對，野生觀眾就是我本人沒有錯了。

這里的世界頂級黑客大會，當(dāng)然是宅客頻道之前報道過的 DEF CON China 。

先來定義下什么是野生觀眾。

• 如果你對黑客技術(shù)一知半解，妥妥的野生沒得跑了；

• 雖然對黑客技術(shù)不太了解，但對黑客周邊頗感興趣，也許，你可以成為一個好的野生觀眾。

下面，我來匯報下，作為一名野生觀眾，在DEF CON 第一天，我發(fā)現(xiàn)了什么有趣的事情。

文：李勤｜雷鋒網(wǎng)

野生觀眾的基本修養(yǎng)

首先，當(dāng)然是要知道自己可以看到什么。

之前我了解到，DEF CON China 上有這么幾大版塊：

一、干貨滿滿的主旨演講

這是三天的演講概要一覽。

你可以提煉幾個信息點：

1.都是比較專業(yè)的內(nèi)容分享，而且DEF CON 收納的演講議題都是嘉賓之前沒有在別的場合分享過的。這說明，你會吸納一波新知識。

比如，宅客頻道曾經(jīng)報道過的呆子不開口曾經(jīng)發(fā)現(xiàn)了“上別人賬號”的漏洞，這次，他居然反過來，介紹了一些互聯(lián)網(wǎng)上誘導(dǎo)受害者登錄攻擊者賬號的方式（你上了我的帳號），以及由此產(chǎn)生的一些漏洞和攻擊場景。

從上到被上，滿滿都是套路。

2.至少有一半的演講者來自國外，這意味著你的英語能力要過關(guān)。實在不行，至少要搶到一個同傳設(shè)備。

3.三天的議題在領(lǐng)域分布上跨度很大。

這意味著，作為一名野生觀眾，可以提升一下能聽懂的議題優(yōu)先級。

二、Hacking Village

分為好幾個場，有些場次第一天不開放，強(qiáng)調(diào)動手能力，可以現(xiàn)場動手拆來拆去。

三、Workshop

據(jù)說是買票觀眾專屬，而且只能會前選擇性參加的對內(nèi)場次。

四、BCTF與眾測區(qū)域

之前宅客頻道曾在文章中留了一個懸念，百度SRC的加菲貓曾說，之前廠商爸爸強(qiáng)烈建議在眾測現(xiàn)場堆上百萬現(xiàn)金獎勵，觀眾都能參與破解，不知是真是假，這個可能值得前去一看究竟。

BCTF 就不用說了，黑客被圈起來競賽，聽說還有 AI 戰(zhàn)隊一起打。

野生觀眾的進(jìn)階修養(yǎng)

一、找個專業(yè)觀眾帶路

5月11日進(jìn)場后，我在簽到臺處捕捉到了一個熟悉的身影——百度安全 X 實驗室的研究員H（就是把老婆也訓(xùn)練成女黑客那個大神）。

那還說什么，趕緊跟上去，讓專業(yè)觀眾當(dāng)“導(dǎo)游”！

不過，H這種“專業(yè)觀眾”真的是“專業(yè)的”觀眾，人家自己買票進(jìn)來，帶上白色的“付費(fèi)胸卡”，至于下圖的“綠色胸卡”，當(dāng)然。。。。是我蹭的。。。

再插一個花絮，其實還有一種顏色的胸卡（演講嘉賓），請“以胸識人”，猜猜他是誰。

H 把我?guī)У搅擞布O客Village 、生物特征識別Village和Chip Off Village 專場。

我了解到了幾個關(guān)鍵信息：

首先，這些專場Village 自帶DEF CON 原裝進(jìn)口的指導(dǎo)者（出題人）。比如，在硬件場中，指導(dǎo)者會引領(lǐng)你組裝電子時鐘，同時附上說明書。動手能力強(qiáng)的朋友如果率先組裝成功，將獲得指導(dǎo)者帶來的胸章。

再者，三天的 Village 活動中，基本不會更換玩的項目，但是對電子時鐘項目而言，第一天可能只是讓你練手，第二天可能就有小小的競賽了。

在生物識別專場中，百度安全 X 實驗室的研究員小灰灰演示了指紋、虹膜、人臉、靜脈等識別的多種攻破手段。

有時，甚至只需要打印一張紙，就能攻破這些識別方法。

DEF CON 的全球創(chuàng)始人Jeff Moss 甚至給這個演示蓋了章，稱這是讓他印象深刻的展示之一，畢竟咔咔打印一把，就能快速破解，這事太酷炫了。

師傅領(lǐng)進(jìn)門，修行在個人。

看到Village這么火爆，我把會議舉辦地昆泰酒店的一到三層翻了個底朝天，找尋其他Village的所在地。

其實，在會議入口，你就能看到Car Village，顧名思義，是針對汽車破解的技術(shù)展示。而且，門口真的停著一輛車！

但是不要高興太早，工作人員L告訴我，由于門外沒有演示屏，Car Village 的指導(dǎo)者們把幾個關(guān)鍵部件移到了室內(nèi)，而且不是針對一輛車破解（畢竟開不進(jìn)來），但是指導(dǎo)者會一個一個地演示如何破解這些部件，告訴大家這些安全威脅所在。

時間關(guān)系，我找了半天沒找到演示場所，野生觀眾請自行探索。

二樓還有三個Village。

來到數(shù)據(jù)包極客攻防Village。。。。我最大的感受是，還是得學(xué)習(xí)技術(shù)，不然只能看看大屏幕，比如，不懂 Web 安全的人根本沒法參與其中的游戲。

開鎖Village 可能是今天全場最火爆的一個的Village。

首先，每隔一段時間，指導(dǎo)者就會演示一次“真正的技術(shù)”，如果你特別感興趣，還能搜索更多關(guān)于“開鎖開放組織”的信息。

據(jù)工作人員介紹，這個開鎖游戲分為7階，大部分鎖上表明了難度等級。

真是不好意思，我無師自通地開了第一把鎖后，花了半個小時，再也。。。。沒有打開其他的鎖。

倒是現(xiàn)場一位志愿者小姐姐，直接從level 4下手，然后輕松打開。這讓現(xiàn)場參與者覺得，開鎖這個事情嘛。。。。還是講究天賦的。。。

不過，指導(dǎo)者告訴我，管他什么天賦不天賦，手指靈巧、會不會用力才是關(guān)鍵點，最重要的是經(jīng)驗，老師傅一般十幾分鐘就能搞定這里所有的鎖。

躲在二樓角落里的偵查Village在11號當(dāng)天閉門謝客了，有緣的朋友請第二天相見?？纯聪旅孢@個告示：獎勵豐厚啊各位！

三樓還有兩個Village：藍(lán)隊Village 以及AI Village。

二、經(jīng)驗指南：多溜達(dá)，不經(jīng)意處總能發(fā)現(xiàn)。。。亮點（or 槽點）

千萬不要相信一個觀眾所言，一定要多方求證，否則，你至少錯過了。。。一分錢買可樂的機(jī)會。

比如，在二樓走廊上有一臺飲料機(jī)，一個小姐姐信誓旦旦地告訴我，這個飲料收費(fèi)的哦，然后，她掏出50塊錢，順利地投幣，買了一罐可樂。

但是，后來L 又告訴了我一個秘密——這臺飲料機(jī)曾經(jīng)被小灰灰破解過，可以一分錢買可樂?。。?jù)說，現(xiàn)場后來有個黑客小哥哥連著電腦成功地再次破解了它，并大聲宣示：在場的不能破的都是loser！

在二樓的BCTF與眾測現(xiàn)場，我沒有發(fā)現(xiàn)傳說中的百萬現(xiàn)金，而是。。。。一堆籌碼。。。不知為何，有一種悲涼的心境。。。

在BOX 的眾測臺上，還有一些奇怪的東西混進(jìn)來。。。據(jù)說，是為了體現(xiàn)“安全”的主題。

不過，不要高興太早，就算 BOX 放的是籌碼，你也大概率拿不走這筆100萬的獎金。

BOX 的工作人員在第一天會議結(jié)束后發(fā)了一條這樣的朋友圈：

【漏洞報告：0】截止5月11日18:00，架設(shè)在百度DefConChina黑客大賽現(xiàn)場的BOX系統(tǒng)訪問量為23934次，其中包含10次左右的正常訪問，至今為止還沒有漏洞提交報告。玻璃箱內(nèi)是運(yùn)行中的簽名機(jī)，正在保護(hù)著100萬獎金。

旁邊果加的工作人員笑嘻嘻：沒關(guān)系，我們這的高危漏洞，10萬一個，上不封頂哦。

可是，作為野生觀眾的我，并不能提交這種漏洞，發(fā)財?shù)臋C(jī)會就留給你們了！

再看BCTF，Jeff 、DEF CON的全球大使 Jason.E.Street 都告訴我，他們被這場CTF 的可視化效果驚艷到了，表示 DEF CON CTF 以后說不一定可以來一波。

野生觀眾的終極修養(yǎng)

既然野生觀眾——我拿的是媒體票，就一定要充分利用，不能錯過和各個大佬交流的機(jī)會（終于體會到了優(yōu)勢）。

于是，下午我參加了針對Jeff Moss和百度安全事業(yè)部總經(jīng)理馬杰的采訪。

以下是遴選出的一些QA：

1.今天大會有一個參與者是13歲的中國小男孩，青少年在美國參與DEF CON的情況多嗎？你遇到年齡最小的是多大？

J：我不覺得13歲的小孩可以在不經(jīng)過父母的同意之下、或者看護(hù)之下可以來參加，但是在現(xiàn)實生活當(dāng)中，在以往的大會的現(xiàn)場當(dāng)中，我也的確看到了，父母會開車把他們只有年僅13歲的子女送到這里，讓他們來參加這個會議?；蛘哒f，我們有一個與DEF CON類似的活動，專門為6-12歲年齡段的小孩設(shè)置，但在他們父母的陪同之下，他們可以了解到關(guān)于安全方面的簡單入門知識以及倫理道德等，我在13歲時就接觸到了這些知識，所以大體上還是能夠接受這種情況。

