听说了很多的大牛的成长历程都从写自己的博客开始
虽然很久之前就开了博客但是没有坚持下去,让自己养成这样的习惯。学着写博客、学着分享。
每天尽量发一篇文章、其他学习文章随着学习进度慢慢写
今天是XDef的第一天,上午听到了很多很厉害的人的特邀报告,对于最后两个议题比较感兴趣。
以下仅个人理解~
一个是谭总讲的对于如何破解网络安全人才培养困局
网络空间安全的竞争归根到底是人才的竞争,国家缺乏大量的网络空间安全人才。
嗯,缺乏的是人才,而不是学习网络空间安全的人。
对于人才培养,谭总讲到了人才的定义,首先将人才分为两类研究攻击型人才和安全防护类人才
对于研究攻击型人才特征有以下几点
1>对网络空间安全具有浓烈的兴趣,愿意钻研 2>有很强的逆向思维和创新思维能力 3>有极强的动手能力
首先对于网络空间安全的浓烈兴趣是推动个人愿意学习愿意钻研的主观能动性,只有有了强烈的学习欲望才有可能更好的学习
其次对于思维能力,对于研究攻击的人才而言,攻击的手段一定是具有突破性的、非常规型的思路。只有拥有这样的思路才可能突破防线或者研究出漏洞
最后关于极强的动手能力,对于研究攻击性人才而言最重要的还是会动手去实践、有很强的实际操作能力
对于安全防护类人才特征有以下几点
1>强烈的责任心 2>对于新知识的掌握能力 3>较强的动手能力
强烈的责任心是安全防护人才所必须的,而对于新的攻击手段、配置新的设备要有良好的学习能力从而更好地应对和运用、动手能力也很重要
听完后的感受:无论做攻击还是防御、重要的还是实际的动手能力、其次要敢想敢做。只有能想到才有可能做得到
最后还是那句话,网络空间安全缺少的是人才而不是人,只有踏踏实实认认真真地动手实践、学习知识才能成为真正的国家需要的人才
结合昨天晚上和学长的聊天的出一个结论。专心致志去做一件自己想做的事情、写一个想写的东西。无论如何做下去
提高自己的动手实践能力。即使现在比别人差很多,但是只要有所提高,一定比现在的自己要好
另一个是博士学长讲的“海豚音攻击”:听不见的指令(获得了ACM CCS2017 最佳论文奖)
这里面其实有很早之前我自己的一个攻击思路,没有这么具体的实现过不过有一些初步的想法
就是通过一些不可捕获的声音实现一些非法的攻击
这里学长实现的是利用麦克风非线性因素导致的高频声波会解析出低频分量的特点
构造特定的高频声波让麦克风解析后产生低频声波控制信号,从而控制智能语音助手
看过这种攻击思路后有所感悟
首先攻击思路方面,能想到通过人耳不可捕获声音进行攻击、但是没有具体实现就是因为当时意识到语音助手进行处理的也是人耳能识别的声音指令
然而学长通过实际测试发现利用麦克风的漏洞构造一定的声音指令从而绕过人耳可识别的思路还是值得学习的
还有就是想到了一定要自己动手操作尝试,不要一直停留在想想想。
下午的议题也很精彩、听的很感兴趣的是非PE攻防之道。
学到了很多非PE文件的攻击姿势,以及怎样利用非PE文件进行一些骚骚的操作
嗯,今天收获很大~明天继续