DefCon是全球最大的几个黑客活动之一,每年在美国的拉斯维加斯都有大量的黑客、安全从业人员齐聚一堂,相互交流。而在上周,DefCon第一次在美国以外的地区举办——百度安全把DefCon带到了北京。安全牛记者也有机会亲临现场,感受从美国带来的极客氛围。传统的美国DefCon的亮点有CTF大赛,主论坛的演讲,各类Village,以及极客音乐会。而这次百度安全将这些DefCon亮点都带到了中国。
可视化比赛进程的BCTF
DefCon的一大亮点就在于活动中进行的CTF大赛。这次的比赛则是由百度举办的BCTF百度全国网络安全技术对抗赛总决赛。在两天的激烈大战中,最终由来自中国的高校联合战队Nu1L战队以34936.04的高分让比赛桂冠所属早早没有了悬念,而亚军和季军分别由线下邀请战队JD-r3kapig(21367.09分)和“第二届XCTF国际联赛总决赛”总冠军韩国战队CyKOR(15361.3分)。百度安全也与时俱进地引入了AI战队,最后,最佳AI攻防团队由来自北京明朝万达科技股份有限公司和中国科学院软件研究所的“云淡风轻”战队获得。
本届BCTF的一大亮点是比赛进程可视化。相比起选手,观众只能看到选手们神色凝重地盯着屏幕,同时相互小声讨论,却对比赛进程一无所知。而这次的比赛,百度安全将比赛进程可视化后投放到大厅的大屏幕上,让观众也能更直观地实时了解比赛动态。屏幕上的各种图标和动态像极了游戏中的关卡攻略图以及宇宙战争,让观众也能体验到比赛的激烈与趣味。
而除了BCTF之外,还有各个厂商在现场摆出了自己即将发布的产品,悬赏高额奖金让参会者尝试寻找其中的漏洞。
中外专家在主论坛大展身手
所谓“外行看热闹,内行看门道”。除了CTF大赛之外,主会场的重心莫过于大量的行业人员分享他们的相关研究。在三天的时间里,DefCon的主会场进行了大约二十场的演讲,涵盖了包括对于某些漏洞的利用、各类攻击模式的分析以及安全防护的分析等各个领域的报告。这些演讲的内容都是演讲者们的心血之作,将自己所希望分享的信息和大家一起交流。尽管这是DefCon第一次在非美国地区举办,主会场的演讲却有大量的我国的专家进行分享,向外国来访者表现了我们在安全上的投入。而海外的嘉宾则更多地与我们分享了关于行业交流以及他们对黑客的理解。
零距离接触黑科技Villages
DefCon另一个有意思的地方在于各类公司的展出。相对于一些厂商展中展出的很多技术类产品,DefCon上的展出更有娱乐元素。很多黑客相关的平台布下展台来宣传自己的平台,也帮助其他人更多了解黑客这个群体。很多展台也摆出了一些小谜题小游戏供参会者放松。百度安全也更是摆出了他们的VR体验台。在和展商的交流中,我们能感到他们对这个产业极大的热情:黑客不只是一些攻击者,他们更多的是和我们一样对某些事物抱着极大兴趣的普通人。而展商们也是希望通过各种方式让黑客们更好,也更正轨向地发展自己的兴趣以及为他们提供各类帮助;同时,他们也希望通过各种机会让大众都能更好地理解黑客群体。
DefCon的另一个两点莫过于Villages。每个Village都有自己特别的主题,并且围绕着这个主题开展各种讲座或者技术教学、动手指导。本次DefCon带来了体验解锁乐趣的开锁Village,了解AI的AI Village,介绍针对车联网攻击的汽车Village,学习信息侦查技巧的侦查Village,针对硬件攻击的硬件Village,对于网络中数据传输的拦截破解的数据包攻防Village,推广防御知识的蓝队Village,以及生物识别Village和研究仪器的Chip-off Village。在这些Villages里,参会者可以亲手去尝试开启各种锁,甚至制作一些小型的电子元件;也能在指导者的帮助下,在虚拟环境里进行网络数据的抓取和分析。指导者手把手帮助参会者对各种技术进行体验,更好地带领参会者学习各种有趣的安全技能。Villages的存在旨在打破人们对黑客的恐惧以及揭下黑客的神秘面纱,为了让电脑小白都能更了解基础的黑客技术以及拥有一定的防御能力。
