【學長姐帶路】資安工作的各種不同面向
原標《資安工作的各種不同面向 | 資安工程師 Vince》
文/資安解壓縮
Bug Bounty 漏洞回報獎勵機制
透過獎勵的方式鼓勵全球的資安研究員和資安專家一起找出產品的漏洞,把產品的資安做得更全面的計畫
透過漏洞獎勵機制,吸引駭客與研究員在發現資安漏洞時,不拿去做壞事,而是主動回報給公司換取賞金
找到的漏洞會依據內容、嚴重程度、獨特性等眾多因素分成不同的等級,不同等級的漏洞會有不同等級的獎勵
常見的 Bug Bounty 平台
- HackerOne – https://www.hackerone.com/
- BugCrowd – https://www.bugcrowd.com/
- Synack – https://www.synack.com/
各大公司 Bug Bounty 賞金
DEFCON
全球最大的電腦安全會議之一,每年暑假舉辦於美國 Las Vegas,很多駭客、資安相關從業人士和學生都會從世界 各地聚集在此,除了演講、發表、Workshop,也有很多不同形式的比賽讓各路好手互相切磋
DEFCON 26 的門票/識別證,本身就是一個解謎小遊戲
有的組織在募集隨身碟,他們計劃在把隨身碟裝滿外界的書籍和訊息後送入北韓,解放北韓人民的思想也開闊眼界,脫離金正恩的統治
模擬拆彈的比賽,過程中充斥著各種機關,假炸彈隨時可能被觸發,能夠最短解除炸彈的就是贏家
Wall of Sheep 綿羊牆,螢幕上顯示著現場連上不安全 Wi-Fi 而遭駭的待宰羔羊名單,背後的意義主要是要提醒大家 Wi-Fi 可能的危險性與資安的重要性
Social Engineer CTF 社交工程比賽,在現場隔音室中進行,透過社交工程在時間內取得最多指定目標資訊的就是勝利者
現場還有幫你弄龐克頭的攤位,讓你展現出你的龐克/駭客魂
資安工程師的求職
與軟體工程師相較下的難處
- 資安面試方向多元,需準備更多元的知識
- 網路上經驗分享不多,許多東西仍須求職者自行摸索
- 許多公司的資安相關職位還很新,目前沒有統一的準備方向
- 相比之下軟體工程師的職位內容比較成熟
兩個最常見的面試問題
資安版的系統設計: 提供你一個系統架構,請你說出哪些地方有資安問題、哪些比較嚴重、可以怎麼修和怎麼預防
Secure Code Review: 透過肉眼檢查一段程式碼,找出程式碼中的資安問題和漏洞
其他問題主要會依照你面試的職位,有很大的差異
不同的資安小組
- Red Team / Application security / Offensive Security Team
- 滲透測試,以駭客的角度去測試公司的產品,並將結果寫成報告,幫助公司理解產品有哪些可能性的漏洞
- Security Operation Team
- Detection and Response / Incident Response
- 面對資安事件時的應急響應處理團隊
- 架設 IPS / IDS (入侵偵測系統/入侵阻擋系統)
- SecDevOps/ DevSecOps
- 整合一些資安的工具和測試進入軟體開發的流程,讓軟體開發的過程更安全,開發出的軟體也更安全
- 處理公司內部憑證的設定
- Detection and Response / Incident Response
- Firmware Security
- 負責處理公司的硬體產品內部韌體的資安
- Enterprise Security
- 偏向 IT、實體資安 Physical Security
- Security Outreacher
- 負責拉近資安組與公司其他成員的距離
- 會舉辦像是開鎖教學等有趣的活動,來讓大家更認識資安
- Security Technical PM
- 資安專門的 PM (Project Manager)
- Compliance Manager
- 負責處理各種資安相關的法規、規範,如 PCI、FedRamp
特斯拉和 IoT 裝置的隱憂
上個月(2020/11),特斯拉的免鑰匙啟動功能被發現有漏洞,攻擊者可以透過不到 200 美金的設備,就能駭入特斯拉的門鎖和系統,讓駭客進入汽車內將車子開走。
更早之前也有研究發現,可以透過一些技術、小技巧、甚至是在路牌上貼貼紙來欺騙自動駕駛,讓自動駕駛錯判,進而導致危險的急煞或是不依號誌行駛。
這些事件與研究都凸顯出智慧家電、IoT 裝置背後可能會有的問題與隱憂。
影片 – 讓特斯拉停在假紅綠燈 Can I make Tesla Autopilot stop at a FAKE Traffic Light?
相關文章
Ben Nassi – Phatom of the ADAS
被警察當監視器的 Amazon Ring 智慧門鎖
Amazon 的智慧門鎖 Ring 也因為用戶受到帳密填充攻擊,導致駭客可以取得用戶帳戶控制權,透過 Ring 打開用戶家裡的大門。
Amazon 也與一些地區的警方合作,讓警察可以存取當地智慧門鎖 Ring 用戶攝影機的畫面,將它用作為一種社區監視器。這個舉動雖然有可能可以增加社區的安全性,幫助警察打擊犯罪和維持治安,但也引起了許多人對於資安和隱私上的爭議與討論。
相關新聞
Family says hackers accessed a Ring camera in their 8-year-old daughter’s room
Police Will Pilot a Program to Live-Stream Amazon Ring Cameras
難以分辨真假的 Deepfake 換臉影片
Deepfake 是一個基於機器學習,可以將影片中的人臉換成其他人的技術。
透過 Deepfake,有心人士可以合成出假的影片,讓影片中的人說出一些他們在真實世界中從沒說過的話。這除了可以用在惡作劇,也會被用來製造假新聞,甚至是偽造名人的裸照、性愛影片。
影片範例: 將電影中鋼鐵人的臉換成 Tom Cruise 的臉
網路上已經有許多 Deepfake 相關的軟體可以被下載。現在雖然有一些研究可以透過機器學習來判斷影片是不是 Deepfake,但還尚未普及,因此你看到的新聞、影片可能是利用 Deepfake 做出來的,但你也不從得知。
相關研究: MIT – Detect DeepFakes: How to counteract misinformation created by AI
小測驗: 你分辨得出這是 DeepFake 嗎?Can you spot the DeepFake video?
Vince 給聽眾的資安建議與提醒
- 注意資安相關的新聞
- 多瞭解保護自己的方法
- 留意社交攻擊
- 不要亂點連結
- 保持警覺和小心
- 不要隨意相信網路上的好康
※本文由 資安解壓縮 授權勿任意轉載,原文《 資安工作的各種不同面向 | 資安工程師 Vince》
瀏覽 312 次