5月11日,为期三天的DEF CON CHIINA在北京开幕。作为全球知名度最高、历史最久的黑客大会之一,这是DEF CON创办26年来,首次在美国以外的地方设置特别会场。
谁在现场?
高水平黑客们,以及来自全球的网络安全爱好者
“你的手机无线和蓝牙都关上了吧?手机也是攻击对象。”
“嗯,我一直告诉自己:不要得罪这里的任何一个人。”
“不过你可以对他发动物理攻击。(注:揍他一顿。)”
“但我觉得我根本找不到这个人在哪。”
以上对话,发生在DEF CON CHINA大会现场。虽然有玩笑成分,但你或许能从中感受到参会者的心情:兴奋,又带着点小紧张。毕竟,身边任何一个看上去其貌不扬的家伙,都可能是身怀绝技的大神级人物。
1992年, DEF CON创始人杰夫·莫斯(Jeff Moss)想在拉斯维加斯为朋友办一场送别会,朋友却有事没来成。莫斯索性广发英雄帖,把送别会变成了技术同好聚会。连他自己都没想到的是,这次聚会大受欢迎,此后便成为一年一度的固定聚会,办到现在已经是第26年。
在美国,DEF CON是最受欢迎的黑客大会之一,规模最大时人数过万,据说还出现过参会者扎着帐篷等候入场的盛况。而这次DEF CON CHINA ,是大会首次走出美国的尝试,算是“ Beta(测试)版”会议。所以在筹备阶段,莫斯决定把人数限制在千人左右。但他说,看到会场里座无虚席,还是感到非常惊喜。
“和中国的合作伙伴商量时,他们说第一次办会,规模应该小一些。我说小规模是多小?他们说,两三千人吧。在我的概念里那根本不算小啊!”莫斯回忆起当时的细节,讲起这一中美差异,引得参会者一片大笑。
事实上,莫斯可能低估了 DEF CON 在中国的影响力和安全爱好者们的热情。在现场,隐私护卫队遇到了不少山水迢迢赶来的参会者。最引人注目的大概是一个13岁的南京男孩,他说自己五年前开始学习编程,对技术感兴趣,所以自掏腰包来参加(DEF CON CHINA 早鸟票售价688元/张)。
这可能是世界上参会者画风最不统一的大会之一:除了男孩,你还可以看到留着莫西干头、金发抢眼的外国男子,书包里插着旅行传单、刚从外地赶来的计算机系女学生,坐在轮椅上被人推进会场、到展台前埋头研究芯片的中年男士,和颜悦色却摆摆手告诉你“我不方便多说”的神秘大叔,等等。他们来自杭州、天津、深圳,甚至是印度、乌克兰、俄罗斯……如果有人仍然抱有刻板印象,认为技术爱好者就是格子衫牛仔裤戴眼镜眼神木讷的怪咖,亲自到DEF CON CHINA上看过后,他们或许会有所改观。
用“人声鼎沸”来形容大会现场也毫不为过。来自四海五洲的人聚在一起,互相认识,享受与同好交流的喜悦。而 DEF CON最吸引人的一点是,你可以在这里看到大批的顶尖高手。它是一场黑客版的“华山论剑”,但重点不是胜负,是分享与探索。开幕当日,来自西班牙和阿根廷的黑客介绍了地图软件的安全漏洞,在中国知名互联网金融公司工作的安全专家则展示了账号同步的风险。“就让你觉得,竟然还有这种操作?”天津大学女生家明对隐私护卫队说。
能做什么?
