乌云两天的白帽子聚会活动结束,安全牛全程直播报道,直播内容可见安全牛网站以及其他媒体有关具体演讲内容的介绍,乌云官方稍后也会有PPT及相关资料发布。而且,白帽大会的活动聚会意味更浓,不像专门讲战略趋势的理论或学术会议,因此本文不再赘述议程的主要内容,只是谈谈这两天在会议期间看到的一些亮点和体会到的一些感想。
首当其冲的印象就是没有繁文缛节。主持人两句开场白之后会议立刻开始。第一天是专业场,企业做安全的人员比较关注。
牛君这两天现场采访了几位参会者,有企业的网络维护人员、安全企业的安全人员以及安全爱好者(或称白帽子),评价基本不错。比如,去哪儿安全的“从0到1”,给了许多没有安全团队并有建立安全团队计划的机构一些很有用的借鉴。而且,唯品会的“安全建设与风控杂谈”更是得到安全行业资深专家的肯定,认为都是“干货”、真正的实践经验。而白帽子们则更关心攻防,无论是“从外进入内网”、“多角度对抗WAF”还是“安卓应用脱壳”,都是白帽子们的关注点所在。
会议的一个小高潮是万达电商林鹏讲的“P2P金融安全”,成功的把“薅羊毛”的“羊毛党”详细的展示给大家。这个以学生、妇女为主的团体,令企业头疼不已。好不容易搞出的优惠用户的活动,被羊毛党吸走。第二天的白帽专场对实施手段的详细讲解告诉我们,当有优惠活动进行时,羊毛党用一种叫猫池的设备,控制数万个手机号秒杀,知道为什么你抢不到小米,抢不到 mate 7 了吧?
此外,江苏省网安总队科长童瀛的诙谐演讲也令现场笑声不断。在欢乐的气氛中,用真实案例给白帽子们讲解上课,达到了普法、守法、知法的教育目的。
我今天没有穿警服,因为我不想让大家误会我是来查水表的。
“千万不要在安全的路上走偏了”、“企业遭受攻击,最好的解决办法就是报警。”
第二天的会议是白帽专场,联合创始人孟卓讲述了Structs 2漏洞爆发的历史,正是由于与乌云的不解之缘,乌云才决定把7月17日定为白帽子节,以后每年的白帽大会都将在这个日子召开。
非常非常要吐槽的是互联网安全,吐100年都不够。
白帽子专场的一大亮点是各种案例演示,冒充任意手机号拨打他人手机、劫持无人机、吃霸王餐、远程控制出租车摄像头、仅凭邮箱人肉你、获取BAT3企业通信录……以至于现场观众提问:
你这么屌,考虑过自己的人身安全吗?
台湾黑客大牛的加入是另一大亮点,HITCON创始人TT、CIH病毒之父陈盈豪和IBM安全架构师李承达,以及乌云创始人方小顿、UCLOUD创始人季昕华和真格基金合伙人李剑威一起畅谈黑客精神。
“Web狗如何在险恶的CTF世界存活?”答案是没法生存,唯一的出路是多学各种技术。--HITCON CTF 队长 Orange
两天会议的最高潮是最后的两岸黑客圆桌,精彩对话不断。现摘录几个片段如下:
陈盈豪:“你征服了世界,黑客这件事很好玩!”、“当时六个字形容心情,爽爽爽好爽哦!”、“你要坚持下去,一直去找就会成功。”
季昕华:“说我是首代黑客,不是说我技术有多好,而是年龄有多老。”、“曾经做过腾讯扫黄打非办的主任,就是现在的首席鉴黄师。”、“用四件事支持安全人员创业,支持乌云众测;开办网上超市;孵化器;联合中国Top100黑客,成立信息安全基金,投资信息安全创业者。”
方小顿:“漏洞公开是有价值的,帮助企业借鉴与预防”、“现在乌云更像一个生态圈,用户、企业、白帽子都参与进来。”、“所有的漏洞都要公开,这种机制要长久的走下去。”
李剑威:“中国安全企业的价值相对于整个互联网是很低的,但安全的作用越来越大,未来是一个向上的趋势,以后会有一批新形态的安全公司兴起……我们会帮助这些创业公司把好的安全技术产品化。”
大家还在知名自媒体人池建强老师的主持下谈到了黑客精神,黑客极客骇客等各种名称的区别。但无论叫什么,坚持、打破规则、极致、自由都是黑客精神的标签。
……
亮点太多了,想详细了解的话,还是建议看安全牛的直播内容。最后,牛君谈谈感想(tǔ liǎng jǜ cáo):
1. 演讲者或谈话者的吐字灰常重要,好多精彩的话,牛君没听懂啊没听懂。
2. 乌云的大会不仅是黑客技术交流,更是白帽子们的活动玩耍见面聚会,因此建议以后多些各种形式的现场活动,表把活动都放在“去乌云酒吧喝酒去吧!”。牛君为了本文,连免费啤酒都没时间去喝,而且还有卡哇伊美女……
感谢扫地十七年提供本图
3. 各家使用安全牛直播内容的同行媒体,如果引用内容,还请注明来源。直播很幸苦的。
4. 从阿里到腾讯,从360到乌云,大家普遍都在谈生态。希望这种生态共识能够提升整个安全生态圈的行业价值,要通过良性竞争共生共存,而不是互相倾轧、你死我活。剔除糟粕,鼓励创新,尊重过去,拥抱未来。正如剑心所言:
我们相信,只有技术突破了年龄、职位、地域、政治和深藏于内心的各种偏见,才能飞得更高!