「風聲太大,聽得不清楚。」
乒乓,毫無疑問的神作。你以為講的是競技比賽,其實講的是人生啊。
上一篇提到了《鋼鍊》可能排不上我心目中前十幾名的神作,今天介紹的則是想推薦給大家的神作動畫,松本大洋的《乒乓》。因為篇幅才僅僅的11集,其實滿好入坑的。
漫畫原作就有的神一般分鏡,加上動畫扭曲與浮誇的線條凸顯畫面張力,人物性格塑造鮮明有別,台詞簡短有力,許多台詞也都很耐人尋味。劇情更不用多說,從打球到勝負,從勝負到人生,每一個角色的故事,每一場對決的意義,緊湊刺激的比賽、角色心境的變化。雖然故事主題是桌球,但許多哲理放在人生上都是適合的。就像孔文革的教練說的:「我說的不是打球,是說人生呢。」
整個乒乓的故實,其實一直圍繞著努力與才能。在故事裡頭,有才能的人會輸給努力的人,但是努力的人,還是會輸給有才能又努力的人。關於整個劇情,是如何描述充滿不公平卻又真實的人生,這邊我難得的想推薦一個Youtube影片。(不過還是建議先看完動畫才看影評吧。我自己本身是屬於不看那種幾分鐘說電影的,我覺得還是要自己看過才會懂。但這部真的是影評啦~而且說得挺精彩。)
而說到努力與才能,當然不止是打球,任何一個領域不都是如此。而資安圈不也是嗎?雖然我不知道這次介紹的所有知名大神,所有厲害的專家,甚至是我沒有提到的人,到底誰的天份多,誰的努力多,卻有件事可以確定 - 不管是一個資質駑鈍的人、是一個天資聰穎的人,還是千年一遇的天才駭客。每個人,一定都必須得努力。如同乒乓的故事,如同上面推薦影片 A Jie 說的:「努力只是一個基本,沒有人可以不努力。」
還有~動畫中有句台詞,「居然要在乒乓上賭上人生,真是荒唐。」,是前面幾集,月本回嗆風間的一段話。但是在最後月本卻是跟風間說了「其實為了桌球賭上人生也不錯啊」,反倒是風間回了我才不要。其實也是挺有意思的。大家也可以想想,自己的人生是不是賭在資安上了,這樣的人生不錯嗎?
出神入化:22位世界頂尖白帽駭客(下篇)
[資安漫談] 登峰造極:22位世界頂尖白帽駭客(上篇)
[資安漫談] 出神入化:22位世界頂尖白帽駭客(下篇)
三項聲明在前一篇提過,這篇也一樣就不重複說了。
Joanna Rutkowska
Joanna Rutkowska 是一位知名的波蘭駭客和安全研究員,推特帳號@rootkovska,專注於底層技術安全(low-level security)、系統安全、隱匿惡意軟體(stealth malware)和虛擬化技術安全領域。她是 Invisible Things 實驗室創始人之一,也曾在多家知名安全公司擔任技術顧問,如 Coseinc 和 Invisible Things Lab 等,並參與了多個重要安全項目的研究和開發工作。
在研究方面,Joanna Rutkowska 曾發現多個重大的安全漏洞和弱點,例如硬體漏洞和攻擊、軟體漏洞和攻擊、虛擬化漏洞和攻擊等等。她也對反間諜技術、隱私保護、資訊安全政策等方面進行了深入的研究和探討。
Joanna Rutkowska 以其在 2006 年發表的 Blue Pill 的 Rootit 技術而聞名,這個漏洞影響了當時的虛擬化技術,威脅到了虛擬機器的安全性。她的研究成果和發現的漏洞被廣泛地應用於虛擬化技術的安全性提升工作中,為電腦安全領域的發展做出了巨大貢獻。
同時,Joanna Rutkowska 也積極參與和推動開源項目和安全標準,如 Trusted Computing、Qubes OS、Blue Pill 和 Red Pill 等,以提高操作系統和虛擬化技術的安全性。Qubes OS 是一款基於虛擬化技術的操作系統,可提供更高的安全性和隔離性。而 Blue Pill 和 Red Pill 則是兩種虛擬機技術,可以用來實現反間諜和安全測試等目的。
除了研究和開發工具,Joanna Rutkowska 也曾在多個國際會議和媒體上發表過許多論文和演講,致力於推廣和普及安全知識和技術。她對虛擬化技術、安全作業系統和 Rootkit 等方面的研究和開發貢獻,不僅影響了資安圈,也對整個資訊行業產生了重大影響。
