freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

DEFCON China:不用办签证出国,在国内就能参加的全球知名黑客大Party是什么体验?
2018-05-03 09:00:42

快上车!我们一起去幼儿园,哦不,是去黑客 party 逛一圈。

banner1a0c2dd7.png

阳光明媚的午后,我正认真看着安全相关的新闻,突然,手机叮咚一响,收到了一条消息:“小姐姐,你去 DEFCON China 吗?”

打开手机一看,这不是那个 13 岁就学着破解网站,自己看书钻研到现在已经可以写出完整技术文还能挖洞的 FreeBuf 忠实读者小九吗?收到大佬的消息,我当然不敢怠慢,于是飞快地回复了几个字:“当然去啊!”

-- 我们队伍 CTF 打不过过别人,没拿到邀请资格。你说我要买票去吗?没赶上 688 的早鸟票,现在票价 1088 有点贵呢。

-- 去啊。这次大会连续三天,干货肯定不少。

-- 可是这个 DEFCON China 跟 DEFCON 一样吗?

-- 虽然多了个地点做尾巴,但还是 DEFCON 啊。环节一个不少,议题丰富,CTF 也有。要说不一样,应该就是在北京举办,离我们更近了呀。

-- 你都知道议题和环节啦?能不能给我详细介绍一下啊?

-- 那,我就介绍一下吧

DEFCON 是什么?

DEFCON 是全球安全领域的顶级会议,被誉为安全界 “奥斯卡”。大会每年7月在美国拉斯维加斯举行,召集近万名来自全球各地的安全专家、白帽子黑客、安全爱好者相聚在此,集中展示全球网络安全领域最新的技术研究成果,而能够登上DEFCON的讲坛展示交流也成为了全世界的网络安全研究者的理想,是拥有世界顶尖安全技术实力的荣耀象征。

这么一段官方的介绍抛过来,可能不够形象,那我们先看看他的创始人 Jeff Moss 吧。他十几岁就顶着“The Dark Tangent”的头衔一路火花带闪电地闯荡,到现在已经是 ICANN(互联网名称与数字地址分配机构)首席安全官和美国国土安全咨询委员会顾问。1993 年,因为父母工作调动而不得不搬家的 Moss 邀请朋友参加送别会,并由此迸发灵感,创办了DEFCON,随后又在 1997 年创办了 Black Hat。如今,这两场大会在黑客圈可谓是无人不知无人不晓。

Jeff Moss

话说现在的黑客大佬们,不仅技术高超,长得还很帅,Jeff Moss 不论是颜值还是技术还是成就,都算得上黑客界扛把子吧?

除了黑客界“奥斯卡”能形容 DEFCON 的盛况,还有黑客界“麦加朝圣”可以形容 DEFCON 在黑客心中的地位。DEFCON 可谓是“黑白通吃”,不仅有黑客参加,也有政府安全部门的参与。美国国家安全局(NSA)负责人、美国国防部和联邦调查局都先后派代表参加过 DEFCON,并发表演讲。当然,由于这是大规模的黑客聚会,所以也成了 FBI 和警察重点关照的地方。很多黑客在发布破解成果之前,都会遭到利益相关方的威胁,但他们依然顶着压力去参会。不过,的确也有黑客在演讲现场被抓。在 2001 年的 DEFCON 上,一名俄罗斯黑客因为破解了 Adobe 的电子书格式而直接遭到逮捕。不过,只是去参加会议听听演讲的话,只要没做过坏事,就不用担心哦。  

至于这次的 DEFCON China,则是百度安全与 Jeff Moss 牵手,本着“开源共享、追求极致”的精神,将 DEFCON 引进中国的产物。正是由于近年来国内信息安全得到了越来越多的重视,也取得了较大发展,且国内队伍屡次在国际 DEFCON 的 CTF 比赛中获得良好战绩,因此也吸引了 Jeff Moss 的注意,促进了这次国际合作。

微信图片_20180213200901.jpg

DEFCON China 有什么?

根据 DEFCON China 官方提供的资料,会议的主要环节如下:

主会场演讲(Keynote)

专题工坊 (Workshop)

黑客体验营(Hack Village)

黑客攻防夺旗赛(BCTF)

黑客音乐会(Hack Music Live)

这与传统的 DEFCON 环节完全一致。所以担心 DEFCON China 与 DEFCON 不一样的小九同学以及其他有着同样担心的同学,可以放心了。因为 DEFCON 有着一位严格、严谨的爸爸 Jeff Moss。他觉得 DEFCON 延续 26 年的秘诀就是严格控制演讲质量、弘扬自由精神、支持社区友好,而百度安全的总经理马杰也表示,这次的议题都由 DEFCON 组委会最终审查。也就是说,这里不会有太浓的商业气息,有的只是朋友一般的分享,DEFCON 那种自由开放的黑客精神,也会在这次北京的会场大放异彩。

那么这次会议的环节有哪些值得期待的亮点呢?我们就按照环节一个一个看看吧。

主会场演讲(Keynote)——别废话直接怼

刚拿到演讲议题 list 的时候,小姐姐我不禁吓了一跳,映入眼帘的题目都是这样的:

