上周末,百度在798艺术区玩了一场行为艺术。这场行为艺术还吸引了百度公司董事长兼CEO李彦宏前来围观。
5月31日,为期三天的DEF CON CHINA 1.0在北京的骄阳似火里拉开帷幕,这是拥有26年历史的全球顶尖安全会议之一的DEF CON第二次来到中国,去年是Beta版,今年是1.0版,由百度安全牵头引入中国。
作为合办方之一,百度安全宣称DEF CON CHINA的宗旨是致力于连接世界安全社区的中美两极,集结海内外优秀安全人才,发扬极客精神,助力中国极客成长。
之所以说百度搞这么个活动更像是一个行为艺术,不仅仅是因为他们把一个顶级赛事办成了一个黑客集市,也不仅仅是因为他们选址在了一个艺术区,还在于他们花了2000万,就为了玩这么一场跟商业无关的Party——除了门票是售卖的,但据说也没有达到预期,据说很多安全圈的大佬都自掏腰包买门票支持这场活动,比如绿盟老板沈继业、阿里巴巴杜跃进、刚从360离职不久的谭晓生等等。
让我们说得再直白一点:做一件完全跟商业无关的事,这对我们印象中的那个百度来说本身就是一场行为艺术。
百度安全总经理马杰在他写的一篇《给你2000万,你想用来做什么?》里说了大实话:“事实上,对于我的东家来说,投入如此之大去引进DEF CON,去办一场极客大会似乎并不算是个划算的买卖。不带量、不带货、甚至都不帮着挖个漏洞什么的,近乎公益的事情,在这个经济的低潮中尤其艰难,也尤为珍贵。但当我们有朝一日回看它带来的价值时,希望我会觉得一切努力、一切坚持、一切争议都是值得的。”
让我们重新把视线拽回到DEF CON CHINA 1.0,会场随处可见的涂鸦和喷漆仿佛让你置身于一场艺术表演,而表演者则是从全球各地飞奔而至的极客们。
更难能可贵的是,在网络安全乃中美之间互相剐蹭的核心议题之一的情况下,百度邀请了中国(3支)、美国(2支)、德国、俄罗斯、日本、韩国、乌克兰等国家11支人类战队来参赛(还有10支AI战队,今年的赛事亮点之一就有让AI打AI)。
百度安全总经理马杰,图片:百度安全
马杰说:“我也在担心,两国摩擦之际,网络上民族主义情绪愈加弥漫之时,大张旗鼓地张罗一场中美之间Geek或者说Hacker的大会,是否有些生不逢时。”
谈及当下中美之间的争端,DEF CON创始人Jeff Moss说:“(美国在签证上的做法)将使美国获得人才变得越来越难,这是一个全球性的人才问题。另外一个问题是安全变得越来越难防。我认为我们目前正处在贸易争端的初始阶段,并不是一个中期阶段,这是我个人的观点,需要很长时间让人们意识到目前我们面临的复杂局面。举个例子,我们在中国举办的DEF CON,就使得电子成本越来越高,并且使得这些产品从中国运输到美国的成本变得更加昂贵。”
一位腾讯员工看到这场赛事成功举办后表示,在这个节骨眼上能举办这样一场活动,实属不易。
举办DEF CON CHINA,马杰也有顾虑,他说他其实并不知道中国的极客在哪里,以及如何找到他们,让他们走出自己的小圈子。但他认为百度有义务做这样一件事,“让中国的极客们最先体验到最新的技术,尝试着让极客精神与现代艺术擦出火花,尝试着打破大众的刻板印象,让极客们能够找到彼此。我们认为这是个严肃的事情。”
DEF CON创始人Jeff Moss,图片:百度安全
