一场别开生面的黑客面基大会

简介:

“歪?我是XXX007(花名)。”

“我是700XXX。”

“你也喜欢用python?”

“对啊。”

握手.jpg

一场别开生面的黑客面基大会

以上是我脑海中黑客小哥哥的面基情景,然而现实可能有些偏差。最近,雷锋网编辑就见证了一场别开生面的黑客面基大会。

面基大会

这场黑客面基大会正经名字是AsiaSecWest国际安全技术峰会,举办地在中国香港,据说是第一次漂洋过海来到亚洲。

如果把这场大会比作极客版《最强大脑》,来自全世界各地的演讲者们上演的就是一场脑力大比拼,具体议题编辑在另一篇文中已有揭秘,给围观群众指个路

虽说是脑力比拼,但大会的主旨是交友(面基)学习,大家也格外佛系。比如某小哥在演讲中途demo出了bug,小哥一度尝试失败,下面听演讲的小哥们笑地前仰后合,不过在他演讲结束后仍然鼓起了掌,并且在结束后兴冲冲跑去加了好友。又比如某小哥演讲后在问答环节遭遇了灵魂拷问,但台下两人仍友好地讨论起来。

除了讲者,主办方也来了一场别开生面的面基。主角是来自腾讯玄武实验室的TK教主于旸和CanSecWestde的创始人Dragos Ruiu。

TK和Dragos并非第一次见面,早在2013年,教主就作为演讲者首次登上CanSecWest。据说当时因为他的演讲,促使微软设立了一个漏洞防御挑战赛最高10万美元的大奖。(具体发生了神马可以翻翻我雷以前的文章)

随后每年的CanSecWest也都有TK的身影,Dragos也很给力,CanSecWest漂洋过海的第一站就搭上了TK。

为了表示友好,两位还在现场搞了个互动送礼的环节。(其实看到两人面前摆的电脑时编辑就产生了不切实际的幻想,比如互黑进对方系统进行一些神操作……)

现实是,TK的确送出一个独特的“黑客装置”。

据说这个设计源于2015年,他在Dragos举办的东京PacSec安全会议上演示了使用恶意制作的条形码引发感染系统上的shell命令。

“当时在现场演示这个技术时,Dragos非常有兴趣地跑上台协助我们演示。”

据TK解释,演示用到的这个条码阅读器是一个国外产品,在很多超市甚至工厂场景里都会用到。当时,这种新的攻击类型条形码可以印刷在纸上,或以电子形式提供上传图像,以基于Web的条码扫描系统进行扫码。

“但我们发现这个设备本身存在一个设计上的问题,可利用这一设备在所连接的电脑上执行任何命令,实现对电脑的控制。同时,我们发现这种利用是可以通过发射激光实现的。只要设备发射出了一束激光到条码阅读器前,相关数据就可编码为激光信号,并最终通过激光实现对这台电脑的控制。”

一场别开生面的黑客面基大会

Dragos Ruiu在现场给这个礼物点了赞,礼尚往来,他带来了一顶帽子和一个电脑包送给教主。据说这个帽子还有名字,叫“想象力之帽”。

这顶帽子的外形设计是“一个从上方开口的圆环形状”,寓意“从事网络信息安全工作,需要从大量、繁杂的表面工作,直入一个问题的内核,更象征着只有扎实的努力,才会在安全研究上有所建树。”至于电脑包……应该是想鼓励TK继续钻研技术吧。

朴实,太朴实,情不自禁鼓起掌。

一场别开生面的黑客面基大会

礼物list

看完大佬手笔,雷锋网(公众号:雷锋网)编辑情不自禁好奇白帽子们表示友好都会互送什么礼物?于是从列表中找了几位安全研究员进行了询问,收到的答案一言难尽……

小哥甲

让我想想,送对方一个变色龙(可以理解为一张多功能的uid白卡/功能强大的监听卡,用来监听卡密钥,最终可以复制卡)+一部带有NFC功能的手机吧,摇身一变就是公司员工,出入大门畅通无阻。

excuse me?这种示好难道不是想把对方送进铁栅栏那头?

