2019年6月23日 星期日

【HG 帶你直擊 Conference】DEFCON - Village 篇

【HG 帶你直擊 Conference】
將會介紹世界各地的資安研討會給大家,包含交通、當地特色跟研討會本身。 
Youtube 連結:https://youtu.be/PDWRuVqMxFQ



Packet Hacking Village 0:17
Mobile Museum 2:00
Social Engineer Village 2:44
Main Contest Area 3:57
Vendor 4:44
Rootz Asylum Village 5:37
IoT Village 6:05
Chillout 6:43
Skytalk 7:32
CTF 主辦單位採訪 9:23
CTF 頒獎 15:48
這一集會介紹 2018 年 DEFCON 的 Village,以及我們發現的有趣事物,最後加映 CTF 主辦單位採訪,如果有什麼想要問的,也歡迎詢問 HITCON GIRLS 粉絲團喔!


DEFCON 介紹

  • 日期:2018/08/09 - 12
  • 活動分類: Cybersecurity Conference
  • 官網:https://www.defcon.org/
  • 舉辦組織: Def Con Communications
  • 舉辦地點:Caesars Palace in las Vegas.
  • Wiki 資訊
  • https://zh.wikipedia.org/zh-tw/Defcon_(%E4%BC%9A%E8%AE%AE)
  • DEFCON (也寫做 DEF CON, Defcon, or DC) 是全球最大的計算機安全會議之一
  • 自1993年6月起,每年在美國內華達州的拉斯維加斯舉辦
  • 涉及的領域主要有軟體安全、計算機架構、無線電竊聽、硬體修改和其他容易受到攻擊的信息領域。

    第三集:Village 篇

    一直聽到 Village,這個神秘的村莊到底是指什麼呢?

    Village 可以說是 DEFCON 的靈魂之一,沒有特定的中文名稱,
    目的性通常是具備一個主題,會有相關的活動跟介紹,

    可以是一個全天性的講座,例如:Rootz asylum Village、Recon Village、Skytalks Village
    也可以是展示間,例如:Mobile Museum
    或是複合式的空間,包含 CTF 或是一個廳有多種活動,例如:Car Hacking Village、MAIN CONTEST AREA&CTF

    簡單來說就是一個空間會有不同的活動,至於活動內容是什麼會根據主辦單位決定,大會把關讓每個 Village 都獨具特色,主題幾乎不會重複!

    所以就讓我們來一一介紹吧!


    =============== Caesars Palace 凱薩宮場地內


    【Emperor's Level】Emperor 的樓層

    [Village] MAIN CONTEST AREA&CTF
    • Video timestamp 3:57
    • 主要用來舉辦 CTF 的場地,猜測應該是可以申請「把自己的 CTF 辦在這裡」,畢竟如果寫著決賽場地 DEFCON 就有一種好像很厲害的感覺XDD
    • DEFCON 自己的 CTF 也辦在這個廳裡面
    • 這個廳中也有一些其他的活動,例如:龐克頭攤位,他會現場幫你剃頭髮、抓成龐克頭,雖然我們在拍攝的時候剛好有人在剃頭,但是他一臉期待我們拍他到反而有點無法過去問能不能拍照XDDDD

    [Chillout] Chillout hacker karaoke
    • Video timestamp 6:43
    • 專門用來放鬆、休息的區域,所以現場有很多桌椅以及可購買的食物,為了不要讓場內太單調,每張桌上有放一個聖誕樹(不是官方名稱,但不知道就有一種裡面會藏禮物的感覺XDD),聖誕樹由各種線、電路板、鎖頭構成,很多人在休息或是打 CTF 之餘都會嘗試對聖誕樹動手動腳XDDD



    【Promenade Level】Promenade 樓層內

    [Village] PACKET HACKING VILLAGE
    • Video timestamp 0:17
    • https://www.wallofsheep.com/pages/packet-hacking-village
    • DEFCON 版的綿羊牆,也是一個複合式的區域,有綿羊牆的展示、議程跟解鎖,其實他們還有設計關於綿羊的角色
    • 綿羊牆就是在提醒不要當待宰的羔羊,如果連線上網時沒有選擇採用加密,在登入時有很高的機率會被攻擊者錄到帳號密碼,而綿羊牆就是會將帳號密碼秀出來提醒你。



