▲ 資安工程師在做什麼?一次看懂資安工作各種不同面向,圖片來源: freepik
文/資安解壓縮
透過獎勵的方式鼓勵全球的資安研究員和資安專家一起找出產品的漏洞,把產品的資安做得更全面的計畫
透過漏洞獎勵機制,吸引駭客與研究員在發現資安漏洞時,不拿去做壞事,而是主動回報給公司換取賞金
找到的漏洞會依據內容、嚴重程度、獨特性等眾多因素分成不同的等級,不同等級的漏洞會有不同等級的獎勵
常見的 Bug Bounty 平台
各大公司 Bug Bounty 賞金
全球最大的電腦安全會議之一,每年暑假舉辦於美國 Las Vegas,很多駭客、資安相關從業人士和學生都會從世界 各地聚集在此,除了演講、發表、Workshop,也有很多不同形式的比賽讓各路好手互相切磋
DEFCON 26 的門票/識別證,本身就是一個解謎小遊戲
有的組織在募集隨身碟,他們計劃在把隨身碟裝滿外界的書籍和訊息後送入北韓,解放北韓人民的思想也開闊眼界,脫離金正恩的統治
模擬拆彈的比賽,過程中充斥著各種機關,假炸彈隨時可能被觸發,能夠最短解除炸彈的就是贏家
Wall of Sheep 綿羊牆,螢幕上顯示著現場連上不安全 Wi-Fi 而遭駭的待宰羔羊名單,背後的意義主要是要提醒大家 Wi-Fi 可能的危險性與資安的重要性
Social Engineer CTF 社交工程比賽,在現場隔音室中進行,透過社交工程在時間內取得最多指定目標資訊的就是勝利者
現場還有幫你弄龐克頭的攤位,讓你展現出你的龐克/駭客魂
與軟體工程師相較下的難處
兩個最常見的面試問題
資安版的系統設計: 提供你一個系統架構,請你說出哪些地方有資安問題、哪些比較嚴重、可以怎麼修和怎麼預防
Secure Code Review: 透過肉眼檢查一段程式碼,找出程式碼中的資安問題和漏洞
其他問題主要會依照你面試的職位,有很大的差異
Red Team / Application security / Offensive Security Team
Security Operation Team
Detection and Response / Incident Response
SecDevOps/ DevSecOps
Firmware Security
Enterprise Security
Security Outreacher
Security Technical PM
Compliance Manager
上個月(2020/11),特斯拉的免鑰匙啟動功能被發現有漏洞,攻擊者可以透過不到 200 美金的設備,就能駭入特斯拉的門鎖和系統,讓駭客進入汽車內將車子開走。
更早之前也有研究發現,可以透過一些技術、小技巧、甚至是在路牌上貼貼紙來欺騙自動駕駛,讓自動駕駛錯判,進而導致危險的急煞或是不依號誌行駛。
這些事件與研究都凸顯出智慧家電、IoT 裝置背後可能會有的問題與隱憂。
影片 - 讓特斯拉停在假紅綠燈 Can I make Tesla Autopilot stop at a FAKE Traffic Light?
相關文章
Ben Nassi - Phatom of the ADAS
▲圖片來源:Ring Blog - Ring is Now Part of the Amazon Family!
Amazon 的智慧門鎖 Ring 也因為用戶受到帳密填充攻擊,導致駭客可以取得用戶帳戶控制權,透過 Ring 打開用戶家裡的大門。
Amazon 也與一些地區的警方合作,讓警察可以存取當地智慧門鎖 Ring 用戶攝影機的畫面,將它用作為一種社區監視器。這個舉動雖然有可能可以增加社區的安全性,幫助警察打擊犯罪和維持治安,但也引起了許多人對於資安和隱私上的爭議與討論。
相關新聞
Family says hackers accessed a Ring camera in their 8-year-old daughter’s room
Police Will Pilot a Program to Live-Stream Amazon Ring Cameras
Deepfake 是一個基於機器學習,可以將影片中的人臉換成其他人的技術。
透過 Deepfake,有心人士可以合成出假的影片,讓影片中的人說出一些他們在真實世界中從沒說過的話。這除了可以用在惡作劇,也會被用來製造假新聞,甚至是偽造名人的裸照、性愛影片。
影片範例: 將電影中鋼鐵人的臉換成 Tom Cruise 的臉
網路上已經有許多 Deepfake 相關的軟體可以被下載。現在雖然有一些研究可以透過機器學習來判斷影片是不是 Deepfake,但還尚未普及,因此你看到的新聞、影片可能是利用 Deepfake 做出來的,但你也不從得知。
相關研究: MIT - Detect DeepFakes: How to counteract misinformation created by AI
小測驗: 你分辨得出這是 DeepFake 嗎?Can you spot the DeepFake video?
注意資安相關的新聞
多瞭解保護自己的方法
留意社交攻擊
※本文由 資安解壓縮 授權勿任意轉載,原文《 資安工作的各種不同面向 | 資安工程師 Vince》