黑客也狂欢——极客音乐会
在人们一贯的印象中,极客们都是一群不懂风情的宅男,只知道每天躲在房间里盯着发光的屏幕敲击着键盘。而事实上 ,很多极客们都是乐观开朗的阳光人士。DefCon也有自己的极客音乐会——要知道,DefCon之前每年都是在拉斯维加斯这个纸醉金迷的地方举行的。所以,极客们也是很会享受生活的。
而这次DefCon China的极客音乐会则命名为“DefCon中国电子之夜”,用电子音乐打造出属于极客们的休闲氛围。
DefCon的精髓:黑客精神
到底什么是黑客精神?这是一个很难完全定义的问题,每个人心里可能都有一种不同的对黑客精神的理解。但是有些品质,却是黑客精神中必备的东西。
在DefCon的开场致辞上,DefCon的创始人Jeff Moss就提到了自己举办DefCon的初衷:去探索,去发现,去关注在每一个人身上,而不是每一个企业上。他希望DefCon是一个大家互相交流,互相学习的平台;对于DefCon来说,最重要的就是看到人们能在活动中有所收获。在Jeff Moss这里,极客精神是关注于每个人,是一种相互交流学习的探索精神。
而这点上,这次远道而来进行演讲的外国嘉宾也深有同感。他们相信,世界各地的黑客,世界各地的人都是相似的——他们都有希望给他人分享自己知识和信息的热情。另一方面,他们认为黑客的本质是跳出旧有的思维,去探索新的方式和可能性——这点上,那些带来各类工具革命的,包括纸张、蒸汽机的创造者,都可以被认为是黑客。
而对于越来越多且容易获取的黑客工具,他们也有自己的看法。首先,对于真正的犯罪分子而言,他们会手动地去编写自己的工具,而不只是依赖于现有的工具或者系统。而另一方面,类似于Kali Linux的系统在他们看来,更倾向于是对防御方使用的,而非攻击者:因为很多工具,比如Metasploit,对于防御者来说更有价值。其中一位嘉宾更是提出了“不知攻,何知守”的概念:他认为,通过更多攻击者的工具,防御者可以更好地去了解攻击者的思路,从而更好地去理解防御。也有嘉宾提到,无论是对攻防哪一方,最重要的事情是专注于将任务完成,而不是使用的工具——去适应工具,利用工具才是重要的。
一定程度上,他们的观念对大众而言带着更多的新鲜感以及颠覆性:黑客们一点都不神秘,他们也都是一群普通人。但是,黑客们都有着不走寻常路的思维方式、探索了解更深层的求知欲、希望分享知识的热情以及对各种信息和可能更加宽广的接受度。而这些,是这次DefCon能让我们近距离感受到的黑客精神。
安全牛评
有些人会认为DefCon追求的是情怀,但是安全牛认为,DefCon已经远远超出了情怀。情怀是一个刻意去追求的目标和境界,而根据安全牛记者在现场的体验,那些黑客精神已经深深融入了DefCon整个活动当中,它已经是一种自然,无需刻意地去追求。而这种氛围不仅仅是体现在创始人Jeff Moss本人或是前来演讲的嘉宾,也包括了DefCon的志愿者、工作人员以及那些前来参会的人。他们也愿意和其他人交流,分享自己的故事和知识;他们也愿意去了解其他人,对新鲜的事物有好奇,去尝试——这才是DefCon的意义:不是去宣传一种价值,而是将这种价值完全融入这个环境,带给所有参加的人。
我们也需要更多的这样的活动,来促进人们对安全、对黑客、对技术的兴趣与理解。感谢百度安全这次将DefCon带到了中国。
原文发布时间为:2018-05-18
本文作者:星云