Felix ‘FX’ Lindner
Felix ‘FX’ Lindner 是來自德國的資安專家,知名白帽駭客。他是 Recurity Labs 的創始人和安全研究主管,曾經發現和報告了許多重大漏洞。
Lindner 專門研究硬體和軟體安全,曾經在多個安全會議上發表過演講,包括 Black Hat Briefings、CanSecWest、PacSec、DEFCON 和 CCC。他的演講主題通常涉及到物聯網、攻擊技術、漏洞利用等。研究主題包括 Cisco IOS、HP printers、SAP 和 RIM BlackBerry。
Halvar Flake
Halvar Flake,本名 Thomas Dullien,是一位德國資安專家,以漏洞研究、逆向工程和惡意程式分析聞名,他的漏洞研究和反病毒技術貢獻為行業做出了重大貢獻。推特帳號@halvarflake,個人網站有詳細介紹。
他曾在 Black Hat、CanSecWest 和其他知名資安會議上發表過演講。他也是 zynamics 公司的創始人之一,該公司開發高度專業化的逆向工程工具,包含一個知名的產品 BinDiff。
其實他的個人網站已經介紹得有夠詳細了,我覺得想多了解的可以直接看看他的網站。
Eyal Itkin
Eyal Itkin 是一位以色列的白帽駭客,目前是安全公司 Check Point 的研究員。他曾在多個安全領域發表過演說,也曾發現過許多知名漏洞和研究。推特帳號@EyalItkin,個人網站也有列出詳細發表的內容。
Eyal Itkin 在資安領域有深入研究的專家,其發現的漏洞和研究對於改進網絡安全非常重要。
以下是 Eyal Itkin 曾經發現過的一些知名漏洞或是研究:
FAXPLOIT 漏洞:一個對於 HP 噴墨印表機的遠端代碼執行嚴重漏洞,漏洞編號為 CVE 2018-5924 及 CVE 2018-5925。該漏洞影響 HP 上百款的產品,幾乎遍及 HP 旗下所有噴墨系列印表機。
微軟 RDP 漏洞:微軟 Remote Desktop Protocol (RDP) 客戶端中的安全漏洞,CVE-2019-0887。該漏洞允許攻擊者不僅可以繞過微軟發布的補丁,還可以繞過任意的路徑規範化檢查。
數位相機 PTP 漏洞:透過數位相機 DSLR 的圖片傳輸協議 PTP (Picture Transfer Protocol)進行遠端代碼執行的漏洞。任何支援支援 PTP 的相機都可能遭受攻擊。
上述提及的漏洞,在 Check Point 的研究網站都有相關的參考漏洞分析文章。
Philippe Arteau
Philippe Arteau 是一位來自加拿大的資安專家,推特帳號@h3xstream。他是 GoSecure 的一名安全研究員。他的研究主要集終於網路安全、密碼學、滲透測試、靜態分析等領域。他參與許多資安相關的研究和開發,也曾經在許多國際性的資安會議上發表演講。
他是知名護靜態分析工具 Find Security Bugs的作者,也是名為 Security Code Scan 的 .NET 靜態分析工具的貢獻者。在 Google Chrome、DropBox、Runkeeper、Jira 等多個知名軟體與應用程式中發現了重大漏洞。出席各種國際會議,包括 Black Hat Arsenal、SecTor、AppSec USA、ATLSecCon、NorthSec、Hackfest (QC)、44CON 和 JavaOne。
Van Hauser
Van Hauser,德國的資安專家,以其對資安工具和技術的貢獻和研究而聞名。Van Hauser 是 The Hacker’s Choice 的創始人之一。也是 THC-Scan、hydra、amap 等著名工具的主要開發人員之一。他開發的工具發現對資安界的發展做出了重要貢獻。
