No Tech -- 1

打從公司的非官方部落格設立開始，我就知道我不會發表有關技術性的文章，我想探討更多隱性的議題，所以很抱歉，本篇 “無料”。

適逢今年的 SySCAN Taiwan 籌備中，去年辦得很成功，今年則嘗試舉辦了一個 Hacker Day 的活動，事實上辦這樣的活動並不容易，需要很多因素才會出色。

在討論一個資安會議的出色因素前，我想先討論會議本質，很多投稿者沒有釐清會議本質就來投稿，就算是躺著都會被打槍 :) 試問：
1. 投稿者是否過去參加相關的會議， 了解會議所需素材的方向？
2. 投稿者是否閱讀或閱聽過去相關會議的簡報檔或多媒體檔， 了解內容的技術水準？

如果你把能投 ACM 的論文投去 USENIX， 把能投 DEFCON 的論文投去 IEEE，試想被 accept or reject 的機率孰者為高？ 政治正確很重要。

以下是幾個我個人認為的會議因素：
[內容]
1. 當我們把研究分為威脅研究和技術研究的時候，有的會議都收，有的會議偏重純技術。
2. 投稿者是否已 study 相關領域的發表？ 有創新的思路或利用方法很重要，或是別人僅僅在討論階段的方法，而你實作工具出來。如果是資料的蒐集整理，新意卻不足，就可惜了。

[技巧]
1. 對我個人來說，演講技巧是最不重要的，正因為身為工科背景，所以可以同理理解，並不是每個技術領域的人都擅長演說，技巧不足，其實掩蓋不了技術本身的璀璨。
2. 當然，好的技巧確實加分；不過，這也和演講者對於聽眾技術背景的定位有關，有時候一個高手的喝采，抵過滿場的掌聲； touch 不到點的發問，才有知音人難覓的感概。

[人才]
丁丁真的是個人才（誤）。

SySCAN 本身募集了相當多的歪果知名講師，其用意是舉辦高質量的技術活動。
SySCAN Taiwan Hacker Day 的用意卻是希望吸引 Taiwan 夠技術水準的職業人士，業餘人士來共襄此一盛事。

以一般資安會議來說，主要的內容提供者還是以業界和學術界為多。
而台灣業界真的有專職設立研究人員或是有研究氛圍的少，畢竟主要還是以產品開發或是技術服務為工作內容,自然產生paper的質與量就有限。
而學術界專注於這麼應用面的研究單位，好像也就這麼幾個，要滿足 Hacker Day 的需求，也是需要讀者們協助本活動的宣傳。


我故意把 '人' 這個因素擺在最後，也用了 SySCAN Hacker Day 做為一個引子，自己作為資安產業一員，我想內視自己心中的吱喳聲 :)

[道德標準]
安全管理作為安全產業的一環，似乎更要求道德標準，而安全技術人員的道德標準水位，似乎一直難以定義。
舉一個某社的口號，"我們公司不錄用會寫病毒的人"，當我們更細分：
"我們公司不錄用研究病毒技巧的人"
"我們公司不錄用寫病毒惡作劇的人"
"我們公司不錄用寫病毒賺錢的人"
以上三者，事實上，放在不同組織，其選擇會有不同的集合，適才，適所。

[熱情]
在這個IT產業的一隅，熱情非常重要，資訊和技術變動的非常快，投入於其中是耗時的，時間總是不夠。
我看到了我的幾位同事，很是佩服，身為孩子的爸，有的還不只一個，還可以半夜一兩點討論資安產業的訊息，我想這是真的有熱情的人才做得到的。

熱情也決定你同一類型工作的支撐力道，當你工作中的心情總是愉悅著，偶有壓力卻也算不了苦。
當然，熱情也會 burn out，失去熱情的工作，對某些人來說，連一杯咖啡的時間都不願意等待。

