咳咳，先不說 200 萬的事情，留個懸念。

反正傲嬌如雷鋒網(wǎng)宅客頻道，真的有“大家都說沒有的”世界頂級黑客大會  DEF CON  China 的“免費票”?。。?/p>

事情是這樣的——最近，百度安全的妹子找到我，希望能宣傳一波  DEF CON  China。

我：給票嗎？

妹子：我爭取了下，但老板是這么回復(fù)我的。

我（不死心）：真的不給嗎？

妹子：真不給，全中國就沒有一張免費票。

哼?。。。。?！

然后我從友媒處證實了這個消息，比如，《嘶吼放血大派送DEF CON China 門票免費拿?。。　?，我激動地點進去，發(fā)現(xiàn)了一句話“我們自掏腰包為小伙伴們準備了四張門票，只要參與活動就有機會免費領(lǐng)取。”

蛤？抽獎？太考驗運氣了。

再比如，“淺黑”的小哥哥教了一個招：

如果是學(xué)生黨組團參加想省點錢，這里我分享一個能“黑”進黑客大會的小技巧：

兩個人買兩張票，進場，其中一個拿著兩張票出來，帶著第三個人進場。如此往復(fù)，兩張票就能讓整個宿舍的人都參加了。(被抓別說是我教的,嘻嘻)

這個主意看上去不錯，我跟百度安全事業(yè)部總經(jīng)理馬杰探討了下可能性——

“不要想了，你可能最多能混進來半個小時，我們場上有保安時刻巡邏、查票。如果查到?jīng)]有票，你可能會被先請出去找回你的票……記住哦，可能不到半小時你就要出去了。”

車到山前必有路。我們的宗旨不是“買票是不可能買票的，這輩子都不可能買票。”而是，大家來拼一把實力“搶票”，借著讓馬杰劇透 BCTF 的機會，宅客頻道獨家爭取到了比免費票更棒的“票”——通過宅客頻道，可以爭取最后的 6 個志愿者名額（不要看了，官網(wǎng)志愿者通道已經(jīng)關(guān)閉了）。

當志愿者有什么好處呢？

1.說個不恰當?shù)谋扔鳎銈兝弦牡吓砍隽脻h攻略，好歹人家先坐到了默多克身旁。

想和演講嘉賓、黑客大牛近距離接觸？當然是要和他一起工作。觀眾不好跟人家要簽名和合影，志愿者可以近水樓頭先得月，敞開了套磁（不要說我教的）。

2.DEF CON China 三天活動，相當于持有三天通票，暢通無阻啊宅友們！臺前幕后，暢享內(nèi)部視角。

3.聽說百度內(nèi)部員工也是要買票入場的，但是可以在一定程度上申請報銷，有個高 T 大牛說，我不，我就要當離黑客大大們更近的志愿者，于是，老老實實地報名，參加了筆試和面試（對，內(nèi)部員工也沒有特權(quán)）。

以下是福利的“具體操作”（百度安全的妹子給的，解釋權(quán)歸他們）：

志愿者截止收集報名時間到 5 月 6 號，投遞郵箱：zhangxinyue02@baidu.com，一定要注明暗號雷鋒網(wǎng)“宅客頻道專屬通道”；

報名同學(xué)需要提供簡歷介紹，重點展示個人技術(shù)和語言能力；

百度會針對宅客頻道上報名的同學(xué)組織專場面試；

建議北京及周邊同學(xué)報名，不提供外地人員食宿。

關(guān)鍵點來了，什么樣的同學(xué)可以成為這次志愿者幸運鵝呢？

我向 DEF CON China 籌備組以及面試官打聽了一些消息：

• 英語好，英語不好怎么跟國外嘉賓暢談人生？所以，會有英語專八水平的小姐姐面試你。

• 了解網(wǎng)絡(luò)安全技術(shù)，要有多“了解”我不知道，反正人家說了，宅客頻道的讀者應(yīng)該是懂技術(shù)的，白帽子小哥哥也很棒棒。（機智如你，一定要說經(jīng)?？凑皖l道）

  
  

• 性別為女并沒有優(yōu)先權(quán)，自己廠里的也要面試。

• 不拒絕友商同學(xué)。

本文作者：雷鋒網(wǎng)宅客頻道主筆，李勤，qinqin0511

****好，“免費攻略”傳授完畢，以下為200萬現(xiàn)金的分割線****

前兩天，我去采訪馬杰，準備來一波 5 月 DEF CON  China上 BCTF的獨家劇透，結(jié)果，他提到一個“花絮”：我們準備在 IOT 智能設(shè)備眾測彩蛋環(huán)節(jié)堆出來200萬現(xiàn)金。

