安全研究實驗室巡禮——亞利桑那州立大學未來計算安全工程安全實驗室

本周的安全研究實驗室巡禮，我們要帶大家走進一家極具特色的聯合實驗室，它就是美國亞利桑那州立大學未來計算安全工程實驗室（SEFCOM at Arizona State University, https://sefcom.asu.edu/）

SEFCOM包括五名緊密合作的教授、兩名博士後、三名研究工程師38名博士生和10名實習生。SEFCOM的博士生不限於只與自己的導師合作，可以根據自己的研究方向和研究興趣任意選擇合作的教授，也可以與SEFCOM之外的教授合作。我們堅信興趣是驅動科研的最佳動力，因此SEFCOM的每名學生都有充分的選擇研究方向和課題的自由。

SEFCOM和CTF比賽有非常深厚的淵源。SEFCOM創立了The Order Of Overflow (OOO)，現為DEFCON CTF負責團隊，負責所有的技術及題目開發。Pwndevils (https://pwndevils.com/) 是一支以SEFCOM為主的CTF隊伍，目前是CTF戰隊Shellphish大家庭的一員。

研究方向：

SEFCOM覆蓋的研究方向非常廣闊，包括訪問控制（Access Control）、安全風險分析（Risk Assessment）、分布式系統安全、二進位分析（Binary Analysis）、網絡安全、Web安全、軟體漏洞挖掘（Vulnerability Discovery）、漏洞自動利用（Automated Exploit Generation）、漏洞修補（Vulnerability Mitigation）、逆向工程、博弈論、網絡犯罪等。二進位分析領域的常用工具angr現主要由SEFCOM維護。

知名的安全學者Gail-Joon Ahn教授(http://www.public.asu.edu/~gahn1/)是ASU SEFCOM的創建者。他致力於研究大數據驅動的安全分析、風險管理、訪問控制、網絡犯罪等課題。他與工業界，特別是三星研究院（Samsung Research）有深厚的合作關係。Gail曾獲得NSF CAREER Award、FISSEA 年度教育者獎（the Educator of the Year Award）以及CODASPY 2014最佳論文獎，並且是多個安全會議的程序委員會（Program Committee）成員。

Adam Doupé教授(https://adamdoupe.com/)的主要研究方向是網絡安全（Web Security）、移動安全（Mobile Security）、SDN安全、地下經濟、自動化漏洞挖掘、隱私安全以及安全競賽教育（hacking competition education）。他是Pwndevils CTF戰隊的創始人，也是UCSB iCTF的合作舉辦者。Adam曾獲得NSF Career Award及USENIX Security 2019最佳論文獎。Adam現為the Order of the Overflow成員，參與DEFCON CTF的技術支持及題目開發工作。

Yan Shoshitaishvili教授(https://www.yancomm.net/)的主要研究興趣是二進位程序分析，包括符號執行、漏洞挖掘、漏洞利用等方向。他曾經是知名CTF戰隊Shellphish的隊長，目前是DEFCON CTF組織者The Order Of the Overflow (OOO)的隊長。Yan還曾經帶領Shellphish團隊參加 DARPA Cyber Grand Challeng (DARPA CGC) 並在決賽中獲得了第三名。CGC決賽中使用的系統 Mechanical Phish 已經在 GitHub 上開源了。此外，Yan和Fish 於2013年共同創建了開源的二進位分析平臺angr，並持續維護至今。Yan與Fish合作的論文獲得NDSS 2017 最佳論文獎。

鮑由之（Tiffany Bao）教授(https://www.tiffanybao.com/)的主要研究興趣是自動化二進位程序分析與博弈論在軟體安全的應用。她研究的問題是如何有效利用程序分析、漏洞攻防的技術及博弈論的方法發現並最優處置漏洞，從而降低軟體漏洞所帶來的風險，實現軟體安全。她與Yan和Fish合作的論文曾獲得NSA年度最佳科學安全論文獎（Annual Best Scientific Cybersecurity Paper Award）。Tiffany現為The Order of the Overflow成員，參與DEFCON CTF的命題工作。

王若愚（Fish Wang）教授（https://ruoyuwang.me/）的主要研究興趣是二進位程序分析，包括自動化漏洞挖掘、反編譯（Binary Decompilation）、程序理解（Program Understanding）、逆向工程等。他的研究理想是有朝一日讓二進位程序比原始碼更加容易理解。Fish 和 Yan 共同創建了開源的二進位分析平臺angr，且一直維護至今。Fish是Shellphish CGC團隊的核心成員，也是Shellphish CTF團隊的核心成員。他曾獲得NDSS 2017 最佳論文獎、NSA年度最佳科學安全論文獎以及OSDI 2018最佳論文獎。

特色！

CTF（Capture The Flag）是SEFCOM的重點之一。很多時候CTF中的問題是現實安全問題的簡化版。我們認為，CTF不僅不會影響學業，反而會極大促進研究進展。因此我們鼓勵學生參與CTF，並在CTF中發現值得研究和解決的安全問題。Adam Doupé創建了 CTF戰隊pwndevils，從去年起加入了世界知名戰隊Shellphish。目前Yan、Adam和Tiffany都是DEFCON CTF 的組織者 Order of the Overflow (OOO) 的成員。Fish還在努力和Shellphish一起為有朝一日贏得DEFCON CTF默默努力著。如果你對CTF非常感興趣，SEFCOM與Shellphish都歡迎你的加入！

加入SEFCOM

ASU的計算機安全方向有雄厚的科研實力，近年來在計算機安全四大頂會上發表了多篇論文，目前在CSRankings的全美排名為第30位。專業的研究工作離不開優秀的學生。我們希望和來自世界各地的優秀學生和學者共同工作，解決實際的計算機安全問題。如果你和SEFCOM的任何一位教授有共同的研究興趣，想用三到五年時間解決一個科研難題，成為相關領域內的專家，那麼SEFCOM一定會是你的理想的研究起步之地。如果你想徵戰CTF，在CTF領域建功立業，同時又不滿足於只是提升自己的能力，仍有一點兒構建更好的工具的夢想，那麼SEFCOM也是你的理想家園。

「我怎麼知道我是否適合讀博士，是否適合美國的生活，是否適合SEFCOM呢？」問得好！為了解決這些問題，SEFCOM提供了面向任何人（包括本科生、研究生以及已畢業同學）的實習生計劃（Research Apprenticeship Program）。你可以在SEFCOM做一段時間的帶薪研究（通常為三個月到兩年），在此期間你沒有任何課業壓力，只需專注於體驗計算機安全領域的科研。如果你認為自己適合在SEFCOM的生活，可以考慮成為ASU的博士生，或者申請其它大學的博士生項目。實習生計劃的介紹與申請詳情請參見 https://sefcom.asu.edu/apprenticeship。

亞利桑那州立大學是全美最大的公立大學，地處亞利桑那州的鳳凰城。與很多同學的認知相反，鳳凰城並不是一片茫茫的沙漠，而是山谷中的一座大型城市，有著豐富的文化和娛樂生活。來SEFCOM的同學們完全不必擔心在「美國大農村」度過多年枯燥的科研時光。儘管科研是一種生活，但是有生活才有科研嘛。

點擊👇原文了解SEFCOM實習生計劃