聽說了很多的大牛的成長曆程都從寫自己的博客開始
雖然很久之前就開了博客但是沒有堅持下去,讓自己養成這樣的習慣。學着寫博客、學着分享。
每天儘量發一篇文章、其他學習文章隨着學習進度慢慢寫
今天是XDef的第一天,上午聽到了很多很厲害的人的特邀報告,對於最後兩個議題比較感興趣。
以下僅個人理解~
一個是譚總講的對於如何破解網絡安全人才培養困局
網絡空間安全的競爭歸根到底是人才的競爭,國家缺乏大量的網絡空間安全人才。
嗯,缺乏的是人才,而不是學習網絡空間安全的人。
對於人才培養,譚總講到了人才的定義,首先將人才分爲兩類研究攻擊型人才和安全防護類人才
對於研究攻擊型人才特徵有以下幾點
1>對網絡空間安全具有濃烈的興趣,願意鑽研 2>有很強的逆向思維和創新思維能力 3>有極強的動手能力
首先對於網絡空間安全的濃烈興趣是推動個人願意學習願意鑽研的主觀能動性,只有有了強烈的學習慾望纔有可能更好的學習
其次對於思維能力,對於研究攻擊的人才而言,攻擊的手段一定是具有突破性的、非常規型的思路。只有擁有這樣的思路纔可能突破防線或者研究出漏洞
最後關於極強的動手能力,對於研究攻擊性人才而言最重要的還是會動手去實踐、有很強的實際操作能力
對於安全防護類人才特徵有以下幾點
1>強烈的責任心 2>對於新知識的掌握能力 3>較強的動手能力
強烈的責任心是安全防護人才所必須的,而對於新的攻擊手段、配置新的設備要有良好的學習能力從而更好地應對和運用、動手能力也很重要
聽完後的感受:無論做攻擊還是防禦、重要的還是實際的動手能力、其次要敢想敢做。只有能想到纔有可能做得到
最後還是那句話,網絡空間安全缺少的是人才而不是人,只有踏踏實實認認真真地動手實踐、學習知識才能成爲真正的國家需要的人才
結合昨天晚上和學長的聊天的出一個結論。專心致志去做一件自己想做的事情、寫一個想寫的東西。無論如何做下去
提高自己的動手實踐能力。即使現在比別人差很多,但是只要有所提高,一定比現在的自己要好
另一個是博士學長講的“海豚音攻擊”:聽不見的指令(獲得了ACM CCS2017 最佳論文獎)
這裏面其實有很早之前我自己的一個攻擊思路,沒有這麼具體的實現過不過有一些初步的想法
就是通過一些不可捕獲的聲音實現一些非法的攻擊
這裏學長實現的是利用麥克風非線性因素導致的高頻聲波會解析出低頻分量的特點
構造特定的高頻聲波讓麥克風解析後產生低頻聲波控制信號,從而控制智能語音助手
看過這種攻擊思路後有所感悟
首先攻擊思路方面,能想到通過人耳不可捕獲聲音進行攻擊、但是沒有具體實現就是因爲當時意識到語音助手進行處理的也是人耳能識別的聲音指令
然而學長通過實際測試發現利用麥克風的漏洞構造一定的聲音指令從而繞過人耳可識別的思路還是值得學習的
還有就是想到了一定要自己動手操作嘗試,不要一直停留在想想想。
下午的議題也很精彩、聽的很感興趣的是非PE攻防之道。
學到了很多非PE文件的攻擊姿勢,以及怎樣利用非PE文件進行一些騷騷的操作
嗯,今天收穫很大~明天繼續