很幸運今年在保有著學生身分的時候成功透過甄選上了 AIS3,這篇短短寫一下心得,最近研究愈來愈忙,文章都寫不太出來,這篇就簡短寫,想到什麼寫什麼,有興趣想要知道其他東西的可以私訊粉專。
感謝願意掛名推薦小弟的 HackerCat 與 飛飛,在 AIS3 有句話一直被提起的叫做「受之小惠,回以大德」,包含這篇文章,包含之後的很多事情,也希望以兩位為鏡,將這份愛才之心傳下去。
前言
關於 AIS3 是什麼,這邊就不多做贅述,簡言之就是教育部舉辦的一個為期七天的資安營隊,前面四天上課,後面三天專題發表,總共七天。營隊中充滿了各式各樣的主題課程,內容也非常有深度,這邊挑幾點我覺得比較重要的出來聊聊。
想講的分別是選組、課程、專題這三個區塊,這三個也可以基本說是涵蓋了 AIS3 的全部。但其中有一些點是我特別想拿出來聊聊的,選組裡面有很多眉角是光看那些敘述也很難選出來,跟預期的有點落差的部分需要重新理解,課程則是我特別喜歡 AIS3 的地方,裡面很多課程都很棒,但同時也有不那麼優秀的課程,但整體是瑕不掩瑜。最後是花很多時間的專題,這邊則是有點微妙了。
選組
在不管用什麼方式成功錄取課程之後,我們都需要在下面四個組別中選一個,四個組別分別是:
- (A) 軟體、網頁及IoT安全
- (B) 情資運用及防禦
- (C) 進階資安攻防競技
- (D) 跨域資訊安全
只是比較遺憾的事情是,在進去之前我們很難真的知道這四個組別分別在做些什麼。只能靠著這些字眼或是往年的課程表大概推斷出內容是些什麼。但我其實那時候在選組的時候看了往年的課表跟網路上資料也不太知道到底每個組別分別在做些什麼。根據今年的經驗大概可以把組別做這樣的註釋:
- (A) 軟體、網頁、IoT的攻擊概念與一點點的防禦相關知識
- (B) 情資與機器學習
- (C) CTF 技巧 (reverse + web居多)
- (D) 工控、AD、紅隊等等五花八門
其實還是有點像在抽獎,如果你是很愛打 CTF 的,選到 C 大概會很高興。如果本身對紅隊、滲透有一點認知,大概 A 會是不錯的選擇。而 B 則是如同題目說的有情資,但,恭喜,課程大半時間都在機器學習。最後是聽起來題目涵蓋範圍很廣的 D,確實如同組別名稱,真的範圍很廣。
課程
在進入課程內容之前,我想先講講 AIS3 的課程整體編排與品質。整體而言我會給 AIS3 的課程的水準一個中間偏上的高分,多數講師其實都是具有硬實力的講者,像是中華資安、TXOne、TeamT5 的講師都準備很充足的內容,也可以真的學到很多東西。但有些課程卻不是那麼盡人意,如同上面說的機器學習跟其中有一些很明顯講師的實力或準備不足的課程也有。
遺憾的是,課程並不是想選什麼就選什麼,而是必須跟主修綁在一起,由於我是 B 組所以 B 組的課程都要上,如果有一個時段開的其他課程就沒辦法選起來上。所以這邊雖然會分開講,但我也不是真的有上到其他三組的很多課程。
(A) 軟體、網頁及IoT安全
這個組別基本上是由中華資安跟DEVCORE負責,我有聽到的內容分別講了漏洞研究跟網頁、雲端安全,都講得很好,漏洞都是從漏洞的角度出發,而網頁雲端安全則是從技術面去切入,可以學到很多。
(B) 情資運用及防禦
