阿碼外傳-阿碼科技非官方中文 Blog: 2009/5/3

2009年5月3日

No Tech -- 1

打從公司的非官方部落格設立開始,我就知道我不會發表有關技術性的文章,我想探討更多隱性的議題,所以很抱歉,本篇 “無料”。

適逢今年的 SySCAN Taiwan 籌備中,去年辦得很成功,今年則嘗試舉辦了一個 Hacker Day 的活動,事實上辦這樣的活動並不容易,需要很多因素才會出色。

在討論一個資安會議的出色因素前,我想先討論會議本質,很多投稿者沒有釐清會議本質就來投稿,就算是躺著都會被打槍 :) 試問:
1. 投稿者是否過去參加相關的會議, 了解會議所需素材的方向?
2. 投稿者是否閱讀或閱聽過去相關會議的簡報檔或多媒體檔, 了解內容的技術水準?

如果你把能投 ACM 的論文投去 USENIX, 把能投 DEFCON 的論文投去 IEEE,試想被 accept or reject 的機率孰者為高? 政治正確很重要。

以下是幾個我個人認為的會議因素:
[內容]
1. 當我們把研究分為威脅研究和技術研究的時候,有的會議都收,有的會議偏重純技術。
2. 投稿者是否已 study 相關領域的發表? 有創新的思路或利用方法很重要,或是別人僅僅在討論階段的方法,而你實作工具出來。如果是資料的蒐集整理,新意卻不足,就可惜了。

[技巧]
1. 對我個人來說,演講技巧是最不重要的,正因為身為工科背景,所以可以同理理解,並不是每個技術領域的人都擅長演說,技巧不足,其實掩蓋不了技術本身的璀璨。
2. 當然,好的技巧確實加分;不過,這也和演講者對於聽眾技術背景的定位有關,有時候一個高手的喝采,抵過滿場的掌聲; touch 不到點的發問,才有知音人難覓的感概。

[人才]
丁丁真的是個人才(誤)。

SySCAN 本身募集了相當多的歪果知名講師,其用意是舉辦高質量的技術活動。
SySCAN Taiwan Hacker Day 的用意卻是希望吸引 Taiwan 夠技術水準的職業人士,業餘人士來共襄此一盛事。

以一般資安會議來說,主要的內容提供者還是以業界和學術界為多。
而台灣業界真的有專職設立研究人員或是有研究氛圍的少,畢竟主要還是以產品開發或是技術服務為工作內容,自然產生paper的質與量就有限。
而學術界專注於這麼應用面的研究單位,好像也就這麼幾個,要滿足 Hacker Day 的需求,也是需要讀者們協助本活動的宣傳。


我故意把 '人' 這個因素擺在最後,也用了 SySCAN Hacker Day 做為一個引子,自己作為資安產業一員,我想內視自己心中的吱喳聲 :)

[道德標準]
安全管理作為安全產業的一環,似乎更要求道德標準,而安全技術人員的道德標準水位,似乎一直難以定義。
舉一個某社的口號,"我們公司不錄用會寫病毒的人",當我們更細分:
"我們公司不錄用研究病毒技巧的人"
"我們公司不錄用寫病毒惡作劇的人"
"我們公司不錄用寫病毒賺錢的人"
以上三者,事實上,放在不同組織,其選擇會有不同的集合,適才,適所。

[熱情]
在這個IT產業的一隅,熱情非常重要,資訊和技術變動的非常快,投入於其中是耗時的,時間總是不夠。
我看到了我的幾位同事,很是佩服,身為孩子的爸,有的還不只一個,還可以半夜一兩點討論資安產業的訊息,我想這是真的有熱情的人才做得到的。

熱情也決定你同一類型工作的支撐力道,當你工作中的心情總是愉悅著,偶有壓力卻也算不了苦。
當然,熱情也會 burn out,失去熱情的工作,對某些人來說,連一杯咖啡的時間都不願意等待。

