扑面而来的“技术宅”气息：CFF黑客秀纪实

3小时前来源：CodeSec

“大暑”是一年中最热的时候，2016中国网络空间安全（上海）论坛选在这个时间点前后开办，大约也是想借三伏天的“火热”气势。这一天又恰逢“CFF黑客秀”分论坛的开办――通常大暑也是旱涝风各种气象灾害最频繁的时节，当真是应了黑客秀的景。

php?url=0Dya3FoxiK" alt="扑面而来的“技术宅”气息：CFF黑客秀纪实" />

虽然作为中国网络空间安全论坛的分论坛，黑客秀值此还不过是第一届，浓浓“技术宅”的气息却已经很好地遍及了全场，不管是活动安排的诸多小细节，还是黑客秀攻防对抗赛决赛的进行。

另一方面，这场活动的主办方为公安部第三研究所、国家网络与信息系统安全产品质量监督检验中心――实际上此类安全领域的活动总有政府的身影，然而时至今日，从席间领导的发言，还是能够看出信息安全的地位已今非昔比。

浓浓“技术宅”气息

虽然这场分论坛所在的上海展览中心，在装潢风格上有点儿追求富丽堂皇的意思，而且会场的墙壁上挂的巨幅海报，乃是黑客秀攻防对抗赛决赛8支队伍的名字和LOGO――这些并列的海报的感觉，是扑面而来的学院风啊！和黑客怎么搭界？

不过在签到的时候，小编就被派发了一块板子。仔细看这块板子，正面是漏洞盒子、豌豆科技、信安在线三家承办厂商的名字，还有块单色OLED屏幕，闪现黑客帝国式的绿光。背面完全裸露，几个模块很清楚，电池、WiFi、屏幕等――这够有技术宅气息吧？

会场人手一个，拨动这块板子的开关（还不是按压式的），就能接收黑客秀的各种活动资讯了。包括当前舞台上正在进行的演讲题目和演讲人，还有黑客攻防对抗赛几支队伍的积分和排名变化情况。

再往会场里面走，大屏幕后面的小房间里，就是正在火热对战中的8支队伍了。这个小房间也是充满了技术宅气息，每支队伍以并不是那么有序的方式堆砌在房间的各个方位，而且桌子上，除了攻防所需的设备，凌乱地放着饮料罐、拖线板走线。这种环境就是技术宅的日常。

而且再定睛一看，有追求的人在MacBook Pro上还外接了机械键盘――这样，码代码的时候才有感觉嘛。

没错！CFF黑客秀攻防对抗赛的决赛是与黑客秀分论坛一同进行的。所以在黑客秀活动进行期间，豌豆科技创始人兼CEO宋国徽还时不时讲解当前赛况，大屏幕上显示的攻防影像据说是对赛况的可视化呈现，这技术宅的味道又浓重了一些。主办方为这些队伍配备了相同的服务器环境，给出不同的攻防题目，包括web安全、漏洞挖掘等等，最终看哪队分数高，哪队就是冠军。

从上个月开始，CFF黑客秀攻防对抗赛就已经在进行了，直到这两天进入决赛。待黑客秀活动终了，攻防对抗赛也刚好决出胜负。最终获得冠军的，似乎是从头一直领先至结束的长亭科技――这个团队原本就有在诸多安全竞赛中获奖的先例，获得10万元奖金自然不让人意外。除此之外，Nu1L、天枢获得二等奖，奖金3万元；Flappypig、3Years获得三等奖，奖金2万元。

干货议题有哪些

破防赛漏洞结果展示――斗象科技高级安全研究员陆柏廷

虽然我们无法得知对抗赛的比赛细节，不过这次黑客秀还有个“网络安全产品破防赛”，陆柏廷就进行了破防赛漏洞结果的展示，实际上就是对一些漏洞的快速演示。举个简单的例子，比如说要重置某堡垒机的管理员密码，抓取修改密码请求包，对请求包中的userid做篡改（userId=1），就能达到修改超级管理员密码的作用；还有拿下防火墙的，以暴力极端方式触发防火墙的阻断机制，然后通过修改UA来绕过阻断等等。

