咳咳,先不说 200 万的事情,留个悬念。
反正傲娇如黑盟宅客频道,真的有“大家都说没有的”世界顶级黑客大会DEF CON China 的“免费票”!!!
事情是这样的——最近,百度安全的妹子找到我,希望能宣传一波 DEF CON China。
我:给票吗?
妹子:我争取了下,但老板是这么回复我的。
我(不死心):真的不给吗?
妹子:真不给,全中国就没有一张免费票。
哼!!!!!!
然后我从友媒处证实了这个消息,比如,《嘶吼放血大派送DEF CON China 门票免费拿!!!》,我激动地点进去,发现了一句话“我们自掏腰包为小伙伴们准备了四张门票,只要参与活动就有机会免费领取。”
蛤?抽奖?太考验运气了。
再比如,“浅黑”的小哥哥教了一个招:
如果是学生党组团参加想省点钱,这里我分享一个能“黑”进黑客大会的小技巧:
两个人买两张票,进场,其中一个拿着两张票出来,带着第三个人进场。如此往复,两张票就能让整个宿舍的人都参加了。(被抓别说是我教的,嘻嘻)
这个主意看上去不错,我跟百度安全事业部总经理马杰探讨了下可能性——
“不要想了,你可能最多能混进来半个小时,我们场上有保安时刻巡逻、查票。如果查到没有票,你可能会被先请出去找回你的票……记住哦,可能不到半小时你就要出去了。”
车到山前必有路。我们的宗旨不是“买票是不可能买票的,这辈子都不可能买票。”而是,大家来拼一把实力“抢票”,借着让马杰剧透 BCTF 的机会,宅客频道独家争取到了比免费票更棒的“票”——通过宅客频道,可以争取最后的 6 个志愿者名额(不要看了,官网志愿者通道已经关闭了)。
当志愿者有什么好处呢?
1.说个不恰当的比喻,你们老要文迪女士出撩汉攻略,好歹人家先坐到了默多克身旁。
想和演讲嘉宾、黑客大牛近距离接触?当然是要和他一起工作。观众不好跟人家要签名和合影,志愿者可以近水楼头先得月,敞开了套磁(不要说我教的)。
2.DEF CON China 三天活动,相当于持有三天通票,畅通无阻啊宅友们!台前幕后,畅享内部视角。
3.听说百度内部员工也是要买票入场的,但是可以在一定程度上申请报销,有个高 T 大牛说,我不,我就要当离黑客大大们更近的志愿者,于是,老老实实地报名,参加了笔试和面试(对,内部员工也没有特权)。
以下是福利的“具体操作”(百度安全的妹子给的,解释权归他们):
志愿者截止收集报名时间到 5 月 6 号,投递邮箱:zhangxinyue02@baidu.com,一定要注明暗号黑盟“宅客频道专属通道”;
报名同学需要提供简历介绍,重点展示个人技术和语言能力;
百度会针对宅客频道上报名的同学组织专场面试;
建议北京及周边同学报名,不提供外地人员食宿。
关键点来了,什么样的同学可以成为这次志愿者幸运鹅呢?
我向 DEF CON China 筹备组以及面试官打听了一些消息:
英语好,英语不好怎么跟国外嘉宾畅谈人生?所以,会有英语专八水平的小姐姐面试你。
了解网络安全技术,要有多“了解”我不知道,反正人家说了,宅客频道的读者应该是懂技术的,白帽子小哥哥也很棒棒。(机智如你,一定要说经常看宅客频道)
性别为女并没有优先权,自己厂里的也要面试。
不拒绝友商同学。
本文作者:黑盟(公众号:黑盟)宅客频道主笔,李勤,qinqin0511
****好,“免费攻略”传授完毕,以下为200万现金的分割线****
前两天,我去采访马杰,准备来一波 5 月 DEF CON China上 BCTF的独家剧透,结果,他提到一个“花絮”:我们准备在 IOT 智能设备众测彩蛋环节堆出来200万现金。
我:蛤?????
