5月11日至13日,DEF CON CHINA将在北京举办。尽管这次大会是DEF CON和百度安全合办的特别版会议,还是吊足了国内安全爱好者的胃口——毕竟是有着26年历史的安全圈“奥斯卡”首次来到中国。据了解,届时国内外多位知名安全大牛,包括 DEF CON全球大使会现身北京。除了主题演讲,还有破解村落(Hack Village)等经典的极客高手“过招”活动。
创始人Jeff:拥有刑事司法学位的全球顶级黑客
DEF CON 的创始人是美国传奇黑客杰夫·莫斯(Jeff Moss)。在过去近十年中,他一直担任美国国土安全部顾问委员会(HSAC)委员,就安全事宜向国土安全部部长提供建议。他的另一身份是互联网名称与数字地址分配机构(ICANN)的首席安全官,该机构负责在全球范围内协调并保障互联网唯一标识符系统的安性,如IP 地址分配等。有传言称,数个世界百强公司都是他的客户,每个服务合同以10亿美元起。
莫斯十来岁的时候就拥有了自己的第一台电脑。“它令我着迷。在这个年纪,你还不被允许开车或投票,但你可以跟全国各地的人进行成年人式的对话,你们谈论的话题是你父母或朋友从未提起过的。这是一个宽广得多的世界,重要的是你观点的质量(而不是年龄)。”莫斯接受采访时说,儿时奠定的兴趣和价值观,深深影响了他此后的选择。
杰夫·莫斯在第19届 DEF CON 大会。Dave Bullock / eecue摄
青少年时期,莫斯曾以“Dark Tangent”的名号行走于技术江湖。他建立了BBS 交流站,结识了一大帮同好。正是由于这层背景,莫斯被视为联结技术社区与执法机关的好人选。“你可能想不到,一个拥有刑事司法学士学位的人,第一份工作是在一家传统的会计事务所搞 IT。但这就是杰夫·莫斯,一个专注且公然亮出身份的白帽黑客。”有媒体这样评价他。
如今,莫斯更喜欢强调黑客所肩负的责任。他认为,技术是中立的,可以作恶也可以行善,关键看怎么使用。而每年DEF CON大会上展示的新技术,实际上是提醒大家注意潜在的安全风险。“你的手机可能被某些人篡改,然后他们就能监听你所有的电话,记录你所有的短信。这不是黑魔法,这是真的有可能发生的。”莫斯说,当人们意识到风险,就可以做出更明智地选择,安全地使用电子设备。
第24届 DEF CON 大会现场。图自 DEF CON 官网
DEF CON:从一次送别聚会到安全圈“奥斯卡”
说起 DEF CON 的缘起,其实要归功于一次“错过”。1992年,莫斯的一位技术同好因家长工作变动要搬家,决定关闭他们共同维护的网站。莫斯就在拉斯维加斯举办了“闭幕会”,为老友送别。但这位同好突然提前离开,压根没有在拉斯维加斯露面。
“我心想,管他呢!那我就邀请BBS的成员来参加吧!”莫斯在他的 BBS 上公布了消息,居然吸引到100多名黑客参与,大家聊得非常尽兴。聚会结束后,不停有人发邮件,希望莫斯再次组织聚会。就这样,DEF CON 从1993年开始固定下来,成为一年一度的大会。
DEF CON 这个名字取自军事术语“Defense Condition”,指美国紧急警戒体制或是防御状况。莫斯喜欢的电影《战争游戏(War Games)》中也提到了这一术语,在电影中拉斯维加斯成为核弹攻击的目标。此外,在手机还普遍使用九宫格键盘的年代,与数字“3”在同一个键盘的正是字母“DEF”,与首届DEF CON的举办时间形成了奇妙的呼应。
自1993年至今,DEF CON每年在拉斯维加斯举办,规模越来越大。从最开始只有一两百人参加,到近几年人数最多时超过两万。参与者包括专业研究者、安全爱好者、政府雇员、媒体等等,被誉为安全圈的“奥斯卡”。这连莫斯自己都没想到。“挺有意思的。前三年大家来参加都是因为兴趣。你知道,你在安全领域没法找到工作。你做这个是因为你热爱。但突然之间你能找到这方面的工作了。然后突然之间资本也跟着进来了。”几年前,莫斯回忆道。
第18届 DEF CON 大会。图自 DEF CON官网
第24届 DEF CON 上的电子胸卡。图自 engadget.com
在外界看来,莫斯把传统的黑客游戏和真正的创新、对安全问题的严肃讨论结合到了一起。大会除了有前沿技术的分享,还有多种实践项目,比如夺旗赛(CTF)。CTF是网络安全技术人员之间进行技术竞技的一种比赛形式,比赛中各支队伍通过攻防对抗、程序分析等,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,提交给主办方,从而夺得分数。CTF起源于1996年的 DEF CON,如今已成为安全圈流行的竞赛形式,很多其他的学术或军事技术会议中也被引入。
23届 DEF CON大会 CTF总决赛分数排名。蓝莲花(blue-lotus)、0ops这两支来自中国大陆的战队冲进前六。图自 freebuf.com
