0
本文作者: 李勤 | 2018-05-12 10:48 |
對,野生觀眾就是我本人沒有錯了。
這里的世界頂級黑客大會,當(dāng)然是宅客頻道之前報道過的 DEF CON China 。
先來定義下什么是野生觀眾。
如果你對黑客技術(shù)一知半解,妥妥的野生沒得跑了;
雖然對黑客技術(shù)不太了解,但對黑客周邊頗感興趣,也許,你可以成為一個好的野生觀眾。
下面,我來匯報下,作為一名野生觀眾,在DEF CON 第一天,我發(fā)現(xiàn)了什么有趣的事情。
文:李勤|雷鋒網(wǎng)
首先,當(dāng)然是要知道自己可以看到什么。
之前我了解到,DEF CON China 上有這么幾大版塊:
一、干貨滿滿的主旨演講
這是三天的演講概要一覽。
你可以提煉幾個信息點:
1.都是比較專業(yè)的內(nèi)容分享,而且DEF CON 收納的演講議題都是嘉賓之前沒有在別的場合分享過的。這說明,你會吸納一波新知識。
比如,宅客頻道曾經(jīng)報道過的呆子不開口曾經(jīng)發(fā)現(xiàn)了“上別人賬號”的漏洞,這次,他居然反過來,介紹了一些互聯(lián)網(wǎng)上誘導(dǎo)受害者登錄攻擊者賬號的方式(你上了我的帳號),以及由此產(chǎn)生的一些漏洞和攻擊場景。
從上到被上,滿滿都是套路。
2.至少有一半的演講者來自國外,這意味著你的英語能力要過關(guān)。實在不行,至少要搶到一個同傳設(shè)備。
3.三天的議題在領(lǐng)域分布上跨度很大。
這意味著,作為一名野生觀眾,可以提升一下能聽懂的議題優(yōu)先級。
二、Hacking Village
分為好幾個場,有些場次第一天不開放,強(qiáng)調(diào)動手能力,可以現(xiàn)場動手拆來拆去。
三、Workshop
據(jù)說是買票觀眾專屬,而且只能會前選擇性參加的對內(nèi)場次。
四、BCTF與眾測區(qū)域
之前宅客頻道曾在文章中留了一個懸念,百度SRC的加菲貓曾說,之前廠商爸爸強(qiáng)烈建議在眾測現(xiàn)場堆上百萬現(xiàn)金獎勵,觀眾都能參與破解,不知是真是假,這個可能值得前去一看究竟。
BCTF 就不用說了,黑客被圈起來競賽,聽說還有 AI 戰(zhàn)隊一起打。
一、找個專業(yè)觀眾帶路
5月11日進(jìn)場后,我在簽到臺處捕捉到了一個熟悉的身影——百度安全 X 實驗室的研究員H(就是把老婆也訓(xùn)練成女黑客那個大神)。
那還說什么,趕緊跟上去,讓專業(yè)觀眾當(dāng)“導(dǎo)游”!
不過,H這種“專業(yè)觀眾”真的是“專業(yè)的”觀眾,人家自己買票進(jìn)來,帶上白色的“付費(fèi)胸卡”,至于下圖的“綠色胸卡”,當(dāng)然。。。。是我蹭的。。。
再插一個花絮,其實還有一種顏色的胸卡(演講嘉賓),請“以胸識人”,猜猜他是誰。
H 把我?guī)У搅擞布O客Village 、生物特征識別Village和Chip Off Village 專場。
我了解到了幾個關(guān)鍵信息:
首先,這些專場Village 自帶DEF CON 原裝進(jìn)口的指導(dǎo)者(出題人)。比如,在硬件場中,指導(dǎo)者會引領(lǐng)你組裝電子時鐘,同時附上說明書。動手能力強(qiáng)的朋友如果率先組裝成功,將獲得指導(dǎo)者帶來的胸章。
再者,三天的 Village 活動中,基本不會更換玩的項目,但是對電子時鐘項目而言,第一天可能只是讓你練手,第二天可能就有小小的競賽了。
在生物識別專場中,百度安全 X 實驗室的研究員小灰灰演示了指紋、虹膜、人臉、靜脈等識別的多種攻破手段。
有時,甚至只需要打印一張紙,就能攻破這些識別方法。
DEF CON 的全球創(chuàng)始人Jeff Moss 甚至給這個演示蓋了章,稱這是讓他印象深刻的展示之一,畢竟咔咔打印一把,就能快速破解,這事太酷炫了。
師傅領(lǐng)進(jìn)門,修行在個人。
看到Village這么火爆,我把會議舉辦地昆泰酒店的一到三層翻了個底朝天,找尋其他Village的所在地。
其實,在會議入口,你就能看到Car Village,顧名思義,是針對汽車破解的技術(shù)展示。而且,門口真的停著一輛車!
