DEFCON CHINA世界顶级黑客大会！

DEFCON CHINA 官方网站：https://anquan.baidu.com/special/activity/defcon/index.html

 

活动简介

5月11-13日，DEF CON China将召集全球安全领域研究者、爱好者相聚北京，开启安全大趴。AI已至，大安全时代来临，安全的概念突破了传统网络安全的范畴，生物识别、物联网的大行其道，打破了虚拟世界与现实世界的最后一道屏障，在这个过程中，AI技术被利用在攻防对抗，其自身也存在攻防对抗。BCTF（百度国际网络安全技术对抗赛）也将在DEF CON China期间举行，在延续DEF CON传统议程和赛制的基础上，首次引入AI战队，同时向智能终端厂商发出安全漏洞众测百万悬赏征集令，更多彩蛋逐一揭晓。

 

活动时间

2018年5月11日-13日

 

活动地点

北京昆泰酒店，百度地图搜“DEFCON CHINA”即可到达

 

活动议题

5.11议题概要

【KEYNOTE】

【HACK VILLAGE】

9:00-17:00

• Front entrance——汽车极客  VILLAGE
• Room 5—— 开锁 VILLAGE
• Room 3 ——侦查 VILLAGE
• Room 7-8——数据包攻防极客VILLAGE
• Room 19 ——蓝队 VILLAGE
• Room 20——人工智能VILLAGE
• Ballroom C——硬件极客 VILLAGE、生物特征识别VILLAGE、物联网VILLAGE

 

【WORKSHOPS】
14:00-18:00

• ROOM 12——移动APP攻击 2.0
• ROOM 15-16——社会工程概要
• ROOM08 -09 ——0day 修炼，一天足矣
• ROOM 10-11——去中心化黑客网络

 

5.12议题概要

【KEYNOTE】

 

【BCTF】
9:00-17:00

【HACK VILLAGE】

9:00-17:00

• Front entrance汽车极客 VILLAGE
• Room 5  开锁 VILLAGE
• Room 3  侦查 VILLAGE
• Room 7-8  数据包攻防极客VILLAGE
• Room 19 蓝队 VILLAGE
• Room 20 人工智能 VILLAGE
• Ballroom C硬件极客 VILLAGE
• 生物特征识别 VILLAGE
• 物联网 物联网 VILLAGE

 

【WORKSHOPS】

• 10:00-14:00
• ROOM 12  移动 APP 攻击 2.02.0
• ROOM 15-16  社会工程概要
• ROOM 08-09  0day 修炼，一天足矣
• ROOM 10-11 去中心化黑客网络
• 14:00-18:00
• ROOM 12  开发中的攻与守
• ROOM 15-16  扫描电波：用 SDR建立一个简单的无线电扫描技术
• ROOM 08-09  恶意软件分析实战：实践
• ROOM 10 10-11  动手开发渗透框架
• （DEF CON China Electronic Night）

 

5.13议题概要

【KEYNOTE】

 

【WORKSHOPS】

• 10:00-14:00
• ROOM 12 开发中的攻与守
• ROOM 15-16  扫描电波：用 SDR建立一个简单的无线电扫描技术
• ROOM 08-09  恶意软件分析实战：实践
• ROOM 10-11 动手开发渗透框架

 

活动亮点（from浅黑科技：qianheikeji）

1.酷炫纪念胸牌（Badge）

为什么一上来不说议题而先说胸卡？原因很简单，细节往往能说明问题，一个餐馆的洗手间如果超干净，厨房卫生也多半不赖；一场活动的品质把控得如何，细节就能看出来。下面这些 DEF CON 往届的电子胸卡:

话说 DEF CON 的胸卡不仅好看，有的还内藏玄机，比如电路板里暗藏密码开关，解开密码就能依次BlingBling点亮几盏小灯。挂上胸牌在会场转一圈，往对方胸前一看，就知道是小白还是大神。

由于胸卡本身是块电路板，网上还有人充分发挥劳动人民的智慧，把它们改造成玩具车、游戏机一类的小玩意。

也正因如此，几乎每届 DEF CON 排队领胸卡的长龙都是一道亮丽的风景线。平胸而论，一个小小胸卡当然无法决定会议质量，但如果 DEF CON 连一个小小胸卡都能做得令人高潮迭起，并且二十多届年年换新招，那么这场会议的其他环节一定也很考究。话说今年的胸卡到底长什么样？我也还没见着，十分期待。

 