“防御技术正在变得越来越好。在接下来的四五年里,我们正处于一个转折点,防御者会更加有经验,解决更多令人讨厌的麻烦事。我们将以编程的方式检测钓鱼行为;训练雇员抵御社会工程学会更加容易。”2015年接受外媒采访时,莫斯乐观地表示,大会上的技术进步绝不是一次性的,它们会越来越成熟,最终进入日常产品中,使广大消费者受益。
首次来华:国内外大牛轮番上场 AI选手同台竞技
DEF CON上早已与不乏中国黑客的身影。2016年,国内知名战队蓝莲花与0ops联合组建的战队b1o0p取得 CTF 总决赛第二名,刷新此前中国战队纪录。2017年,三支中国战队闯进全球前五名。
今年,“26岁”的 DEF CON首次进入中国设置特别版会议,选择了百度安全作为合作伙伴。在2月份举办的发布会上,莫斯表示,建立信任并不容易,他期待与更多的中国互联网巨头接触,但因为蓝莲花,他更早地和百度建立了信任关系。
百度安全总经理马杰则在发布会上表示,DEF CON一直强调的对技术前沿的探索精神,与百度安全崇尚开源共享、追求极致的精神一致。中国安全从业者需要开源共享、追求极致的精神,这种精神不分国界,但是需要本土化的成长土壤。
2月发布会现场。左为马杰,右为杰夫·莫斯。图自 DEF CON 官网
目前,DEF CON CHINA 官网已经上线。隐私护卫队梳理发现,主题演讲围绕年度安全热点话题,汇聚了全球安全圈的代表性人物。除了百度安全,国内各大公司的安全专家,高校研究者及知名战队负责人也将带来分享,如清华大学网络研究院、网络空间实验室主任段海新,腾讯安全玄武实验室高级研究员丁川达等。
DEF CON CHINA 部分议程
DEF CON 的经典项目破解村落(Hack Village)在DEF CON CHINA上得到保留。隐私护卫队了解到,本次的村落设置包含九个不同主题,门锁设备、汽车、智能家居硬件都将成为破解对象。
Hack Village
此外,百度安全将在大会期间同期举办夺旗赛,即BCTF。比赛采用线上预选赛、线下总决赛两级赛制。值得注意的是,这次百度还设置了四支 AI 机器人战队,“它们”将在决赛现场与数10支国内外战队一较高下。
杰夫·莫斯眼中的互联网个人隐私
2012年 DEF CON 期间,莫斯与时任美国国家安全局局长(NSA)的基思·亚历山大(Keith B. Alexander)有过一次著名的针锋相对。在亚历山大演讲后的问答环节中,莫斯第一个提问:“NSA是否保存了每个人的档案?如果是的话,我怎么看到我自己的?”亚历山大回复称,“我们的工作是外国情报”,且“那些认为我们有海量个人信息存档的故事,完全是无稽之谈……从我的角度看,这种说法是完全没有根据的”。
隐私护卫队注意到,在许多采访中,莫斯也谈到了他对隐私保护的看法,挺有意思,或许会为我们普通人提供一些参考。摘录如下:
Q&A问:你是个注重隐私的人吗?
M:有空时我会上 Facebook,Twitter和LinkedIn。但我没有幻想。我假定我发在任何地方的任何一句话会被永远记录。这就是现实。如果你想对什么事情保密,就私下说。
问:所以这是唯一安全的沟通方式?
M:我开始跟华盛顿的人一起工作的时候,会听到他们说:“能用电话说的事就别用邮件说。能私下说的就别用电话说。”事情就是这样的。你去看法律就会知道,文字信息受到的法律保护都会比语音差一些。
问:美国的隐私保护法律应该改变吗?
M:如果联邦政府愿意,我会很高兴。但现在还没有。
索尼或其他那些有我个人信息的公司,我知道它们迟早都会被入侵的。我只不过用了几百美元的产品,它们就要求我提供个人信息。消费者因此不得不说谎或违反用户协议。举个例子,为什么索尼允许我玩游戏之前,非得让我提供真实出生日期,姓名,地址,等等?
要是我想拥有一定隐私,或者保护自己免于承担违反协议的责任,我就必须说谎。事实证明,这些公司的信息泄露得到处都是。谁是安全的?说谎和违反用户协议的人。谁受到的伤害罪严重?遵守规则的人。但不应该是这样的,遵守规则的人应该受到保护。
问:你注册网络服务时,总是用假名字?
M:除非到支付这一步(才会用真名)。
问:数据隐私是不可能实现的吗?
M:不,不。 问题是,就像这种失败主义的态度一样,我们只是假定每个人都已经拥有自己的私人数据,所以我们不再尝试。比如,我不用Facebook的 APP,但我用网页浏览器。我不给他们访问手机麦克风和相机的授权。我仍然可以看到我的朋友正在做什么。如果你仔细想想,就可以用更私密的方式来处理你的日常操作。
消费者获得选择都是虚伪的,在这些选择中,他们想参与经济就必须放弃很多隐私。他们被告知,如果他们这样做,会从中获得很多好处。但我不相信他们从中获得了很多好处。获得好处的是做销售和广告的公司。
我认为隐私保护将获得改进。电子邮件将在谷歌和雅虎之间加密;也许政府不能窥探,商业竞争者也不能窥探,但它对你来说是透明的。互联网的一些渠道将变得更加安全。
报料请点击
推荐阅读: