与亚利桑那州立大学Yan Shoshitaishvili合作，打破网络安全的界限

www.isandstone.com/乐动体育266trainings/innovation-storytelling-training

成绩单

本集由Untold Content创新的故事讲述提供动乐动体育足球力乐动体育266．增加购买在这个沉浸式和互动，故事驱动的体验为您最好的想法。在那里，你的团队为他们最新的项目、原型和演讲精炼讲故事的技巧，并从25个具有影响力的创新故事中获得灵感。欲知详情，请浏览//www.isandstone.com/innovationstorytelling乐动体育266training-2/．

凯蒂:(就是)我们今天的嘉宾是Yan Shoshitiashvili。他是亚利桑那州立大学网络安全专业的助理教授。他是世界上最好的黑客之一。他是Shellphish(世界上排名最高的黑客组织之一)的前队长。他也是The Order of The Overflow的创始人，这是一个神秘的实体，主办Def Con CTF:意为“夺取旗帜”。这是我们会在谈话中深入探讨的问题。非常感谢你来到我们的播客，燕。

燕:(00:00:32)很高兴来到这里，凯蒂。

凯蒂:(00:00:34)你是怎么进入这个黑客世界的?

燕:(00:00:37)我很早就进入了这个领域，在我六岁左右的时候，我祖母给了我一本书，叫《福特朗教授的百科全书》，这是一本在俄罗斯出版的书，是给孩子们学习计算机知识的，这本书让孩子们了解什么是计算机。漫画里的各种概念。有个福特朗教授。当然，Fortran也是一种编程语言的名称，这是一种双关语。里面有一只叫X的猫，一只叫caterpillar的毛毛虫和一只叫bird的鸟。所以他们一起探索了计算机世界。然后他们在学习如何编码时达到了高潮。这些都写在一本书上。当时没有真正的个人电脑，在俄罗斯肯定没有。所以有一段时间，我会翘课，你知道，在小学，小学早期，我会翘课，躲在楼梯井里。 And I would just read this book over and over a cover to cover. And then eventually I got a chance to write some simple programs on the mainframe at my mom’s work.

凯蒂:(00:01:56)你妈妈做了什么?

燕:(00:01:58)我妈妈做过——基本上，现在的工作就像数据库编程一样。那时候，它是数学的一个分支。

凯蒂:(00:02:07)好的。是那个是那个哦。当时女性的角色是否受到尊重?或者这是一种性别差异?在当时的俄罗斯，只有女性在那个领域从事计算工作吗?

燕:(00:02:21)据我所知，她的部门大部分是女性。但我不知道是否存在性别差异。我真的不知道该怎么回答。

凯蒂:(00:02:31)当然,当然。至少在美国历史上，在NASA和许多有色人种的女性中，有更多的人看到这种趋势，她们在很多基地飞行的幕后工作。

燕:(00:02:47)哦,当然。是的。你知道，我昨天给这所大学的网络安全俱乐部做了一个演讲。

凯蒂:(00:02:56)辛辛那提大学?

燕:(00:02:57)是的。是的。我参观了他们的网络安全俱乐部，我想为我的演讲建立一个历史基础。我介绍了程序分析的概念，我想我们以后会讲到。但是在介绍这个概念时，你知道，你从查尔斯·巴贝奇等人开始。巴贝奇分析机的发明者。这是在19世纪。作为最早被认为是现代计算机的东西之一，你知道，在通往现代计算机的道路上，然后你很快就开始谈论Ada Lovelace和第一个，你知道，计算机程序员，她为4巴贝奇的计算机编写程序，她也是第一个计算机程序分析器。

凯蒂:(00:03:46)是的!

燕:(00:03:46)所以她对计算机软件的运行进行了惊人的分析，或者假设它在一个假设的分析引擎上运行。

凯蒂:(00:03:56)说到最喜欢的儿童书籍，我有三个小孩，他们都喜欢《科学家阿达·Twist》，这本书是以阿达·洛芙莱斯为原型的。

燕:(00:04:05)哦，那太好了。

凯蒂:(00:04:06)是的。"艾达·玛丽，艾达·玛丽三岁前没说过一句话"而她，这一切都是关于她如何拥有科学思维，而不一定是文学思维，以及她如何探索她的世界。总之，从我们开始写儿童读物开始。所以。所以。是的。好的。所以当你向学生们介绍这些概念时，你就是在带领他们了解历史以及不同种类的、可能是不为人知的或不为人知的声音。

燕:(00:04:31)是啊，有这样的基础很重要。我的意思是，早期的历史中充斥着这样的名字，你知道，虽然我们知道Ada Lovelace，但我认为人们知道Grace Hopper。他们没有意识到这些人的影响力有多大。很重要的一点是，要让它浮出水面。当学生们学习网络安全知识时，他们就会明白，他们并非只是在某个特定的情况下跳入网络……

凯蒂:(00:05:09)是的。

燕:(00:05:09)他们真的参与了一个长期的连续体，人们进入了计算的核心。这就是网络安全的核心，它深入研究计算机科学，计算，程序，以及我们对社会对软件和技术的依赖的基本原理。

凯蒂:(00:05:38)绝对的。你们正在做的研究和你们正在建立的项目对行业、学术界和我们的政府是多么重要和适用，这令人难以置信。你能把我们快进到你现在在做什么吗?我是说，你这么年轻的助理教授发表了这么多论文。你从博士毕业到现在已经在这一行干了两年半了。我猜你在这期间读了博士后，还是?[00:06:07] [29.2]