我：蛤？？？？？

運營中心劉女士強調(diào)：懸賞百萬這件事兒不是假的，我們要把現(xiàn)金帶過去。

我：。。。。

馬杰：說實話，你拿完漏洞，現(xiàn)場如果所有的審核全部通過后，現(xiàn)場拿走獎金，我相信中國絕對有這樣的高手。

聽說，就連現(xiàn)場吃瓜觀眾（巴特，我們的觀眾至少都是網(wǎng)安技術(shù)愛好者？？？）都能參與這一波“搶錢大戰(zhàn)”，于是，我決定仔細了解這波劇透。

1.先說說BCTF是什么

簡單來說，就是百度安全舉辦的一場 CTF 比賽，而 CTF 全稱為 Capture The Flag（奪旗賽），參賽雙方在網(wǎng)絡(luò)空間互相攻擊和防守：挖掘漏洞并攻擊對手來得分，修補自身漏洞進行防御來避免丟分。

說白了，你能看到一場歷經(jīng)兩天一夜的現(xiàn)場黑客大戰(zhàn)。

近幾年，國際、國內(nèi)的CTF種類越來越多。舉辦 CTF 的組織方各有目的，有些有政府背景，比如，韓國的 Codegate CTF；有些是戰(zhàn)隊辦的，比如，PPP 的 PlaidCTF，這種比較常見；

有些是企業(yè)辦的，比如騰訊的 TCTF，360 有一個世界黑客CTF大師破解賽，阿里巴巴在2016 年還舉辦了AliCTF；

有些是安全會議牽頭辦的，比如著名的 DEF CON CTF，實際具體操辦的也是戰(zhàn)隊。

DEFCON CTF是目前還在辦的歷史最悠久的CTF，最早一屆DEFCON CTF是 1996 年辦的。

還有一類是不公開的 CTF，不會公開征集報名，開展預(yù)賽之類。比如，有些國內(nèi)、國外企業(yè)會舉辦面向內(nèi)部員工的 CTF。

美國國防部從 2014 年開始舉辦名為“CyberStakes”的 CTF 。美國國防部有一個網(wǎng)絡(luò)安全人才的培養(yǎng)計劃，目標是花 3 年時間在美國軍隊里培養(yǎng) 4000 名安全專家。而且標準很具體，要求會挖漏洞，會寫 Exploit，訓(xùn)練的一個環(huán)節(jié)就是CyberStakes”。而且他們邀請了 David Brumley 教授來授課。這位教授是 2016 年 CGC 最后 7 支入圍隊伍之一 ForAllSecure 的創(chuàng)始人。

CGC 是 CTF 歷史上的轉(zhuǎn)折點，不再只是人和人打，而是和機器打。他們招募了一些隊伍設(shè)計了一套系統(tǒng)，和人類戰(zhàn)隊打 CTF。（詳情可見以前TK教主來雷鋒網(wǎng)宅客頻道開講過的公開課：《白帽黑客教主 TK 告訴你，黑客的游戲 CTF 究竟是什么》）

2.在 BCTF ，我可以看到什么

這次的 BCTF 就將在 Defcon China 期間舉行，采用線上預(yù)選賽、線下總決賽兩級賽制。

總決賽現(xiàn)場，數(shù) 10 支國內(nèi)國際戰(zhàn)隊與四支 AI 機器人戰(zhàn)隊一同決戰(zhàn)，同時還有安全漏洞眾測百萬懸賞征集令，挑戰(zhàn) IOT 智能設(shè)備眾測彩蛋。

3.AI 程序漏洞攻防挑戰(zhàn)賽：這次真的是人和機器“混打”嗎？

上一次，CGC最后的戰(zhàn)勝隊還是人類隊伍。雖然機器隊伍沒有橫掃千軍，但也不是最后一名，還是有兩支人類隊伍輸給了機器。

這次，難道也要有這種激動人心的吃瓜場面？

馬杰告訴我，這次我們真的可以看到 AI 機器人戰(zhàn)隊和人來拼一場了。

不過，可能在真正比賽時，我們并不會看到機器人手持兇器砍向機器人or人類。

甚至，你在現(xiàn)場可能一臉懵逼：臥槽，說好的機器人呢？

以前，我參加過在武漢舉辦的一場機器人網(wǎng)絡(luò)安全大賽，當時，這場大賽實際是在RHG（robot hacking game）平臺上，基于標準Linux二進制的自動化漏洞挖掘和防御競賽。