Jeff认为,中国建立自己的极客社区不应急功近利,这是一个漫长的过程:“中国可能需要5~10年来慢慢茁壮成长,尤其是对于DEF CON CHINA而言,我们其实也是经过14~15年的整个发展经历,才从规模比较小的极客大会延展到后面规模很大的会议。”
DEF CON CHINA与我所围观过的一些白帽黑客比赛在议程设置和理念上截然不同。
DEF CON CHINA更强调社区的概念,这在国内的类似赛事或活动中鲜少出现,于我们而言,“社区”一词更常出现在美国大学、学术界或政客的演讲中,而DEF CON CHINA则原汁原味地把极客社区理念引入到中国的极客群体里。
Jeff说:“这(DEF CON CHINA)是一个迸发创新精神和艺术精神的舞台,我们需要新的元素,需要成为全球社区的一部分。”
DEF CON CHINA 1.0在议程设置上,在蓝罐里有连续三天不间断的Keynote主题演讲,还有散落在蓝罐周围和第一车间里的12个Village极客村,以及Workshop技术教学研讨会、Demo Lab演示实验室、BCTF(百度网络安全技术对抗赛)等多个环节和场景,同时进行。
值得一提的是,BCTF今年升级成了DEF CON CTF外卡赛,冠军直通今年8月在美国举行的DEF CON CTF全球总决赛,最终由来自日本的Tokyo Westerns战队以8256分的高分夺冠,直接进入DEF CON CTF全球总决赛的16强。
来自日本的Tokyo Westerns战队夺冠
BCTF线下总决赛由CTF夺旗赛和人工智能攻防赛组成,CTF夺旗赛采用经典的“解题模式”,考核范围覆盖Web安全、逆向分析、移动安全、二进制漏洞挖掘利用等领域;人工智能攻防赛则分为BCTF-RHG漏洞挖掘和BCTF-RHG场景对抗两场比赛,比赛全程由AI机器人和比赛平台自动完成。
来自中国的AI战队HALFBIT在CTF夺旗赛中成功实现了AI机器人对堆溢出问题的破解。这是全球范围内这一领域的突破性实践首次在公开、公平的竞赛环境中现场展示。
根据介绍,堆内存漏洞是目前数量最多、利用难度最大的内存破坏漏洞,不同于栈溢出等古老的漏洞利用,堆内存漏洞的利用往往需要进行多次精准的内存分配、释放、写入等操作,其利用难度更大、利用过程更加复杂。而HALFBIT战队首次将人类利用漏洞的高级知识转化成为机器可以理解的漏洞利用模式,赋予了机器智能决策的能力,使得机器可以按照人类的思维方式对堆内存漏洞进行自动利用。
百度安全表示,本次在BCTF赛场所成功突破的堆内存漏洞自动利用这一世界性难题,不仅意味着网络空间安全已开始进入智能化的AI机器人时代,也意味着由AI代替人类进行漏洞的自动挖掘、分析和利用,将有效缩短漏洞从发现到完成修复的周期。
除了比赛外,那些主题演讲同样烧脑,比如《低频高效,攻破云端图像分类“黑盒”防线号》《桥接攻击:移动安全中的双刃剑》《WARNING:10级超强地震1分钟内来袭》《攻陷NFC》《.NET没有秘密》《挡不住的攻击:移动运营商的基因缺陷》《IPv666:魔鬼舞步 魔鬼地址》……这些是属于极客们的饕餮盛筵。
但这终归是极客们的盛事,离我们普通人有些过分飘渺。这也是这次DEF CON给我的整体感觉——技术门槛相对较高,不够接地气,势必在对大众的科普方面遇到障碍。
我认为一个极客大会应该具备的起码的素质是:既要阳春白雪,也要下里巴人。否则怎么吸引更多的极客参与进来,否则怎么吸引更多的小孩成为后备军,否则怎么培养普通大众对网络安全的重视?