燕:(00:06:08)这个领域现在的状态。对网络安全的巨大需求有着非常明显的原因。如你所知，安全问题不断出现。

凯蒂:(00:06:21)而且技术创造的速度很快。

燕:(00:06:24)是的。

凯蒂:(00:06:24)安全问题也随着速度的增长而加剧。

燕:(00:06:27)事实上，你知道，一个有趣的事情是……缺乏安全是技术创造的一个摩擦的来源，所以只有在不考虑安全的情况下，你才能快速地开发技术，因为最终会有大量的安全问题开始阻碍采用。比如，你知道，信用卡经常被泄露。你看到的是，你知道，几年前，每个人都从刷卡转变为把芯片插入读卡器。正确的。对。用来购物。这是有代价的。替换所有这些机器需要真正的资源，等等等等。这也是一个促使行为改变的安全问题。

凯蒂:(00:07:12)行为和接纳的意愿。

燕:(00:07:14)所以我们清楚地看到的是一种挫折，就像前进道路上的一块石头，因为我们没有把事情想清楚并从一开始就把它们做好。与此同时，从一开始就不可能保证它们的安全。你不能预见所有的问题，等等，等等。所以社会和科技的发展速度都是建立在网络安全的基础上的或者说建立在对网络安全的需求之上的。这就是为什么现在的市场，我在这里说的是对网络安全专业人员和教育专业人员等的需求，是有可能直接从博士晋升为教授的。我就是这么做的。

凯蒂:(00:08:04)当然,当然。哦,当然。你在读博士的时候发表了很多文章。作为教授，你发表了大量的研究成果。告诉我们一些你做的工作和一些你最喜欢的关于你工作的创新故事。

燕:(00:08:22)当然。所以我们在一个非常明确的专业领域进行广泛的研究。我们在亚利桑那州立大学的实验室几乎研究了网络安全的各个方面。首先，你知道，这不是我传统关注的领域。我们在10月份发表了一篇论文，我们采访了公司的安全工程师和安全经理，了解了他们对实际优先事项的看法之间的矛盾，你知道，公司、学术机构和政府等等在确保安全方面。对吧?这是一件需要理解的重要事情，因为当我们开发安全技术时，开发它在某种意义上是容易的部分。你还得让它被收养。你必须，你知道，部署所有的芯片阅读器，等等，等等，并说服人们这是重要的。这是一个传统上我没有做过但我们一直在研究的领域。 My area of strong focus has been binary analysis.

凯蒂:(00:09:41)是的。

燕:(00:09:42)当然，这个想法是。

凯蒂:(00:09:45)是的。分解二元分析。

燕:(00:09:46)是的。

凯蒂:(00:09:46)因为我想有几个播客听众可能对你的领域很熟悉。我想尤其是Def Con的观众和其他观众。但我认为，在创新社区中，有很大一部分人可能并不真正了解网络安全的内部工作原理。[00:10:04] [17.1]

燕:(00:10:04)当然。

凯蒂:(00:10:05)所以,是的。给我们讲讲二元分析。

燕:(00:10:07)假设我读了一个电脑程序。我坐下来，打开我的开发环境，或者你不需要开发环境来写软件。你可以打开记事本写软件。一个笔记本。你甚至不需要那么高级的东西。但是我坐下来写了一个电脑程序。传统上，在90年代早期，比方说当我在写我的第一个程序时，当你写这个源代码时，你知道，你输入一个文件它代表程序应该做什么然后你用一个叫做编译器的东西把它翻译成机器代码。计算机能理解的1和0。

凯蒂:(00:10:54)我的意思是，你所做的很多工作都需要大量的知识，不仅仅是历史知识，还有数学知识，以及对计算机基础设施的理解，以及使用计算机的方法。你如何将你的研究的关键重要性传达给资助实体、行业合作伙伴，以及那些可能不具备同样专业知识的人?是啊，我很想知道更多关于你讲故事的技巧。我喜欢你用的一些比喻当你向我描述它的时候，你知道，你是英语博士，你是计算机科学博士。我们说的是不同的语言，但是。你觉得你自己用的讲故事的技巧是什么，你认为什么最重要?

燕:(00:11:44)所以对我来说，重要的是传达我对这个主题的感受。所以当我奶奶给我那本书时。这不仅仅是信息，它就像打开了整个世界。对吧?所以你读到的是一个有着非常简单规则的世界。对吧?cpu的工作方式非常简单。我的意思是，有很多复杂的东西，特别是在现代处理器中:无序执行，大量的内存缓存，等等，等等。但从一个非常高的层面来看，它非常简单。它引入一些比特，并将其中一些解释为要做什么，另一些解释为在执行过程中使用什么数据。 And then it does it. But somewhere at some point between the physical components that a CPU is made up: of logic gates and wires and et cetera. And the computer program, there’s some magical shift that happens, at which point we say, ‘that is a computer.” Because you don’t say that about a calculator.

凯蒂:(00:12:58)是的。正确的。

燕:(00:12:59)你不会这么说的。我的意思是，现代计算器，当然是计算机，但你不会说它是一个简单的电路，可以把两个数字相加。你不会说那是一台电脑，但有时你会说这是一台电脑。在这个点上，计算机可以执行算法，可以用代码表示的任意算法。这个概念是艾伦·图灵在学术上探索的早在上世纪中叶。有一种图灵障碍，计算机-它本质上定义了什么时候不是计算机的东西变成了计算机，我是这么想的。这个屏障是神奇的。从哲学角度来说，你无法真正理解什么突然发生了变化。让一台机器开始能够执行算法。对吧? We understand mathematically what a Turing machine is. And the difference between a Turing machine and other forms of automaton, so forth, other computational models. But philosophically, deep down inside, I feel there’s a similar divide between that, between a non computer and a computer, as there is between a computer and human, right? So in the push for AI, we are also facing this concept of: at what point does a very, very smart machine become sentient? And there’s no real answer, even philosophically, that we have. In a smaller way, there’s a similar question in the step from not computing into computing. To me, that point, that threshold is there’s some magic there. And the reason I do binary analysis is that it is as close as you can get to that threshold.

凯蒂:(00:14:57)嗯。

燕:(00:14:58)从另一边。从计算方面来说。

凯蒂:(00:15:02)是的。

燕:(00:15:02)这就好像计算的核心是在你的CPU中发生的事情，就在这个层面上，如果你再进一步，它只是一堆逻辑门。对我来说没有什么魔力。但是当你回过头来，突然发现你正在谈论的是一个可以模拟整个世界的机器，你知道，在那里人们花了几十个小时玩游戏或类似的东西。

凯蒂:(00:15:29)是的,是的。

燕:(00:15:32)所以我试着去传达这一点，事实上，我教我的课程是从一个非常基础的层面开始的就像基础和基础，基础。这就是为什么我要谈论它的历史，这也是为什么我的一门课……所以我教这种黑客课程，基本上，我教学生在二进制级别上可能发生的各种具体的安全问题。我从:这就是二元层次。然后我们回到这是一个逻辑门然后我们跨过门槛。在某种程度上，有一种魔力。所以从学生的角度来看，首先，我试图灌输这种对这个领域的欣赏，对可计算性的欣赏，对吧?然后。你必须走得更远，你必须让他们对黑客也充满热情。关于网络安全。所以从某个角度来看，你可以看很长一段时间。 Society did view hackers purely, let’s say, a nuisance or, you know, renegades or something.

凯蒂:(00:17:00)是的,对的。

燕:(00:17:03)你们看到了。当我们建立早期的网络安全法律时，我第一次参加Def Con时有位安全研究员谈到了他在某种文件保护方法中发现的一个缺陷。当然，他在讲台上发表了演讲，对着Def con的人群。然后他走下来，就在那里被逮捕了。

凯蒂:(00:17:30)我是。这是一个关于你的领域，你的工作的迫切的问题。如果你在做这类工作，你如何决定分享什么，发表什么，不分享什么，是否公开你的身份?

燕:(00:17:46)正确的。例如，肯定有匿名的安全研究人员。对吧?甚至有匿名的安全研究人员出现在学术工作中。我读过一篇论文....

凯蒂:(00:17:58)令人着迷。

燕:(00:17:59)那个单词作者列表，当然，你有。你知道，在学术界，作者身份本质上是我们的货币。所以…

凯蒂:(00:18:08)是的。

燕:(00:18:09)你有你的作者名单，其中一个名字是匿名的。这真的很有趣，因为你知道，就像你开始说的，你看了我的出版物，那些出版物是我谷歌的学者简介或其他什么，因为我是那里的一个作者。

凯蒂:(00:18:29)你有匿名出版物吗?

燕:(00:18:33)我不会，我不会承认的。然后，媒体必须双向工作，以便不能从出版物中区分人，也不能从人到出版物。但是…

凯蒂:(00:18:47)嗯，是的，告诉我们这个术语，黑客，你知道，今天，我认为黑客松在创新社区中非常受欢迎。我看到他们，我们经常看到他们。这是一种期望。这是一种有趣的邀请来解决大问题，某种程度上利用黑客的力量做好事。

燕:(00:19:07)是的。

凯蒂:(00:19:08)这是如何转变的呢?我的意思是，我肯定它仍然有恐惧的含义。

燕:(00:19:14)所以黑客有两个含义。对吧?实际上有两种相互矛盾的含义。黑客的一个意思是黑客马拉松，对吧?那就是。你把东西拼在一起就越有意义，对吧?你拿了只用于一个目的的东西。你拿了一些原本用于目的B的东西把这个用于目的A的东西和用于目的B的东西放在一起来完成目的c，对吧?这就是黑客松通常做的事情。

凯蒂:(00:19:49)明白了。计算机、艺术和计算机科学。正确的。它还在你生活的世界里吗?

燕:(00:19:56)但你。嗯…

凯蒂:(00:19:57)我见过其他人用有趣的方式做这件事。是的。就像艺术一样。

燕:(00:20:01)正确的。完全正确。

凯蒂:(00:20:02)创造……

燕:(00:20:03)从这个角度来看，你可以有一个工程学的黑客马拉松。对吧?

凯蒂:(00:20:06)Mmhm。

燕:(00:20:06)你可以来个黑客马拉松。是的。是的。当然，你也可以举办一场电影黑客马拉松。你把两部，或者一些电影放在一起，然后把它们拼接在一起。

凯蒂:(00:20:18)明白了。

燕:(00:20:18)你把它们泼出去，最终得到一些有趣的结果。对吧?

凯蒂:(00:20:23)你的世界里用过黑客马拉松这个词吗?

燕:(00:20:25)不。

凯蒂:(00:20:26)好的。好的。

燕:(00:20:27)所以我们在黑客的第二个层面上操作，或者黑客的第二个含义，就是你知道的。当你黑进东西的时候，对吧?这是. .你拿了，对，你拿了一些本来是为了a目的的东西，用一种可能是明确不打算用的方式接近它。你把它用于目的b，这是一个更…这是黑客的网络安全意义。它是侵入计算机系统或以某种方式破坏一个系统，你把它重新调整到不同的目的。那可能是，你知道，闯入，你知道，一些大公司的信用卡处理系统把它变成一个信用卡收集系统。对吧?等等。

凯蒂:(00:21:33)再一次，善与恶的力量。

燕:(00:21:35)正确的。

凯蒂:(00:21:36)你们在课程中教授伦理学吗?

燕:(00:21:38)是的。每一门课都至少要有道德成分，或者说应该有道德成分。正确的。我们教的是这些孩子，他们有时会想得不清楚。所以你必须非常明确。[00:21:57] [18.7]

凯蒂:(00:21:58)因为你知道，我们的人生道路还在加深。

燕:(00:22:00)是的，你必须非常明确。我在CS等学校见过，不一定是亚利桑那州立大学，孩子们做了一些愚蠢的事情就会被开除，这真的阻碍了他们的成功。

凯蒂:(00:22:18)甚至像扎克伯格这样最著名的创始人，都开始了怎么说来着?我不想说这是一个艰难的开始因为这也证明了他的能力。但是，你知道，当时黑进哈佛的系统。

燕:(00:22:38)正确的。

凯蒂:(00:22:38)所以…

燕:(00:22:38)是的，这是一种平衡，对吧?你想要。你需要一张网来抓住这些孩子，确保他们不会被关进监狱。原因是一样的。就像大学有自己的警察部门一样。正确的。当我还是个大学生的时候，我对大学感到愤怒，我觉得这是一种压迫。正确的。但后来我意识到，大学警察部门的存在，在某种程度上是为了他们可以轻拍你的手腕，而不会造成更大的问题。我们在学术网络安全中也有类似的东西。 Right? You have you know, you have the kid that breaks into your grading system. And…

凯蒂:(00:23:29)这种情况也发生在你身上吗?

燕:(00:23:32)嗯，实际上是的。所以我最近创建了一个网络安全平台…

凯蒂:(00:23:37)那个学生得了A吗?

燕:(00:23:38)是的。这就是我所做的，实际上部分是为了教授这门道德黑客课，我创建了一个系统来支撑我的课程。这是一个基于实践的完美概念，当我教授二进制安全的概念时，它为学生生成特定的程序，像是定制的，所以没有两个问题是相同的，利用这些概念，人们必须在实践中实践他们所学到的。

凯蒂:(00:24:20)好的。

燕:(00:24:21)我们知道我现在教的课程，我的主要课程大概有八到九个模块，从如何在现代计算机上使用命令行到如何进入所谓的内核。你的操作系统的核心，你知道的，以及中间的所有步骤。它是在一个基于云的系统上运行的，学生可以连接很多，或者为他们产生一个挑战，他们可以解决这个挑战。当你通过入侵系统来解决挑战时，你可以访问一个你在解决挑战前连接时无法访问的文件。档案里有密码，你可以用它来兑换成绩。

凯蒂:(00:25:07)好的。

燕:(00:25:08)这就是标准。

凯蒂:(00:25:11)这真是太有趣了。

燕:(00:25:13)是的，它确实是“夺取旗帜”非常清楚地应用到教育中这正是网络安全竞赛所采用的形式。所以当我们为DEFCON创建提示时，这是相同的概念。你有一个复杂的，当然要复杂得多的计算机系统，运行着我们部署和运行的计算机系统，竞争对手必须闯入并窃取信息，用这些信息换取分数。

凯蒂:(00:25:43)我小时候最生动也是最美好的回忆之一就是在树林里参加夏令营，我们分成小组玩夺旗游戏把你的旗藏起来，这样就没人能找到，创造一个监狱，你知道，试图在不被人发现的情况下突破围墙或者抢过国旗跑回去。请告诉我们这种游戏风格或游戏方法是如何在黑客世界中使用的。这就是为什么我要请你们告诉我们溢出的顺序。

燕:(00:26:15)正确的。

凯蒂:(00:26:16)如果可以的话。

燕:(00:26:18)所以…所以。

凯蒂:(00:26:18)这个组织有多神秘?

燕:(00:26:20)我认为这相当……

凯蒂:(00:26:22)我只是在逗你玩儿!

燕:(00:26:22)完全正确。我们有一些匿名的人在上面，不是黑客组织anonymous，而是匿名的，你知道，不公开身份。所以我们开始了，我在博士期间开始玩Shellphish等等。然后我成为了，仅仅因为对CTF的热情，我成为了队长，然后我毕业了。这是一个非常痛苦的毕业经历。正确的。所以你一直待在实验室里。你住在实验室里。对吧?你可以用两种方式读博士。 One, you can maintain a good work-life balance. I have a friend that at 5 p.m. he gets up from his desk and he goes home and he does his PhD like a good employee at a good at a job. He shows up at 8:00, he leaves at 5:00 and he does the PhD. But while he’s there he’s doing the PhD.

