野生觀眾參加世界頂級黑客大會的自我修養

對，野生觀眾就是我本人沒有錯了。

這裡的世界頂級黑客大會，當然是宅客頻道之前報導過的 DEF CON China 。

先來定義下什麽是野生觀眾。

如果你對黑客技術一知半解，妥妥的野生沒得跑了；

雖然對黑客技術不太了解，但對黑客周邊頗感興趣，也許，你可以成為一個好的野生觀眾。

下面，我來匯報下，作為一名野生觀眾，在DEF CON 第一天，我發現了什麽有趣的事情。

文：李勤｜雷鋒網

野生觀眾的基本修養

首先，當然是要知道自己可以看到什麽。

之前我了解到，DEF CON China 上有這麽幾大版塊：

一、乾貨滿滿的主旨演講

這是三天的演講概要一覽。

你可以提煉幾個資訊點：

1.都是比較專業的內容分享，而且DEF CON 收納的演講議題都是嘉賓之前沒有在別的場合分享過的。這說明，你會吸納一波新知識。

比如，宅客頻道曾經報導過的呆子不開口曾經發現了“上別人账號”的漏洞，這次，他居然反過來，介紹了一些互聯網上誘導受害者登錄攻擊者账號的方式（你上了我的帳號），以及由此產生的一些漏洞和攻擊場景。

從上到被上，滿滿都是套路。

2.至少有一半的演講者來自國外，這意味著你的英語能力要過關。實在不行，至少要搶到一個同傳設備。

3.三天的議題在領域分布上跨度很大。

這意味著，作為一名野生觀眾，可以提升一下能聽懂的議題優先級。

二、Hacking Village

分為好幾個場，有些場次第一天不開放，強調動手能力，可以現場動手拆來拆去。

三、Workshop

據說是買票觀眾專屬，而且只能會前選擇性參加的對內場次。

四、BCTF與眾測區域

之前宅客頻道曾在文章中留了一個懸念，百度SRC的加菲貓曾說，之前廠商爸爸強烈建議在眾測現場堆上百萬現金獎勵，觀眾都能參與破解，不知是真是假，這個可能值得前去一看究竟。

BCTF 就不用說了，黑客被圈起來競賽，聽說還有 AI 戰隊一起打。

野生觀眾的進階修養

一、找個專業觀眾帶路

5月11日進場後，我在簽到台處捕捉到了一個熟悉的身影——百度安全 X 實驗室的研究員H（就是把老婆也訓練成女黑客那個大神）。

那還說什麽，趕緊跟上去，讓專業觀眾當“導遊”！

不過，H這種“專業觀眾”真的是“專業的”觀眾，人家自己買票進來，帶上白色的“付費胸卡”，至於下圖的“綠色胸卡”，當然。。。。是我蹭的。。。

再插一個花絮，其實還有一種顏色的胸卡（演講嘉賓），請“以胸識人”，猜猜他是誰。

H 把我帶到了硬體極客Village 、生物特徵識別Village和Chip Off Village 專場。

我了解到了幾個關鍵資訊：

首先，這些專場Village 自帶DEF CON 原裝進口的指導者（出題人）。比如，在硬體場中，指導者會引領你組裝電子時鐘，同時附上說明書。動手能力強的朋友如果率先組裝成功，將獲得指導者帶來的胸章。

再者，三天的 Village 活動中，基本不會更換玩的項目，但是對電子時鐘項目而言，第一天可能只是讓你練手，第二天可能就有小小的競賽了。

在生物識別專場中，百度安全 X 實驗室的研究員小灰灰演示了指紋、虹膜、人臉、靜脈等識別的多種攻破手段。

有時，甚至只需要列印一張紙，就能攻破這些識別方法。

DEF CON 的全球創始人Jeff Moss 甚至給這個演示蓋了章，稱這是讓他印象深刻的展示之一，畢竟哢哢列印一把，就能快速破解，這事太酷炫了。

司機領進門，修行在個人。

看到Village這麽火爆，我把會議舉辦地昆泰酒店的一到三層翻了個底朝天，找尋其他Village的所在地。

其實，在會議入口，你就能看到Car Village，顧名思義，是針對汽車破解的技術展示。而且，門口真的停著一輛車！

但是不要高興太早，工作人員L告訴我，由於門外沒有演示屏，Car Village 的指導者們把幾個關鍵部件移到了室內，而且不是針對一輛車破解（畢竟開不進來），但是指導者會一個一個地演示如何破解這些部件，告訴大家這些安全威脅所在。