可想而知,这个活动吸引我的既不是Keynote上的各种演讲,也不是那些技术研讨会,甚至也不是BCTF,而是一个又一个小的细节——
1. 人人皆可动手的Village(极客村)
散落在蓝罐四周的12个Village,充满了一种显而易见的乐趣,这些Village的参与门槛,用百度一位工作人员的话说:从3岁到80岁老少皆宜。
Village可能也是最酷的,到处是涂鸦、喷漆的汽油桶,充满了未来主义。
Village更强调动手能力,比如有的家长带着小朋友来参加,在极客村工作人员的指导下焊接小蜜蜂,还有的人按照示意图自己拼接智能硬件,又比如现场有一位外国老大爷坐在那儿玩了一两个小时的中国榫卯。
另一边厢,最火爆的则是在室内的开锁Village,各种各样的锁和开锁工具摆在那儿,有的人随手一下就开了,甚至现场的一位摄影师都在那儿玩上瘾了。我上手了一把据说最难开的锁,实在天赋不够,成功地失败了。
除此之外,现场还有老外在那儿打碟,也有破解无人驾驶汽车的,但因为技术门槛太高,没有人凑近,只有几个粗壮的老外在那儿捣鼓。
相比很多赛事,我们只能坐在台下看参赛者比赛、无聊地坐等比赛结果而言,Village提供了一种人人皆可参与的机会。Village大部分都是老外在负责,他们来到798艺术区更像是来赶集的,非常悠哉,下午四五点,一天的活动行将尾声,他们凑在一起吹牛聊天不亦乐乎。
2. 可以骗过机器视觉的T恤衫
这位女士背部的这个图案可以欺骗机器视觉
一位百度安全的工作人员指着自己的衣服告诉我说,她的这件T恤上的图案可以轻松骗过机器视觉,原理是通过图案背后特殊的对抗算法,它能够在智能摄像头的眼皮子底下让你“隐身”。
“就像Cyber世界中哈利波特的斗篷。”她说。
这是百度实验室里的产品,是为了抢在恶意攻击者之前把这些威胁挖出来,修补好,让AI更加安全,所谓“防患于未然”,尤其是在无人驾驶汽车领域极其重要,因为不出事则已,一出事儿可能就人命关天。
她跟我解释说:“AI算法有时也会犯错,例如对图片里面某些特定像素进行一点点扰动(对抗样本),这些扰动人眼是无法识别的,但是在机器识别中,会做出错误的判断,我们有一个研究,在实验室环境下,两个‘停’的路标,我们针对其中一个做了些手脚(贴了几块膏药 ),在机器识别中,AI将这个“停”识别为限速60公里,即速度不超过60公里即可通行,这在实际应用中便是很危险的。我们针对T恤衫就是进行了对抗样本的操作。”
3. 拥有技术信仰的无极之树
在蓝罐里,前面是主题演讲,后方则设置了一个叫无极之树的互动艺术装置,当你把自己的电子徽章插入卡槽激活的那一瞬间,光柱会打到头顶上的电路板上,你可以跟着光柱寻找到属于自己的那片树叶。
说到徽章,不得不提一句,现场参会者每个人都有一个徽章,据说制作成本20多美金,是百度请了DEF CON的多年设计师Joe Grand设计制作的,这也是DEF CON历史上首枚采用柔性PCB电路板的徽章。特别逗的是,5月31日上午的Keynote环节,Joe Grand花了半个小时来讲这个徽章的诞生过程,我旁边的记者同行说:“没想到一个徽章讲了这么久。”
按照官方说法,这枚电子徽章肩负“以团结DEF CON中国社区为目标,打造一份有趣、开源、可被破解又能被重复利用的Gift”。
最后说个小插曲,本来5月31日要做开场演讲的其实是百度高级副总裁王海峰,但那天突然说来不了了。结果上午十一点半左右,百度宣布王海峰出任百度CTO,这是百度时隔9年后迎来的第一个CTO,还是内部提拔的,意义重大,上一任百度CTO还得追溯到李一男。
结果,上述消息刚宣布两个小时后,也就是下午一点半,李彦宏顶着大太阳跑来了DEF CON CHINA现场,这位美国布法罗纽约州立大学计算机科学硕士似乎依然对技术充满了好奇。
让我们理顺一下,从举办DEF CON CHINA,到任命王海峰担任CTO,再到李彦宏跑来DEF CON CHINA把场馆逛了个遍……百度似乎重新回到了创业之初对技术的执着和敬畏。
李彦宏点亮自己的徽章,图片:百度安全
在参观无极之树时,在工作人员的指引下,李彦宏点亮了自己的徽章,当他抬起头寻找属于自己的那片“无极之叶”时,眼睛里充满了对技术的仰望——
Hello,World!