但是不要高興太早,工作人員L告訴我,由于門外沒有演示屏,Car Village 的指導(dǎo)者們把幾個關(guān)鍵部件移到了室內(nèi),而且不是針對一輛車破解(畢竟開不進(jìn)來),但是指導(dǎo)者會一個一個地演示如何破解這些部件,告訴大家這些安全威脅所在。
時間關(guān)系,我找了半天沒找到演示場所,野生觀眾請自行探索。
二樓還有三個Village。
來到數(shù)據(jù)包極客攻防Village。。。。我最大的感受是,還是得學(xué)習(xí)技術(shù),不然只能看看大屏幕,比如,不懂 Web 安全的人根本沒法參與其中的游戲。
開鎖Village 可能是今天全場最火爆的一個的Village。
首先,每隔一段時間,指導(dǎo)者就會演示一次“真正的技術(shù)”,如果你特別感興趣,還能搜索更多關(guān)于“開鎖開放組織”的信息。
據(jù)工作人員介紹,這個開鎖游戲分為7階,大部分鎖上表明了難度等級。
真是不好意思,我無師自通地開了第一把鎖后,花了半個小時,再也。。。。沒有打開其他的鎖。
倒是現(xiàn)場一位志愿者小姐姐,直接從level 4下手,然后輕松打開。這讓現(xiàn)場參與者覺得,開鎖這個事情嘛。。。。還是講究天賦的。。。
不過,指導(dǎo)者告訴我,管他什么天賦不天賦,手指靈巧、會不會用力才是關(guān)鍵點,最重要的是經(jīng)驗,老師傅一般十幾分鐘就能搞定這里所有的鎖。
躲在二樓角落里的偵查Village在11號當(dāng)天閉門謝客了,有緣的朋友請第二天相見??纯聪旅孢@個告示:獎勵豐厚啊各位!
三樓還有兩個Village:藍(lán)隊Village 以及AI Village。
二、經(jīng)驗指南:多溜達(dá),不經(jīng)意處總能發(fā)現(xiàn)。。。亮點(or 槽點)
千萬不要相信一個觀眾所言,一定要多方求證,否則,你至少錯過了。。。一分錢買可樂的機(jī)會。
比如,在二樓走廊上有一臺飲料機(jī),一個小姐姐信誓旦旦地告訴我,這個飲料收費(fèi)的哦,然后,她掏出50塊錢,順利地投幣,買了一罐可樂。
但是,后來L 又告訴了我一個秘密——這臺飲料機(jī)曾經(jīng)被小灰灰破解過,可以一分錢買可樂?。。?jù)說,現(xiàn)場后來有個黑客小哥哥連著電腦成功地再次破解了它,并大聲宣示:在場的不能破的都是loser!
在二樓的BCTF與眾測現(xiàn)場,我沒有發(fā)現(xiàn)傳說中的百萬現(xiàn)金,而是。。。。一堆籌碼。。。不知為何,有一種悲涼的心境。。。
在BOX 的眾測臺上,還有一些奇怪的東西混進(jìn)來。。。據(jù)說,是為了體現(xiàn)“安全”的主題。
不過,不要高興太早,就算 BOX 放的是籌碼,你也大概率拿不走這筆100萬的獎金。
BOX 的工作人員在第一天會議結(jié)束后發(fā)了一條這樣的朋友圈:
【漏洞報告:0】截止5月11日18:00,架設(shè)在百度DefConChina黑客大賽現(xiàn)場的BOX系統(tǒng)訪問量為23934次,其中包含10次左右的正常訪問,至今為止還沒有漏洞提交報告。玻璃箱內(nèi)是運(yùn)行中的簽名機(jī),正在保護(hù)著100萬獎金。
旁邊果加的工作人員笑嘻嘻:沒關(guān)系,我們這的高危漏洞,10萬一個,上不封頂哦。
可是,作為野生觀眾的我,并不能提交這種漏洞,發(fā)財?shù)臋C(jī)會就留給你們了!
再看BCTF,Jeff 、DEF CON的全球大使 Jason.E.Street 都告訴我,他們被這場CTF 的可視化效果驚艷到了,表示 DEF CON CTF 以后說不一定可以來一波。
既然野生觀眾——我拿的是媒體票,就一定要充分利用,不能錯過和各個大佬交流的機(jī)會(終于體會到了優(yōu)勢)。
于是,下午我參加了針對Jeff Moss和百度安全事業(yè)部總經(jīng)理馬杰的采訪。
以下是遴選出的一些QA:
1.今天大會有一個參與者是13歲的中國小男孩,青少年在美國參與DEF CON的情況多嗎?你遇到年齡最小的是多大?
J:我不覺得13歲的小孩可以在不經(jīng)過父母的同意之下、或者看護(hù)之下可以來參加,但是在現(xiàn)實生活當(dāng)中,在以往的大會的現(xiàn)場當(dāng)中,我也的確看到了,父母會開車把他們只有年僅13歲的子女送到這里,讓他們來參加這個會議?;蛘哒f,我們有一個與DEF CON類似的活動,專門為6-12歲年齡段的小孩設(shè)置,但在他們父母的陪同之下,他們可以了解到關(guān)于安全方面的簡單入門知識以及倫理道德等,我在13歲時就接觸到了這些知識,所以大體上還是能夠接受這種情況。
2.BCTF 有一些創(chuàng)新點,哪些會被吸納到DEF CON的CTF當(dāng)中?
