前言

介紹一下教育部資安人才計畫，提供學生一點學習資安的機會。
現在有很多學習資安的管道，參加講座也是很好的選擇。
多參加社群活動，可以認識很多很厲害的人。
自我學習，可以增進自己能力。
今天透過 Review 他人的投影片，並針對其中的議題做探討。

社團經驗談

大概是學長曾經問過我為什麼會把想社團往外推廣，這樣沒有意義/用處
那時候的想法，大概是想要推廣社團，希望社團可以被大家看到。
也因為推廣了社團，認識了很多人，了解自己的不足，持續繼續追求成長。

正文

Become A Security Master ~ 陳仲寬

今天來Review Become A Security Master，這份投影片，來自交大，比賽與教學經歷豐富的陳仲寬，所分享的簡報。

• 資安特殊的發展特點
  • 快速演進性
    • 資訊安全具備快速演進的性質，有句話這麼說：「資訊安全沒有絕對的安全」
    • 因為科技一直進步，所以資安的問題會一直被研究學者提出來
    • 經過改進之後，會成為新的產品，並且不斷的演進
  • 系統高度相關
    • 沒有網站、伺服器、網路，就沒有安全可談
    • 學習資安的基礎，可以從了解系統開始
      • 針對系統：Linux、Windows、MacOS等...
  • 木桶理論
    ~ 找出薄弱環節（短板），改進該環節。 -木桶原理- MBA智库百科
    • 針對系統安全性做全面系的分析，才能找到安全層級最弱的一環。
  • 破壞性思維
    • 探討思維方式的不同：攻擊者攻擊與程式設計師撰寫，是兩個不同的面相
    • 我認為要了解攻擊者與程式設計師的思路，多方探討，才能知道資安的弱點
• 學習面向
  • 我認為他提出系統化學習、深入學習、實作技術練習，三大學習面向非常的好
    • 系統化學習
      • 課程
        • 在學校中學習，比較像是在一門學問中走馬看花
      • 讀書
        • 製作筆記，了解其中的意義，可以增進對學科的見解
    • 深入學習
      • 新聞、技術文章
        • 了解最新的研究發展
      • 論文
        • 更深入探討研究
    • 實作技術練習
      • 練習
        • 不管是習題、還是撰寫程式甚至練習CTF
        • 都可以體會學科
      • 競賽
        • 提升程度，知道自己有哪些學問不懂
  • 接下來介紹交大關於資安的課程
    • 基礎課程
      • C語言
      • 組合語言
      • 作業系統
      • 網路
      • 網頁應用程式
      • 系統分析
      • 網路分析
    • 其他
      • 密碼學範疇
        • 密碼理論
        • 橢圓曲線密碼學
        • 資訊隱藏學
      • 資訊安全範疇
        • 程式安全
        • 電腦安全概論
        • 網路安全@謝續平教授
        • 電腦安全實務@謝續平教授
        • 網路安全實務─攻擊與防禦@吳育松教授
        • 軟體測試@黃世昆教授
        • 軟體除錯@黃世昆教授
  • 這裡我也來說說逢甲跟資安相關的課程
    • 密碼學
    • 電子商務安全
    • 資訊與網路安全
    • 安全程式設計
      • 課程以CTF為主，適合有興趣的同學修課。
    • 資訊安全管理
  • 線上課程
    • Malicious Software and its Underground Economy: Two Sides to Every Story

      Learn about traditional and mobile malware, the security threats they represent, state-of-the-art analysis and detection techniques, and the underground ecosystem that drives such a profitable but illegal business.

