對(duì)，野生觀眾就是我本人沒有錯(cuò)了。

這里的世界頂級(jí)黑客大會(huì)，當(dāng)然是宅客頻道之前報(bào)道過(guò)的 DEF CON China 。

先來(lái)定義下什么是野生觀眾。

• 如果你對(duì)黑客技術(shù)一知半解，妥妥的野生沒得跑了；

• 雖然對(duì)黑客技術(shù)不太了解，但對(duì)黑客周邊頗感興趣，也許，你可以成為一個(gè)好的野生觀眾。

下面，我來(lái)匯報(bào)下，作為一名野生觀眾，在DEF CON 第一天，我發(fā)現(xiàn)了什么有趣的事情。

文：李勤｜雷鋒網(wǎng)

野生觀眾的基本修養(yǎng)

首先，當(dāng)然是要知道自己可以看到什么。

之前我了解到，DEF CON China 上有這么幾大版塊：

一、干貨滿滿的主旨演講

這是三天的演講概要一覽。

你可以提煉幾個(gè)信息點(diǎn)：

1.都是比較專業(yè)的內(nèi)容分享，而且DEF CON 收納的演講議題都是嘉賓之前沒有在別的場(chǎng)合分享過(guò)的。這說(shuō)明，你會(huì)吸納一波新知識(shí)。

比如，宅客頻道曾經(jīng)報(bào)道過(guò)的呆子不開口曾經(jīng)發(fā)現(xiàn)了“上別人賬號(hào)”的漏洞，這次，他居然反過(guò)來(lái)，介紹了一些互聯(lián)網(wǎng)上誘導(dǎo)受害者登錄攻擊者賬號(hào)的方式（你上了我的帳號(hào)），以及由此產(chǎn)生的一些漏洞和攻擊場(chǎng)景。

從上到被上，滿滿都是套路。

2.至少有一半的演講者來(lái)自國(guó)外，這意味著你的英語(yǔ)能力要過(guò)關(guān)。實(shí)在不行，至少要搶到一個(gè)同傳設(shè)備。

3.三天的議題在領(lǐng)域分布上跨度很大。

這意味著，作為一名野生觀眾，可以提升一下能聽懂的議題優(yōu)先級(jí)。

二、Hacking Village

分為好幾個(gè)場(chǎng)，有些場(chǎng)次第一天不開放，強(qiáng)調(diào)動(dòng)手能力，可以現(xiàn)場(chǎng)動(dòng)手拆來(lái)拆去。

三、Workshop

據(jù)說(shuō)是買票觀眾專屬，而且只能會(huì)前選擇性參加的對(duì)內(nèi)場(chǎng)次。

四、BCTF與眾測(cè)區(qū)域

之前宅客頻道曾在文章中留了一個(gè)懸念，百度SRC的加菲貓?jiān)f(shuō)，之前廠商爸爸強(qiáng)烈建議在眾測(cè)現(xiàn)場(chǎng)堆上百萬(wàn)現(xiàn)金獎(jiǎng)勵(lì)，觀眾都能參與破解，不知是真是假，這個(gè)可能值得前去一看究竟。

BCTF 就不用說(shuō)了，黑客被圈起來(lái)競(jìng)賽，聽說(shuō)還有 AI 戰(zhàn)隊(duì)一起打。

野生觀眾的進(jìn)階修養(yǎng)

一、找個(gè)專業(yè)觀眾帶路

5月11日進(jìn)場(chǎng)后，我在簽到臺(tái)處捕捉到了一個(gè)熟悉的身影——百度安全 X 實(shí)驗(yàn)室的研究員H（就是把老婆也訓(xùn)練成女黑客那個(gè)大神）。

那還說(shuō)什么，趕緊跟上去，讓專業(yè)觀眾當(dāng)“導(dǎo)游”！

不過(guò)，H這種“專業(yè)觀眾”真的是“專業(yè)的”觀眾，人家自己買票進(jìn)來(lái)，帶上白色的“付費(fèi)胸卡”，至于下圖的“綠色胸卡”，當(dāng)然。。。。是我蹭的。。。

再插一個(gè)花絮，其實(shí)還有一種顏色的胸卡（演講嘉賓），請(qǐng)“以胸識(shí)人”，猜猜他是誰(shuí)。

H 把我?guī)У搅擞布O客Village 、生物特征識(shí)別Village和Chip Off Village 專場(chǎng)。

我了解到了幾個(gè)關(guān)鍵信息：

首先，這些專場(chǎng)Village 自帶DEF CON 原裝進(jìn)口的指導(dǎo)者（出題人）。比如，在硬件場(chǎng)中，指導(dǎo)者會(huì)引領(lǐng)你組裝電子時(shí)鐘，同時(shí)附上說(shuō)明書。動(dòng)手能力強(qiáng)的朋友如果率先組裝成功，將獲得指導(dǎo)者帶來(lái)的胸章。

