DefCon是全球最大的幾個黑客活動之一,每年在美國的拉斯維加斯都有大量的黑客、安全從業人員齊聚一堂,互相交流。而在上周,DefCon第一次在美國以外的地區舉辦——百度安全把DefCon帶到了北京。安全牛記者也有機會親臨現場,感受從美國帶來的極客氛圍。傳統的美國DefCon的亮點有CTF大賽,主論壇的演講,各類Village,以及極客音樂會。而這次百度安全将這些DefCon亮點都帶到了中國。
可視化比賽程序的BCTF
DefCon的一大亮點就在于活動中進行的CTF大賽。這次的比賽則是由百度舉辦的BCTF百度全國網絡安全技術對抗賽總決賽。在兩天的激烈大戰中,最終由來自中國的高校聯合戰隊Nu1L戰隊以34936.04的高分讓比賽桂冠所屬早早沒有了懸念,而亞軍和季軍分别由線下邀請戰隊JD-r3kapig(21367.09分)和“第二屆XCTF國際聯賽總決賽”總冠軍南韓戰隊CyKOR(15361.3分)。百度安全也與時俱進地引入了AI戰隊,最後,最佳AI攻防團隊由來自北京明朝萬達科技股份有限公司和中國科學院軟體研究所的“雲淡風輕”戰隊獲得。
本屆BCTF的一大亮點是比賽程序可視化。相比起選手,觀衆隻能看到選手們神色凝重地盯着螢幕,同時互相小聲讨論,卻對比賽程序一無所知。而這次的比賽,百度安全将比賽程序可視化後投放到大廳的大螢幕上,讓觀衆也能更直覺地實時了解比賽動态。螢幕上的各種圖示和動态像極了遊戲中的關卡攻略圖以及宇宙戰争,讓觀衆也能體驗到比賽的激烈與趣味。
而除了BCTF之外,還有各個廠商在現場擺出了自己即将釋出的産品,懸賞高額獎金讓參會者嘗試尋找其中的漏洞。
中外專家在主論壇大展身手
所謂“外行看熱鬧,内行看門道”。除了CTF大賽之外,主會場的重心莫過于大量的行業人員分享他們的相關研究。在三天的時間裡,DefCon的主會場進行了大約二十場的演講,涵蓋了包括對于某些漏洞的利用、各類攻擊模式的分析以及安全防護的分析等各個領域的報告。這些演講的内容都是演講者們的心血之作,将自己所希望分享的資訊和大家一起交流。盡管這是DefCon第一次在非美國地區舉辦,主會場的演講卻有大量的我國的專家進行分享,向外國來訪者表現了我們在安全上的投入。而海外的嘉賓則更多地與我們分享了關于行業交流以及他們對黑客的了解。
零距離接觸黑科技Villages
DefCon另一個有意思的地方在于各類公司的展出。相對于一些廠商展中展出的很多技術類産品,DefCon上的展出更有娛樂元素。很多黑客相關的平台布下展台來宣傳自己的平台,也幫助其他人更多了解黑客這個群體。很多展台也擺出了一些小謎題小遊戲供參會者放松。百度安全也更是擺出了他們的VR體驗台。在和展商的交流中,我們能感到他們對這個産業極大的熱情:黑客不隻是一些攻擊者,他們更多的是和我們一樣對某些事物抱着極大興趣的普通人。而展商們也是希望通過各種方式讓黑客們更好,也更正軌向地發展自己的興趣以及為他們提供各類幫助;同時,他們也希望通過各種機會讓大衆都能更好地了解黑客群體。
DefCon的另一個兩點莫過于Villages。每個Village都有自己特别的主題,并且圍繞着這個主題開展各種講座或者技術教學、動手指導。本次DefCon帶來了體驗解鎖樂趣的開鎖Village,了解AI的AI Village,介紹針對車聯網攻擊的汽車Village,學習資訊偵查技巧的偵查Village,針對硬體攻擊的硬體Village,對于網絡中資料傳輸的攔截破解的資料包攻防Village,推廣防禦知識的藍隊Village,以及生物識别Village和研究儀器的Chip-off Village。在這些Villages裡,參會者可以親手去嘗試開啟各種鎖,甚至制作一些小型的電子元件;也能在指導者的幫助下,在虛拟環境裡進行網絡資料的抓取和分析。指導者手把手幫助參會者對各種技術進行體驗,更好地帶領參會者學習各種有趣的安全技能。Villages的存在旨在打破人們對黑客的恐懼以及揭下黑客的神秘面紗,為了讓電腦小白都能更了解基礎的黑客技術以及擁有一定的防禦能力。