    [Village] Rootz asylum Village
    • Video timestamp 5:37
    • https://r00tz.org/
    • 主要對象是小孩子的區域,為了讓世界更好所以希望傳授白帽精神跟技巧,良好的嗜好要從小培養(?),會教逆向工程、焊接、密碼學跟如何有責任地去回報漏洞
    • 所以現場才這麼多小孩子啊!!!我們剛好在入口遇到 Richard H L Marshall, Esq ,一開口就是「要有小朋友才能進來喔,如果你沒有的話可以去借一個,或是明年再來」XDDD 也秀了一下他會的中文,最後他聽到我們說要介紹 Village 還幫我們找來了今年的主辦者 John S. Johnson 做了一點點介紹,雖然一個是 CEO 一個 IEEE 的教授但是都很親民真是太感謝了T^T


    [Village] Wireless Village
    [Village] Crypto & Privacy Village
    • http://www.cryptovillage.org/dc26
    • 在講加解密和隱私主題的區域,有議程跟活動,簡報會後公布在網站上,過去歷年的資料也很完整!
    [Village] IoT Village
    • Video timestamp 6:05
    • https://www.iotvillage.org/#dc26_schedule
    • 會提供很多裝置在現場,可以直接打,官方也說如果有找到漏洞他們會幫忙通報原廠,現場有看到咖啡機、音響、洗衣機、NAS 等等的

    [Village] Biohacking Village
    • https://www.villageb.io/
    • 主題為生物技術、醫療技術的區域,主要呈現方式是議程,然後門口的告示別很可愛XD

    [Village] Ethics Village
    • http://ethicsvillage.org/#sched
    • 是一個在探討資安領域道德的 Village,有包含議程、Case Studies 跟 Panel ,探討一些關於面臨專業跟道德具有拉扯的狀況
    [Village] BCOS/Monero Village
    • https://bcosvillage.org/events/index.html
    • Monero 是一種安全、無法追蹤的加密貨幣,而 BCOS 是 BlockChainOpenSource 的縮寫,所以這個 Village 就是在講各種 BlockChain 相關的內容
    [Village] Recon Village 


    [Village] AI Village
    [Village] Mobile Museum
    • Video timestamp 2:00
    • http://vintagetechmuseum.org/
    • 放了很多古老裝置的展示區域,每一台都會附上來歷介紹、說明書等等,讓人可以一次看到各種具備歷史的古物,畢竟流逝的時間不會回頭,古老的裝置被取代後只能進到歷史課本,如果可以寫一本關於電腦的紀錄,任何宅宅都會覺得很感動跟興奮吧,要是覺得他們的理念很不錯,還可以 DONATE 他們



    [Village] Data Duplic Village(Data Duplication Village)
    • https://dcddv.org/
    • 關於破解資料的 Village,可以自行攜帶硬碟來複製資料,例如彩虹表等等,現場也有硬碟鑑識跟資料備份的議程
    [Village] HAM Radio Exams

    • 關於無線電,或許相關於破解跟竊聽,但⋯⋯沒有點這個技能樹,所以抱歉了T^T


    【Promenade South】

    [Village] SE Village
    • Video timestamp 2:44
    • https://www.social-engineer.org/sevillage-def-con/
    • 非常有趣的區域,主要是在講社交工程(Social Engineer),進行的方式是選一個自願者(我們不確定是否需要事前報名,或者根本是暗樁XD),上台抽一張名片或資訊卡,打電話給社交工程對象XDDD 
    • 對象通常是一間公司的主管,同時背後的螢幕會由主辦單位顯示出計分表,例如問出身分證記號幾分、問出公司 WIFI 幾分、可以問到密碼幾分,這次我們遇到的那場就是假裝是聯邦政府單位,來詢問公司有沒有定期做滲透測試,那為了統計社會安全 blahblah 之類的理由,需要對方提供滲透測試的結果報告
    • 感覺上是很多人會上台秀一下「我很會社交工程!!!」,台下的人就會問技巧之類的,例如「怎麼消除口音」或是「你怎麼知道打電話過去,接起電話的人就是名片上面的那個主管」