“你上了我的账号”

“爆炸:一分钟内销毁存储设备”

“路上 Wi-Fi 欲断魂:攻击 SmartCf 无线配网方案”

“几种通用的安卓平台路径穿越漏洞的挖掘与利用姿势”

一股强悍的技术气息透过文字穿过屏幕扑面而来,我仿佛看到议题背后的演讲者在高配设备前飞舞着手指,写出 PoC、复现成功之后的振臂高呼(当然也可能是端起泡着枸杞的保温杯,喝一口热水,微微一笑深藏功与名)。

这些简单的议题名称也直接表明了议题内容,比如“你上了我的账号”主要讲解一些网上诱导受害者登录攻击者账号的方式,以及由此产生的漏洞、攻击场景以及应对方案。而这个议题的演讲者,则是安全圈知名段子手“呆子不开口”,可以预见,现场观众大概是笑着张嘴吃下一堆干货了。

当然,有实践的例子也不乏理论的支撑,清华大学网络研究院的段海新教授、中国人民大学信息学院的梁彬教授、国内 CTF 知名导师李康教授以及他们的团队也将分别带来于web安全以及机器学习相关的研究与分享。还是熟悉的面孔,却有新的知识与思想碰撞,这大概就是大家喜爱的会议的样子吧。


既然是 DEFCON,自然少不了国外友人的身影。2013 年到 2017 年 DEFCON CTF 的组织者之一 Vito Genovese 将会分享他 5 年间搭建 CTF 的经验。而来自 White Ops、BT Americas、Red Team 等国外安全公司或组织的安全研究人员以及资深黑客也会带来关于智能合约、开发测试与攻防、Google 传播恶意软件等多个议题。

小姐姐我大概设想了一下,持续三天的大会,大概会是理论和实战齐飞,英语共汉语一色了。什么?你说你英语不好?那就关注届时的会议报道吧。

专题工坊 (Workshop)——听完分享就想动手

如果说主会场的主题演讲像是老师授课,那么分会场的极客工坊则像是同事朋友的实用分享。这里的议题更偏向实操,都能通过动手验证,看起来会吸引一大批喜欢动手钻研的极客们。今年 DEFCON China 的 WorkShop 节目单长下面这样:

动手开发渗透框架

开发中的攻和守

0day 修炼,一天足矣

搭建去中心化黑客网络

恶意软件分析实战

移动APP攻击 2.0

社会工程概要

扫描电波:用 SDR 建立一个简单的无线电扫描系统

从开发中的攻守到恶意软件的分析实战,从 0-day 挖掘到社会工程学,这些议题涵盖到技术人员工作生活的很多方面。据说,为了避免有些心急的观众直接在现场对自己的手机电脑甚至会场的设备动手,主办方还特地在现场准备了一些设备供大家随意发挥。像“扫描电波:用 SDR 建立一个简单的无线电扫描系统”这种议题,就为观众提供 SDR USB 存储棒借用服务。观众可以拿着这些设备,边听边实践,学会搭建无线电监听装置,实地监听并解码现场的电视、广播信号。

packet-village.jpghardwarehacker.jpg

因为这一环节的每个展示都是在现场隔出来的小房间内进行,场地难得,所以观众想要参加,就需要在买票的时候提前预约。小姐姐这种好奇星人,已经迫不及待想要去试试了。我猜到时候现场应该会有很多人吧,不知道(假)“瘦小”的我能不能挤进去呢?

黑客体验营(Hack Village)——是时候展现真正的技术了

主题演讲和极客工坊环节以动嘴为主,穿插一些动手的体验。而在黑客体验营(Hack Village),观众可以尽情撸起袖子放肆玩了。黑客体验营顾名思义就是亲自体验做黑客的过程,而且这里还充满着愉快的约会(划掉)交流气氛。热爱技术的小哥哥小姐姐们在不同的破解主题区域或坐或站,聚精会神地体验着各种设备,不时与身边的朋友交谈几句。有人思考难题眉头紧锁,有人实验成功满面春风。这个环节充分体现了黑客大 Party 的精髓。按照英文原文,这里相当于一个个黑客“村落”,这其实也很形象。主题不同的展示区分布在会场多个区域,就像不同的村落,又像集市上不同的摊位,吸引着各地的游客(观众)。

开锁.jpg

具体的展位包括:汽车极客 Village、开锁 Village、侦查(威胁情报) Village、数据包攻防极客 Village、蓝队 Village、人工智能 Village、硬件极客 Village、生物特征识别 Village、物联网 Village。面对着一长串清单,小姐姐不禁发出了杠铃般的笑声。这么多前沿技术摆在眼前,我可管不住自己的手,肯定是要一一体验的。毕竟平时可没有机会直接去拆真汽车做研究啊,也就只能看看 FIT 大会上的 HACK DEMO 汽车破解(当然是真车)。听说这次 DEFCON China 也会用真车做实验,想想也是很兴奋呢。