我進了場，看到了五彩的燈光和類似自動售賣機的展示品，整體比較玄幻：

我搜尋了全場，試圖尋找機器人的身影。才發(fā)現(xiàn)“機器人”，哦不，準確來說，是 AI 程序都在參賽的黑客戰(zhàn)隊的電腦里。。。。所以，也許，你看到是這樣的場景（網(wǎng)絡(luò)上找的網(wǎng)吧截圖，可以說很形象了）：

正經(jīng)來說，這應(yīng)該叫做“AI 程序漏洞攻防挑戰(zhàn)賽”。

馬杰說：“機器人戰(zhàn)略的說法有時候容易有一點迷惑，圈外人會想象成機器人來比賽，其實是有一定人工智能的程序來比賽。像這樣的機器戰(zhàn)隊，我喜歡叫AI戰(zhàn)隊，AI戰(zhàn)隊一定是未來的方向，但以它現(xiàn)在的水準，又不是一個強 AI 的東西。

我們把這些引進來，雖然不是首次，但大家也沒有什么特別成熟的方案，所以還是一個探索階段，特別是這次又跟人混在一起，和人相比，AI程序肯定有很多弱勢，就像最早的汽車一定跑不過馬車。”

為了設(shè)計一個規(guī)則可以讓他們在同一個場上有一定程度的比拼，讓人們看看 AI 程序的實力，這次“AI 程序漏洞攻防挑戰(zhàn)賽”側(cè)重考察各戰(zhàn)隊的 AI 程序在無人類干預(yù)情況下或人類在自動化工具輔助下針對 linux32 位程序的漏洞發(fā)現(xiàn)、挖掘、和利用能力。

公平起見，賽事積分將統(tǒng)一計入賽事總積分，純 AI 程序參賽的隊伍將單獨參評 “最佳AI 攻防團隊獎”，人類戰(zhàn)隊參賽將獲得積分，本項比賽積分占總積分比例為 20 %。

4.線下總決賽—靶場綜合滲透關(guān)卡賽

所謂“靶場”，就是還原了互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)場景的一個平臺，為參賽選手提供了一次內(nèi)網(wǎng)安全檢測仿真演練的機會。參賽者需要在獨立的靶場環(huán)境中，與隊友共同探索黑暗，不斷地搜集線索，繞開死胡同，逐步完善大腦中對這個區(qū)域的地形圖，只有最早走出靶場的團隊才能發(fā)現(xiàn)寶藏。

其實，就是仿真了一個小型企業(yè)內(nèi)網(wǎng)的典型場景，讓參賽者嘗試攻擊，找出漏洞。

這次，BCTF 引進的靶場綜合滲透賽在考慮國內(nèi)外戰(zhàn)隊的優(yōu)劣勢情況下，不計分，但是計時，獲勝者可優(yōu)先進入正式的CTF大賽，也就是說，它是一個新增的關(guān)卡賽。

那么，我能提前多久闖關(guān)CTF ，就看在這個關(guān)卡賽里表現(xiàn)如何了。

據(jù)說，靶場綜合滲透關(guān)卡賽計劃在 CTF 攻防賽正式開始前4小時開放，優(yōu)先闖關(guān)的戰(zhàn)隊不僅能提前進入到CTF攻防賽，同時設(shè)置“靶場綜合滲透”單項獎，有錢的哦！

我再打聽了一把，這次計劃的靶場有可能是反恐類、偵查類場景，感覺CS愛好者可以擼一把了。

5.CTF攻防對抗賽

我拿到的官宣版本是：本項比賽側(cè)重考察各戰(zhàn)隊 CTF 攻堅能力，也是DEFCON 歷屆 CTF 的傳統(tǒng)賽題，其形式和難度與歷屆 DEFCON CTF 競賽相當，各戰(zhàn)隊對自己防御區(qū)域內(nèi)的賽題進行漏洞挖掘和防御，同時對其他戰(zhàn)隊的防御賽題進行攻擊，獲取 flag 得分，被奪取 flag 的隊伍被扣分。

對于見慣了CTF的人說，這段等于沒說。所以，揭秘這個環(huán)節(jié)真的很不容易。。。。使出了我的看家套磁本領(lǐng)，然而。。。

我：聽說這場CTF現(xiàn)場決賽由線上決賽隊伍、國內(nèi)外知名精英戰(zhàn)隊組成，各有多少支？都是哪些隊伍？精英戰(zhàn)隊和線上決賽的隊伍一起打嗎？