跟人工智能对抗,或是搞定一台饮料贩卖机
“还有谁!还有谁!”人群的中央,突然爆发出几声“嚣张”的大吼,“不是我说,在座的各位都是垃圾!”隐私护卫队循着声音望去,发现说话者是一位穿着百度安全 T恤的年轻人。他被里三层外三层地包围着,身旁是一台装满可乐的饮料贩卖机。
谁能想到,一场黑客大会上最受欢迎的装备,竟然是一台饮料贩卖机?原来,这台机器经过特殊改造,饮料柜上方有一个显示屏,只要有人成功破解程序,就能以一折的价格购买饮料。前面大声问“还有谁”的年轻人,正是主要设计者。
一位南方口音的年轻人和伙伴排到了饮料机面前。他们一边凝神思考,一边在显示屏上指指点点操作着。两人身后的多位参会者则屏息观望,不少人表现得跃跃欲试。过了约莫半个小时,显示屏上的一行行代码重新回到图形界面,饮料罐图标持续闪动,显示破解成功。“来来来,我请大家喝!”年轻人高兴地喊道。“嗯,这台机器的加密做得蛮好,不容易破。”一位围观的参会者告诉隐私护卫队。
在 DEF CON CHINA 现场,这样暗藏玄机的装置还有多处。全部活动可概括为三大部分:嘉宾的主题演讲,用于讨论交流的工作坊,拥有不同主题、可以动手参与各类破解的“破解部落(Hack Village)”。
“我爱死解锁村落了!”在接受隐私护卫队采访时,莫斯连说了两遍,他觉得太有意思了,因为“锁是能触碰得到的,而且还能给予人即刻反馈”。人们一直都被灌输“锁是安全的”的理念,然而在解锁村落,可能只用3分钟,锁就被打开了,“你的世界观也仿佛随之颠覆了”。
莫斯认为,锁的魅力就在于它看起来是一个极其简单的系统,连小孩都知道它的原理。因此锁是用来告诉人们要质疑科技的理想途径,这也是为什么这么多人积极参与解锁村落的原因。“这就跟安全一样”,莫斯说,总有人声称某样东西“绝对安全”,但却被攻破了,于是产品得到升级,如此往复。他也强调,只有在你来我往的攻防战中,才能真正发现问题的关键。
相较之下,主题演讲反而成了相对“无聊”的一部分。对此,大会主办方之一百度安全的事业部总经理马杰说,DEF CON 向来有这样的氛围,参会者注重互动和交流。他们希望这里是一个人人能获得参与感的“社区”,而不仅是部分受邀嘉宾才能发言的“会议”。
一个创新之处是,百度安全把近两年颇受外界关注的人工智能研究引入了会场,与 DEF CON CHINA 同期举办BCTF(百度国际网络安全对抗赛)。四支AI机器人战队与近十支国际知名的CTF战队一同参赛。据工作人员透露,题目一共设置了50道“关卡”,在可视化屏幕上显示为50个蜂巢状区块,其中红色代表已经被攻破的关卡,蓝色代表尚未攻破。
参赛选手需要运行事先已经写好的代码,完成漏洞挖掘、利用、修复等步骤。“这些代码是参赛选手在此前的训练中积累出来的一套‘方法论’,代表每个战队自己的解题思路”,工作人员告诉隐私护卫队,当代码成功地在服务器上运行起来之后,参赛选手就“自由”了,接下来全靠人工智能的算法了。
与此同时,同样的50道题也正在被人工破解。“今年的‘旗’是一个字符串,其实人一眼就能看出来,但是人工智能需要经过自己的一套分析程序,所以谁快谁慢很难说”,工作人员表示。马杰更是直言,不看好人工智能会获胜,因为网络安全的问题太复杂,人工智能战队的水平若要提升,还需要大量的训练。
为什么是中国?为什么是现在?
让中国极客成为全球安全生态发展中的重要参与者”
两位主办方负责人,DEF CON创始人莫斯和百度安全事业部总经理马杰,今天的着装颇有“文化交流”的意味。马杰穿着灰色的经典款西装,莫斯则穿了一件丝绒材质的中式小立领西装。跟隐私护卫队私下聊天时他透露,这件西装来自一个上海品牌,是他特意为出席DEF CON CHINA准备的。
DEF CON创始人杰夫·莫斯
百度安全事业部总经理马杰
在开幕环节,莫斯一上来就解释了为什么要跟百度安全一起主办这次大会。他说,这么多年来他一直希望让 DEF CON 走出美国,但始终没想好走去哪儿。欧洲?印度?为什么最后是中国?他说,他深知作为一个外国人,在某地做事的重要条件是在当地有值得信赖的伙伴。庆幸的是,他在中国找到了这样的伙伴。
更重要的是,在莫斯看来,美国和中国将是未来全球唯二的超级网络大国。大约五年前,他开始接触到中国的黑客,由此他发现,网络安全在中国受到越来越多的关注。如果有一个问题发生在中国或者美国,肯定不只是一国的问题,会成为全球性的问题。所以,中美的合作是有必要的。“一旦问题和挑战出现,我们可以对话。如果真的有事情发生,我们能共同解决。”他说。
探索、交流、极客精神,成为DEF CON CHINA参会者口中的高频词汇。“我们都想知道事情到底是怎么运作的。”被问及当今全球网络安全中什么问题最重要,莫斯说,他认为还是人的问题最重要,而 DEF CON CHINA 最关注的其实就是人。“没有科技可以聪明到能解决人的问题。一项技术可以为好人所用,也可以为犯罪分子所用。最重要的不是技术,是人。”莫斯说。
这一点,百度总裁张亚勤也在致辞中提及。“DEF CON CHINA的全面举行,它所蕴含的意义要远超举办会议本身,我们希望DEF CON CHINA能够在中国孕育出极客精神的成长环境,让极客精神在中国可以拥有本土化的成长土壤,让中国极客成为全球安全生态发展中的重要参与者。”张亚勤说。
百度总裁张亚勤
报料请点击
推荐阅读:
明日开幕!26年历史的安全圈“奥斯卡”首次来华,这些亮点值得期待