YouTube网络安全教育者在她的突然之旅和机器学习的未来

凯蒂Paxton-Fear

当Katie Paxton-Fear在当天发现了两天的遗漏时,她被引入了Bug Bounty狩猎时,她认为这是一种侥幸。

但是英国基础科学毕业很快意识到,她的经验性和数据科学和软件工程中的经验性和可转移技能意味着它不是一次性的。

现在兼职Bug Bounty Hunter,Paxton-Fear(@insiderphd.)也在攻读国防和安全的博士学位,是一名大学讲师,并提供免费的教育工具,她很受欢迎YouTube Channel.针对缺乏经验的bug赏金猎人。

说话每日SWbeplay2018官网IG.Paxton-Fear在书中讨论了机器学习、人工智能,以及她对用数据科学处理传统的bug寻找技术的看法。


你什么时候第一次对网络ecurity感兴趣的?

我进入保安部门几乎是出于意外。我一直想读博士,成为一名学者。在我大学的最后一年,我本可以选择一门安全课程,但我选择了其他的课程,因为我认为它太难了。

然后我在曼彻斯特的一家公司工作,从事数据科学,研究销售数据。当我申请博士学位时,有两个选择:数据科学加安全性和数据科学加音乐,我觉得安全性听起来更有趣。



你是怎么进入虫子的?

我的一个朋友恰好是一个bug猎手,他们邀请我参加HackerOne的一个指导活动。(一开始)我说我不感兴趣,但同辈压力(最终)起作用了。

我记得在去伦敦的火车上(去参加活动的途中),我想:“我不会去找漏洞,但我会玩得很开心,并学习一些我不熟悉的安全知识。”当然,我发现了我的第一个bug,然后是第二个bug。


阅读更多最新的Bug Bounty新闻


我非常震惊——我的背景是数据科学和软件工程。我一直对计算机及其工作原理感兴趣,但从未对安全感兴趣。

我以为这是一个完整的侥幸。然后我被邀请到拉斯维加斯,发现了两个虫子,我意识到了,挂断 - 我真的可能会对这个。


你认为你的研究人才来自哪里?

我认为我在软件工程方面的经验使那些第一个错误对我来说非常简单。我在想:“如果我是一个开发人员,我该如何构建它?”它给了我“x光视觉”,这建立了可能存在安全漏洞的直觉。

这是一个解决问题的事情,就像是Sherlock Holmes一样,我自然是一个好奇的人。我喜欢解决谜题。


相关的mail.ru的vladimir dubrovin:为什么要啤酒堆积应该是安全进程的“零件和包裹”


是否有一些类型的错误,你对发现或两者都擅长发现,或两者兼而有之?

业务逻辑错误是我最喜欢的虫子。一个错误,我发现允许您延长或缩短飞机跑道的长度。通过更短的跑道,您可能会导致大量死亡,因为波音747不能及时减慢。

从技术上讲,这实际上是一个相当简单的bug,但当你添加上下文和影响时,它就会变得非常有趣。


什么因素会影响您选择bug赏金程序?

我喜欢与对那些对黑客正在做的公司合作,谁会很快回答你的问题,如果你不太解释一下,他们就不会试图关闭你;他们会[礼貌]询问更多信息。我喜欢拥有来回的关系 - 有点是那个安全团队的一部分。

我也喜欢API黑客。我认为api是发现漏洞的好地方。



在披露安全漏洞时,您是否遇到过任何重大问题?

我与之合作的每一件公司都是超级专业,至少来自我与Hackerone的经验。我觉得真的支持,当然你可以与分类[员工]交谈,特别是在黑客实时活动。


是什么激励你设置YouTube频道,在写作时正在接近16k订阅者?

我在拉斯维加斯的哈克隆直播活动作为一个借导者,并最终显示了其他介导如何使用Burp [套房]。然后我意识到错误狩猎的差距,你有初学者[课程]如何安装Burp,你有先进的东西 - “这就是我发现的方式RCE.通过谷歌、亚马逊或特斯拉赚了30万美元。”

但是对于中间地带的人——寻找他们的第一个bug的人——感觉没有太多的资源。我想填补这个空白。我(制作)我感兴趣的东西和我认为能够真正帮助人们的秘密的视频,就像我在2019年(开始寻找bug时)一样。

我有很多追随者,他们现在比我更擅长捕虫,所以我为自己建立的社区感到非常自豪。


受到推崇的漏洞赏金领袖Clément多明戈连锁漏洞的最大影响


在#levelup0x07呈现关于在信息安全领域使用人工智能和机器学习的后果。您如何看待这种技术在发展过程中对bug搜索的支持?

人工智能基本上是一种能像人类一样思考的计算机程序,但有时人类并没有真正深入思考。如果我们饿了,这不是一个很复杂的决定。同样地,有些人工智能系统非常简单。

但我们也有非常复杂的想法,我们可以识别图像,(人工智能可以通过图像识别系统复制),还有很多介于两者之间的东西。

我们不会看到人工智能取代漏洞搜寻,因为它需要来自漏洞搜寻者的大量数据,而没有人会提供这些数据。

我们正在看到自动化和建立这些自动化管道的人的趋势,这可能被认为是简单的AI,但从根本上看,你永远无法取代人类的创造力。您仍然需要一个人在管道末尾[决定是否值得调查或不进行]。


你如何看待网络犯罪分子和安全团队之间永无止境的战役的AI?

我们应该最关心的是不是虫子和恶意演员是否正在使用AI.要查找漏洞,但已部署的AI系统并未在像Hackerone这样的平台上进行测试。

我认为我们会看到更多的攻击者试图针对这些系统。作为一个社区,我认为我们需要开始鼓励数据科学家,AI工程师和机器学习工程师成为黑客自己并开始黑客攻击这些AI系统。


你未来几年的职业规划是什么?

我有一名讲师,在英国,这意味着做研究以及教学。所以我现在有能力研究我想要的任何安全研究领域。它感到非常令人兴奋和可怕的是被告知“只是狂野”。

我真的很想为安全研究做出一些强有力的贡献,特别是使用bug猎手收集的现有数据,用更多的数据科学增强[研究]方法。它是获得那些可视化和理解下一步可能是什么——清理数据,给它贴上标签……在我们拥有完全自动化的bug查找机器之前,还有很多阶段要经历。

而且我将永远是黑客,发现错误,并制作提供免费技术知识的YouTube视频,因为很多人无力或获得大学级课程。


阅读更多符合Bug Bounty平台,将社区放入众群安全