      • 線上課程，可以了解惡意軟體的分析與攻擊手法。
      • 不過筆者目前註冊，無法查看該課程內容。
    • Modern Binary Exploitation
      • 美國學生資安社群RPISEC 開設
      • 漏洞分析學習網站
        • 可針對各種exploit
        • 內涵課程的投影片
          1. Syllabus and Review
             • 名詞檢視
               • Machine
                 • 電腦、伺服器與任何實際的CPU
               • Binary
                 • 可執行的文件
                   • EXE, ELF,MachO 或其他可以在Machine執行的文件
                 • 其他別名: program, application, service (sometimes)
               • Malware
               • Vulnerability
               • Exploit
               • 0day
               • Pwn/Pwning
             • 基礎知識
               • Linux
               • C語言
               • X86 組合語言
          2. Tools and Basic Reverse Engineering
             • 何謂逆向工程
             • 逆向工具
          3. Extended Reverse Engineering
             • 利用IDA分析
             • 使用gdb和edb靜態分析
          4. Introduction to Memory Corruption
             • 談記憶體損壞
          5. Shellcoding
             • 撰寫 shellcode
          6. Format Strings
             • 談Format Strings
             • 如何利用此bug
          7. DEP and ROP
             • Data Execution Prevention
               • 數據執行保護
             • 了解DEP
          8. Secure Systems and Game Console Exploitation
             • 談遊戲機的漏洞
          9. Address Space Layout Randomization
             • ASLR漏洞
             • 暴力破解、繞過手法
          10. Heap Exploitation
              • 基於Heap的記憶體損毀
          11. Misc Concepts & Stack Canaries
              • 整數、小數點
          12. C++ Concepts and Differences
              • C++範疇
          13. Kernel Exploitation
              • 系統核心的漏洞
          14. Exploitation on 64bit, ARM, Windows
              • Windows 64位元與x86差異
          15. Automation & The Future of Exploitation
              • 自動化攻擊

今天先review到這裡，
接下來還有一些簡報當中還有一些書籍推薦，
想先去閱覽看看，
再來撰寫推薦或簡介這些書籍，感謝大家XD

教育部的資安人才培育計畫

今天想要介紹這個跟我資安生涯習習相關的教育部計畫，
我資安生涯第一個是社團，第二個是資安實習，第三個就是這個計畫。
預告:有空可以分享實習經驗XD
對這個計畫有興趣的話，可以看計畫簡介

這是計畫官網的介紹圖

我來說說我參加過這個計畫的那些活動好了，

• AIS3 新型態資安暑期課程（Advanced Information Security Summer School）

  • 今年是第四屆，也是我第三年參加，很榮幸在中區獲得第一名的佳績，希望自己再努力一點。
  • 這是一個暑假的課程，會在北區/中區/南區同時開設一個禮拜的資安課程。
    • 課程：物聯網、Web、Reverse Engineering、AI 等課程
  • 開放給大專生、高中生參加，會開放旁聽席，不過位置很少，所以還是努力爭取正取名額。
  • 參與這個計畫，必須先參加pre-exam，成績夠才有機會晉級，有資安基礎都很容易進去，別擔心。
    • 腳踏實地就好，有心都進得去課程XD。
    • 記得一定要先報名( pre-exam 前一個月就要報名了)，才能參加 pre-exam 。
  • 三年的講師不盡相同，不過都很優秀XD，如：身經百戰的戰隊講師、國外(來自韓國、日本、美國)的講師。
    • 有興趣可以參考一下今年的講師名單
  • 最後一天是 AIS3 Final CTF ，如果第一名就可以進入 HITCON Final CTF 種子隊。

• 台灣好厲駭

  • 目前是第三屆
    • 我參加過第二屆和第三屆
  • 制度
    • 導師制/資安實務導師(mentor)制度
      • 有業界跟學術界的導師可以選擇
        • 需面試
    • 高階資安實務培訓(Penetration Test、Malware Analysis、Docker-Harden Security、IOT Security、Fuzzing)
      • 會有不定期的資安實務專題講座
    • 高階CTF訓練課程(Advanced binary exploitation、Advanced Reverse Engineering、Advanced Web Hacking and exploitation、Memory Forensics、Network Forensics)

• 高中職生資安研習營

  • 暑訓SummerCamp
  • 資安實務攻防研習營Hacking Weekend

如果還是學生，對於資安有興趣的話，都可以去參加這些活動，對自己成長非常有益。

宣傳一下XD
2019/1/18 AIS EOF CTF
2019/1/19 資安初學者挑戰活動MyFirstCTF