他還撰寫了許多研究論文 “Placing Backdoors through Firewalls”‵、 “How to cover your tracks” and “Anonymizing Unix Systems”,曾多次受邀在國際性的資安會議上發表演講。
Alexander Peslyakr
Alexander Peslyak( Александр Песляк )是俄羅斯的白帽駭客、非常資深的安全專家,另一個廣為人知的別名為 Solar Designer。自 1997 年以來一直從事計算機和網路安全行業,並且在此之前就一直從事軟體開發工作。Alexander 是 Openwall Project 和 Openwall GNU/*/Linux 的開源項目作者和負責人,Openwall, Inc. 的創始人兼首席技術官。Peslyak 也是廣受歡迎的密碼破解工具 John the Ripper 的作者。
他在資安圈以漏洞利用技術出版而聞名,這些技術包括第一個通用的基於堆的緩衝區溢出利用技術(the first generic heap-based buffer overflow exploitation technique)、第一個“return-into-libc”風格的緩衝區溢出漏洞利用(the very first “return-into-libc” style buffer overflow exploits)、第一個 Windows 緩衝區溢出漏洞(the very first Windows buffer overflow exploit)。
也因為 Alexander Peslyak 的成就與貢獻,在2009 年,他在著名的安全大會上獲得了網路安全領域最負盛名的榮譽之一,Pwnie Award終身成就獎。
Jayson E. Street
Jayson E. Street,美國的知名白帽駭客,他曾經擔任過多個知名安全公司的高級研究員和執行副總裁。他在資安領域擁有超過 20 年的經驗,專注於社交工程學、滲透測試、紅隊演練、物理滲透等領域。
他也是資訊安全社群中的活躍份子之一,DEF CON Groups 的全球大使。一位活躍的演講者,曾經在多個國際安全會議上發表過演講,例如 DEFCON、DerbyCon、UCON 等。並且經常受邀在各種場合進行社會工程學的示範和培訓。
出版書籍《Dissecting the hack: The F0rb1dd3n Network》以及《Dissecting the hack: The V3rb0t3n Network》,藉由虛擬的故事,讓讀者可以了解駭客攻擊與駭客文化。
Ole André V. Ravnås
Ole André V. Ravnås 是一位挪威的資安研究人員,白帽駭客,NowSecure 的安全研究員,推特帳號為@oleavr。熱衷於逆向工程和動態檢測。他是該領域中的專家之一,經常在國際性的資安會議上發表演講,分享他的研究成果。
Ole André V. Ravnås 也是知名的動態分析工具 Frida 的創造者,該工具可以幫助資安人員和開發人員快速檢測和利用應用程式的漏洞。它可以用來劫持(Hook)應用程式的函數,修改應用程式的內容,並且能夠實時監控應用程式的行為。
Ole André V. Ravnås 是一位非常優秀的資安專家,還開發了許多有用的工具,如 Frida, oSpy, libmimic 以及 JBLinux,這些工具對資安人員和開發人員來說都非常寶貴,對於推進資安技術的發展起到了重要的作用。
Thomas d’Otreppe de Bouvette
Thomas d’Otreppe de Bouvette,比利時籍,是一名無線安全研究員,可以說是無線網路駭客當中最受尊敬的白帽駭客之一。他是 Aircrack-ng 的創建者,Aircrack-ng 是最流行和最完整的 WiFi 網絡安全評估工具套件。
