Blackhat USA 2016 观感

今年有幸参加Blackhat USA 这一全球安全行业盛会,拓广了见识,收获颇多,仅以此文聊留念。

行程与住宿

从南京至拉斯维加斯航班较少,且票价巨贵,因此一开始就决定从浦东出发。综合了几家航空公司后选择了大韩航空,主要是基于票价便宜(来回8200)服务好空姐靓之考虑,取道仁川,直飞拉斯维加斯McCarran机场。
到维加斯后首先入住的是著名的金字塔(luxor)酒店,这个酒店浓浓的埃及风格,看外观就知别有特色。
金字塔酒店外观
内部也是相当气派:
金字塔酒店外内部
相比较而言,房间就比较一般了,设施陈旧,窗户压抑,空调巨响,还要手动控制,连住三晚均无法入眠。
金字塔酒店房间
于是第四日果断换至会议所在酒店,Mandalay Bay. 事实证明虽然价格高了一点,但这个酒店确实要好一点,设施比较新,房间够大,设计合理,电视还能看XX频道,不过我没看。 凭窗欣赏维加斯夜景还是不错的:
Mandalay房间
Mandaly Bay虽然名字有海湾但并不靠海,拉斯维加斯处于内陆内华达沙漠,炎热干燥无比,大概是本地人太想念海了,于是就取了这么个名字。 其实不过是酒店楼下弄了个人造泳池,设计成海湾的样子罢了。
这边酒店除了公开的住宿费之外,还会收取不少的度假费和税,税收为12%,度假费一般15$ - 30$不等。

吃饭

吃饭是个大问题。据说这里有中餐馆,但因为地不熟,也就没有贸然出去乱寻。在酒店饮食广场点了一杯可乐,两个批萨,20$。 放国内相当不值!
吃饭
于是第二天起决定吃酒店的自助,早中晚都有,一般20$-30$左右。
自助
其实自助也没多少东西可吃的,20$在国内可吃不错的自助,比如多伦多,海鲜无限吃,在这边,没有海鲜,荤菜品种很少,大部分是沙拉和水果。有一顿吃了个35$的,海鲜是有了,不过只有蟹脚与少量的生鱼片寿司,挺坑爹的。

会议

作为全球最具影响力的安全盛会,大部分分享都干活十足,极具含金量。我总计选了8-9个听了一下。 总结下来,印象最深的是韩国的这位所分享的利用INTEL TSX秒级破解KASLR的研究成果,流利清晰的口语,突破性的技术成果深深折服了在场座无虚席的听众。 另外一个是谷歌Android技术主管Nick分享的他们针对漏洞所出的各种缓解措施。鉴于安卓安全研究火热,Nick分享结束后一堆人围绕着咨询,时髦啊!

个人感觉最烂的分享有仨,严重怀疑这些人是抱着不良目的买进来忽悠听众的,在此爆尸一下:

1 讲俄罗斯入侵乌克兰的
说它烂是因为这个半小时的分享完全没有技术含量,一直在引用各种twitter照片,说你俄罗斯不承认军事入侵乌克兰,可人家拍了照片,你坦克都来了还抵赖? 严重怀疑这个分享背后的政治因素。

2 讲让ATM吐钞票的
这位来自Rapid7的资深渗透测试研究者,忽悠了所有人。不知从哪里搬来一台神秘的ATM机,屏幕还是用硬纸板遮住。PPT全程讲如何从地下市场购买遗失信用卡,丝毫不讲入侵ATM机细节,然后摆弄了一下,ATM就吐钞票了,操控屏一直盖着也不让看,所有人都迷糊了,挺愕然的, 大家看看然后就散了。 在会议室外面,不少人都对那台神秘的ATM机深表怀疑,唉,丝毫没有已故黑客Barnaby Jack当年的风采。严重怀疑Rapid7唆使此人来忽悠刷个存在而已,节操啊!

3 讲AI做病毒分析的
这是我听的最后一个分享,本来满怀热情,觉得有货,可希望越大失望越大。AI用于AV做病毒分析与扫描是时下研究的热点和潮流。这位又是Ph.D.想想应该不差。一开始还是很正常,讲到如何做特征抽取,映射等。正等着高潮出现,突然间弹出Thank you的页面,附带招聘职位,邮箱等,众人顿时喧哗,这为Ph.D依然自然如我地自我宣讲了一分钟,说希望懂得机器学习有AV背景的加入我们。Fuck,只想说两字,无耻!

其余的分享中规中矩,TK的分享我去晚了一点,听了一会就Q&A了,于是全体起立离场。走了一半,TK在后面喊,回来,我还没DEMO呢!大家笑笑,还是都走了,也不知道最后有没有Demo成。 这件事说明了一点,在这种多路英雄齐上的会议上,同一时间段有好几场分享,大家已经养成了见了Q&A就起立敢脚的习惯,而且走了,十头牛都别想拉回来。所以说Q&A一定要放到最后,TK这事上失算了。 盘古和keen team的分享干货十足, 但不知是老外听不懂还是不感兴趣,现场的人并不算多,还有一些在中间都陆续离场了,黑头发的倒是不少,看来纯漏洞研究,还是国人感兴趣一点。

与谷歌的晚宴

安卓安全响应团队邀请了Top20左右的漏洞提交者在会议期间与他们team共享晚宴,互相交流交流。 我们到达现场时并没有发现几个中国人,有很多人没去,现场大部分还是谷歌自己的人,包括安卓安全响应团队和Project Zero的几个人。安卓响应团队有好几个华裔,还有来自越南,马来西亚,印度等的,是一支国际纵队。整个晚宴交流比较nice,愉快畅聊。见到了JDuck和Ben Hawkes这俩位世界级牛人,很有风度。 最后他们还给每人发了一部Nexus 5X,一台Pixel平板,以示感谢。 我给Team另一位没来的同事开后门也要了一部pixel,谷歌还是很nice的。
Gift

总结一下,Blackhat是有水货的,而且水的很彻底,这是不少会议的通病,毕竟人家也是要赚钱的。 听者要自我选择和鉴别,来一趟不容易,能带点东西回去给别人分享分享最好。

差不多就这些了,后面听下Defcon去Outlets再扫点货走人。