B組則是由奧義智慧科技及 TeamT5 負責,TeamT5 講情資確實講得很好,深入淺出,也帶到很多平常接觸不太到的知識點,可以一窺情資研究的面貌。至於另外一組的課程我自己是真的覺得很可惜,花太多太多時間講機器學習了。倒不是說機器學習對於情資跟防禦沒用,但我不是機器學習出身的RRRRRRR。講了這麼多機器學習跟情資分析的關聯,導致整個組別的課程的主題從情資及防禦,變成情資及機器學習。沒有什麼更多可以學的東西,這樣的課程安排及內容的重複性也導致大家的專題做得東西都變成很類似,明明防禦理應還有很多東西可以講的。
(C) 進階資安攻防競技
我沒在打 CTF 不予置評。但根據有聽的人說都覺得不錯。
(D) 跨域資訊安全
總共聽了三堂課,TXOne 講工控,講得非常好。另外一個是掛著講金融的羊頭實際上都在老人講古的廢課,還有一堂調查局講紅隊的課程,講得有點太淺了,我覺得就算我對紅隊一點也不熟聽到也不會學到什麼。據說講得最好的是 AD 的課,但可惜衝堂,沒辦法上,這是 AIS3 最大的遺憾。
專題
在課程的第六天開始會被要求要上台進行專題發表,專題發表做的事情基本上跟碩士生的課堂報告很像,就是找一個小題目並試著解決他。然後把過程的經緯都詳細的寫出來然後上台 15 分鐘發表之後會有評審給一些建議。
缺點
先講講缺點好了。專題這個概念… 我覺得不是不好,但有幾個很明顯很明顯的弊端。
- 所需時間太長
- 壓縮到課堂學習品質
- 主題限制太強
1, 2 基本上可以放在一起講。專題要求我們在第五天的結束的時候有一個考察的結果出來,而就時間的安排上課程是上到第四天,而周一到周三的晚上都是有安排活動的。所以能做專題的時間非常非常少,這意味著我們必須要額外花費晚上的時間做,就表示會嚴重壓縮到睡眠品質進而影響課程。更別說課堂的時間很多都會被拿來做專題而不是認真上課。
再者是主題的限制太強的問題,由於助教的理解及課程學習到的內容,大家做的事情都大同小異,A 組做的事情就是找漏洞、打漏洞或是做漏洞的復現,像關於 AD 滲透、提權等等的內容就比較少,關於 Enum 工具其實也有很多可以解決的問題,但專題的方向就相對很侷限,可能也是因為大家都是從 CTF 打進來的關係。更別說 B 組完全都是做機器學習了,機器學習固然很好,但專題的限制問題,或是可以說是,引導太少的問題,導致每個人選的東西都很類似。
至於要怎麼解決,把大家放在一起捲這個概念倒不是太差,只是我會覺得可以不用做得像一個碩士生,而是像大學生就好了,在場大多數也其實都是大學生。把要做的事情變少,把更多的時間拿去好好上課,或是不上課的話可以多像是議題討論或是小教室由助教、其他優秀學員上課的環節,時間上可以做更靈活的安排。專題發表固然看起來很漂亮,但是不是到最後流於形式,我覺得很難講。
優點
接著來聊聊優點,前面都講成這樣了優點還是比較少,優點是把大家放在一起捲死,非常刺激,每個人都把自己的極限逼出來,晚上都不睡覺做題目,讓來參與的人可以有一個震撼教育,很特別的經驗。
總結
AIS3 作為一個教育部的七天營隊,沒有供吃但有供住,而且還給了很好的場地跟學習環境跟全台灣數一數二頂尖的師資陣容,實在沒什麼好挑剔的了,我上課上得很開心也學到很多平常沒學到的東西,唯一稍微小可惜的大概只有課程內容都不是一些職場常見的技術,跟職場環境的銜接相對是比較薄弱的。
簡單寫了一篇作為本次的心得,如果之後有閒的話可能會考慮把 CTF 練熟之後再去,不然沒有 CTF 經驗的話會少學很多東西,畢竟大家的背景都還是從 CTF 出身的。
感謝閱讀,本文同步發表於FB粉絲專頁 PP學習筆記。
