繼上次的心得文後,我成功進入AIS3第五屆的課程,今天跟以往的AIS3不同,是改以集訓的形式,跟以往的上課5天、最後打Final CTF不同,我們要全程住在交大,然後過著早上9:30上課到下午5:00、晚上討論的生活,你問討論什麼?因為今天多了分組專題的活動,且分組的組員是隨機的抽選的,所以第一天晚上有破冰的活動。
分組分成了這些組別:
- 逆向工程
- 網頁安全
- 軟體開發安全與軟體工程
- 數位鑑識
- 密碼學與破密分析
- IoT與AI安全
- 國家安全
我如我所願的上了「逆向工程」組,其實在當初看到組別時,就好奇了今年為什麼沒有pwnQQ;可惜今年沒有了Final CTF,以往AIS3最好玩的部分就在Final CTF的說QQ
課程內容
Day1
社群媒體安全:網路選戰、輿論操弄與假新聞
這個session是最近很熱門的議題:假新聞,分析了假新聞的分類、散播者、管道、目的以及假新聞可能造成的危害,例如:日本關西機場事件,造成了我國大使輕生。而查核事實是困難及耗時的,麻煩事自然會有人想要自動化,所以有了電腦審查,比起人類審查速度來得快,但是準確度就值得探討。現在大多用機器學習來判斷假新聞,假新聞大多都有以下特徵:吸引人的標題、情緒化的字眼、短篇幅、下結論⋯⋯等。
接著講者介紹了該如何入坑(?,介紹了如何開始研究相關議題,像是:分析PTT上的文章,想知道發文後是否會爆還是X,或是因為作者而有不同的結果。在開始分析之前,要先搜集資料,通常會寫爬蟲。再來對資料做預處理,接著才建立模型。另外也提到了語意分析的某些難題:反串、反諷等。講師還有一個demo,用PTT的資料做一些簡單的分析。講師也提到做資料科學家大部分時間都在洗資料QQ
這個session還蠻有趣的,雖然我對機器學習沒有基礎,但也不妨礙我理解一些概論(但要實作還是差很遠。
網站應用程式安全 王凱慶
這場的講者去年也有來AIS3講課,主要說一些雲端環境下的資安問題,雲端跟傳統環境的差別:高度變化、服務數量等;也講了一些web滲透測試的步驟:從服務探索、弱點掃描到弱點驗證。
https://hackmd.io/8fglqD6USQm5_utSSxzCcA?view
破冰
不得不說,這次分組是用抽籤的這點是不錯,強迫我們打破自己的舒適圈,跟別人尬聊www,我們這一組幾本上就是自我介紹完,接著問說:對專題有無想法,然後就沒話聊了www
Day2
上午 Firmware security analysis
TODO
AI攻防:理論與實踐
TODO
Day3
利用數位鑑識分析手法找出入侵根因
TODO
Advanced Encryption Standard, AES
TODO
Day4
An Overview of Secure Software Development Lifecycle
TODO
Automatic Binary Analysis
TODO
Day5
Product Security in Practice
TODO
Without RCE: what can you do?
TODO
Day6 & Day7
Project 發表
TODO
心得
TODO
如果你覺得這篇文章很棒,請你不吝點讚 (゚∀゚)