凯蒂:(00:27:31)是的。

燕:(00:27:31)或者你可以。这是一个很好的方法。另一种很好的方法是你住在实验室里。[00:27:38] [7.0]

凯蒂:(00:27:39)嗯嗯。

燕:(00:27:39)这意味着你在实验室工作，但你也不在实验室工作。对吧?这就是我所做的。当你这样做的时候，毕业是很棒的，因为你完成了一些了不起的事情。你有你知道，你有博士学位，大家开始叫你博士等等。但这也是非常痛苦的。突然之间，你就被赶出了自己的家。我在那个实验室里住了七年。有时候特别是在网络犯罪的挑战中，我一天要在实验室里待20个小时，然后回家睡4个小时。

凯蒂:(00:28:16)是的。

燕:(00:28:18)你知道，我把船长和贝菲什的火炬传给了他。我当时在亚利桑那州立大学，和我出色的同事们一起，训练人们在那里进行黑客训练。然后这个机会来了Def Con CTF的组织者退休了。组织者大约每五年左右退休一次。跑起来很费劲，而且你真的想保持新鲜感，对吧?所以每五年就会有新鲜的、热情的员工。太好了。组织者都退休了，于是就开始寻找组织者。我想，“我想做这个。”

凯蒂:(00:29:07)在这一点上，这是我一生的奋斗目标。

燕:(00:29:09)完全正确。完全正确。这太不可思议了。所以，你知道，只要继续玩Shellphish，在黑客世界的高度作为参与者操作，或进入组织者的角色，推动和指导这个领域，就有这种内在的乐趣。是的。我觉得从学术角度来说，这是一个非常好的角色。

凯蒂:(00:29:40)是的,当然。它模仿了你所描述的在这个领域学习嵌入价值观的方式以及如何教学生和指导学生。所以很高兴看到你从博士生到教授的转变也改变了你在Def Con的参与方式和你在那里产生的影响。

燕:(00:30:01)是的。是的,没错。

凯蒂:(00:30:02)这些竞争非常激烈。我看过一些YouTube视频。在YouTube上看Def Con CTF，看看它的一些运作方式和一些策略真的很有趣，就像它看起来很整洁一样。很多年轻人都在谈论这是什么感觉。我认为即使在这些视频中，他们仍然是一种安静的沉默，不透露太多。你不想透露太多关于你的策略的信息，因为别人可能会在明年入侵你的策略。所以…

燕:(00:30:33)是的。甚至明年也不会。我的意思是，我们曾经在游戏中遭遇过社交工程攻击。我们有一些队友，不管出于什么原因，他们看起来不像黑客，他们只是走来走去，他们会，你知道，哦，你在做什么?你知道，他们会坐下来，开始，你知道，和其他团队交谈，其他团队会说，哦，是的，我们正在做什么，什么，什么。

凯蒂:(00:31:00)哦,我的。哦，人类黑客?

燕:(00:31:03)人类的入侵。绝对的。我是说，没有别的了。

凯蒂:(00:31:05)这是一种古老的艺术形式。

燕:(00:31:08)完全正确。它总是最薄弱的环节。还有团队做了更疯狂的事。我听说人们喜欢剪网线，然后连接到……

凯蒂:(00:31:19)模拟黑客!

燕:(00:31:19)模拟黑客攻击。这种情况经常发生。那是合法的一年。这是违法的。我们有一个小机器人可以绕着无线天线旋转。当它旋转无线天线时，它会执行所谓的反认证攻击。所以它会和你的无线卡对话，它会假装是接入点，你的无线接入点，说，“哦，该死，你现在断开了”，然后你的电脑就失去了互联网。正确的。所以每隔三秒，我们就会切断身边除我们之外的所有人的联系。

凯蒂:(00:31:57)哦，我的天哪。

燕:(00:31:58)从无线。有些团队依赖无线网络。第二天我们到处走，有一个团队他们有全新的配套有线网线因为他们无法再处理断网的问题了。

凯蒂:(00:32:16)如此令人沮丧。

燕:(00:32:17)是的。所以实际上第二年....这是合法的最后一年。这些反认证攻击算干扰吗，这在美国是不合法的。

凯蒂:(00:32:28)好的。

燕:(00:32:29)所以，是的，它做到了。有所有这些黑客的东西。但不管怎样。我们决定试一试。我和亚利桑那州立大学的同事亚当，一位教授。我们坐下来就想，“好吧，我们就这么做。这将是一种很棒的方式来为社区做贡献，也是一种很棒的方式来向人们传播，嘿，亚利桑那州立大学是认真对待网络安全的。”对吧?我可以详细说明一下，因为如果没有亚利桑那州立大学内部很多机构的支持，我们不可能做到这一点。

凯蒂:(00:33:11)我正想问你呢。你知道，所以。所以这个播客的核心和灵魂是思考讲故事在创新速度中所扮演的角色。你是如何在一所学术机构中领导世界上最具竞争力的黑客游戏的?

燕:(00:33:33)所以，我们作为教授的角色是教育，但它也是该领域未来的发展，你实现这一目标的方式是通过研究，通过所谓的，集中服务。你要做的就是成立委员会来决定会议的进程。正确的。所以出版的过程实际上是相当累人的。你写论文，提交，然后是双盲。所以匿名审稿人说你的论文是垃圾，然后。

凯蒂:(00:34:13)你修改并重新提交。你再做一次，一年之后它就出来了。

燕:(00:34:16)完全正确。所以那些匿名的审稿人通常都是这个领域的教授。我们用一种非常相似的方式来展示这个。学校说，看，我们想。推动应用网络安全技术的发展。我们想要这样做，因为它将证明我们在亚利桑那州立大学所做的工作在这个领域是领先的。

凯蒂:(00:34:41)是的。

燕:(00:34:41)对吧?所以突然之间，你不仅可以出版出版物，这很了不起。不仅仅是现实世界中可应用的原型和工具，我们在亚利桑那州立大学也试图关注这些，这非常棒。但你也有这个活动，这个非常独特的东西，有点像世界黑客锦标赛。亚利桑那州立大学可以帮助实现这一目标。亚利桑那州立大学的神奇之处在于，亚利桑那州立大学最初是一所新的美国大学，这最初意味着入学方式的不同。正确的。所以亚利桑那州立大学会尽可能多地录取学生。我认为，我们是唯一一所人口结构完全符合亚利桑那州人口结构的大学。正确的。 So minorities and so forth…

