文章列表

EP29 - 資安工作的各種不同面向 | 資安工程師 Vince

Podcast連結


本集章節

01:52 踏入資安圈的契機
03:51 在沒有資安背景下進入資安領域
05:54 令人眼界大開的DEFCON
09:09 軟體工程師與資安工程師求職上的差異
15:15 資安工程師的工作內容
22:10 資安工程師所需的知識與技能
23:33 公司內部轉組經驗分享
25:00 公司內部的資安小組
29:22 駭客們的休閒娛樂是開鎖 ?!
31:20 在DEFCON可以買到的東西
34:04 特斯拉和其他IoT裝置的隱憂
38:32 被警察當監視器的Amazon Ring智慧門鎖
44:10 難以分辨真假的Deepfake 換臉影片
48:43 Vince給聽眾的資安建議與提醒


Bug Bounty 漏洞回報獎勵機制

透過獎勵的方式鼓勵全球的資安研究員和資安專家一起找出產品的漏洞,把產品的資安做得更全面的計畫

透過漏洞獎勵機制,吸引駭客與研究員在發現資安漏洞時,不拿去做壞事,而是主動回報給公司換取賞金

找到的漏洞會依據內容、嚴重程度、獨特性等眾多因素分成不同的等級,不同等級的漏洞會有不同等級的獎勵

常見的Bug Bounty 平台

各大公司Bug Bounty賞金

bugbounty rewards

DEFCON

全球最大的電腦安全會議之一,每年暑假舉辦於美國Las Vegas,很多駭客、資安相關從業人士和學生都會從世界 各地聚集在此,除了演講、發表、Workshop,也有很多不同形式的比賽讓各路好手互相切磋

Defcon badge

DEFCON 26的門票/識別證,本身就是一個解謎小遊戲

vince usbfornorthkorea

有的組織在募集隨身碟,他們計劃在把隨身碟裝滿外界的書籍和訊息後送入北韓,解放北韓人民的思想也開闊眼界,脫離金正恩的統治

vince bomb

模擬拆彈的比賽,過程中充斥著各種機關,假炸彈隨時可能被觸發,能夠最短解除炸彈的就是贏家

vince wallofsheep

Wall of Sheep 綿羊牆,螢幕上顯示著現場連上不安全Wi-Fi而遭駭的待宰羔羊名單,背後的意義主要是要提醒大家Wi-Fi可能的危險性與資安的重要性

vince sectf

Social Engineer CTF 社交工程比賽,在現場隔音室中進行,透過社交工程在時間內取得最多指定目標資訊的就是勝利者

vince punk

現場還有幫你弄龐克頭的攤位,讓你展現出你的龐克/駭客魂

資安工程師的求職

與軟體工程師相較下的難處

  • 資安面試方向多元,需準備更多元的知識
  • 網路上經驗分享不多,許多東西仍須求職者自行摸索
  • 許多公司的資安相關職位還很新,目前沒有統一的準備方向
  • 相比之下軟體工程師的職位內容比較成熟

兩個最常見的面試問題

資安版的系統設計: 提供你一個系統架構,請你說出哪些地方有資安問題、哪些比較嚴重、可以怎麼修和怎麼預防

Secure Code Review: 透過肉眼檢查一段程式碼,找出程式碼中的資安問題和漏洞

其他問題主要會依照你面試的職位,有很大的差異

不同的資安小組

  • Red Team / Application security / Offensive Security Team

    • 滲透測試,以駭客的角度去測試公司的產品,並將結果寫成報告,幫助公司理解產品有哪些可能性的漏洞
  • Security Operation Team

    • Detection and Response / Incident Response

      • 面對資安事件時的應急響應處理團隊
      • 架設IPS / IDS (入侵偵測系統/入侵阻擋系統)
    • SecDevOps/ DevSecOps

      • 整合一些資安的工具和測試進入軟體開發的流程,讓軟體開發的過程更安全,開發出的軟體也更安全
      • 處理公司內部憑證的設定
  • Firmware Security

    • 負責處理公司的硬體產品內部韌體的資安
  • Enterprise Security

    • 偏向IT、實體資安 Physical Security
  • Security Outreacher

    • 負責拉近資安組與公司其他成員的距離
    • 會舉辦像是開鎖教學等有趣的活動,來讓大家更認識資安
  • Security Technical PM

    • 資安專門的PM (Project Manager)
  • Compliance Manager

    • 負責處理各種資安相關的法規、規範,如PCI、FedRamp

特斯拉和IoT裝置的隱憂

上個月(2020/11),特斯拉的免鑰匙啟動功能被發現有漏洞,攻擊者可以透過不到200美金的設備,就能駭入特斯拉的門鎖和系統,讓駭客進入汽車內將車子開走。

更早之前也有研究發現,可以透過一些技術、小技巧、甚至是在路牌上貼貼紙來欺騙自動駕駛,讓自動駕駛錯判,進而導致危險的急煞或是不依號誌行駛。

這些事件與研究都凸顯出智慧家電、IoT裝置背後可能會有的問題與隱憂。

影片 - 讓特斯拉停在假紅綠燈 Can I make Tesla Autopilot stop at a FAKE Traffic Light?

相關文章

Ben Nassi - Phatom of the ADAS

Tesla修補可直接把Model X開走的安全漏洞

複習:EP13 - 智慧家電害我被監控 ?!

被警察當監視器的Amazon Ring智慧門鎖

vince amazonring

圖片來源:Ring Blog - Ring is Now Part of the Amazon Family!

Amazon的智慧門鎖Ring也因為用戶受到帳密填充攻擊,導致駭客可以取得用戶帳戶控制權,透過Ring打開用戶家裡的大門。

Amazon 也與一些地區的警方合作,讓警察可以存取當地智慧門鎖Ring用戶攝影機的畫面,將它用作為一種社區監視器。這個舉動雖然有可能可以增加社區的安全性,幫助警察打擊犯罪和維持治安,但也引起了許多人對於資安和隱私上的爭議與討論。

相關新聞

被監控的人自己付費的天眼系統:Amazon Rings

Family says hackers accessed a Ring camera in their 8-year-old daughter’s room

Police Will Pilot a Program to Live-Stream Amazon Ring Cameras

難以分辨真假的Deepfake 換臉影片

Deepfake 是一個基於機器學習,可以將影片中的人臉換成其他人的技術。

透過Deepfake,有心人士可以合成出假的影片,讓影片中的人說出一些他們在真實世界中從沒說過的話。這除了可以用在惡作劇,也會被用來製造假新聞,甚至是偽造名人的裸照、性愛影片。

影片範例: 將電影中鋼鐵人的臉換成Tom Cruise的臉

網路上已經有許多Deepfake相關的軟體可以被下載。現在雖然有一些研究可以透過機器學習來判斷影片是不是Deepfake,但還尚未普及,因此你看到的新聞、影片可能是利用Deepfake做出來的,但你也不從得知。

相關研究: MIT - Detect DeepFakes: How to counteract misinformation created by AI

小測驗: 你分辨得出這是DeepFake嗎?Can you spot the DeepFake video?

Vince給聽眾的資安建議與提醒

  • 注意資安相關的新聞

  • 多瞭解保護自己的方法

  • 留意社交攻擊

    • 不要亂點連結
    • 保持警覺和小心
    • 不要隨意相信網路上的好康

複習:EP5 - 人性是最大的安全漏洞