2.BCTF 有一些創(chuàng)新點，哪些會被吸納到DEF CON的CTF當(dāng)中？

J：我首先非常欣慰地看到了在此次CTF比賽當(dāng)中出現(xiàn)了人工智能這樣的對手，我原先設(shè)想，它們可能會敗得一塌糊涂，但這就是你在不斷嘗試中，使事物變得更好的一個過程。

現(xiàn)在人工智能正處于早期階段，你要不斷地嘗試。

另外一點我想提的就是可視化，在這個過程當(dāng)中，我們要讓這些參與者覺得這是一個非常有趣的活動，必須要在可視化方面下大功夫。在不久的將來，CTF可以在可視化方面提供一個標(biāo)準(zhǔn)，能夠幫助所有的人，網(wǎng)絡(luò)安全本身就特別難展現(xiàn)，我希望能把這些東西用到真實的展現(xiàn)當(dāng)中，而我本人也在現(xiàn)場記錄和錄制了一段視頻和片斷，可能會吸收一些元素到美國本土的CTF當(dāng)中來。

3.百度在Village里呈現(xiàn)的生物識別等IoT領(lǐng)域，會做哪些事情？

馬：百度在AI安全或者IoT安全方面，會給很多廠商提供服務(wù)，幫他們尋找問題，包括這次很多伙伴，我們跟他們解釋，希望他們來做測試，他們特別擔(dān)心來做測試，發(fā)現(xiàn)了問題會不會被媒體批評，變成負(fù)面的東西。

我們也跟他們說，當(dāng)你被用戶發(fā)現(xiàn)問題時，這就是一個負(fù)面了，如果你在這樣一個安全大會上提出一個賞金計劃，歷史經(jīng)驗告訴我們，這是正面的事情，要鼓勵這些公司勇敢地讓世界頂尖的人員參與進(jìn)來，幫助他們尋找問題。谷歌、微軟、百度每年都會請很多高手來檢查我們平臺的問題，每年拿出來的獎金數(shù)非常可觀，我們要有一個開放的心態(tài)來一起把這個生態(tài)做得十分安全。

這次我們說服了他們一起來參加這個賞金計劃，我也做了很多研究支持他們，我覺得這里面，可能未來要做的事情還是非常多的。

4.知乎上有一個貼子，有一個粉絲詢問如何在中國給 Jeff Moss送禮物，Jeff 收到了嗎？（詳見“如何才能在DEFCON China上送Jeff moss禮物？還有送什么好？”

https://www.zhihu.com/question/270236385/answer/353735060）

馬：Jeff Moss 昨天得到一個非常意外的驚喜，昨天晚餐時，我們市場人員看到了這個事情，就聯(lián)系了其中一個答主，讓他做了臺非常有趣的東西，送給Jeff Moss。

J：有一個超級粉絲在知乎上發(fā)一個問題，說我應(yīng)該送給Jeff Moss什么樣的禮物，當(dāng)時知乎上就出現(xiàn)一個冒名頂替的人物，似乎以我的身份回答了我想要什么。昨天晚上的晚餐當(dāng)中，那名超級粉絲定制了一個個人電腦帶給了我。

他利用了 IBM 傳統(tǒng)的外殼，里面是現(xiàn)代版的電腦，包括像顯示屏、鍵盤等，讓我非常感動。

馬：外殼、顯示器、鍵盤都是老的，但是機(jī)箱被改成半透明的，里面用了特別酷的最新主板和系統(tǒng)，特別漂亮，還打了光。即便改造成這樣，Jeff Moss一眼就認(rèn)出了外殼的機(jī)器的型號，因為那就是Jeff 以前用過的一個型號。

J：還有一個超級粉絲在新浪微博上不斷更新我們官方發(fā)的新聞，有一天，我實在感覺很奇怪，問了問是不是百度做的，但居然不是，我覺得很驚訝。

馬（開玩笑）：所以，我們要不要挖出這個幕后的作者，Jeff 跟他聊一聊？

J：好主意。

寫在最后的話

Jeff 在大會上有一段演講讓我印象深刻：

DEFCON是一個極客安全方面的會議，我們并不是一個只關(guān)于信息安全的會議，也不是要為企業(yè)來解決問題，而且并不想要把安全方面的產(chǎn)品進(jìn)行優(yōu)化。我認(rèn)為DEF CON應(yīng)該專注于挖掘人、探索人，我們想要幫助你們來發(fā)掘新東西，大家一塊來發(fā)掘，相互來學(xué)習(xí)。

所以，如果你也是一個像我一樣什么技術(shù)都不懂的“野生觀眾”，機(jī)緣巧合來到這個大會，或者因為各種原因不能參加現(xiàn)場大會，但關(guān)注到了它。

或許我們不必再深究是否能完全理解這場高大上的黑客會議的技術(shù)精髓，讓我們埋下這個火種，挖掘和探索人，發(fā)現(xiàn)新的美好，也許你打開的是另一個世界的大門。

本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道主筆，李勤。歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號“宅客頻道”，獲取更多網(wǎng)絡(luò)安全信息。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。