再者，三天的 Village 活動(dòng)中，基本不會(huì)更換玩的項(xiàng)目，但是對(duì)電子時(shí)鐘項(xiàng)目而言，第一天可能只是讓你練手，第二天可能就有小小的競(jìng)賽了。

在生物識(shí)別專場(chǎng)中，百度安全 X 實(shí)驗(yàn)室的研究員小灰灰演示了指紋、虹膜、人臉、靜脈等識(shí)別的多種攻破手段。

有時(shí)，甚至只需要打印一張紙，就能攻破這些識(shí)別方法。

DEF CON 的全球創(chuàng)始人Jeff Moss 甚至給這個(gè)演示蓋了章，稱這是讓他印象深刻的展示之一，畢竟咔咔打印一把，就能快速破解，這事太酷炫了。

師傅領(lǐng)進(jìn)門，修行在個(gè)人。

看到Village這么火爆，我把會(huì)議舉辦地昆泰酒店的一到三層翻了個(gè)底朝天，找尋其他Village的所在地。

其實(shí)，在會(huì)議入口，你就能看到Car Village，顧名思義，是針對(duì)汽車破解的技術(shù)展示。而且，門口真的停著一輛車！

但是不要高興太早，工作人員L告訴我，由于門外沒有演示屏，Car Village 的指導(dǎo)者們把幾個(gè)關(guān)鍵部件移到了室內(nèi)，而且不是針對(duì)一輛車破解（畢竟開不進(jìn)來(lái)），但是指導(dǎo)者會(huì)一個(gè)一個(gè)地演示如何破解這些部件，告訴大家這些安全威脅所在。

時(shí)間關(guān)系，我找了半天沒找到演示場(chǎng)所，野生觀眾請(qǐng)自行探索。

二樓還有三個(gè)Village。

來(lái)到數(shù)據(jù)包極客攻防Village。。。。我最大的感受是，還是得學(xué)習(xí)技術(shù)，不然只能看看大屏幕，比如，不懂 Web 安全的人根本沒法參與其中的游戲。

開鎖Village 可能是今天全場(chǎng)最火爆的一個(gè)的Village。

首先，每隔一段時(shí)間，指導(dǎo)者就會(huì)演示一次“真正的技術(shù)”，如果你特別感興趣，還能搜索更多關(guān)于“開鎖開放組織”的信息。

據(jù)工作人員介紹，這個(gè)開鎖游戲分為7階，大部分鎖上表明了難度等級(jí)。

真是不好意思，我無(wú)師自通地開了第一把鎖后，花了半個(gè)小時(shí)，再也。。。。沒有打開其他的鎖。

倒是現(xiàn)場(chǎng)一位志愿者小姐姐，直接從level 4下手，然后輕松打開。這讓現(xiàn)場(chǎng)參與者覺得，開鎖這個(gè)事情嘛。。。。還是講究天賦的。。。

不過(guò)，指導(dǎo)者告訴我，管他什么天賦不天賦，手指靈巧、會(huì)不會(huì)用力才是關(guān)鍵點(diǎn)，最重要的是經(jīng)驗(yàn)，老師傅一般十幾分鐘就能搞定這里所有的鎖。

躲在二樓角落里的偵查Village在11號(hào)當(dāng)天閉門謝客了，有緣的朋友請(qǐng)第二天相見。看看下面這個(gè)告示：獎(jiǎng)勵(lì)豐厚啊各位！

三樓還有兩個(gè)Village：藍(lán)隊(duì)Village 以及AI Village。

二、經(jīng)驗(yàn)指南：多溜達(dá)，不經(jīng)意處總能發(fā)現(xiàn)。。。亮點(diǎn)（or 槽點(diǎn)）

千萬(wàn)不要相信一個(gè)觀眾所言，一定要多方求證，否則，你至少錯(cuò)過(guò)了。。。一分錢買可樂的機(jī)會(huì)。

比如，在二樓走廊上有一臺(tái)飲料機(jī)，一個(gè)小姐姐信誓旦旦地告訴我，這個(gè)飲料收費(fèi)的哦，然后，她掏出50塊錢，順利地投幣，買了一罐可樂。

但是，后來(lái)L 又告訴了我一個(gè)秘密——這臺(tái)飲料機(jī)曾經(jīng)被小灰灰破解過(guò)，可以一分錢買可樂?。。?jù)說(shuō)，現(xiàn)場(chǎng)后來(lái)有個(gè)黑客小哥哥連著電腦成功地再次破解了它，并大聲宣示：在場(chǎng)的不能破的都是loser！

