继Defcon、CanSecWest相继落地中国之后,在京东安全的推动下,又一大世界顶级安全峰会 HITB(Hack In The Box) 也来到了中国。如此重磅的消息在国内安全圈也引发了不小的关注,自然吸引了众多科技圈、黑客界大佬的光顾,如京东CTO张晨、京东首席安全专家Tony Lee、腾讯玄武实验室负责人TK教主、360 IoT研究院院长李康教授、腾讯湛泸实验室负责人袁仁广、GeekPwn创始人王琦、中国鹰派联盟网站创始人万涛,还有 HITB 创始人Dhillon Kannabhiran、传奇黑客 Benjamin Kunz Mejri……
That's crazy!
在领袖日的致辞中,京东集团CTO张晨表示:“极客是一群富有创造力,天生热爱技术、探索技术的人,世界科技发展至今天,极客起了很大的作用,京东愿与全球极客同仁共同建设安全可信的网络世界。”
中国元素的HITB徽章
HITB 15年来首次来到中国,注入了浓重的中国元素的同时,依然保留了很多特色,例如时常抢戏的定制徽章。本次京东HITB的徽章非常亮眼,正面图案采用极具特色的中国长城元素,配上 HITB 经典红色也恰好是中国红。尽管徽章不过巴掌大小,内心却是个路由器+开发板。
据了解,这枚徽章有两种模式:一是普通模式,包含极具极客范的酷炫的 HTML5 游戏;如果你希望将普通模式转换成黑客模式,则必须要破解胸卡,进入“胸卡 CTF 模式”,与其他成功破解胸卡的极客一同参与游戏比赛。
比如笔者手上这块徽章就是本尊了,可惜还没时间把玩,明天再去现场跟其他人一起捣鼓下,看能不能发现什么彩蛋~
值得一提的是,定制徽章在本次大会上还扮演着重要的角色。京东首席安全专家Tony Lee 和 HITB 创始人Dhillon Kannabhiran 用徽章共同开启了今天的大会的议程。Tony Lee也袒露了推动这次合作的初衷:为了将 HITB 这种极客精神带到中国,培养更多极客人才,共同守护网络安全。
传奇黑客本杰明
在第一天上午的议程中,传奇黑客 Benjamin Kunz Mejri 现身舞台彻底点燃了现场的热情。
作为黑客电影《Who Am I》的男主原型,一个攻陷了美国NASA、一举一动都苹果、微软等知名厂商紧张的男人,竟然还拥有着1米8大长腿、暖男式微笑,集金钱和各种“SkrSkrSkr”的头衔于一身,简直是N多黑客少男少女心中的梦。
不过,你们好像没机会了……
Benjamin 分享了关于信息加密的数据取证、加密信息相关的内容,不过更大的彩蛋留在了第二天的分论坛,届时他将分享一个 最新发现的 iOS 访问权限漏洞,想必一定会引起很多人的关注。
AI怎么认猫?
当天下午的内容分享同样精彩,来自京东安全硅谷研发中心资深安全专家刑新宇教授分享了可解释AI技术价值和应用,其中以AI图像识别为例,目前大多数图像识别技术可以告诉你一张图里有没有猫,但是却不能准确的告诉你为什么AI认为这张图里有猫以及哪些特征能够证明一张图里有猫。
因此,可解释AI技术需要给你想要的答案。通过特定的算法对每一张图片的每一部分进行判定,经过大量的模型训练之后能达到的理想状态是,当你询问一张图里有没有猫时,它能够直接把图片里的猫高亮显示出来给你。
刑新宇表示,这种可解释AI技术就是用来告诉我们深度学习是根据什么判断最终价值的,帮助我们与深度神经网络之间建立信任,而且这也将在未来的安全领域祈祷重要作用。
骨灰级 iOS 越狱大佬
总是说好戏都在后头,下午最后一个出场演讲的正是来自全球最知名的越狱团队 Evad3rs 的核心成员 Nikias Bassen。该团队核心成员2013年就开始发布 iOS 5越狱工具,直到现在他们依然对苹果的安全机制保持着高度的热情(不知道Nikias 会不会去听明天Benjamin分享的关于iOS 漏洞的议题)。
Nikias 分享了自己的越狱简史和心路历程,还透露一个小故事就是,由于他们团队的存在,苹果公司的安全人员甚至曾经连圣诞节都在关注他们的举动,提防他们放出新的 iOS 漏洞。当然,通过寻找漏洞的方式也能够帮助苹果提升设备的安全性,Nikias 表示未来依然会继续这样的研究工作。