    [Buy something] Vendors
    • Video timestamp 4:44
    • 應該是個非官方紀念品的販售區域,也有在官網上面看到報名頁面,所以猜測是如果想要申請一個小攤位就會擺到這裡吧?
    • 這邊有賣很多駭客工具,例如 Hak5 、開鎖工具等
    • 我們也在這裡發現一個女性社群 Women in Security and Privacy (WISP),經過交流後他們表示會支援女生參加資安研討會(記得數字很大),主旨是促進女性重視隱私跟資訊安全 https://www.wisporg.com/




    【Pool Level】

    [Village] VX (Chip-off) Village
    • https://www.vxrl.hk/dcvxv/
    • VXCON (Variety eXploitation) 是由香港 VXRL 舉辦,有包含軟體跟硬體安全探討,現場有 chip-off technique 跟硬體焊接等等
    [Village] DEAF CON(DEAFcon OPS)
    • www.deafconinc.org
    • 專門為聾人提供推廣跟資訊服務的組織,但是他們今年不會再來 DEFCON 了 T_T
    [Village] Lockpicking Village
    [Village] Hardware Hacking Village&Soldering Skills Village
    [Village] Vote Hacking Village
    • https://defcon.org/images/defcon-26/voting-village-schedule.pdf
    • 這是一個全部都在講投票系統的 Village,由於美國 2001 導入電子投票,而投票相關於一個國家未來的策略跟經濟發展,電子投票裝置就變成一個很重要的議題,這個 Village 裡面展示了各種不同類型的電子投票裝置


    [Village] Drone Warz
    [Village] Laser Cutting Village

    • 關於雷射的一個攤位,現場佈置得充滿而且雷射造景,但是訴求跟宗旨不是很明顯這樣...XD
    [Village] Tamper Evident Village

    • 關於"竄改"的攤位,會介紹如何拆開密封的物品,並教你如何消除被拆開過的痕跡,還會有一個炸彈的活動遊戲,讓人嘗試拆解、實體逆向工程的樂趣



    =============== Flamingo 佛郎明哥場地內


    Executive Conference Center Lower Level

    [Village] ICS Village
    • https://www.icsvillage.com
    • 看完的感覺是關於現代城市生活的攻防展示,現場有很多城市、水利、電力等公共建設的縮小模型,當天舉辦 Hack the Plan [e] t CTF 比賽,該比賽以工業控制系統(ICS)系列為特色。

    [Village] Car Hacking Village
    • http://www.carhackingvillage.com/talks
    • 雖然影片沒有拍到,不過這個 Village 很厲害的是直接搬了一台車放著讓人打XDD 現場也有計分表,比方說當你可以控制車前燈會獲得 30 分之類的,然後你可以花 10 分來兌換螺絲起子,前面投影布幕也會寫你目前控制了哪些部分

    [Village] CAAD Village
    • http://blog.geekpwn.org
    • 由 Geekpwn 聯合主辦,全名是 Competition on Adversarial Attacks and Defenses ,主旨是關於樣本的攻防研究
    [Village] Cannabis Village (Puff Puff Hack)


    Corporate Convention Center Third Floor

    [Village] Blue Team Village

    [Village] Skytalks Village
    • Video timestamp 7:32
    • https://skytalks.info/
    • And since DEF CON 16, Skytalks has been bringing you Old School DEF CON: technical deep dives, off-the-beaten path discussions, early-access talks, cool technology, and plenty of shenanigans. We pride ourselves on a simple creed: “No recording. No photographs. No bullshit.
    • 感覺上是保留 DEFCON 傳統的區域,為了減緩「研討會越做越大,為了讓大眾可以接受只好減少口不遮攔的火力展示、具備爭議的部分」的遺憾,從閉門會議發展成大型研討會勢必要做一點取捨,所以聽到他們還可以保留這個區域真的是滿感動的,畢竟他們可能也可能會為此惹上一點麻煩⋯⋯XD?
    • 裡面大部分都會是講具備爭議性的內容,所以講者、議程內容都不公開,現場連手機都不可以拿出來(抓得很嚴格),每一次聽議程就要清場跟重新排隊,可以購買 VIP Badge 坐在現場不被清場,一張是 40 美金