在二樓的BCTF與眾測(cè)現(xiàn)場(chǎng)，我沒有發(fā)現(xiàn)傳說(shuō)中的百萬(wàn)現(xiàn)金，而是。。。。一堆籌碼。。。不知為何，有一種悲涼的心境。。。

在BOX 的眾測(cè)臺(tái)上，還有一些奇怪的東西混進(jìn)來(lái)。。。據(jù)說(shuō)，是為了體現(xiàn)“安全”的主題。

不過(guò)，不要高興太早，就算 BOX 放的是籌碼，你也大概率拿不走這筆100萬(wàn)的獎(jiǎng)金。

BOX 的工作人員在第一天會(huì)議結(jié)束后發(fā)了一條這樣的朋友圈：

【漏洞報(bào)告：0】截止5月11日18:00，架設(shè)在百度DefConChina黑客大賽現(xiàn)場(chǎng)的BOX系統(tǒng)訪問量為23934次，其中包含10次左右的正常訪問，至今為止還沒有漏洞提交報(bào)告。玻璃箱內(nèi)是運(yùn)行中的簽名機(jī)，正在保護(hù)著100萬(wàn)獎(jiǎng)金。

旁邊果加的工作人員笑嘻嘻：沒關(guān)系，我們這的高危漏洞，10萬(wàn)一個(gè)，上不封頂哦。

可是，作為野生觀眾的我，并不能提交這種漏洞，發(fā)財(cái)?shù)臋C(jī)會(huì)就留給你們了！

再看BCTF，Jeff 、DEF CON的全球大使 Jason.E.Street 都告訴我，他們被這場(chǎng)CTF 的可視化效果驚艷到了，表示 DEF CON CTF 以后說(shuō)不一定可以來(lái)一波。

野生觀眾的終極修養(yǎng)

既然野生觀眾——我拿的是媒體票，就一定要充分利用，不能錯(cuò)過(guò)和各個(gè)大佬交流的機(jī)會(huì)（終于體會(huì)到了優(yōu)勢(shì)）。

于是，下午我參加了針對(duì)Jeff Moss和百度安全事業(yè)部總經(jīng)理馬杰的采訪。

以下是遴選出的一些QA：

1.今天大會(huì)有一個(gè)參與者是13歲的中國(guó)小男孩，青少年在美國(guó)參與DEF CON的情況多嗎？你遇到年齡最小的是多大？

J：我不覺得13歲的小孩可以在不經(jīng)過(guò)父母的同意之下、或者看護(hù)之下可以來(lái)參加，但是在現(xiàn)實(shí)生活當(dāng)中，在以往的大會(huì)的現(xiàn)場(chǎng)當(dāng)中，我也的確看到了，父母會(huì)開車把他們只有年僅13歲的子女送到這里，讓他們來(lái)參加這個(gè)會(huì)議?；蛘哒f(shuō)，我們有一個(gè)與DEF CON類似的活動(dòng)，專門為6-12歲年齡段的小孩設(shè)置，但在他們父母的陪同之下，他們可以了解到關(guān)于安全方面的簡(jiǎn)單入門知識(shí)以及倫理道德等，我在13歲時(shí)就接觸到了這些知識(shí)，所以大體上還是能夠接受這種情況。

2.BCTF 有一些創(chuàng)新點(diǎn)，哪些會(huì)被吸納到DEF CON的CTF當(dāng)中？

J：我首先非常欣慰地看到了在此次CTF比賽當(dāng)中出現(xiàn)了人工智能這樣的對(duì)手，我原先設(shè)想，它們可能會(huì)敗得一塌糊涂，但這就是你在不斷嘗試中，使事物變得更好的一個(gè)過(guò)程。

現(xiàn)在人工智能正處于早期階段，你要不斷地嘗試。

另外一點(diǎn)我想提的就是可視化，在這個(gè)過(guò)程當(dāng)中，我們要讓這些參與者覺得這是一個(gè)非常有趣的活動(dòng)，必須要在可視化方面下大功夫。在不久的將來(lái)，CTF可以在可視化方面提供一個(gè)標(biāo)準(zhǔn)，能夠幫助所有的人，網(wǎng)絡(luò)安全本身就特別難展現(xiàn)，我希望能把這些東西用到真實(shí)的展現(xiàn)當(dāng)中，而我本人也在現(xiàn)場(chǎng)記錄和錄制了一段視頻和片斷，可能會(huì)吸收一些元素到美國(guó)本土的CTF當(dāng)中來(lái)。