不愿透露姓名的小哥乙

送对方一个带有追踪偷听功能的充电宝吧,随时上演窃听风云,一手掌握女朋友动态。

拆情侣最佳礼物了解一下。

很正经答题的小哥丙:

BAD USB(就是一个类似U盘的东西,插到电脑上就可以自动渗透控制对方的电脑)

正巧这次大会的一位小哥围绕U盘固件逆向的最新进展进行了演讲,有兴趣的童鞋可以自行查看。

天马行空小哥丁:

一定要送AR眼镜啊。一个整天困在自己电脑和代码里的程序猿,一个AR眼镜可以带我去到代码里或者代码外的大千世界,所以你考虑……

不考虑,谢谢。

压轴选手:

这个是我最想要的:

一场别开生面的黑客面基大会

or this

一场别开生面的黑客面基大会

再见!

写在最后

以上内容多是打趣,CanSecWest 的价值在于搭建起行业技术交流的桥梁,促进在对付新漏洞攻击和防御漏洞方面的国际合作,最终目标是让信息技术行业加深在漏洞攻击和防御技术方面的交流,提升抵御漏洞攻击的技巧,从而使计算机平台和网络变得更加安全可靠和值得信赖,这也是举办AsiaSecWest的目标。

而作为其中最关键的一环——安全研究员,想要走得远需要付出更多。

“无论你目前是什么专业,想要投入安全领域要做的第一件事就是学会自己寻找学习资源。很多人都会问我:我想学,但我应该学习什么?你要知道自己想学什么,并且知道怎么寻找学习资源,这是第一步。如果这一点你自己做不到的话,始终想让别人扶着你走,在信息安全研究这条路上很难走得长远。”

——TK

“对年轻人来说跟随自己内心的激情从事一项事业是很重要的,要时刻保持自己的好奇心,既然知道自己对这个领域感兴趣,就要学习这个领域相关的技术技能,并且了解在这个领域出现事情的原因以及背后的机理,就像中国人经常说的一句老话要永葆初心,这是非常重要的。”