凯蒂:(00:35:41)优先考虑包容性。

燕:(00:35:43)是的,没错。极端的在内地。我有一些学生他们很聪明只能上大学，因为。因为亚利桑那州立大学。正确的。这真是太酷了。从表面上看，这很有挑战性。一所典型的大学。他们实际上想要的是排他的。正确的。 Because also part of the measure of university rankings is how few people you admit. How low your admission rate is. So it’s… The lower the admission rate. It’s not the only measure, of course, but it is a measure…

凯蒂:(00:36:16)它会影响你的总分。

燕:(00:36:18)是的,是的。是的。所以这是一种不同的方法。但是作为重新评估大学意义的一部分。亚利桑那州立大学还研究过，大学在社会中的地位是什么?正确的。我认为，这是一个绝佳的机会，通过帮助领导这个活动来展示大学在社会中所能扮演的角色。我的意思是，组织这个活动非常复杂。我的意思是……

凯蒂:(00:36:51)我甚至无法想象。这是……

燕:(00:36:52)不仅仅是……

凯蒂:(00:36:53)甚至是决定如何构建游戏本身。但是是的。是的。

燕:(00:36:57)是的。我是说，一切。所以你会有非常多的复杂性。我认为DEFCON CTF，仅仅是CTF每年需要大约15万美元来运行和def con会议。

凯蒂:(00:37:12)你认为组织者总共需要多少小时?

燕:(00:37:14)这还没有算上工作时间，对于组织者来说，我们基本上在7月、6月和5月都不存在。正确的。只是，只是我们不存在。

凯蒂:(00:37:28)是的,是的。

燕:(00:37:29)如果我们把四月的比赛取消四月初是资格赛。现在我们不存在了。我们只是在准备资格赛。正确的。就像，大概有十几个人在这个数量级上。他们并不都是亚利桑那州立大学的。我和我的同事在亚利桑那州立大学有几个学生，还有一些神秘的人……

凯蒂:(00:38:02)如何在这么重要的事情上进行虚拟合作，而不用担心被黑客攻击?

燕:(00:38:07)是的，我是说，我喜欢告诉人们的，是完全错误的。然后就是虚张声势说"我们是人们应该害怕的人"你知道吗?所以我有一些学生去Def Con很紧张，比如“Yan，我不知道我是否应该带着我的笔记本电脑。我不知道我是否应该啊。”不，别担心。你才是他们应该害怕的人。但这有点…

凯蒂:(00:38:31)这应该是今天的口号。完全正确。它应该是正确的。

燕:(00:38:34)完全正确。在某些时候，你会说，你知道你只活一次，一路走到Def con。这就是，这就是合作的方式。

凯蒂:(00:38:45)是的。是的。真的，太不可思议了。我在想，你知道，在我们结束的时候，有几个要点。是:通过将工作与组织的整体使命相一致，你得到了大学的认可。这适用于工业界、学术界、乃至……任何在任何文化组织内部工作的创新者或黑客，他们要弄清楚自己的使命是什么，并确保在推销这种可能性和想法的方式上保持一致。

燕:(00:39:16)但你也需要制度。这有两个部分。有一种创新者。也就是说，就像向机构推销的人一样。但还有制度方面的问题。在亚利桑那州立大学我们又很幸运了。我们有机构的部分，亚利桑那州立大学的很多不同部门都提供了帮助。其中的核心就是所谓的全球安全倡议，简称GSI。作为亚利桑那州立大学的一部分，它的目标是提高现实世界的网络安全，总体上的安全，但当然，我们的研究和我们在大学的工作对网络安全的影响。我提到Def Con CTF每年要花费15万美元。 Over half of that, Def Con the conference, actually provides. So, you know, things like hotel rooms, admission to the conference, that adds up quite a lot. But there’s things like servers, things like food, or the organizers, et cetera, that cost quite a lot as well. And ASU managed to, you know, somehow find funding for this so that, that’s been incredible.

凯蒂:(00:40:36)是的。肯定。

燕:(00:40:37)我想说的是，创新者需要两个人才能跳探戈。正确的。所以创新者需要调整任务并展示如何向前发展。但你需要。要么有一个机构或组织能满足你的要求要么你需要在你的组织中找到这样的位置。

凯蒂:(00:41:08)我喜欢这个。我喜欢这个建议。你对专业人士或年轻专业人士还有什么建议吗?或者是想成为黑客的学生。对于他们如何传达这种愿望，你有什么建议吗?如何…?是的，我想我只是好奇你是否有什么建议给他们，因为他们不仅搞清楚黑客的艺术形式，而且搞清楚在这其中所涉及的沟通。

燕:(00:41:39)是的，这是一个非常好的问题。我想说三件事。首先要记住，世界不仅仅是网络空间。我认为最大的限制因素之一是:人们将100%的注意力集中在虚拟世界中，而忘记了他们生活在现实世界中。正确的。还有，你知道的，和其他人。Shellphish不会是最大的，你知道的，运行时间最长最酷的CTF团队。如果不是一群不只是熟练黑客的人。但同时也是熟练的人。正确的。 So, you know, my advisor is a great example of this. He’s super capable of creating this social environment that allows Shellphish to thrive as well. And other teams don’t. You have teams, and I’ve seen them come and go, that, you know, a collection of super good hackers who never talk to each other and never talk to other people who never, you know, propagate their skills. And then when they stop hacking, the team is gone. And that’s also fine. Right. Maybe, you know, this coming and going….