运营中心刘女士强调:悬赏百万这件事儿不是假的,我们要把现金带过去。
我:。。。。
马杰:说实话,你拿完漏洞,现场如果所有的审核全部通过后,现场拿走奖金,我相信中国绝对有这样的高手。
听说,就连现场吃瓜观众(巴特,我们的观众至少都是网安技术爱好者???)都能参与这一波“抢钱大战”,于是,我决定仔细了解这波剧透。
1.先说说BCTF是什么
简单来说,就是百度安全举办的一场 CTF 比赛,而 CTF全称为 Capture The Flag(夺旗赛),参赛双方在网络空间互相攻击和防守:挖掘漏洞并攻击对手来得分,修补自身漏洞进行防御来避免丢分。
说白了,你能看到一场历经两天一夜的现场黑客大战。
近几年,国际、国内的CTF种类越来越多。举办 CTF 的组织方各有目的,有些有政府背景,比如,韩国的 Codegate CTF;有些是战队办的,比如,PPP 的 PlaidCTF,这种比较常见;
有些是企业办的,比如腾讯的 TCTF,360 有一个世界黑客CTF大师破解赛,阿里巴巴在2016 年还举办了AliCTF;
有些是安全会议牵头办的,比如著名的 DEF CON CTF,实际具体操办的也是战队。
DEFCON CTF是目前还在办的历史最悠久的CTF,最早一届DEFCON CTF是1996 年办的。
还有一类是不公开的 CTF,不会公开征集报名,开展预赛之类。比如,有些国内、国外企业会举办面向内部员工的 CTF。
美国国防部从 2014 年开始举办名为“CyberStakes”的 CTF 。美国国防部有一个网络安全人才的培养计划,目标是花 3 年时间在美国军队里培养 4000 名安全专家。而且标准很具体,要求会挖漏洞,会写 Exploit,训练的一个环节就是CyberStakes”。而且他们邀请了 David Brumley 教授来授课。这位教授是 2016 年 CGC 最后 7 支入围队伍之一 ForAllSecure 的创始人。
CGC 是 CTF 历史上的转折点,不再只是人和人打,而是和机器打。他们招募了一些队伍设计了一套系统,和人类战队打 CTF。(详情可见以前TK教主来黑盟宅客频道开讲过的公开课:《白帽黑客教主 TK 告诉你,黑客的游戏 CTF 究竟是什么》)
2.在 BCTF ,我可以看到什么
这次的 BCTF 就将在 Defcon China 期间举行,采用线上预选赛、线下总决赛两级赛制。
总决赛现场,数 10 支国内国际战队与四支 AI 机器人战队一同决战,同时还有安全漏洞众测百万悬赏征集令,挑战 IOT 智能设备众测彩蛋。
3.AI 程序漏洞攻防挑战赛:这次真的是人和机器“混打”吗?
上一次,CGC最后的战胜队还是人类队伍。虽然机器队伍没有横扫千军,但也不是最后一名,还是有两支人类队伍输给了机器。
这次,难道也要有这种激动人心的吃瓜场面?
马杰告诉我,这次我们真的可以看到 AI 机器人战队和人来拼一场了。
不过,可能在真正比赛时,我们并不会看到机器人手持凶器砍向机器人or人类。
甚至,你在现场可能一脸懵逼:卧槽,说好的机器人呢?
以前,我参加过在武汉举办的一场机器人网络安全大赛,当时,这场大赛实际是在RHG(robot hacking game)平台上,基于标准Linux二进制的自动化漏洞挖掘和防御竞赛。
我进了场,看到了五彩的灯光和类似自动售卖机的展示品,整体比较玄幻:
我搜寻了全场,试图寻找机器人的身影。才发现“机器人”,哦不,准确来说,是 AI 程序都在参赛的黑客战队的电脑里。。。。所以,也许,你看到是这样的场景(网络上找的网吧截图,可以说很形象了):
正经来说,这应该叫做“AI 程序漏洞攻防挑战赛”。
马杰说:“机器人战略的说法有时候容易有一点迷惑,圈外人会想象成机器人来比赛,其实是有一定人工智能的程序来比赛。像这样的机器战队,我喜欢叫AI战队,AI战队一定是未来的方向,但以它现在的水准,又不是一个强 AI 的东西。
我们把这些引进来,虽然不是首次,但大家也没有什么特别成熟的方案,所以还是一个探索阶段,特别是这次又跟人混在一起,和人相比,AI程序肯定有很多弱势,就像最早的汽车一定跑不过马车。”
为了设计一个规则可以让他们在同一个场上有一定程度的比拼,让人们看看 AI 程序的实力,这次“AI 程序漏洞攻防挑战赛”侧重考察各战队的 AI 程序在无人类干预情况下或人类在自动化工具辅助下针对 linux32 位程序的漏洞发现、挖掘、和利用能力。
公平起见,赛事积分将统一计入赛事总积分,纯 AI 程序参赛的队伍将单独参评 “最佳AI 攻防团队奖”,人类战队参赛将获得积分,本项比赛积分占总积分比例为 20 %。
4.线下总决赛—靶场综合渗透关卡赛
所谓“靶场”,就是还原了互联网企业内网场景的一个平台,为参赛选手提供了一次内网安全检测仿真演练的机会。参赛者需要在独立的靶场环境中,与队友共同探索黑暗,不断地搜集线索,绕开死胡同,逐步完善大脑中对这个区域的地形图,只有最早走出靶场的团队才能发现宝藏。
其实,就是仿真了一个小型企业内网的典型场景,让参赛者尝试攻击,找出漏洞。
这次,BCTF 引进的靶场综合渗透赛在考虑国内外战队的优劣势情况下,不计分,但是计时,获胜者可优先进入正式的CTF大赛,也就是说,它是一个新增的关卡赛。
那么,我能提前多久闯关CTF ,就看在这个关卡赛里表现如何了。
据说,靶场综合渗透关卡赛计划在 CTF 攻防赛正式开始前4小时开放,优先闯关的战队不仅能提前进入到CTF攻防赛,同时设置“靶场综合渗透”单项奖,有钱的哦!