馬杰：暫時還不能說，正在邀請中。當然是一起打，不是表演賽。我們能邀請到的國內(nèi)的最好水平的戰(zhàn)隊（其實也都能邀請到），如果有認為自己水平很好的，被我們不小心遺漏掉的，請聯(lián)系我。

我：賽題設(shè)計上，我聽說是** 和*****來出題，有哪些題型？（留言就不要問我是誰了，我不會告訴你們的）

馬杰：咦？誰跟你說的？這個問題不能談，怕大家提前公關(guān)出題單位，但我們肯定會邀請國內(nèi)外的強隊，真正參加過比賽的隊來出題。

我：好，不談具體戰(zhàn)隊的名字，我們具體會有幾支戰(zhàn)隊一起來負責出題？

馬杰：肯定要分散嘛，既要有公平性，也要防止泄密。

我：出題的隊伍是不是就確定不會參賽了呢？

馬杰：那當然。

我：能說說出題類型的比例嗎？我可不可以認為，這次會讓不同的出題方出特定題型，然后組合起來。。。

第二次出場的運營中心劉女士：不好意思，出題這塊我們不討論。

（我還怎么劇透?。。。。?/p>

6.IOT智能設(shè)備眾測彩蛋

說好的200萬獎金就在這里了。

在 BCTF 整個賽程中，會設(shè)置 IOT 智能設(shè)備眾測彩蛋，同時在總決賽現(xiàn)場放置若干智能設(shè)備，供戰(zhàn)隊隊員及會場技術(shù)發(fā)燒友現(xiàn)場破解。如測試期間發(fā)現(xiàn)設(shè)備漏洞并證明該漏洞風險的隊伍，經(jīng)過評審確認，即可獲得相應(yīng)彩蛋獎勵。

彩蛋=錢。。。（走過路過不要錯過，萬一把門票錢贏回來了呢？）

宅友們，一次湊齊首付款的時間到了：

• 這次 IOT 智能設(shè)備眾測分成軟、硬件兩部分。5月11日 到5月12日比賽期間，會開放網(wǎng)友眾測區(qū)域，也就說，軟件眾測部分可以提前搶位開測。。。。

• 現(xiàn)場的硬件測試的待測產(chǎn)品包括“小魚在家”智能設(shè)備、BOX、果加智能門鎖等，聽說還會有小度的產(chǎn)品，是不是音箱？這得在線揭曉。這些都將是最新的硬件產(chǎn)品，廠家已經(jīng)做好了被“啪啪打臉”（歡迎找洞）的心理準備。

• 硬件數(shù)量有限，先到先得，普通觀眾均可報名參加，現(xiàn)場破解，破解成功現(xiàn)金帶回家。。。（這么一看 688 元的門票錢還挺值）

• 有多少獎金？百度 SRC 的工作人員加菲貓告訴我，“小魚在家”拿出了100萬人民幣，其他的加起來還有100多萬。

不過，和眾測廠商直接溝通的加菲貓強調(diào)，200多萬的獎金是否是純現(xiàn)金擺在臺上還是一個留待現(xiàn)場揭開的懸念。

“廠商是想直接把錢拉到臺上發(fā)，你想想，200多萬?。。。∥业谜叶嗌侔脖Ｈ藛T看著，搶錢怎么辦？不行，我得溝通下是不是用代金券代替，求不要給我挖坑。”貓姐說。

最后，來個民意小調(diào)查吧。

你希望看到 200 多萬的現(xiàn)金擺在 BCTF 的臺上嗎？（單選）

A.想，震撼刺激holyhigh

B.想，我不搶

C.不想，咦，怎么會有這個選項

**最后一個彩蛋**

嘿，讀到這里還沒點右上角的XX？那就揭秘一個驚喜彩蛋吧。

據(jù)說，這次DEF CON China 的很多細節(jié)都是由其全球創(chuàng)始人 Jeff Moss 敲定的，小到此次會場地毯上的指示路貼的設(shè)布置，再到這次大會的主視覺設(shè)計。我們來看看“姐夫”的選擇——

設(shè)計小哥哥：姐夫，這次我這個加了魯班鎖的概念，還上了一整套。你覺得怎么樣？

設(shè)計小哥哥：你看哦，紅和黑，多喜慶，是不是棒棒噠？?。毂頁P我）

設(shè)計小哥哥：那你想要怎樣？

設(shè)計小哥哥：那就又黑又綠吧。。。↓↓↓

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。