安全领域是前所未闻的数字。正确的。我想说的是在我所知道的大实验室里我不知道世界上每个大实验室的确切组成，但是在我所知道的大实验室里。我们的性别比例可能是最平衡的，50人中有8或9人。我是说，这太可怕了。

凯蒂：(00:51:09)正确的。

燕:(00:51:09)正确的。而是对整个计算机科学而言。

凯蒂：[0点51分11秒]是的。

燕:[○时51分12秒]是的。近20%。这是疯狂的高。

凯蒂：(00:51:15)你是说自己是黑客?

0:51:16] [1.1]燕:(00:51:17)是的，绝对。

凯蒂：[0时51分18秒]不要等着别人来做。

燕:(00:51:19)是的。

凯蒂：(00:51:20)把徽章戴上。[00:51:20] [0.4]

凯蒂：(00:51:20)是的。

燕:(00:51:21)我认为，所有的创新是真实的。所以对我来说，作为一个作家了。不要称自己是作家。如果你坐在那里等着被授予奖励或在你的完美的杂志上发表。这不是...

燕:(00:51:34)完全正确。是的，我认为这适用于一切，也适用于黑客。绝对的。我从高中开始学黑客，没有受过正式训练。雷竞技raybet提现介绍我的是一位很棒的高中计算机科学老师。

凯蒂：(00:51:53)和你的妈妈也是。

燕:(00:51:53)是的。是的。和我的妈妈然后是我的奶奶等等。就你的奶奶也是如此。不，她给了我那本书。我的奶奶是一个数学家。凯蒂：[0时52分03秒]嗯，这是相当接近。

燕:[0点52分04秒]但,是的。完全正确。和。你知道，我只是，我自己向前滚，你完全可以这样做。有些魔法，但没人能理解。甚至连专家也不知道。正确的。所以你只…

凯蒂：(00:52:22)我爱。

燕:(00:52:22)所以你就开始往里挤。我要说的第三件事是。你们可以从我的轨迹中看到我可以自己开始，但我不能独自完成成为一个黑客的轨迹。为此，我需要去读研究生。我想说的是，如果你在那里，有一些兴奋，关于计算机，关于黑客，甚至关于任何与计算机有关的事情。这适用于任何领域。当你完成了你的本科学业，看着真实的世界，或者你是在真实的世界，你就会有点难以捉摸。而且，你知道，看着你朝九晚五的生活，想想研究生院，对吧。在亚利桑那州立大学，我们一直在寻找学生。事实上，在网络安全的需求下，每个人都在寻找学生。 But there are these. Institutions that are very committed to this real world applicable thing. Like ASU, right? One thing that we have, and I don’t mean this to be like a sales pitch. What I started at Arizona State is an apprenticeship program. So if you are interested, just shoot me an email. We have basically an open program where we bring promising people in for a research apprenticeship.

凯蒂：(00:54:07)太棒了。

燕:(00:54:08)有人伸出手，他们说，哎，我想知道是什么样子做网络安全研究，以在竞争与CTF顶尖黑客...我的学生还是打好每CTF。我打的每CTF。这不是一个很好，不是每个CTF，但我玩CTF不在防守精读预选赛，因为这是利益冲突，否则。所以你可以拍，超过此电子邮件。我们有一个程序，你基本上进来六个月。你付出的研究生，但它的风险较低。你只要试着去了解研究就像是，如果它的好为你做什么，然后，如果是的话，你可以申请读研究生。

凯蒂：(00:54:49)那么听众如何与你取得联系呢?

燕:[00:54:52]yans，y a n s @ asu.edu或。

凯蒂：(00:54:56)你经常使用什么社交媒体?

燕:(00:54:59)是啊，主要是Twitter的。

凯蒂：(00:55:00)是的。

燕:(00:55:00)如果你想联系我，推特上的扎尔达斯，Z-A-R-D-U-S。

凯蒂：(00:55:06)太棒了。

燕:(00:55:07)这是我的黑客账号。

凯蒂：(00:55:09)燕，我对我们谈论的一切感到很兴奋。我认为创新社区渴望知道网络安全接下来会发生什么。这是一个顶级的创新产业。我——听到所有的幕后工作和其中存在的好玩的文化真的很酷。我认为这是这个行业非常独特的一面。所以谢谢你们。

燕:(00:55:34)是的，绝对。

凯蒂：(00:55:34)在播客上。

燕:(00:55:34)很高兴在这里。

你可以多听几集创新播客的解开故事．

*访谈不是个人或企业的认可。