我再打听了一把,这次计划的靶场有可能是反恐类、侦查类场景,感觉CS爱好者可以撸一把了。
5.CTF攻防对抗赛
我拿到的官宣版本是:本项比赛侧重考察各战队 CTF 攻坚能力,也是DEFCON 历届 CTF 的传统赛题,其形式和难度与历届 DEFCON CTF 竞赛相当,各战队对自己防御区域内的赛题进行漏洞挖掘和防御,同时对其他战队的防御赛题进行攻击,获取 flag 得分,被夺取 flag 的队伍被扣分。
对于见惯了CTF的人说,这段等于没说。所以,揭秘这个环节真的很不容易。。。。使出了我的看家套磁本领,然而。。。
我:听说这场CTF现场决赛由线上决赛队伍、国内外知名精英战队组成,各有多少支?都是哪些队伍?精英战队和线上决赛的队伍一起打吗?
马杰:暂时还不能说,正在邀请中。当然是一起打,不是表演赛。我们能邀请到的国内的最好水平的战队(其实也都能邀请到),如果有认为自己水平很好的,被我们不小心遗漏掉的,请联系我。
我:赛题设计上,我听说是** 和*****来出题,有哪些题型?(留言就不要问我是谁了,我不会告诉你们的)
马杰:咦?谁跟你说的?这个问题不能谈,怕大家提前公关出题单位,但我们肯定会邀请国内外的强队,真正参加过比赛的队来出题。
我:好,不谈具体战队的名字,我们具体会有几支战队一起来负责出题?
马杰:肯定要分散嘛,既要有公平性,也要防止泄密。
我:出题的队伍是不是就确定不会参赛了呢?
马杰:那当然。
我:能说说出题类型的比例吗?我可不可以认为,这次会让不同的出题方出特定题型,然后组合起来。。。
第二次出场的运营中心刘女士:不好意思,出题这块我们不讨论。
(我还怎么剧透!!!!)
6.IOT智能设备众测彩蛋
说好的200万奖金就在这里了。
在 BCTF 整个赛程中,会设置 IOT 智能设备众测彩蛋,同时在总决赛现场放置若干智能设备,供战队队员及会场技术发烧友现场破解。如测试期间发现设备漏洞并证明该漏洞风险的队伍,经过评审确认,即可获得相应彩蛋奖励。
彩蛋=钱。。。(走过路过不要错过,万一把门票钱赢回来了呢?)
宅友们,一次凑齐首付款的时间到了:
这次IOT 智能设备众测分成软、硬件两部分。5月11日 到5月12日比赛期间,会开放网友众测区域,也就说,软件众测部分可以提前抢位开测。。。。
现场的硬件测试的待测产品包括“小鱼在家”智能设备、BOX、果加智能门锁等,听说还会有小度的产品,是不是音箱?这得在线揭晓。这些都将是最新的硬件产品,厂家已经做好了被“啪啪打脸”(欢迎找洞)的心理准备。
硬件数量有限,先到先得,普通观众均可报名参加,现场破解,破解成功现金带回家。。。(这么一看 688 元的门票钱还挺值)
有多少奖金?百度 SRC 的工作人员加菲猫告诉我,“小鱼在家”拿出了100万人民币,其他的加起来还有100多万。
不过,和众测厂商直接沟通的加菲猫强调,200多万的奖金是否是纯现金摆在台上还是一个留待现场揭开的悬念。
“厂商是想直接把钱拉到台上发,你想想,200多万啊!!!我得找多少安保人员看着,抢钱怎么办?不行,我得沟通下是不是用代金券代替,求不要给我挖坑。”猫姐说。
最后,来个民意小调查吧。
你希望看到 200 多万的现金摆在 BCTF 的台上吗?(单选)
A.想,震撼刺激holyhigh
B.想,我不抢
C.不想,咦,怎么会有这个选项
**最后一个彩蛋**
嘿,读到这里还没点右上角的XX?那就揭秘一个惊喜彩蛋吧。
据说,这次DEF CON China的很多细节都是由其全球创始人 Jeff Moss 敲定的,小到此次会场地毯上的指示路贴的设布置,再到这次大会的主视觉设计。我们来看看“姐夫”的选择——
设计小哥哥:姐夫,这次我这个加了鲁班锁的概念,还上了一整套。你觉得怎么样?
设计小哥哥:你看哦,红和黑,多喜庆,是不是棒棒哒?!(快表扬我)
设计小哥哥:那你想要怎样?
设计小哥哥:那就又黑又绿吧。。。↓↓↓
黑盟原创文章,未经授权禁止转载。详情见转载须知。