時間關係，我找了半天沒找到演示場所，野生觀眾請自行探索。

二樓還有三個Village。

來到數據包極客攻防Village。。。。我最大的感受是，還是得學習技術，不然只能看看大螢幕，比如，不懂 Web 安全的人根本沒法參與其中的遊戲。

開鎖Village 可能是今天全場最火爆的一個的Village。

首先，每隔一段時間，指導者就會演示一次“真正的技術”，如果你特別感興趣，還能搜索更多關於“開鎖開放組織”的資訊。

據工作人員介紹，這個開鎖遊戲分為7階，大部分鎖上表明了難度等級。

真是不好意思，我無師自通地開了第一把鎖後，花了半個小時，再也。。。。沒有打開其他的鎖。

倒是現場一位志願者小姐姐，直接從level 4下手，然後輕鬆打開。這讓現場參與者覺得，開鎖這個事情嘛。。。。還是講究天賦的。。。

不過，指導者告訴我，管他什麽天賦不天賦，手指靈巧、會不會用力才是關鍵點，最重要的是經驗，老司機一般十幾分鐘就能搞定這裡所有的鎖。

躲在二樓角落裡的偵查Village在11號當天閉門謝客了，有緣的朋友請第二天相見。看看下面這個告示：獎勵豐厚啊各位！

三樓還有兩個Village：藍隊Village 以及AI Village。

二、經驗指南：多溜達，不經意處總能發現。。。亮點（or 槽點）

千萬不要相信一個觀眾所言，一定要多方求證，否則，你至少錯過了。。。一分錢買可樂的機會。

比如，在二樓走廊上有一台飲料機，一個小姐姐信誓旦旦地告訴我，這個飲料收費的哦，然後，她掏出50塊錢，順利地投幣，買了一罐可樂。

但是，後來L 又告訴了我一個秘密——這台飲料機曾經被小灰灰破解過，可以一分錢買可樂！！！據說，現場後來有個黑客小哥哥連著電腦成功地再次破解了它，並大聲宣示：在場的不能破的都是loser！

在二樓的BCTF與眾測現場，我沒有發現傳說中的百萬現金，而是。。。。一堆籌碼。。。不知為何，有一種悲涼的心境。。。

在BOX 的眾測台上，還有一些奇怪的東西混進來。。。據說，是為了體現“安全”的主題。

不過，不要高興太早，就算 BOX 放的是籌碼，你也大概率拿不走這筆100萬的獎金。

BOX 的工作人員在第一天會議結束後發了一條這樣的朋友圈：

【漏洞報告：0】截止5月11日18:00，架設在百度DefConChina黑客大賽現場的BOX系統訪問量為23934次，其中包含10次左右的正常訪問，至今為止還沒有漏洞提交報告。玻璃箱內是運行中的簽名機，正在保護著100萬獎金。

旁邊果加的工作人員笑嘻嘻：沒關係，我們這的高危漏洞，10萬一個，上不封頂哦。

可是，作為野生觀眾的我，並不能提交這種漏洞，發財的機會就留給你們了！

再看BCTF，Jeff 、DEF CON的全球大使 Jason.E.Street 都告訴我，他們被這場CTF 的可視化效果驚豔到了，表示 DEF CON CTF 以後說不一定可以來一波。

野生觀眾的終極修養

既然野生觀眾——我拿的是媒體票，就一定要充分利用，不能錯過和各個大佬交流的機會（終於體會到了優勢）。

於是，下午我參加了針對Jeff Moss和百度安全事業部總經理馬傑的採訪。

以下是遴選出的一些QA：

1.今天大會有一個參與者是13歲的中國小男孩，青少年在美國參與DEF CON的情況多嗎？你遇到年齡最小的是多大？

J：我不覺得13歲的小孩可以在不經過父母的同意之下、或者看護之下可以來參加，但是在現實生活當中，在以往的大會的現場當中，我也的確看到了，父母會開車把他們只有年僅13歲的子女送到這裡，讓他們來參加這個會議。或者說，我們有一個與DEF CON類似的活動，專門為6-12歲年齡段的小孩設定，但在他們父母的陪同之下，他們可以了解到關於安全方面的簡單入門知識以及倫理道德等，我在13歲時就接觸到了這些知識，所以大體上還是能夠接受這種情況。

