我在 DC010 听了一场黑客版“奇葩说”|ISC2018

来源:雷锋网 2018-09-07 23:25:33

雷锋网编辑第一次被“安利” Defcon Group 010 黑客沙龙,是来自它的发起者李均。

作为360独角兽团队的核心成员,他曾被邀请去美国的 Defcon 进行演讲,但由于签证问题,第一次未能成行。时隔一年之后,当他真正来到了 Defcon 的现场,看到了风格各异的“villedge”和有趣活跃的观众时,刷新了他对安全会议的认识。

“常规的会议,就是讲者上台演讲,观众坐在台下,无论他讲得好不好,最后都得鼓掌,但defcon不是这样,他非常注重每个人的参与。”李均认为Defcon并不是一个只有技术大牛们才能参与的大会,而是欢迎所有对黑客文化感兴趣,哪怕是抱有好奇心的人也来体验,这种鼓励创新和不妥协的理念,是他非常认同的。

除了每年在拉斯维加斯的大会外,其实 DEFCON 在世界各地的 Group 已经有100多个,这些散布于全球各地的社区性组织会不定期的举行黑客沙龙,在一起探讨技术,这更像是一个个迷你版的DEFCON ,虽然阵仗没有 DEFCON大,但从主题演讲、hackvillage 到 CTF 比赛,一样也不少。抱着“想让更多国人不用出国就体验到原汁原味黑客精神”的想法,他成为了 Defcon Group 在中国的主要对接人。

在今年的 ISC上,雷锋网编辑第一次现场体验了Defcon Group 010活动,本次活动主题是《The Perilous Journey of Bits》,整体内容以一名叫做Bits的小孩的危险旅程展开,跟随Bits小朋友从硬件、终端、通讯以及云端一路遇怪打怪,经历网络世界的新奇与危险。

整个活动分为议题演讲、技术辩论赛、技术挑战赛、hackvillage(黑客屯)等,这些板块的活动同时进行,如果你对满屏代码的议题不感兴趣,可以去hackvillage 逛逛。

在讲今天的重头戏 TECHIE BANG(辩论赛)之前,雷锋网编辑先带大家去各个活动逛逛。

GUEST SPEAKER

活动邀请到了世界各地的黑客大咖来分享不同主题的演讲,摘选其中一个大家感受一下:

《没有硬件情况下的IoT固件分析》

这个演讲是关于如何在没有实际硬件的情况下运行和分析IoT固件。现场讨论获得固件的几种可能的方法,如何构建几乎完整的环境来运行固件(而不是qemu-static),如何使用IDA Pro或GDB(现场演示)调试固件,并最终找到可能的方法来利用固件漏洞甚至都不用触及到实际的硬件。

Station

各路身怀绝技的黑客来带着自己的研究成果和工具来摆摊。以硬件安全,终端安全,通信安全,云安全为四个展示区域,定向邀请各大厂商参与展览展示活动。

Village展示与演讲交替进行,不同区域,不同厂商进行小范围技术展示与讨论,讲解嘉宾与观众面对面就设备操作及使用情况进行沟通与演示。

TECHNICAL COMPETITION

赛事由两场竞赛组成,分别为解构赛和军火赛,在解构赛中,选手需要通过掌握的WEB、PWN、流量分析等安全知识拿到FLAG,获得机器人操控权限,没到解构赛的题目代表不同的操作权限。在军火赛中,选手需要通过已经获得的机器人操作权限,控制并打中其他队伍的国旗,只有击中国旗,才会进行积分计算。

TECHIE BANG

共有四个辩题,代表各方论点的黑阔们上台直接互怼,如果观众看哪个辩手的观点不爽,也可以直接举手发言。

由于黑客辩论雷锋网编辑还是第一次见,所以带大家来体验一把黑客的辩论现场。(两天一共有四个辩题,雷锋网编辑选择其中之一进行了整理)

辩题:网络安全攻防双方谁更diao?

正方:防守方 钱林松

反方:攻击方 影子

以下用“防”代表正方,用“攻”代表反方,用“主”代表主持人。

防:谁更diao,说的是谁的技术更好,对比攻防双方所需要的知识结构,显然是防守方所需要的能力更全面。对于攻击方来说,他肯定挑自己最擅长的点来,对于其他的方面他可能并不擅长,但对于防守方来说,你不知道别人用什么招式来打你,资源上是有制约的,你必须对各类的攻击招式都了解,才能防住。

攻:要说资源上的制约,肯定是防守方的资源更多,攻击方往往只是一两个人的小团队去入侵一家公司,而公司里面可能不仅储备了安全人员,而且还是购买很多安全产品,这背后是庞大的安全团队做出来的,所以从这个方面来讲,对攻击方的要求是很高的,如果攻击成功,证明攻击方更厉害。