2.会议的灵魂—-议题

演讲议题是任何一个技术会议的灵魂。一般来说，参会者最怕碰到两件事：花钱看广告和花钱听天书。

所谓花钱看广告，是指整个议题演讲充斥着商业自吹，通篇打广告秀肌肉，让人误以为是某大型皮草展销会。偶尔插播一两句技术干货观众都得谢天谢地……

所谓花钱听天书，是指演讲表面看起来特别干货，PPT里90%都是代码，但其实内容非常小众偏门，演讲者全程激情四射，语速飞快自说自话，无视演讲限制时间，恨不得告诉大家“我再讲两分钟”、“体育老师生病了，我来给大家上”……

以上这两种情况都不太可能出现在 DEF CON 上。

DEF CON 是全球出了名的没什么商业气息，相反，它常常透露出一股让人看着不怎么正经的朋克气质，画风偶尔还会跑偏。

若不是对演讲质量严格控制，DEF CON 也没法延绵26年口碑依然如故。不过，跟 Blackhat 大会的高大上形象相比，DEF CON 议题的学术性又不那么强，更偏重实用性甚至趣味性。

比如今年的 DEF CON China 上有这么几个议题：

“你上了我的账号”
“爆炸：一分钟内销毁存储设备”
“利用谷歌搜索引擎传播恶意软件的方法”
“几种通用的安卓平台路径穿越漏洞的挖掘利用姿势”

听名字，它们就已经跟学术性完美脱钩了，有种屌屌的扌鲁起袖子就是干的实用主义气质。

当然，为了维持技术权威性，这次 DEF CON 也不乏一些听名字就感觉高大上的学术气质议题，比如“当内存安全语言变得不安全”、以及“对深度学习系统的数据流攻击”和“欺骗图片搜索引擎”等等。（实际上还有很多听起来很高大上的英文议题，这里就不一一列举）

有干货有理论有实操不扯淡，这样的技术型会议在我心中已经相当高配了。

 

3.专题工场 Workshop

和主会场演讲相比， Workshop 分会场的演讲更贴近实操，基本上听完就恨不得自己马上动手做一遍，分分钟想放声大唱如果我是Hacker你会爱我吗。

我拿到了今年 DEF CON 中国的 WorkShop 的节目单，让我们通过名称来感受一下这些议题的实用性：

• 搭建去中心化黑客网络
• 动手开发渗透框架
• 恶意软件分析实战
• 用 SDR 建立一个简单的无线电扫描系统
• UAC 0day 修炼，一天足矣
• 移动APP攻击 2.0
• 社会工程概要
• 开发中的攻和守

据说演讲过后，会场还会准备一些设备供观众们上手把玩。

比如议题 “用 SDR 建立一个简单的无线电扫描系统”就专门准备了一些SDR USB 存储棒供观众借用，目的就是教会观众搭建无线电监听装置，监听和解码空气中的电视、广播信号。

看样子“理论结合实际” 不仅是我党的一贯思想原则，也是 DEF CON 的一大准则。显然，他们也得到了马克思先生的真传。

 

4.黑客体验营（Hack Village）

请原谅我的五毛钱英文翻译水平，Village 一词直接翻译过来是“村落”，所以 Hack Village 本应译为“黑客屯”，但听起来总让人忍不住放声歌唱哦滴老噶，诶就住在这个屯儿。为了避免这种尴尬，所以我在把它译作“黑客体验营”。

黑客体验营（Village）是 DEF CON 独家活动，同样以动手为主扯淡为辅。我挑几个给大家讲讲：

1.汽车Village

搞安全技术的人有很多，研究智能汽车安全的人也不少，但少有人会把一辆车拆了来做技术研究。这时汽车 Village 就显得很有必要了，它能让你现场尝试一把当汽车黑客的感觉：

（小时候拆玩具车，长大了拆跑车，这才是真·技术宅）

据说，今年 DEF CON China 上会弄一辆真·跑车来做实验，不知道会不会附送个漂亮的车模…………（我说的当然是汽车模型）

 

2.开锁Village

锁，是一个典型的防御系统。撬锁，或许是最早的硬件破解之一。开锁方法千千万，可以用钥匙直接打开，也可以用工具撬开，甚至还可以完全忽略钥匙孔直接打开。

开锁与关锁之间，其实也蕴含着最古老的技术攻防精神内核。来看看 DEF CON 的开锁 Village 怎么玩 ：

有人或许疑惑，开锁跟黑客技术到底有什么关系？要回答这个问题，我得插播一则TK教主的故事。

据坊间传闻，玄武实验室的TK教主于旸在上高中时就迷恋开锁，还曾自制过开锁工具，包括钳子，剪刀，锉刀，后来他还练就了看一眼就能记住钥匙形状的独家本领。

网上有过这样一个问题:“黑哥跟TK都是医生出身，为什么能成为黑客技术大牛？他们有哪些交集？”。回答者总结了一条很精辟的要点：They are good thinkers，They hack everything.，翻译过来就是：他们是好的思考者，他们怼天怼地怼空气 不断寻求突破）

