文/李勤

对,野生观众就是我本人没有错了。

这里的世界顶级黑客大会,当然是宅客频道之前报道过的 DEF CON China。

先来定义下什么是野生观众。

  • 如果你对黑客技术一知半解,妥妥的野生没得跑了;

  • 虽然对黑客技术不太了解,但对黑客周边颇感兴趣,也许,你可以成为一个好的野生观众。

下面,我来汇报下,作为一名野生观众,在DEF CON 第一天,我发现了什么有趣的事情。

野生观众的基本修养

首先,当然是要知道自己可以看到什么。

之前我了解到,DEF CON China 上有这么几大版块:

一、干货满满的主旨演讲

这是三天的演讲概要一览。

你可以提炼几个信息点:

1.都是比较专业的内容分享,而且DEF CON 收纳的演讲议题都是嘉宾之前没有在别的场合分享过的。这说明,你会吸纳一波新知识。

比如,宅客频道曾经报道过的呆子不开口曾经发现了“上别人账号”的漏洞,这次,他居然反过来,介绍了一些互联网上诱导受害者登录攻击者账号的方式(你上了我的帐号),以及由此产生的一些漏洞和攻击场景。

从上到被上,满满都是套路。

2.至少有一半的演讲者来自国外,这意味着你的英语能力要过关。实在不行,至少要抢到一个同传设备。

3.三天的议题在领域分布上跨度很大。

这意味着,作为一名野生观众,可以提升一下能听懂的议题优先级。

二、Hacking VIllage

分为好几个场,有些场次第一天不开放,强调动手能力,可以现场动手拆来拆去。

三、Workshop

据说是买票观众专属,而且只能会前选择性参加的对内场次。

四、BCTF与众测区域

之前宅客频道曾在文章中留了一个悬念,百度SRC的加菲猫曾说,之前厂商爸爸强烈建议在众测现场堆上百万现金奖励,观众都能参与破解,不知是真是假,这个可能值得前去一看究竟。

BCTF 就不用说了,黑客被圈起来竞赛,听说还有 AI 战队一起打。

野生观众的进阶修养

一、找个专业观众带路

5月11日进场后,我在签到台处捕捉到了一个熟悉的身影——百度安全 X 实验室的研究员H(就是把老婆也训练成女黑客那个大神)。

那还说什么,赶紧跟上去,让专业观众当“导游”!

不过,H这种“专业观众”真的是“专业的”观众,人家自己买票进来,带上白色的“付费胸卡”,至于下图的“绿色胸卡”,当然。。。。是我蹭的。。。

再插一个花絮,其实还有一种颜色的胸卡(演讲嘉宾),请“以胸识人”,猜猜他是谁。

H把我带到了硬件极客Village 、生物特征识别Village和Chip Off Village 专场。

我了解到了几个关键信息:

首先,这些专场Village 自带DEF CON 原装进口的指导者(出题人)。比如,在硬件场中,指导者会引领你组装电子时钟,同时附上说明书。动手能力强的朋友如果率先组装成功,将获得指导者带来的胸章。

再者,三天的 Village 活动中,基本不会更换玩的项目,但是对电子时钟项目而言,第一天可能只是让你练手,第二天可能就有小小的竞赛了。

在生物识别专场中,百度安全 X 实验室的研究员小灰灰演示了指纹、虹膜、人脸、静脉等识别的多种攻破手段。

有时,甚至只需要打印一张纸,就能攻破这些识别方法。

DEF CON 的全球创始人Jeff Moss 甚至给这个演示盖了章,称这是让他印象深刻的展示之一,毕竟咔咔打印一把,就能快速破解,这事太酷炫了。

师傅领进门,修行在个人。

看到Village这么火爆,我把会议举办地昆泰酒店的一到三层翻了个底朝天,找寻其他Village的所在地。

其实,在会议入口,你就能看到Car Village,顾名思义,是针对汽车破解的技术展示。而且,门口真的停着一辆车!