2.BCTF 有一些創新點，哪些會被吸納到DEF CON的CTF當中？

J：我首先非常欣慰地看到了在此次CTF比賽當中出現了人工智能這樣的對手，我原先設想，它們可能會敗得一塌糊塗，但這就是你在不斷嘗試中，使事物變得更好的一個過程。

現在人工智能正處於早期階段，你要不斷地嘗試。

另外一點我想提的就是可視化，在這個過程當中，我們要讓這些參與者覺得這是一個非常有趣的活動，必須要在可視化方面下大功夫。在不久的將來，CTF可以在可視化方面提供一個標準，能夠幫助所有的人，網絡安全本身就特別難展現，我希望能把這些東西用到真實的展現當中，而我本人也在現場記錄和錄製了一段影片和片斷，可能會吸收一些元素到美國本土的CTF當中來。

3.百度在Village裡呈現的生物識別等IoT領域，會做哪些事情？

馬：百度在AI安全或者IoT安全方面，會給很多廠商提供服務，幫他們尋找問題，包括這次很多夥伴，我們跟他們解釋，希望他們來做測試，他們特別擔心來做測試，發現了問題會不會被媒體批評，變成負面的東西。

我們也跟他們說，當你被用戶發現問題時，這就是一個負面了，如果你在這樣一個安全大會上提出一個賞金計劃，歷史經驗告訴我們，這是正面的事情，要鼓勵這些公司勇敢地讓世界頂尖的人員參與進來，幫助他們尋找問題。谷歌、微軟、百度每年都會請很多高手來檢查我們平台的問題，每年拿出來的獎金數非常可觀，我們要有一個開放的心態來一起把這個生態做得十分安全。

這次我們說服了他們一起來參加這個賞金計劃，我也做了很多研究支持他們，我覺得這裡面，可能未來要做的事情還是非常多的。

4.知乎上有一個貼子，有一個粉絲詢問如何在中國給 Jeff Moss送禮物，Jeff 收到了嗎？（詳見“如何才能在DEFCON China上送Jeff moss禮物？還有送什麽好？”

https://www.zhihu.com/question/270236385/answer/353735060）

馬：Jeff Moss 昨天得到一個非常意外的驚喜，昨天晚餐時，我們市場人員看到了這個事情，就聯繫了其中一個答主，讓他做了台非常有趣的東西，送給Jeff Moss。

J：有一個超級粉絲在知乎上發一個問題，說我應該送給Jeff Moss什麽樣的禮物，當時知乎上就出現一個冒名頂替的人物，似乎以我的身份回答了我想要什麽。昨天晚上的晚餐當中，那名超級粉絲定製了一個個人電腦帶給了我。

他利用了 IBM 傳統的外殼，裡面是現代版的電腦，包括像顯示屏、鍵盤等，讓我非常感動。

馬：外殼、顯示器、鍵盤都是老的，但是機箱被改成半透明的，裡面用了特別酷的最新主機板和系統，特別漂亮，還打了光。即便改造成這樣，Jeff Moss一眼就認出了外殼的機器的型號，因為那就是Jeff 以前用過的一個型號。

J：還有一個超級粉絲在新浪微博上不斷更新我們官方發的新聞，有一天，我實在感覺很奇怪，問了問是不是百度做的，但居然不是，我覺得很驚訝。

馬（開玩笑）：所以，我們要不要挖出這個幕後的作者，Jeff 跟他聊一聊？

J：好主意。

寫在最後的話

Jeff 在大會上有一段演講讓我印象深刻：

DEFCON是一個極客安全方面的會議，我們並不是一個隻關於資訊安全的會議，也不是要為企業來解決問題，而且並不想要把安全方面的產品進行優化。我認為DEF CON應該專注於挖掘人、探索人，我們想要幫助你們來發掘新東西，大家一塊來發掘，相互來學習。

所以，如果你也是一個像我一樣什麽技術都不懂的“野生觀眾”，機緣巧合來到這個大會，或者因為各種原因不能參加現場大會，但關注到了它。

或許我們不必再深究是否能完全理解這場高大上的黑客會議的技術精髓，讓我們埋下這個火種，挖掘和探索人，發現新的美好，也許你打開的是另一個世界的大門。

本文作者：雷鋒網網絡安全頻道主筆，李勤。歡迎關注雷鋒網旗下微信公眾號“宅客頻道”，獲取更多網絡安全資訊。