从那以后，我便理解了为什么堂堂 DEF CON 要弄个撬锁环节，因为 Hack 的内核就在于打破常规，人们用计算机技术作为工具来打破常规，便成了所谓的黑客。

除了以上两个，今年的 Village 体验营还有：

• 侦查 Village
• 数据包攻防极客 Village
• 硬件极客 Village
• 生物特征识别破解 Village

节目太多，这里就不一一拿出来讲了。

哦对了，由于这届是DEF CON 跟百度安全合作的，还额外弄了一个 AI 安全Village，众所周知百度在 AI 人工智能领域下了不小的注，也期待这次他们能带来 AI 安全方面的一些新成果和观点。

 

5.BCTF

CTF，简单来说就是黑客版的电竞比赛。
BCTF，就是百度安全举办的CTF比赛。

这次的 DEF CON China 由于是百度安全和DEF CON 官方联合举办，所以他们把 BCTF 比赛也放进了会场，如果你演讲听累了，还能顺道看看各路选手的现场技术交锋，感受一下真正的技术竞技，一举两得。

这次比赛时间从5月11日中午持续到12日下午五点，也就是说各路战队必须大战一天一夜才能决出排名。
往届 DEFCON CTF 现场图

关于这次 BCTF 比赛，我简单说几句：

1.CTF 夺旗赛这种比赛形式最早就是 DEF CON 在1996年发明的。
2.直到现在，一年一度的 DEF CON CTF 依然是全球CTF的标杆，几乎是每个CTF 选手的终极比赛目标。

这次 BCTF 虽然是百度安全主办而非 DEF CON 官方，但是跟 DEF CON China 放在同一个会场，相信比赛的品控以及现场气氛也都会做得不错。

在奖金池方面，根据官网上面的描述，这次 BCTF 的奖金达到了数百万级别，其中六十万元奖励CTF比赛的优胜队伍，第一名能直接斩获30万元现金。除此之外，现场还会有一个产品安全众测活动，白帽子黑客们现场为参与众测的厂商找漏洞，成功者瓜分所有奖金。

BCTF 官网的描述

另外，话说这次BCTF还专门设置了4支AI机器人战队，在场观众不仅能看到人人对战，人机对战，还能看到机机对战！想想竟有些小激动。

 

6.黑客音乐会（Hackmusic live ）

我在大会的官网找到一个叫“黑客音乐秀”的环节，但是目前还没有任何详细描述。

只显示：“这里是极客范儿与ROCK的完美碰撞，解锁极客玩音乐的新姿势，用音乐致敬DEFCON，致敬极客精神。”

 

7.其他乱入彩蛋

除此之外，会场可能还会出现一些奇奇怪怪的东西，类似于这样：

这样的：

不好意思放错图了，应该是这样的：

看到这些，请不要惊慌，它们都是DEF CON 活动的一部分。

以上大概就是你能在这届 DEF CON China 看到的所有内容。（剧透得好过瘾）

最后严肃地说两句，我觉得 DEF CON 这类活动并不仅仅只是一场常规意义上的会议，准确来说，它是一场体验。

我们现在常常讲用户体验，很多时候花钱就是为了买个体验：你买台电脑，目的不是为了要硬件，而是要上网工作打游戏的体验；你买一个iPhone ，要的当然也不是那个金属玩意，而是为了它那顺滑的搞机体验。是这些体验，让你自己变得不一样，让你觉得很爽。

参加 DEF CON ，同样是一种体验，什么体验？每个人都不一样。或许是开拓了视野，看到了一些新技术思路；或许是结识了志同道合的新朋友，（技术爱好者应该能体会到那种有一水平相近，能相互探讨的小伙伴有多重要），或者是认识了某个技术大牛。

再或者，哪怕就只是去看了看，多年以后看到抽屉里的 DEF CON 胸卡能回想起的某个瞬间让你会心一笑，那这就够了。

 

8.彩蛋环节

彩蛋1：百度搜索黑洞，你的电脑屏幕会被突然出现的黑洞吃掉，同理，DEF CON China 举办期间（5月11~13日），你搜索 DEF CON ，也会出现一个五毛钱特效占据你的屏幕。
彩蛋2：在百度地图搜索 DEF CON 能直接定位到这次大会的位置。

大会购票及更多彩蛋，请登陆官网：https://anquan.baidu.com/special/activity/defcon/index.html