谈谈移动应用的安全设计――移动互联网系统与应用安全国家工程实验室高级研究员陈晓东

陈晓东主要谈的，实际上是Android应用开发中，针对不同层面安全问题的考量。他举了一些例子，比如说，某些应用的本地配置文件以明文形式储存用户名和密码，还有针对某些数据的加密保护方式过于简单。所以，就移动应用的开发，要考虑对本地关键数据、网络传输关键数据、应用代码和服务端做保护，设计上则需要从组件安全、代码安全、业务逻辑、网络安全几个方面同时着力。

从一个0Day事件，审视企业安全新常态――斗象科技高级安全顾问徐钟豪

徐钟豪一开始就谈到了先前有名的网易邮箱数据泄露事件，并以先前的Struts2-032漏洞为引子，谈到企业原本在面临这些0Day漏洞被利用的情况下，就存在较大弱势，即便先前已经在安全方面有大量投入。他以漏洞盒子为例，谈了谈应该如何应对这样的问题，不管是对企业资产进行梳理与监测，还是持续的安全感知和风险管理都是非常重要的。首先能快速对0Day漏洞进行预警，并且让企业了解是，哪些资产存在问题，最终进行快速自动化检测并提供解决方案。

社工秀圆桌论坛

这实际上是这次黑客秀的一个栏目，重点就在谈社会工程学。圆桌论坛开始之前，大屏幕上还特别播了一段以社工为主题的宣传视频，相当有黑客意味。

参加这次黑客秀圆桌论坛的包括主持人袁劲松（斗象科技创始人兼CEO）、陈晓东（移动互联网系统与应用安全国家工程实验室高级研究员）、徐钟豪（斗象科技高级安全顾问）、崔孝晨（TEAM509安全团队）、翁越龙（信安在线副总经理）。

从左到右，依次为崔孝晨、翁越龙、徐钟豪、陈晓东、袁劲松

给人印象比较深刻的在于，陈晓东对社会工程所做的定义：首先存在数据泄露，其次必然有身份仿冒。实际上针对性的社工攻击的确需要首先获取某个人的私人信息，随后仿冒他人，不管是银行还是好友进行社工；崔孝晨则说，其实社工放在网络时代之前，也就是骗子，只不过那个时候行骗的成本比现在高多了，比如去大街上发个行骗的传单，和现在通过网络传播的效率和成本是完全不同的。

最终五人达成一致：抵御社工还是需要提高警惕――不过崔孝晨说的很有趣，对付工程攻击，通过第二信道就能很大程度避免，比如说黑客盗取了好友的QQ号，以此来行骗，那么不妨再打个电话给朋友确认一下；银行当前处理网上交易也采用这种方法，即通过短信再度确认。

信息安全地位今非昔比

除了我们上面说到针对技术宅的一些内容，这次黑客秀仍在延续安全领域诸多活动的一个主题：信息安全的地位已今非昔比。不仅是因为公安部第三研究所相关领导的出席：这次国家网络与信息系统安全产品质量监督检验中心专家张艳，就在主题演讲中说了这个“国家中心”部门究竟在做些什么，包括针对云计算安全、工控安全、智能芯片安全、移动互联网安全、IPv6等的评测实验室建立，甚至还对一些著名的漏洞进行了分析；还有国家中心的网站安全分级认证，对网站的安全性进行1-3星的认证等等。

国家网络与信息系统安全产品质量监督检验中心专家张艳

这些表现了国家当前对信息安全的重视――这其实也是豌豆科技创始人兼CEO宋国徽在谈《网络安全人才培养模式探讨》的时候表达的内容。他说，早年的安全技术人才来自于民间安全组织，凭借的是兴趣、实践和社区，成为现如今的技术牛人；而现在，国家政策已经开始大力扶持安全技术人才的培养，甚而在安全教材、师资队伍建设等方面也都有了计划和建议；教育部也已经下发了增设网络空间安全一级学科的通知。