原文发布时间为:2018-06-8

本文作者:又田

本文来自云栖社区合作伙伴“雷锋网”,了解相关信息可以关注“雷锋网”。

相关文章
|
机器学习/深度学习 人工智能 TensorFlow
倚天产品介绍|倚天性能优化—YCL AI计算库在resnet50上的优化
Yitian710 作为平头哥第一代ARM通用芯片,在AI场景与X86相比,软件生态与推理性能都存在一定的短板,本文旨在通过倚天AI计算库的优化,打造适合ARM架构的软件平台,提升倚天性能
|
11月前
|
消息中间件 Java 测试技术
RocketMQ-5.3.1异常、原因汇总表
本简介汇总了常见的RocketMQ异常信息及其解决方案,涵盖主题配置、网络通信、SSL设置、权限控制、消息发送与消费等多个方面,帮助开发者快速定位和理解异常原因。
964 69
|
12月前
|
数据采集 运维 安全
RFID电表计量柜实施智能化管理
本内容介绍了电力行业如何通过RFID技术实现计量柜的智能化管理。相较于传统条形码,RFID技术具备识别快、稳定性强等优势,广泛应用于资产自动识别、智能巡检、权限控制及环境监测等方面。通过RFID电子标签与读写设备,电力企业可实现电表资产全生命周期管理,提升运维效率,降低人工错误率,推动电力管理向电子化、信息化、智能化发展。
|
12月前
|
安全 API 区块链
API是“印钞机”还是“陷阱”?解码数据资产化的隐藏密码
在数字经济时代,数据已成为核心资产,而API作为连接数据与业务的桥梁,正成为企业释放数据价值、驱动增长的关键引擎。本文通过电商、金融、医疗与政务等典型案例,解析API如何助力企业实现数据资产化、优化业务流程并开拓新商业模式,深入探讨其带来的效率提升、成本降低与生态扩展等商业价值,同时剖析API实施中的挑战与应对策略,展望其与AI、区块链等技术的融合前景,为企业把握数字化转型机遇提供洞见。
492 100
|
11月前
|
机器学习/深度学习 Android开发 数据安全/隐私保护
手机脚本录制器, 脚本录制器安卓,识图识色屏幕点击器【autojs】
完整的UI界面,包含录制控制按钮和状态显示 屏幕点击动作录制功能,记录点击坐标和时间间隔
|
存储 数据采集 监控
云上数据安全保护:敏感日志扫描与脱敏实践详解
随着企业对云服务的广泛应用,数据安全成为重要课题。通过对云上数据进行敏感数据扫描和保护,可以有效提升企业或组织的数据安全。本文主要基于阿里云的数据安全中心数据识别功能进行深入实践探索。通过对商品购买日志的模拟,分析了如何使用阿里云的工具对日志数据进行识别、脱敏(3 种模式)处理和基于 StoreView 的查询脱敏方式,从而在保障数据安全的同时满足业务需求。通过这些实践,企业可以有效降低数据泄漏风险,提升数据治理能力和系统安全性。
|
自然语言处理 API 数据安全/隐私保护
手把手教你搭建 cssbuy 淘宝代购系统
随着全球电商的兴起,淘宝成为海外用户青睐的购物平台,但语言、支付和物流等问题限制了其直接使用。CSSBuy 等淘宝代购系统应运而生,为海外用户提供便捷的购物体验。本文详细解析如何搭建类似系统,涵盖需求分析与功能模块设计。目标用户包括海外华人、留学生及外国消费者,核心功能涉及商品搜索、代购下单、支付集成、物流管理、客服售后及多语言支持等。系统模块包括用户管理、商品管理、购物车、订单管理、支付管理、物流管理、客服售后和多语言模块,全面满足海外用户的购物需求。
|
API 开发工具 git
`black`是一个不受约束的Python代码格式化工具。它自动将Python代码格式化为PEP 8样式,但具有一些额外的规则,旨在使代码更加一致和易读。
`black`是一个不受约束的Python代码格式化工具。它自动将Python代码格式化为PEP 8样式,但具有一些额外的规则,旨在使代码更加一致和易读。
|
安全 数据挖掘
服务器数据恢复—RAID5阵列中两块硬盘离线导致阵列崩溃的数据恢复案例
服务器数据恢复环境: 两组分别由4块SAS接口硬盘组建的raid5阵列,两组raid5阵列划分LUN并由LVM管理,格式化为EXT3文件系统。 服务器故障: RAID5阵列中一块硬盘未知原因离线,热备盘自动激活上线替换离线硬盘。在热备盘上线过程中,raid5阵列中又有一块硬盘离线。热备盘同步失败,该raid阵列崩溃,LVM结构变得不完整,文件系统无法正常使用。
|
存储 SQL 关系型数据库
【MySQL调优】如何进行MySQL调优?从参数、数据建模、索引、SQL语句等方向,三万字详细解读MySQL的性能优化方案(2024版)
MySQL调优主要分为三个步骤:监控报警、排查慢SQL、MySQL调优。 排查慢SQL:开启慢查询日志 、找出最慢的几条SQL、分析查询计划 。 MySQL调优: 基础优化:缓存优化、硬件优化、参数优化、定期清理垃圾、使用合适的存储引擎、读写分离、分库分表; 表设计优化:数据类型优化、冷热数据分表等。 索引优化:考虑索引失效的11个场景、遵循索引设计原则、连接查询优化、排序优化、深分页查询优化、覆盖索引、索引下推、用普通索引等。 SQL优化。
【MySQL调优】如何进行MySQL调优?从参数、数据建模、索引、SQL语句等方向,三万字详细解读MySQL的性能优化方案(2024版)

热门文章

最新文章