但是不要高兴太早,工作人员L告诉我,由于门外没有演示屏,Car Village 的指导者们把几个关键部件移到了室内,而且不是针对一辆车破解(毕竟开不进来),但是指导者会一个一个地演示如何破解这些部件,告诉大家这些安全威胁所在。

时间关系,我找了半天没找到演示场所,野生观众请自行探索。

二楼还有三个Village。

来到数据包极客攻防Village。。。。我最大的感受是,还是得学习技术,不然只能看看大屏幕,比如,不懂 Web 安全的人根本没法参与其中的游戏。

开锁Village 可能是今天全场最火爆的一个的Village。

首先,每隔一段时间,指导者就会演示一次“真正的技术”,如果你特别感兴趣,还能搜索更多关于“开锁开放组织”的信息。

据工作人员介绍,这个开锁游戏分为7阶,大部分锁上表明了难度等级。

真是不好意思,我无师自通地开了第一把锁后,花了半个小时,再也。。。。没有打开其他的锁。

倒是现场一位志愿者小姐姐,直接从level 4下手,然后轻松打开。这让现场参与者觉得,开锁这个事情嘛。。。。还是讲究天赋的。。。

不过,指导者告诉我,管他什么天赋不天赋,手指灵巧、会不会用力才是关键点,最重要的是经验,老师傅一般十几分钟就能搞定这里所有的锁。

躲在二楼角落里的侦查Village在11号当天闭门谢客了,有缘的朋友请第二天相见。看看下面这个告示:奖励丰厚啊各位!

三楼还有两个Village:蓝队Village 以及AI Village。

二、经验指南:多溜达,不经意处总能发现。。。亮点(or 槽点)

千万不要相信一个观众所言,一定要多方求证,否则,你至少错过了。。。一分钱买可乐的机会。

比如,在二楼走廊上有一台饮料机,一个小姐姐信誓旦旦地告诉我,这个饮料收费的哦,然后,她掏出50块钱,顺利地投币,买了一罐可乐。

但是,后来L 又告诉了我一个秘密——这台饮料机曾经被小灰灰破解过,可以一分钱买可乐!!!据说,现场后来有个黑客小哥哥连着电脑成功地再次破解了它,并大声宣示:在场的不能破的都是loser!

在二楼的BCTF与众测现场,我没有发现传说中的百万现金,而是。。。。一堆筹码。。。不知为何,有一种悲凉的心境。。。

在BOX 的众测台上,还有一些奇怪的东西混进来。。。据说,是为了体现“安全”的主题。

不过,不要高兴太早,就算 BOX 放的是筹码,你也大概率拿不走这笔100万的奖金。

BOX 的工作人员在第一天会议结束了,发了一条这样的朋友圈

【漏洞报告:0】截止5月11日18:00,架设在百度DefConChina黑客大赛现场的BOX系统访问量为23934次,其中包含10次左右的正常访问,至今为止还没有漏洞提交报告。玻璃箱内是运行中的签名机,正在保护着100万奖金。

旁边果加的工作人员笑嘻嘻:没关系,我们这的高危漏洞,10万一个,上不封顶哦。

可是,作为野生观众的我,并不能提交这种漏洞,发财的机会就留给你们了!

再看BCTF,Jeff 、DEF CON的全球大使 Jason.E.Street 都告诉我,他们被这场CTF 的可视化效果惊艳到了,表示DEF CON CTF以后说不一定可以来一波。

野生观众的终极修养

既然野生观众——我拿的是媒体票,就一定要充分利用,不能错过和各个大佬交流的机会(终于体会到了优势)。

于是,下午我参加了针对Jeff Moss和马杰的采访。

以下是遴选出的一些QA:

1.今天大会有一个参与者是13岁的中国小男孩,青少年在美国参与DEF CON的情况多吗?你遇到年龄最小的是多大?

J:我不觉得13岁的小孩可以在不经过父母的同意之下、或者看护之下可以来参加,但是在现实生活当中,在以往的大会的现场当中,我也的确看到了,父母会开车把他们只有年仅13岁的子女送到这里,让他们来参加这个会议。或者说,我们有一个与DEF CON类似的活动,专门为6-12岁年龄段的小孩设置,但在他们父母的陪同之下,他们可以了解到关于安全方面的简单入门知识以及伦理道德等,我在13岁时就接触到了这些知识,所以大体上还是能够接受这种情况。

2.BCTF 有一些创新点,哪些会被吸纳到DEF CON的CTF当中?