[思考模式]
如果我們將思考模式分為正向思考，逆向思考，跳躍式思考，資安技術從業人員似乎需要更多的非正向思考方式，並要能與正向思考連結之。
很多時候，必須推理分析一個網站結構，網路拓樸，維護者習慣，軟體的設計，邏輯瑕疵…等等。

從業人員也需要一個符合其特質的工作環境，才能適當地與其溝通之。﹙別忘記，媒體總愛型塑這樣的人格特質 :D）

[敏感]
這裡的敏感，指的是在一個大家看起來是無害的事物，能夠察覺是一個 risk，甚至是 vulnerability。
或是從不完整的資訊，能夠歸納出接近事實的結果.

比較實際的感覺，也許玩過 Wargame 的人就能理解，有的時候就是一個 sense，或者該說聯想的程度 :p

[趣味]
趣味對某些人來說就是成就感，哪怕是博君一笑，甚至是 Do Evil.
當然你得先了熟悉你自己，有的人是寫程式寫得好會有成就感，有的人是處在安全產業的攻與防，自有無窮樂趣。

還記得高中的時候寫程式，也是寫遠端遙控程式，寫來自己玩很得意； 也誤擊過小綿羊.exe，變成 SubSeven 的被控端 :(
直到我進入了這個圈子，才確認自己的歸屬，寫程式﹙作/避免）邪惡的事情才有趣，對我而言，並非寫程式本身就有趣； 寫自己想寫的，摸索研究技術上的東西才有趣。

認識的一些朋友似乎也是這樣懵懵懂懂， 招搖撞騙才認識自己更深；年輕的讀者，你找到歸屬了嗎？

[產業]

還記得這個口號嗎？ "不錄用會寫病毒的人"，換個角度，這些技術人才的就業情況如何了？

"不符高道德標準" -> "往較低道德標準的工作機會發展"
"對資安工作熱情不夠" -> "往非資安工作發展"

還有甚麼可能呢？ "不懂資安這個產業"!!

一開始的初衷就是好玩，沒有想到可以以這個混口飯吃，更沒有想過這樣的產業也是有前景的. ﹙無心插柳柳橙汁）
後來才領悟，當你學了一堆密碼學，網路安全課程的時候，人肉市場的供需資訊並不對稱，中間有個 gap 需要被填滿。

將近10年前，我認識 Birdman 的時候，也一起認識了 PK，那時候有好幾位都在研究系統軟體，電腦病毒，軟體破解保護，直到我當兵前當兵後，發現怎麼越來越少同好了，Birdman 跟我說，都去寫軟體了，資安會餓死。

P.S Birdman 現在還是瘦瘦的，還健在 XDD

還有甚麼可能呢？ "資安產業規模及其限制"!!

你所會的技術基礎，台灣沒有符合的產業。
過去，你專精 compiler，你可能就會去寫 toolchain；現在，如各位所知道的，我們就有一項產品是用這樣的技術做出來的。
過去，你可能找來找去，不是 SI 就是代理商，因為台灣市場太小，自己做產品很容易餓死 :)
過去，你可能找來找去，不是 anti-spam，就是做 content filter，因為那樣的產品技術門檻相對的低，而且會被視為IT基礎建設，還可以有外銷的市場。

我相信還有很多業餘的資安技術份子存在著，或者是體內帶有資安因子﹙ex： 你明明是個金鋼狼，可是你還在和正常人一起生活著），更甚至你過去求職不順，收到太多"你已經加入人才資料庫，需要的時候會聯絡你"的 HR好人卡。
Armorize有高科技的潛力X光機，可以協助你一展長才。

*記得* ： 踴躍投稿 Hacker Day 很重要，一個了解資安人才需求的工作環境也很重要。

想了解 Armorize 有哪些人力需求 歡迎聯絡 Wayne（wayne在armorize點com）
想在投稿前，找人討論技術問題 歡迎聯絡 Kuon （kuon在armorize點com）


繼續閱讀全文...