全球黑客的盛會
—親歷2012世界黑客大會
解濱
今天(7月25日),一年一度的世界黑客大會(Blackhat 2012)在拉斯維加斯的凱撒皇宮(Caesars Palace)大酒店隆重開幕了。 到筆者發稿之時,還有新人加入會議,所以沒有一個精確的數字到底今年有多少與會者。 本來預計會有5000人左右參加,但是開幕式上準備的5000張座椅遠不夠用,很多人只好打站票。 首先聲明,俺不是黑客。
世界黑客大會其實是兩個會議。 一個叫「DEFCON」,另一個就叫「Blackhat」。 兩個會議都是每年七八月間舉辦一次,在拉斯維加斯舉辦。 兩個會場相隔的距離很近。 今年的「Blackhat」實際上在21日就開始了,但那是培訓,不算正式會議。25日和26日兩天正式開會,叫做「Blackhat Briefings」,由各方神聖切磋黑客技藝。 DEFCON於27日召開。 很多與會者開完第一個會議直接跑到第二個會議。
「世界黑客大會」誕生於1992年,一開始只有DEFCON,與會者都是黑客。 1997年他們擴大會議規模,開始了Blackhat。Blackhat,比較正規,歡迎公司資助,不排斥政府人員與會。 兩個會議堪稱黑客大閱兵,切磋黑客技藝。 以前與會者只有美國的黑客,後來發展成全世界的黑客大會,與會者來自世界各地。 幾年前Blackhat走出國門,在歐洲和阿拉伯的也舉辦會議。DEFCON只在美國召開。 所以,美國的這個大會的規模是 最大的。 相比之下,Blackhat要稍微「白」一點,DEFCON比較「黑」。 例如,今年DEFCON的幾個報告的題目是:
Into the Droid: Gaining Access to Android User Data
How to Hack All the Transport Networks of a Country
DDoS Black and White "Kungfu" Revealed
Black Hat就沒這麼露骨。 例如今天的一個報告是:「Control-Alt-Hack(TM): White Hat Hacking for Fun and Profit」。
由於DEFCON的內容比較殺氣騰騰,與會者不願暴露自己的身份,就採用門票制,不必向會議組織者登記註冊,今年只要付200美元現金就可入會,不接受信用卡或支票,張三李四王二麻子都可參加,門票在Blackhat會場就可以買到。Blackhat正規一些,必須正式登記註冊,出示身份證才可辦妥registration,並接受信用卡付費。 兩天的會費是1995美元(臨時註冊要多三百塊錢)。Blackhat的規矩也較多。 例如,與會者的badge 要是搞丟,要罰500美元才能新辦一個,否則不能參加會議。DEFCON比較隨便。
黑客大會的參與者並非都是黑客,許多白客也列席會議。 美國政府和軍方也是黑客大會的重要與會者。 美國政府派員參加黑客大會有三個目的:(1) 探聽黑客的最新動向,部署對策,(2)招兵買馬,網羅頂尖級的黑客為政府進行安全工作(3)當場逮捕臭名昭著的黑客。 例如,在2001年的世界黑客大會上,美國聯邦調查局逮捕了26歲的俄羅斯黑客德米特里•斯基亞羅夫。 今天黑客大會的keynote speaker 就是今年才從聯邦調查局退休的前局長助理 Shawn Henry。
Black Hat的創始人Jeff Moss希望將Black Hat辦成一個學習和分享黑客和信息安全技術的大會。 他本人也是黑客出生,十幾歲就是侵入電話系統和大學校園網路的高手,後來被一家大型網路安全公司招安,當了白客。 實際上今天的他仍然是黑白兩道上的俠客。 在黑客世界他一呼百應,在白客陣容里他也是一面大旗。
世界黑客大會不但為與會者提供一個交流武藝的平台,也提供正式和非正式的武打競技場。 以前黑客大會提供有線網路供黑客們比武。 現在提供的是Wifi,誰都可以進去比試一番。 根據以往的經驗,一台電腦只要接通大會的網路,十有八九會被各種malware嚴重感染,有時甚至會報廢。 我的辦法是:事先把所有的數據backup好,開完會回到單位后重新安裝機器。 另外一個辦法,就是使用bootable DVD例如「Backtrack」 啟動機子,這樣一來malware無法駐留在機器上。 當然,遇到了破壞硬體的malware,也只好自認倒霉。 如果某位與會者的機器被損,是絕對不可以找會議舉辦方索賠的。 當然,如果某位與會者把大會的網路給癱瘓了,舉辦方也不可以拿那黑客是問,這是願打願挨的買賣。 對了,本文就是使用大會提供的網路發出的,網管只要看一看俺的IP就知道了。
今天上午的一個觸目驚心的黑客練兵是由一位專業黑客Cody Brocious(http://www.blackhat.com/usa/speakers/Cody-Brocious.html )演示的。 他用不到20美元的一個Arduino裝置,成功地打開了旅館的電子門鎖。 旅館要堵住這個安全漏洞,唯一的辦法就是花費幾十億美元把全世界所有的電子門鎖進行升級。 還好,俺的旅館房間里沒有金屋藏嬌,黑客打開了也沒啥,俺在打醬油呢。
今年的新趨勢是iOS hacking, mobile device hacking 也繼續發酵。
下面是從會場發回的圖片:
大會由Jeff Moss 宣布開幕,並致開幕辭。
前聯邦調查局局長助理 Shawn Henry 做 Keynote Speech
會議上許多發言直指來自中國的黑客攻擊。 這次大會有不少東方面孔,很多是來自日本和韓國的。 中國人有不少,不過他們大多是數來自美國的。 不清楚中國大陸有沒有企業派代表參加。
今年是Blackhat的第15年。 會議專門邀請4位在第一屆大會上的發言者前來參加討論。 圖中間的女生是討論主持人。
左邊這位是Jeff Moss, 右邊這位是 Adam Shostack,兩位都是知名的黑客,不過早已從良,被招安。
上圖中,左邊這位叫Bruce Schneier,密碼界的天王巨星之一。 他的著作《應用密碼學》在國內很走紅,仍然是研究生的教材。 右邊這位叫Marcus Ranum,當年的知名黑客,早已從良。 現任Qualys的總裁。
哈哈,這麼漂亮的MM也當黑客???
上面這位MM擺好POSE讓我拍照呢。
今年的漂亮MM特多,原來她們都是贊助商派來推銷產品的。 哈哈哈哈,黑客大會的展銷跟車展差不多一樣風情萬種啦。
上面這張圖中,機器人也來推銷產品啦
黑客的盛宴(第一天的午餐,看一看是不是比人民大會堂宴會廳還高堂滿座?)
看看黑客們吃的多健康,黑客們也要減肥、節食啦
精美的午餐:一隻烤雞胸,一個烤土豆