2015年 DEFCON 汽车破解 Village 现场.JPG

开锁 Village 也吸引着小姐姐的目光。上了锁的门之于房间就像防火墙之于网络系统。不同的锁就像不同的安全产品一样,实现着防御保护的作用。而开锁、撬锁,就相当于最传统的硬件破解了。如果不用钥匙,你会有哪些方法来解锁呢?直率如小姐姐我只想到暴力破解。但显然身怀绝技的黑客大佬们不会像我这么鲁莽。他们会思索钻研各种方法,不论是物理接触还是通过计算机解锁电子房卡,他们都有一套。

开锁2.jpg

硬件破解 Village 大概是 Hack Village 里涵盖范围最广的了。在万物互联的时代,智能家居的使用率越来越高。我们经常能看到网络摄像头被破解泄露用户隐私;或者沦为攻击者的肉鸡,成为 DDoS 的帮凶;还可能被攻击者入侵并勒索用户。2016 年底的“Marai”大型僵尸网络曾带来重大破坏,Twitter、Paypal、Spotify 等主流网站都因为 Marai 带来的 DDoS 攻击而被迫中断服务,全球受感染的 IoT 设备高达 50 万!这件事让小姐姐我印象深刻。这次现场会展示智能终端设备相关的破解内容,还能直接上手体验。知道了如何破解,以后也许就知道怎么更好地保护自己家里的智能家居了吧?

硬件破解.jpg

至于其他的,小姐姐猜想生物特征识别破解 Village 大概会有指纹识别、人脸识别、虹膜识别之类的破解吧。还有今年新增的 AI 安全 Village,由于有 DEFCON 原版团队和百度的加持,应该会带来一些令人耳目一新的观点和展示。

黑客攻防夺旗赛(BCTF)——脑力与体力的双重比拼

这次 DEFCON China 延续以往 DEFCON 的传统,依然设有 CTF 比赛,不过这次主办方是百度安全。此次比赛时间从 5 月 11 日 12:00 持续到 12 日 17:00,意味着各大战队必须经过将近 30 小时的厮杀才能决出胜负。小姐姐只想说,现在的 CTF 参赛者真的太能打了,不仅技术好,身体也倍儿棒。不过说起来,毕竟 CTF 起源于 DEFCON,而一年一度的 DEFCON CTF 也是 CTF 参赛者心中的圣洁“麦加”。

bctf-banner921ddea9.jpg

在 BCTF 官网,我们还能找到两个彩蛋。首先是奖金池,这次总奖金超过了 100 万,其中 60 万用于奖励 CTF 比赛的优胜队伍,而剩下的则作为现场特设的安全众测彩蛋活动的奖金。白帽黑客现场找漏洞(主要参与者是 IoT 相关的厂商),成功找到漏洞的人就能瓜分所有奖金。通过这个活动,安全爱好者可以了解更多攻防实战,而厂商也能发现优秀的安全人才。可谓相互成就,一举两得。

奖池.png

另一个彩蛋是,这次 BCTF 比赛共有十六支队伍参赛,其中包括 4 支 AI 程序战队。这就意味着,观看人机大混战的机会就在眼前,小姐姐我觉得,到底是真人队获胜还是 AI 队获胜,不到最后一刻还真不敢说。大概参赛的小哥哥小姐姐们也都铆足了劲儿准备大展身手吧。

参赛说明.png

黑客音乐会(Hack Music Live)——极客也摇滚

整整三天的大会,如果只有议题和演讲,未免有点枯燥。崇尚自由的极客向来有奇思异想,这不,大会还设了一个黑客音乐会的环节,标榜极客玩音乐的新姿势,用音乐致敬 DEFCON、致敬极客精神。

说起音乐会,小姐姐第一时间想起的是刚刚过去的五一假期人山人海的草莓音乐节。

音乐节 1.jpg

但是大胆猜想一下,极客与 ROCK 碰撞起来,大概是下面这种风格吧?

01f4b15544f0500000019ae994a3dc.jpg

不管怎样,白天听完议题,晚上沉醉在极客范儿的音乐中,倒也不失为一件美事呢。

DEFCON China 的详细议程如何?

说了这么多,去不去现场,你心里大概有数了。总之小姐姐看到这排得满满的议程,真心觉得三天会议结束之后,不仅大脑会接收很多知识,连身体也会在会场的来回奔波中得到锻炼。武装头脑,强健身体,可以说是很棒了。

报名了的小伙伴,记得早点去现场签到哦。DEFCON 的胸牌可是与众不同、别出心裁的呢。造型别致的胸卡里藏着电路板,破解之后就能打开小灯,让你成为会场里亮丽的风景。设计感很强的胸卡本身,也能成为有意义的纪念品和收藏品。

defcon-pcb-badge-new.jpg

写道这里,小姐姐发现小九早就不理我了。问他干嘛去了,过了好久他才回复说去查地址订酒店了。这倒提醒了我:小姐姐我忙着写介绍,自己的酒店还没定呢。那就先这样吧,我去刷手机了,你猜百度地图搜 DEFCON 会出现什么

微信图片_20180503060934.jpg

更多详情可参照 DEFCON China 官网,期待与你会场见咯。

*本文作者 AngelaY,转载请注明来自 FreeBuf.COM。

# DEFCON China
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者