YouTube网络安全教育者关于她的虫子狩猎之旅和机器学习的未来
当凯蒂·帕克斯顿(Katie Paxton)在被介绍的那一天发现了两个漏洞时,她认为这是一种flu虫。
但是英国基于科学的毕业生很快意识到,她的数据科学和软件工程中的好奇性质和可转让技巧意味着这不是一次性的。
现在是兼职虫子赏金猎人Paxton-Fear(@insiderphd)还致力于国防和安全博士学位,担任大学讲师,并为她的流行提供免费的教育工具YouTube频道针对缺乏经验的虫子赏金猎人。
讲话每日swbeplay2018官网ig,Paxton-Fear讨论了机器学习,AI,以及她对数据科学进行详细说明传统虫子狩猎技术的愿景。
您何时对网络安全感兴趣?
我几乎错误地陷入了安全。我一直想攻读博士学位并成为一名学者。在大学的最后一年,我可以选择一个安全课程,但是我做了其他事情,因为我认为这太难了。
然后,我在曼彻斯特的一家公司工作,从事数据科学,研究销售数字。然后,当我申请博士学位时,有两种选择:数据科学以及安全性和数据科学以及音乐,我认为安全听起来更有趣。
您是如何进入虫子狩猎的?
我的一个朋友恰好是一个猎人,他们邀请我参加Hackerone经营的指导。[起初]我说我不感兴趣,但是同伴压力[最终]奏效。
I remember being on the train to London [en route to the event] and thinking: “I’m not going to find a bug, but I’ll have a good time and learn about a part of security that I’m not familiar with.” And of course, I found my first, then my second bug.
我感到非常震惊 - 我的背景在数据科学和软件工程方面非常重要。我一直对计算机以及它们的工作方式感兴趣,但从未安全。
我以为这是一个完整的fluke。然后,我被邀请到拉斯维加斯,发现了另外两个错误,我意识到,坚持下去 - 我实际上可能擅长于此。
您认为发现虫子的才能来自哪里?
我认为我在软件工程方面的经验导致这些最初的错误对我来说很简单。我在想:“如果我是开发人员,我将如何建立这个?”它给了我“ X射线愿景”,它建立了那种可能存在安全漏洞的直觉。
这是解决问题的事情,例如成为夏洛克·福尔摩斯(Sherlock Holmes),我自然是一个好奇的人。我喜欢解决难题。
有关的Mail.ru的Vladimir Dubrovin:为什么Bug Bounties应该是安全过程的“部分和包裹”
您是否有某些类型的错误,您特别感兴趣,擅长发现或两者兼而有之?
业务逻辑错误是我最喜欢的错误。我发现的一个错误使您可以延长或缩短飞机跑道的长度。通过使跑道短得多,您可能会造成很多死亡,因为波音747无法及时放慢速度。
从技术上讲,这实际上是一个简单的错误,但是当您在上下文中添加并影响时,这确实很有趣。
哪些因素会影响您选择的漏洞赏金计划?
我喜欢与对黑客所做的事情感兴趣的公司合作,他们会很快回答您的问题,如果您不太解释某些事情,他们就不会试图让您关闭;他们(礼貌地)要求提供更多信息。我喜欢在来回关系中 - 有点像该安全团队。
我也喜欢API黑客。我认为API是发现漏洞的好地方。
披露安全漏洞时,您是否遇到了任何主要问题?
我与之合作的每一家公司都具有超级专业性,至少根据我在Hackerone的经验。我感到非常支持,当然,您可以与Triage(员工)交谈,尤其是在Hackerone现场活动中。
是什么促使您设置YouTube频道,该频道在撰写本文时正在接近16K订户?
我以受训者的身份参加了在拉斯维加斯举行的Hackerone现场活动,并最终向其他受训者展示了如何使用Burp [Suite]。然后,我意识到,搜寻虫子的差距是您有初学者(在]如何安装BURP的课程中,您拥有高级内容 - “这是我找到RCE并与Google,Amazon或Tesla赚300,000美元的方式”。
但是对于中间立场 - 寻找第一个错误的人 - 感觉没有很多资源。我想填补这个空白。我(制作了我的感兴趣的视频)以及我认为确实可以帮助人们在2019年(启动bug狩猎时)处于同一位置的秘密。
我有关注者现在比我要好得多,所以我为建立的社区感到非常自豪。
推荐的漏洞赏金负责人克莱门特·多明戈(ClémentDomingo
你在#lastup0x07上呈现关于在Infosec中使用AI和机器学习的后果。您如何看待这项技术支持虫子随着虫子的发展?
AI基本上是一个可以像人类一样思考的计算机程序,但有时人类并没有真正深刻地思考。如果我们饿了,那不是一个非常复杂的决定。同样,某些AI系统非常简单。
但是我们也有非常复杂的思想,我们可以识别图像,[AI可以通过图像识别系统复制],两者之间有广泛的多样性。
我们不会看到AI替代bug狩猎,因为它需要大量的错误猎人数据,而且没有人会提供该数据。
我们看到了一种自动化的趋势和人们建立这些自动化管道的趋势,这可能被认为是简单的AI,但是从根本上讲,您永远无法取代人类的创造力。在管道结束时,您仍然需要一个人(以决定是否值得调查)。
您如何看到AI适合网络犯罪分子和安全团队之间的无休止的战斗?
我们最关心的不是猎人和恶意演员是否正在使用AI为了找到漏洞,但是已经在Hackerone之类的平台上进行了测试且未对其进行测试的AI系统。
我认为我们会看到更多的攻击者试图针对这些系统。作为一个社区,我认为我们需要开始鼓励数据科学家,AI工程师和机器学习工程师自己成为黑客,并开始黑客入侵这些AI系统。
未来几年您的职业计划是什么?
我担任讲师的工作,在英国,这意味着进行研究和教学。因此,我现在有能力研究我想要的任何安全研究领域。被告知“狂野”,这真是令人兴奋和恐怖。
我真的很想为安全研究做出一些巨大的贡献,尤其是在使用Bug Hunters收集的现有数据并通过更多的数据科学来增强[研究]方法。它正在获得这些可视化效果,并了解下一步可能是什么 - 清理数据,对其进行标签……在我们进行完全自动化的错误狩猎机之前,必须发生许多阶段。
而且,我将永远在黑客攻击,找到错误,并制作YouTube视频,以提供免费的技术知识,因为很多人负担不起或可以访问大学级课程。