主:观众有没有想发表意见的,可以随时举手发言。

观众:攻击团队根据自身的情况和最擅长的技术,只要找到自己的最在行的技术和对方最短板的地方就能攻击成功,攻击寻找的是一个点,但是防守方防的是一个面,攻永远在暗处,防是在明处。对于防守方来说,如果地基打的不好,就能让攻击方永远都有机会,对于防守方的技术要求更高。

防:攻防谁最厉害,关键点在于谁的技术更diao,只要是绕过防御系统,那就是攻击方赢了,但攻击方输的时候你是看不到的,比如破解密码,你看到的只是100次里面攻击方成功的那一次,但防守成功的99次你看不到。

攻:密码爆破成功,说明准入有问题,整个风控体系存在很多问题,只能说明防守方工作没做到位。当攻击方比防守方更了解你的业务,这不是技术优势,是防守方的管理能力出了问题,很多时候整个安全技术手段和管理手段缺一不可,只是靠技术,解决不了所有的安全问题。

防:对比攻击方,防守方的成本更高,它得考虑方方面面的问题,所以它的水平一定要比攻击方更强才行。

攻:同等条件下,这是一个成本对抗的问题,企业就是无限的提高攻击成本,所以它本来就比较占优势,攻击方也要考虑投入产出比,所以攻击方的思路和技术,必须领先于防御体系,在现实中我们也可以发现,哪怕你是雇佣了顶级的安全团队,依旧能被攻破,黑产在某些方面就是领先于防守方。比如挖矿,其实在大规模爆发之前,这种技术在其他方面也有很多应用,只不过是安全公司没有重视,直到它大规模爆发。

防:没有及时反应,并不意味着防守方不知道,而是因为它没有触动价值,人头还没有那么贵。

主:现在黑产的规模已经达到了万亿的级别,但安全的盘子还是它的若干分之一,这么来看,攻击方的动力更足。

防:黑产确实是收入高,成本低,对于防守方,在公司里面并不是一个盈利的角色,不出事就是最大的贡献,所以对于攻击方来说,收入多并不能代表技术高,这不成正比。

主:拿攻防来说,微软的第一批漏洞,防御机制被攻破,在这种情况下,企业去防守也查不出来,15年的时候,NSA 武器库泄漏,这些事例是否可以证明,影子经纪人这类人,却是比微软的安全研究人更厉害。

防:绕过去了算不算赢了,赢了技术就强吗?我们要考虑到防守方花了多少成本,对于他们而言,对于知识体系和研发成本,其实要求更高。

总结陈词

攻:其实攻防并不是一个对立面,很多时候是相辅相成的,防守方在溯源的时候,也要用到攻击的技术,这其实是一个相互学习和不对改进的过程。

防:对于防守方而言,很对时候业务优先是第一点,很多时候并不是技术解决不了这个问题,而是要考虑到多部门协调、落地的经费问题,所以有时看起来会落后一些,但这并不代表技术更弱,比如这么多年windows不断地去改进和修复,它本来就是天然滞后的,要考虑到东西比较多。

还是那句话,防守和攻击不是对立面,有时企业的漏洞被发现,很排斥攻击方,觉得你只是个小黑客,看不起你,而不是考虑合作共赢,这样白帽子很有可能去做黑产,而不是利用知识储备和技能帮助和改进企业的网络安全。其实企业和个人都有短板,需要把各方优势综合,安全才能呈现良好循环,这才是我们讨论题的目的。

主:这个问题其实挺无聊的,攻防是有时候会互换,安全比赛也分红蓝军,这时白帽子也是攻击方,之所以会抛出来这个问题 ,是为了引发讨论,讨论一些攻防不对称的问题,看能否有新的方法和不同角度去思考。

以上来自雷锋网编辑对现场辩论的整理编辑,内容略有删减。

花絮

这是雷锋网编辑看到的最“随意”的辩论了,代表防守方的辩手钱林松是临时被提溜上台的,原本是演讲嘉宾的他只是来围观辩论的,结果临时被请上台。

本来他想当反方(攻击方更厉害一些),但由于对方已经先选了,他临时上台成了正方~

在辩论过程中,底下的观众如果看谁的观点不爽,可以直接抢过主持人的话筒来怼回去,除了正反方辩手要坚持本来的论点,现场所有人都可以随时改变看法坐在支持的一方后面。是不是很有奇葩说的feel! 在辩论过程中,双方也并没有剑拔弩张,在最后的总结陈词环节,钱林松甚至很“佛系”地赞扬对手总结的很好。

如果想知道更多的活动细节,大家可以去官网逛逛:https://www.bagevent.com/event/1124401,如果对某个议题感兴趣,想获得PPT或者更多细节,欢迎关注雷锋网宅客频道,留言给宅妹。

点击查看原文

相关链接