凯蒂:(00:43:05)但这可能会减缓整个行业的发展。

燕:(00:43:08)完全正确。

凯蒂:(00:43:08)喜欢社会整体的进步和创新。

燕:(00:43:11)所以有很多人。

凯蒂:(00:43:11)记忆会消失，如果你不…

燕:(00:43:13)记忆丢失了。有些人因为Shellphish去了UCSB。对吧?这就是你如何开始，你知道，推动社区向前发展。我希望有一些人事实上，有些人来亚利桑那州立大学是因为学生人数过多的缘故。这已经变成了。我是说，就像我说的溢出骑士团不只是亚利桑那州立大学。我们只是碰巧发生了。我们在那里创造。但我的意思是，我有同事，教授，也在溢出的秩序(不清楚的措辞)和法国，对吧?

凯蒂:(00:43:49)是的是的。

燕:(00:43:50)等等。二是你现在就可以开始黑了。对吧?你不需要接受正规教育。现在我要对第三点做一个警告。但你不需要接受正规教育。我从高中就开始做黑客了，对吧?

凯蒂:(00:44:05)是的。

燕:(00:44:05)你可以在网上查到大量的资料。我前面描述过的这个类是即将出现的一个东西。实际上我把它放在网上免费提供，包括练习已经在网上了，但讲座只是幻灯片形式的。所以我需要把课程录下来。但这就像一个交钥匙资源，只是向前滚二进制安全。

凯蒂:(00:44:36)我很乐意在节目笔记中分享这门课的链接。

燕:(00:44:39)哦,当然。绝对的。它也很容易记住所以有一个用来描述利用的术语，PWNing。这就是"拥有"的意思"我拥有那个服务器"所以我用PWNed了它。所以PWN。college - PWN dot college。超级容易记住。

凯蒂:(00:45:03)太棒了。就像我刚才说的，所有的练习都在上面但我的意思是所有的课堂笔记都不在。但是，这仍然很难做到，所以在下个学期，我会把所有的东西都记录下来。把它放到网上。但在那里，这只是一件事。关于如何开始黑客攻击，有成千上万种不同的资源。

凯蒂:(00:45:24)我认为有一种联想是大多数黑客都是男性。

燕:(00:45:27)嗯嗯。

凯蒂:(00:45:29)文化。你的母亲和祖母是把你引入这个世界的人，我对此非常着迷。你看到这种文化了吗?黑客文化也是如此吗?你看到这种变化了吗?你对一些性别差异有什么看法?

燕:(00:45:45)正确的。所以我想说，首先....还有，为我爸说句公道话，因为他听这个播客，如果他觉得自己被排挤了。我爸爸真的…

凯蒂:(00:45:55)喊出!

燕:(00:45:56)鼓励我向网络安全专业方向发展，我真的不相信你可以以它为生，你知道，当我在2000年代中期大学毕业的时候。当时还不清楚你能不能。对吧?

凯蒂:(00:46:10)这一切都在形成之中。

燕:(00:46:11)所以他说，“这就是未来。你应该去争取。”

凯蒂:(00:46:13)他是怎么知道的?

燕:(00:46:15)他也在计算机科学领域工作。我爸爸是数学家，但是，你知道的，他只研究应用数学和不应用数学。更多的应用数学倾向于计算机科学。

凯蒂:(00:46:30)你是在俄罗斯长大然后搬来这里的吗?

燕:(00:46:32)我八岁时搬来这里。我的童年是在俄罗斯度过的。然后我在亚利桑那州长大。

凯蒂:(00:46:38)好的。

燕:(00:46:39)是的。

凯蒂:(00:46:40)我们把爸爸喊出来了。

燕:(00:46:41)完全正确。我们有一个爸爸大声喊出来。所以你的看法是完全正确的。这是一个重大问题。总的来说，计算机科学，我没有确切的数字，但大约90%是男性。网络安全是最糟糕的子领域。

凯蒂:(00:47:01)真的吗?

燕:(00:47:01)大概有95%到98%是男性。在整个竞争激烈的黑客社区。比如说在去年的Def Con CTF上，可能有。总共有16支队伍进入了决赛。每个团队平均有12个人。在几百人的队伍中，大概有四个女孩。

凯蒂:(00:47:37)是的。

燕:(00:47:39)这是非常糟糕的。

凯蒂:(00:47:42)是的。是的。

燕:(00:47:44)所以这是社区正在努力解决的问题。每个人都可以做一些事情来改变现状。一件事是明确地向计算机科学中代表性不足的群体拓展。事实上，这比计算机科学领域缺少女性更糟糕。只是缺少…

凯蒂:(00:48:11)多样性?

燕:(00:48:12)总体上的多样性。

凯蒂:(00:48:14)是的。大部分都是白人吗?

燕:(00:48:18)我会说，在每个主要领域，主要是那个主要领域。正确的。所以在美国，我想说的是，这个社区大致遵循高等教育的人口统计。不包括女性，这很奇怪，因为我们讨论的早期名字大多是女性，Ada Lovelace, Grace Hopper等等，她们创造了这个领域，然后不知何故，这个领域就被男性统治了。这有很多原因。我看到了一些非常非常清楚的，愚蠢的，让人非常沮丧的原因，它们属于这个可怕的类别，你知道，男孩就是男孩或诸如此类的。正确的。那里有一群男人。所以还不清楚这是怎么开始的。但现在它开始繁殖了。 You get a group of men together in a hacking team and there are, you know, non-inclusive jokes flying around and et cetera, et cetera. And it’s something that’s….