J:我首先非常欣慰地看到了在此次CTF比赛当中出现了人工智能这样的对手,我原先设想,它们可能会败得一塌糊涂,但这就是你在不断尝试中,使事物变得更好的一个过程。

现在人工智能正处于早期阶段,你要不断地尝试。

另外一点我想提的就是可视化,在这个过程当中,我们要让这些参与者觉得这是一个非常有趣的活动,必须要在可视化方面下大功夫。在不久的将来,CTF可以在可视化方面提供一个标准,能够帮助所有的人,网络安全本身就特别难展现,我希望能把这些东西用到真实的展现当中,而我本人也在现场记录和录制了一段视频和片断,可能会吸收一些元素到美国本土的CTF当中来。

3.百度在Village里呈现的生物识别等IoT领域,会做哪些事情?

马:百度在AI安全或者IoT安全方面,会给很多厂商提供服务,帮他们寻找问题,包括这次很多伙伴,我们跟他们解释,希望他们来做测试,他们特别担心来做测试,发现了问题会不会被媒体批评,变成负面的东西。

我们也跟他们说,当你被用户发现问题时,这就是一个负面了,如果你在这样一个安全大会上提出一个赏金计划,历史经验告诉我们,这是正面的事情,要鼓励这些公司勇敢地让世界顶尖的人员参与进来,帮助他们寻找问题。谷歌、微软、百度每年都会请很多高手来检查我们平台的问题,每年拿出来的奖金数非常可观,我们要有一个开放的心态来一起把这个生态做得十分安全。

这次我们说服了他们一起来参加这个赏金计划,我也做了很多研究支持他们,我觉得这里面,可能未来要做的事情还是非常多的。

4.知乎上有一个贴子,有一个粉丝询问如何在中国给 Jeff Moss送礼物,Jeff 收到了吗?(详见“如何才能在DEFCON China上送Jeff moss礼物?还有送什么好?”

https://www.zhihu.com/question/270236385/answer/353735060)

马:Jeff Moss 昨天得到一个非常意外的惊喜,昨天晚餐时,我们市场人员看到了这个事情,就联系了其中一个答主,让他做了台非常有趣的东西,送给Jeff Moss。

J:有一个超级粉丝在知乎上发一个问题,说我应该送给Jeff Moss什么样的礼物,当时知乎上就出现一个冒名顶替的人物,似乎以我的身份回答了我想要什么。昨天晚上的晚餐当中,那名超级粉丝定制了一个个人电脑带给了我。

他利用了 IBM 传统的外壳,里面是现代版的电脑,包括像显示屏、键盘等,让我非常感动。

马:外壳、显示器、键盘都是老的,但是机箱被改成半透明的,里面用了特别酷的最新主板和系统,特别漂亮,还打了光。即便改造成这样,Jeff Moss一眼就认出了外壳的机器的型号,因为那就是Jeff 以前用过的一个型号。

J:还有一个超级粉丝在新浪微博上不断更新我们官方发的新闻,有一天,我实在感觉很奇怪,问了问是不是百度做的,但居然不是,我觉得很惊讶。

马(开玩笑):所以,我们要不要挖出这个幕后的作者,Jeff 跟他聊一聊?

J:好主意。

写在最后的话

Jeff 在大会上有一段演讲让我印象深刻:

DEFCON是一个极客安全方面的会议,我们并不是一个只关于信息安全的会议,也不是要为企业来解决问题,而且并不想要把安全方面的产品进行优化。我认为DEF CON应该专注于挖掘人、探索人,我们想要帮助你们来发掘新东西,大家一块来发掘,相互来学习。

所以,如果你也是一个像我一样什么技术都不懂的“野生观众”,机缘巧合来到这个大会,或者因为各种原因不能参加现场大会,但关注到了它。

或许我们不必再深究是否能完全理解这场高大上的黑客会议的技术精髓,让我们埋下这个火种,挖掘和探索人,发现新的美好,也许你打开的是另一个世界的大门。

声明:本文来自宅客频道,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。