圆桌论坛:探寻网络安全的未来
在最后的圆桌论坛环节,由前黑科技创始人史中担任主持人,TK、Vladimir、Nikias Bassen、James Forshaw、Jimmy Su、李康共同参与,讨论关于网络安全的未来以及当下最热门的AI技术在安全领域的应用趋势。
李康教授对此表达了自己的顾虑,作为深耕物联网安全领域的专家,他表示未来万物互联的时代,数据隐私的泄漏可能是我们将面临的严峻挑战。而且在数据泄漏和获取的途径上也会逐渐发生改变,这也是我们必须持续关注的问题。而TK目前对于新技术的关注度更高,他表示我们的生活会越来越依赖更多的芯片、代码,这本身就包含了目前存在的安全为题。而同时当代码、芯片浓度增加时也很可能引发我们无法预估的结果,伴随着新技术的出现,传统的安全问题解决思路可能会失效。
因此,TK教主透露他一直在思考的问题:有没有可能存在无法被厂商修复的越狱?有没有可能不需要漏洞也能实现越狱?如果实现了,那么数据取证工作势必会得到大幅改善,而接着TK教主的思路继续深入,无法修复的越狱所暴露的安全问题也是大大增加的,这又陷入一个尴尬的处境。
我们可以得出的结论是,尽管不能准确预估未来,但可以确定的是安全与不安全将永远相对存在下去。
本次峰会多个议题都涉及AI,其实依据李康教授的说法,安全领域应用AI技术是比较早的。AI技术在安全领域的前景毋庸置疑,但AI本身的安全问题也会成为未来我们将要重点维护的。
不过对于AI安全技术的前景,Nikias Bassen、James Forshaw则依然保持观望的态度。在他们看来,目前AI技术或者说机器学习或者什么其它名词来表示的东西,基本是人为训练出来的,至于其最终判断的准确性和质量很大程度上取决于你所训练的样本的质量和数量。而当面对异常行为时,AI又会作出怎样的判断以及结果的可靠程度是多少,值得怀疑。James Forshaw坚信一点:如果机器学习能够帮助他找BUG的话,那一定不能帮他找出漏洞。
同时我们也应该意识到,安全领域的人才本身就是稀缺资源,而新老力量的接替刻不容缓。对于安全圈的年轻人来说,各位大佬表达了非常相似的态度,总结起来就是在基础知识不断加强的条件下,勇于试错、勇于实践并且要有足够的耐心。不同于其他嘉宾的鼓励态度,TK教主打起了劝退的套路,TK表示,做安全是一件很苦的事情,如果你的内心没有一种强烈的东西在牵引着你的话,会一直过的很痛苦的。还是回到那句话,兴趣、热爱是最好的老师,这在安全领域显得尤为重要。
场外看点
这次京东 HITB 除了主会场的精彩分享之外,场外也有不少亮点。CommSec Village 作为历届HITB的传统项目,这次也得到了保留,京东、小米、360等多家知名企业的科技展和丰富的实践活动、游戏和讨论会。其中,最不能错过的就是Mitch Altman 焊接体验、HITB 胸牌村和小米的“米兔特工队”以及京东的“Car hacking”。
在京东Car hacking village,你可以体验用电脑黑进游戏车的固件,操控智能车走出迷宫;在 HITB 胸卡village,可以针对文章开头提到的定制徽章进行破解、重新编程,即便是零基础的观众也能够体验到极客的无限乐趣。
此外,在主会场外,笔者也见到了京东无人物流体系中的智慧小助手——无人机、分拣机器人、无人叉车等等,而这些除了无人机可以在少数地区见到之外,其它的基本都在京东无人仓内运作,一般人是看不到的。可以预见的是,京东无人物流无论怎么发展,安全必然是首要考虑因素。
京东 HITB 首日的议程结束,接下来的两日除了CommSec Village会持续运作之外,还有几大分论坛的纯技术干货分享,多数是 HITB 上的大咖,更有同期进行的XCTF总决赛,笔者也会持续跟进,捕捉更多精彩内容奉献出来。
现场花絮
*本文由Andy.i,转载请注明来自FreeBuf.COM