3.百度在Village里呈現(xiàn)的生物識(shí)別等IoT領(lǐng)域，會(huì)做哪些事情？

馬：百度在AI安全或者IoT安全方面，會(huì)給很多廠商提供服務(wù)，幫他們尋找問題，包括這次很多伙伴，我們跟他們解釋，希望他們來(lái)做測(cè)試，他們特別擔(dān)心來(lái)做測(cè)試，發(fā)現(xiàn)了問題會(huì)不會(huì)被媒體批評(píng)，變成負(fù)面的東西。

我們也跟他們說(shuō)，當(dāng)你被用戶發(fā)現(xiàn)問題時(shí)，這就是一個(gè)負(fù)面了，如果你在這樣一個(gè)安全大會(huì)上提出一個(gè)賞金計(jì)劃，歷史經(jīng)驗(yàn)告訴我們，這是正面的事情，要鼓勵(lì)這些公司勇敢地讓世界頂尖的人員參與進(jìn)來(lái)，幫助他們尋找問題。谷歌、微軟、百度每年都會(huì)請(qǐng)很多高手來(lái)檢查我們平臺(tái)的問題，每年拿出來(lái)的獎(jiǎng)金數(shù)非?？捎^，我們要有一個(gè)開放的心態(tài)來(lái)一起把這個(gè)生態(tài)做得十分安全。

這次我們說(shuō)服了他們一起來(lái)參加這個(gè)賞金計(jì)劃，我也做了很多研究支持他們，我覺得這里面，可能未來(lái)要做的事情還是非常多的。

4.知乎上有一個(gè)貼子，有一個(gè)粉絲詢問如何在中國(guó)給 Jeff Moss送禮物，Jeff 收到了嗎？（詳見“如何才能在DEFCON China上送Jeff moss禮物？還有送什么好？”

https://www.zhihu.com/question/270236385/answer/353735060）

馬：Jeff Moss 昨天得到一個(gè)非常意外的驚喜，昨天晚餐時(shí)，我們市場(chǎng)人員看到了這個(gè)事情，就聯(lián)系了其中一個(gè)答主，讓他做了臺(tái)非常有趣的東西，送給Jeff Moss。

J：有一個(gè)超級(jí)粉絲在知乎上發(fā)一個(gè)問題，說(shuō)我應(yīng)該送給Jeff Moss什么樣的禮物，當(dāng)時(shí)知乎上就出現(xiàn)一個(gè)冒名頂替的人物，似乎以我的身份回答了我想要什么。昨天晚上的晚餐當(dāng)中，那名超級(jí)粉絲定制了一個(gè)個(gè)人電腦帶給了我。

他利用了 IBM 傳統(tǒng)的外殼，里面是現(xiàn)代版的電腦，包括像顯示屏、鍵盤等，讓我非常感動(dòng)。

馬：外殼、顯示器、鍵盤都是老的，但是機(jī)箱被改成半透明的，里面用了特別酷的最新主板和系統(tǒng)，特別漂亮，還打了光。即便改造成這樣，Jeff Moss一眼就認(rèn)出了外殼的機(jī)器的型號(hào)，因?yàn)槟蔷褪荍eff 以前用過(guò)的一個(gè)型號(hào)。

J：還有一個(gè)超級(jí)粉絲在新浪微博上不斷更新我們官方發(fā)的新聞，有一天，我實(shí)在感覺很奇怪，問了問是不是百度做的，但居然不是，我覺得很驚訝。

馬（開玩笑）：所以，我們要不要挖出這個(gè)幕后的作者，Jeff 跟他聊一聊？

J：好主意。

寫在最后的話

Jeff 在大會(huì)上有一段演講讓我印象深刻：

DEFCON是一個(gè)極客安全方面的會(huì)議，我們并不是一個(gè)只關(guān)于信息安全的會(huì)議，也不是要為企業(yè)來(lái)解決問題，而且并不想要把安全方面的產(chǎn)品進(jìn)行優(yōu)化。我認(rèn)為DEF CON應(yīng)該專注于挖掘人、探索人，我們想要幫助你們來(lái)發(fā)掘新東西，大家一塊來(lái)發(fā)掘，相互來(lái)學(xué)習(xí)。

所以，如果你也是一個(gè)像我一樣什么技術(shù)都不懂的“野生觀眾”，機(jī)緣巧合來(lái)到這個(gè)大會(huì)，或者因?yàn)楦鞣N原因不能參加現(xiàn)場(chǎng)大會(huì)，但關(guān)注到了它。

或許我們不必再深究是否能完全理解這場(chǎng)高大上的黑客會(huì)議的技術(shù)精髓，讓我們埋下這個(gè)火種，挖掘和探索人，發(fā)現(xiàn)新的美好，也許你打開的是另一個(gè)世界的大門。

本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道主筆，李勤。歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”，獲取更多網(wǎng)絡(luò)安全信息。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。