他還創建了 OpenWIPS-ng,一個開源無線入侵防禦系統。Thomas 也是 Backtrack Linux 中 WiFi 相關工具集的貢獻者,Backtrack Linux 就是現在知名的滲透測試作業和系統 Kali Linux 的前身。
他還以主動無線安全課程的作者而著稱,該課程已面向全球大量 IT 安全專業人員進行授課。Thomas 在美洲和歐洲演講和教學,是 DefCon、BlackHat、DerbyCon、SharkFest、Mundo Hacker Day、BruCON 和其他場所的著名演講者。
Orange Tsai
台灣之光,蔡政達 aka Orange Tsai,推特帳號@orange_8361。專注於 0day 挖掘以及應用層安全的研究。DEVCORE 首席資安研究員,曾參與多項國際資安會議演講,多屆 Black Hat USA、DEFCON、HITCON、CODE BLUE、HITB 講師。
曾獲得 2021與2022 駭客大賽 Pwn2Own 冠軍、2019 年駭客奧斯卡 Pwnie Awards 「Best Server-Side Bug」 得獎人。並且其發表的攻擊技術連續多次上榜 PortSwigger 的「年度十大網站攻擊技術」,並獲得2017及2018年的十大網站攻擊技術第一名。
Orange Tsai 曾在許多知名產品以及廠商當中挖掘過嚴重漏洞,包含非常知名的 Exchange Server 漏洞「ProxyLogon」,還有 Fortinet以及 Pulse Secure 的 SSL VPN 產品漏洞。
其實我想不用多說,相信資安圈的大家也對於 Orange 再熟悉不過,尤其是專注於滲透測試與網頁安全的技術人員,幾乎一定會聽過 Orange 的名子。但不論是由於我自己本身對於網頁安全的興趣,還是真的太佩服 Orange,總之,就還是打算文章中提及一下。
補充
最後當然再強調一下,這次介紹的白帽駭客,有不少的遺珠之憾。例如,
- HD Moore,美國知名駭客,Metasploit項目的創始人,也是領先的開源漏洞利用框架 Metasploit 核心開發人員。
- 專注於雲端安全的資安研究員 Scott Piper,在 AWS 方面具有多年的實務經驗,持續推動和發展 AWS 的安全和架構。
- Microsoft Azure 的首席技術官兼技術研究員Mark Russinovich,他在 Sysinternals 編寫並發布了數十種流行的 Windows 管理和診斷實用程式。
- 韓國天才駭客 Lokihardt。曾經在網路上看過別人這麼說,雖然新聞經常報導「天才駭客」,但在CTF圈被公認的駭客也就兩個,一個就是Lokihardt,另一個則是文章第一個介紹的Geohot。不過我自己沒打CTF 戰隊,很不熟悉 Lokihardt 與其他選手,所以文章介紹也比較沒從CTF角度出發。
還有知名 SQL Injection 自動化工具 Sqlmap 的開發人員 Bernardo Damele、Android 的 Root 工具 Magisk 的開發者 John Wu、族繁不及備載,還請見諒。打字寫文章也是很累的,寫技術 Write-up 都比較輕鬆。這篇也沒有提到神鬼駭客的 Edward Snowden,未來有機會應該會專門寫一篇提及與他相關的內容。
補充,如果有興趣了解更多白帽駭客,除了看參加研討會、看文獻、看文章以外,也可以看看 HackerOne 的訪談系列,也是一種認識更多國際級的知名駭客的方式。
每次都有的最後的最後,如同提到的鋼鍊與乒乓的故事,在資訊安全這條路上,努力是件很重要的事情,不論有才能還是沒有才能的人都需要努力,而最終要成為甚麼樣的駭客,要成為甚麼樣的人,取決於你的選擇。
如果文章內容有誤,還請不吝惜留言或是 Facebook 粉絲專頁私訊向我告知,我會非常感謝的。