[思考模式]
如果我們將思考模式分為正向思考,逆向思考,跳躍式思考,資安技術從業人員似乎需要更多的非正向思考方式,並要能與正向思考連結之。
很多時候,必須推理分析一個網站結構,網路拓樸,維護者習慣,軟體的設計,邏輯瑕疵…等等。

從業人員也需要一個符合其特質的工作環境,才能適當地與其溝通之。﹙別忘記,媒體總愛型塑這樣的人格特質 :D)

[敏感]
這裡的敏感,指的是在一個大家看起來是無害的事物,能夠察覺是一個 risk,甚至是 vulnerability。
或是從不完整的資訊,能夠歸納出接近事實的結果.

比較實際的感覺,也許玩過 Wargame 的人就能理解,有的時候就是一個 sense,或者該說聯想的程度 :p

[趣味]
趣味對某些人來說就是成就感,哪怕是博君一笑,甚至是 Do Evil.
當然你得先了熟悉你自己,有的人是寫程式寫得好會有成就感,有的人是處在安全產業的攻與防,自有無窮樂趣。

還記得高中的時候寫程式,也是寫遠端遙控程式,寫來自己玩很得意; 也誤擊過小綿羊.exe,變成 SubSeven 的被控端 :(
直到我進入了這個圈子,才確認自己的歸屬,寫程式﹙作/避免)邪惡的事情才有趣,對我而言,並非寫程式本身就有趣; 寫自己想寫的,摸索研究技術上的東西才有趣。

認識的一些朋友似乎也是這樣懵懵懂懂, 招搖撞騙才認識自己更深;年輕的讀者,你找到歸屬了嗎?

[產業]

還記得這個口號嗎? "不錄用會寫病毒的人",換個角度,這些技術人才的就業情況如何了?

"不符高道德標準" -> "往較低道德標準的工作機會發展"
"對資安工作熱情不夠" -> "往非資安工作發展"

還有甚麼可能呢? "不懂資安這個產業"!!

一開始的初衷就是好玩,沒有想到可以以這個混口飯吃,更沒有想過這樣的產業也是有前景的. ﹙無心插柳柳橙汁)
後來才領悟,當你學了一堆密碼學,網路安全課程的時候,人肉市場的供需資訊並不對稱,中間有個 gap 需要被填滿。

將近10年前,我認識 Birdman 的時候,也一起認識了 PK,那時候有好幾位都在研究系統軟體,電腦病毒,軟體破解保護,直到我當兵前當兵後,發現怎麼越來越少同好了,Birdman 跟我說,都去寫軟體了,資安會餓死。

P.S Birdman 現在還是瘦瘦的,還健在 XDD

還有甚麼可能呢? "資安產業規模及其限制"!!

你所會的技術基礎,台灣沒有符合的產業。
過去,你專精 compiler,你可能就會去寫 toolchain;現在,如各位所知道的,我們就有一項產品是用這樣的技術做出來的。
過去,你可能找來找去,不是 SI 就是代理商,因為台灣市場太小,自己做產品很容易餓死 :)
過去,你可能找來找去,不是 anti-spam,就是做 content filter,因為那樣的產品技術門檻相對的低,而且會被視為IT基礎建設,還可以有外銷的市場。

我相信還有很多業餘的資安技術份子存在著,或者是體內帶有資安因子﹙ex: 你明明是個金鋼狼,可是你還在和正常人一起生活著),更甚至你過去求職不順,收到太多"你已經加入人才資料庫,需要的時候會聯絡你"的 HR好人卡。
Armorize有高科技的潛力X光機,可以協助你一展長才

*記得* : 踴躍投稿 Hacker Day 很重要,一個了解資安人才需求的工作環境也很重要。

想了解 Armorize 有哪些人力需求 歡迎聯絡 Wayne(wayne在armorize點com)
想在投稿前,找人討論技術問題 歡迎聯絡 Kuon (kuon在armorize點com)


繼續閱讀全文...