J:我首先非常欣慰地看到了在此次CTF比賽當(dāng)中出現(xiàn)了人工智能這樣的對手,我原先設(shè)想,它們可能會敗得一塌糊涂,但這就是你在不斷嘗試中,使事物變得更好的一個過程。
現(xiàn)在人工智能正處于早期階段,你要不斷地嘗試。
另外一點我想提的就是可視化,在這個過程當(dāng)中,我們要讓這些參與者覺得這是一個非常有趣的活動,必須要在可視化方面下大功夫。在不久的將來,CTF可以在可視化方面提供一個標(biāo)準(zhǔn),能夠幫助所有的人,網(wǎng)絡(luò)安全本身就特別難展現(xiàn),我希望能把這些東西用到真實的展現(xiàn)當(dāng)中,而我本人也在現(xiàn)場記錄和錄制了一段視頻和片斷,可能會吸收一些元素到美國本土的CTF當(dāng)中來。
3.百度在Village里呈現(xiàn)的生物識別等IoT領(lǐng)域,會做哪些事情?
馬:百度在AI安全或者IoT安全方面,會給很多廠商提供服務(wù),幫他們尋找問題,包括這次很多伙伴,我們跟他們解釋,希望他們來做測試,他們特別擔(dān)心來做測試,發(fā)現(xiàn)了問題會不會被媒體批評,變成負(fù)面的東西。
我們也跟他們說,當(dāng)你被用戶發(fā)現(xiàn)問題時,這就是一個負(fù)面了,如果你在這樣一個安全大會上提出一個賞金計劃,歷史經(jīng)驗告訴我們,這是正面的事情,要鼓勵這些公司勇敢地讓世界頂尖的人員參與進(jìn)來,幫助他們尋找問題。谷歌、微軟、百度每年都會請很多高手來檢查我們平臺的問題,每年拿出來的獎金數(shù)非常可觀,我們要有一個開放的心態(tài)來一起把這個生態(tài)做得十分安全。
這次我們說服了他們一起來參加這個賞金計劃,我也做了很多研究支持他們,我覺得這里面,可能未來要做的事情還是非常多的。
4.知乎上有一個貼子,有一個粉絲詢問如何在中國給 Jeff Moss送禮物,Jeff 收到了嗎?(詳見“如何才能在DEFCON China上送Jeff moss禮物?還有送什么好?”
https://www.zhihu.com/question/270236385/answer/353735060)
馬:Jeff Moss 昨天得到一個非常意外的驚喜,昨天晚餐時,我們市場人員看到了這個事情,就聯(lián)系了其中一個答主,讓他做了臺非常有趣的東西,送給Jeff Moss。
J:有一個超級粉絲在知乎上發(fā)一個問題,說我應(yīng)該送給Jeff Moss什么樣的禮物,當(dāng)時知乎上就出現(xiàn)一個冒名頂替的人物,似乎以我的身份回答了我想要什么。昨天晚上的晚餐當(dāng)中,那名超級粉絲定制了一個個人電腦帶給了我。
他利用了 IBM 傳統(tǒng)的外殼,里面是現(xiàn)代版的電腦,包括像顯示屏、鍵盤等,讓我非常感動。
馬:外殼、顯示器、鍵盤都是老的,但是機(jī)箱被改成半透明的,里面用了特別酷的最新主板和系統(tǒng),特別漂亮,還打了光。即便改造成這樣,Jeff Moss一眼就認(rèn)出了外殼的機(jī)器的型號,因為那就是Jeff 以前用過的一個型號。
J:還有一個超級粉絲在新浪微博上不斷更新我們官方發(fā)的新聞,有一天,我實在感覺很奇怪,問了問是不是百度做的,但居然不是,我覺得很驚訝。
馬(開玩笑):所以,我們要不要挖出這個幕后的作者,Jeff 跟他聊一聊?
J:好主意。
Jeff 在大會上有一段演講讓我印象深刻:
DEFCON是一個極客安全方面的會議,我們并不是一個只關(guān)于信息安全的會議,也不是要為企業(yè)來解決問題,而且并不想要把安全方面的產(chǎn)品進(jìn)行優(yōu)化。我認(rèn)為DEF CON應(yīng)該專注于挖掘人、探索人,我們想要幫助你們來發(fā)掘新東西,大家一塊來發(fā)掘,相互來學(xué)習(xí)。
所以,如果你也是一個像我一樣什么技術(shù)都不懂的“野生觀眾”,機(jī)緣巧合來到這個大會,或者因為各種原因不能參加現(xiàn)場大會,但關(guān)注到了它。
或許我們不必再深究是否能完全理解這場高大上的黑客會議的技術(shù)精髓,讓我們埋下這個火種,挖掘和探索人,發(fā)現(xiàn)新的美好,也許你打開的是另一個世界的大門。
本文作者:雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道主筆,李勤。歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號“宅客頻道”,獲取更多網(wǎng)絡(luò)安全信息。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。