凯蒂:(00:49:26)甚至文化也可能是排外的。

燕:(00:49:29)甚至是文化。所以当我这么说的时候。当你在做黑客的时候，你不能忽视你是在人类的空间里。这不仅仅是一个虚拟空间。这是我的意思之一。你需要努力确保你的黑客团队不是一个，你知道，不适当的评论是....的团队轻轻地走。正确的。

凯蒂:(00:49:58)绝对的。

燕:(00:49:59)如果黑客团队真的生活在网络上，那么很容易在网络上遇到这种情况。有一些。你知道，大部分时间都在网上生活和……

凯蒂:(00:50:16)废话。

燕:(00:50:17)废话连篇。你知道，垃圾话是可以的，但也有不可以的。

凯蒂:(00:50:24)是的。

燕:(00:50:24)我认为，那些“不好”的垃圾话是真正损害包容性的。说实话，这影响很大。

凯蒂:(00:50:34)是的。绝对的。

燕:(00:50:35)我想在亚利桑那州立大学我们的团队中，我应该有这些数字，但我没有想到，在一个大约50名研究人员的团队中，比方说，我们有8到9名女性计算机科学家。正确的。这在网络安全领域是闻所未闻的数字。正确的。我会说，在我所知道的大实验室之外我不知道世界上每个大实验室的确切组成，但在我所知道的大实验室之外。我们可能是性别最平衡的国家，50个国家中有8到9个。我的意思是，那太可怕了。

凯蒂:(00:51:09)正确的。

燕:(00:51:09)正确的。但是对于整个计算机科学来说。

凯蒂:(00:51:11)是的。

燕:(00:51:12)是的。将近20%。这是疯狂的高。

凯蒂:(00:51:15)你称自己为黑客吗?

0:51:16] [1.1]燕:(00:51:17)是的,当然。

凯蒂:(00:51:18)不要等着别人来做。

燕:(00:51:19)是的。

凯蒂:(00:51:20)把警徽戴上。[00:51:20] [0.4]

凯蒂:(00:51:20)是的。

燕:(00:51:21)我认为所有的创新都是如此。对我这个作家来说也是如此。一定要称自己为作家。如果你坐着等着被授予一个奖项或发表在你的完美的期刊上。这不是……

燕:(00:51:34)完全正确。是的，我认为它适用于任何事情，也适用于黑客。绝对的。我在高中的时候就开始做黑客了没有经过正式的训练。乐动体育266我有一个很棒的高中计算机科学老师介绍了我。

凯蒂:(00:51:53)还有你妈妈。

燕:(00:51:53)是的。是的。还有我妈妈，还有我奶奶等等。就你奶奶而言也是。不，那本书是她给我的。我奶奶是一位数学家。凯蒂:(00:52:03)嗯，很接近了。

燕:(00:52:04)但,是的。完全正确。和。然后，你知道，我就自己向前滚，你完全可以这么做。有些魔法，但没人能理解。甚至连专家也不知道。正确的。所以你就…

凯蒂:(00:52:22)我喜欢这个。

燕:(00:52:22)所以你就开始往里推。我要说的第三件事。你可以从我的人生轨迹中看出我能够独立开始，但我无法独自完成成为黑客的人生轨迹。为此，我需要去读研究生。我想说的是，如果你在那里，你对计算机有一些兴奋，对黑客有一些兴奋，甚至对任何与计算机有关的事情。这适用于任何领域，真的。你失去了那种感觉，或者当你完成你的本科学业，看到真实的世界时，感觉有点难以捉摸。而且，你知道，看看朝九晚五的生活，想想研究生院吧。在亚利桑那州立大学，我们一直在寻找学生。事实上，随着网络安全的需求，每个人都在寻找学生。 But there are these. Institutions that are very committed to this real world applicable thing. Like ASU, right? One thing that we have, and I don’t mean this to be like a sales pitch. What I started at Arizona State is an apprenticeship program. So if you are interested, just shoot me an email. We have basically an open program where we bring promising people in for a research apprenticeship.

凯蒂:(00:54:07)太棒了。

燕:(00:54:08)有人找到我说，嘿，我想知道做网络安全研究，在CTF上与顶级黑客竞争是什么感觉……我的学生仍然在参加每一场CTF。我玩每一个CTF。这不是所有的CTF，但我玩的CTF不是Def Con的资格赛，否则会有利益冲突。你可以在这封邮件里说。我们有一个为期6个月的项目。你拿的是研究生的薪水，但风险很低。你只要试着了解研究是什么样子的，如果它对你有好处，那么你就可以申请研究生院。

凯蒂:(00:54:49)那么听众如何与你取得联系呢?

燕:(00:54:52)yans, Y A N S @asu.edu或。

凯蒂:(00:54:56)你经常使用什么社交媒体?

燕:(00:54:59)对，主要是推特。

凯蒂:(00:55:00)是的。

燕:(00:55:00)如果你想联系我，Zardus at Twitter, Z-A-R-D-U-S。

凯蒂:(00:55:06)太棒了。

燕:(00:55:07)这是我的黑客代号。

凯蒂:(00:55:09)燕，我们说的每件事都让我很兴奋。我认为创新社区非常渴望知道网络安全领域接下来会发生什么。这是一个顶级的创新产业。我——能听到所有的幕后运作和其中存在的那种有趣的文化真的很酷。我认为这是这个行业非常独特的一面。谢谢大家。

燕:(00:55:34)是的,当然。

凯蒂:(00:55:34)因为你上了播客。

燕:(00:55:34)很高兴来到这里。

你可以收听更多的ld体育下载 ．

*采访不是对个人或企业的认可。