黑客也狂歡——極客音樂會
在人們一貫的印象中,極客們都是一群不懂風情的宅男,隻知道每天躲在房間裡盯着發光的螢幕敲擊着鍵盤。而事實上 ,很多極客們都是樂觀開朗的陽光人士。DefCon也有自己的極客音樂會——要知道,DefCon之前每年都是在拉斯維加斯這個紙醉金迷的地方舉行的。是以,極客們也是很會享受生活的。
而這次DefCon China的極客音樂會則命名為“DefCon中國電子之夜”,用電子音樂打造出屬于極客們的休閑氛圍。
DefCon的精髓:黑客精神
到底什麼是黑客精神?這是一個很難完全定義的問題,每個人心裡可能都有一種不同的對黑客精神的了解。但是有些品質,卻是黑客精神中必備的東西。
在DefCon的開場緻辭上,DefCon的創始人Jeff Moss就提到了自己舉辦DefCon的初衷:去探索,去發現,去關注在每一個人身上,而不是每一個企業上。他希望DefCon是一個大家互相交流,互相學習的平台;對于DefCon來說,最重要的就是看到人們能在活動中有所收獲。在Jeff Moss這裡,極客精神是關注于每個人,是一種互相交流學習的探索精神。
而這點上,這次遠道而來進行演講的外國嘉賓也深有同感。他們相信,世界各地的黑客,世界各地的人都是相似的——他們都有希望給他人分享自己知識和資訊的熱情。另一方面,他們認為黑客的本質是跳出舊有的思維,去探索新的方式和可能性——這點上,那些帶來各類工具革命的,包括紙張、蒸汽機的創造者,都可以被認為是黑客。
而對于越來越多且容易擷取的黑客工具,他們也有自己的看法。首先,對于真正的犯罪分子而言,他們會手動地去編寫自己的工具,而不隻是依賴于現有的工具或者系統。而另一方面,類似于Kali Linux的系統在他們看來,更傾向于是對防禦方使用的,而非攻擊者:因為很多工具,比如Metasploit,對于防禦者來說更有價值。其中一位嘉賓更是提出了“不知攻,何知守”的概念:他認為,通過更多攻擊者的工具,防禦者可以更好地去了解攻擊者的思路,進而更好地去了解防禦。也有嘉賓提到,無論是對攻防哪一方,最重要的事情是專注于将任務完成,而不是使用的工具——去适應工具,利用工具才是重要的。
一定程度上,他們的觀念對大衆而言帶着更多的新鮮感以及颠覆性:黑客們一點都不神秘,他們也都是一群普通人。但是,黑客們都有着不走尋常路的思維方式、探索了解更深層的求知欲、希望分享知識的熱情以及對各種資訊和可能更加寬廣的接受度。而這些,是這次DefCon能讓我們近距離感受到的黑客精神。
安全牛評
有些人會認為DefCon追求的是情懷,但是安全牛認為,DefCon已經遠遠超出了情懷。情懷是一個刻意去追求的目标和境界,而根據安全牛記者在現場的體驗,那些黑客精神已經深深融入了DefCon整個活動當中,它已經是一種自然,無需刻意地去追求。而這種氛圍不僅僅是展現在創始人Jeff Moss本人或是前來演講的嘉賓,也包括了DefCon的志願者、從業人員以及那些前來參會的人。他們也願意和其他人交流,分享自己的故事和知識;他們也願意去了解其他人,對新鮮的事物有好奇,去嘗試——這才是DefCon的意義:不是去宣傳一種價值,而是将這種價值完全融入這個環境,帶給所有參加的人。
我們也需要更多的這樣的活動,來促進人們對安全、對黑客、對技術的興趣與了解。感謝百度安全這次将DefCon帶到了中國。
原文釋出時間為:2018-05-18
本文作者:星雲
本文來自雲栖社群合作夥伴“
安全牛”,了解相關資訊可以關注“
”。