一個修行人的故事，夢回 Las Vegas

雷鋒網編者按：作為全球最為知名的兩個黑客大會，Black Hat 和 Defcon 是不少安全從業人員所嚮往的殿堂級會議。雷鋒網邀請資深白帽子胡仲宏（ID: bobylive），來帶領我們去現場一探究竟。作為Armyzer0 骨幹成員、Firefly 風物站長，胡仲宏在2010年就去過現場，這次，他是作為BSRC提交一血漏洞的白帽子去的，他目前專註於企業級安全架構解決方案設計、物聯網安全架構解決方案等方向研究。

當春天有了一個完美的結局，盛夏在梔子花中亟待開場了。這個七月一切恰好，城市像個高燒不退的孩子，頭頂上是永遠不願意沉下的太陽，遊動的綠葉中藏匿著春天的尾巴，大街上依然瀰漫著炙熱的空氣，似乎一切都是熟悉的。坐在前往 Las Vegas 的飛機上，眼前是不斷飛過的原野、村落和時間，恍惚之間，好像回到了多年前那個修行旅途一般，這是時間的手腳，是回憶的故事，再度想起了自己曾說過的話：不如就給自己最後一次機會，奔向或許永遠無法到達的理想中，死在路上。於是，我再次踏上了修行之路，以安全之名，再一次朝著理想出發。

Las Vegas，在很多人看來，一個紙醉金迷、燈紅酒綠的荒漠奇蹟，多年前尚還年輕的我也曾給這座城市貼上這樣的標籤，但因為兩場重要的會議，讓這座城市具備了不一樣的意義，那就是 Black Hat 和 Defcon，無數安全界的修行者所嚮往的殿堂級會議。這充斥著酒精和金錢味道的城市，因為世界各地安全行業的朝聖者們的到來，再次變得神秘起來。

飛行的疲憊並不能抹去修行者們心中的嚮往，踏上這片土地的時候，迎面而來的不僅僅是混著沙子氣息的炙熱空氣，還有那觸手可及的理想。不管過了多少年，每一位修行者來到此處的時候，都是年輕的模樣，滿懷著對先進技術的追求，所有腳步聲都是青春狂熱的旋律。對於一個執迷於頂尖安全技術的人來說，每次蒞臨都顯得意義非凡，眼前所見的一切都像是剛剛從記憶的沉澱中打撈起來一樣，熟悉卻又充斥著歷史的陳舊破敗味道，但會議上的議題卻又是那麼的新鮮與震撼，每一位站上講台的人，都是稱霸安全界一時的英雄人物。每個人的理想，就是成為這樣的人。

提取完行李後，走出機場就可以看到 HP 公司提供的 Black Hat 會議的接送車，車上都是來此「取經」的修行者們，大家都懷抱著對目前最前沿頂尖的安全技術的期待，正因為我們都是取經人，期間大家交談甚歡。

上車後就啟程前往此次下榻的酒店 —— Bellagio。Bellagio 又稱百樂宮，是 MGM 集團旗下的高檔酒店、賭場和購物中心，酒店正對著的就是一面人工挖掘出來的人工湖，所以百樂宮也是當地唯一一個擁有大型噴水池的度假酒店，但凡是涉及到賭城的電影，一定可以見到 Bellagio 酒店的噴泉的影子。

酒店大堂正上方就是非常著名的彩色玻璃花天花板，出自著名藝術家達魯·芝古利之手，每一朵玻璃花都是手工吹出來的，連綿一片，甚是壯觀。

在與來自百度安全 BSRC 的加菲貓美女一行碰頭的時候，天色已經暗下來了，奔波了將近一天，大家都略顯疲態，於是我們並沒刻意安排行程，準備出門就餐。剛出酒店就趕上了一場唯美壯觀的音樂噴泉表演，一行人稍作停留觀賞，夜色下燈光璀璨的酒店，繁華熱鬧的街道，耳邊是遊客的歡呼和商人們的叫賣，加上壯觀的噴泉，疲憊也是減緩了不少。

隨意走走，在附近的餐廳，吃上了一頓地道的美式炸雞和薯條。當地飲食雖不如國內來得豐富，但也頗具一番風味，看似簡單的炸雞卻要做到里嫩外焦，倒也算平淡而講究。飯後，眾人一起聊天，討論了接下來幾天會議的行程，其中也穿插了一些其他的高談闊論，很是愉快。

由於旅途奔波，回到酒店後一行人就此告別，結束了第一天的簡單行程。

次日，大家都趕早起床，前往 Black Hat 的主會場 Mandalay Bay 酒店，酒店位於 Las Vegas酒店南部，地處偏遠，於是一行人乘車前往。酒店擁有全 Las Vegas 最好的游泳池和人造沙灘，富麗堂皇的外表裡面卻是另別有洞天，大概誰也想不到，這樣的一處去處，卻是無數安全取經人所嚮往的殿堂吧。

會場並不難找，進入酒店隨著人流步行約 2 分鐘就來到了 Black Hat 的主會場入口，見到熟悉的橫幅時大家心中都洋溢著興奮與激動，能與眾多行業內頂尖的安全專家一起交流是每一位安全從業人員的夢想，不僅能開闊見識，還能提升自身技術水平。大概翻閱了大會議程手冊，內容涵蓋了 Web 安全、智能汽車、IoT、工控系統等眾多領域的安全議題，近年如 IoT 這類的議題也是在大會上頻頻出現，Black Hat 被譽為安全界的殿堂，必然有其過人之處，正因為它能呈現出與時俱進的高質量議題，才獲此殊榮。

議題會場並不允許攝影，於是收起設備，開始聆聽議題，我們挑選了一個工控系統安全議題，如今國內工控類的安全架構還非常不成熟，關注度也並不高，即便是發達國家也仍處於發展階段，處在不溫不火的位置。在近幾年的安全研究里，我已經由最初的研究 Web 安全、客戶端安全開始轉型為安全架構設計及安全解決方案設計，我希望能從議題中學習到工控安全專家的經驗，然後探索更成熟可靠的工控安全架構。

議題詳細羅列了歷史上重大的工控安全事故，如：Stuxnet、Black Energy 等病毒破壞國家級能源基礎設施事件。議題非常有意思的地方在於演講者的關注點在於如何感知此類型的網路攻擊，並對其做出警報和防護，並大膽做出對未來攻擊方式和趨勢的推測。在我看來，安全行業就是在不斷對抗當中逐漸發展，在我們研究出新攻擊手法的同時，我們也學習到新的防禦手段，兩者相輔相成，有攻必有防，所以這樣全面多方位分析的議題，很是受益匪淺。

議題過後一行人又去一層參觀了安全廠商的展廳，眾多世界著名的安全廠商都紛紛展示了自家的領先技術，如 Cisco 的 ETA 流量分析技術，RSA 的身份認證管理技術等，可謂是「百花爭艷」，讓人眼前一亮。

不知不覺，忙碌又興奮的一天結束了，拖著疲憊的身體回到酒店，大腦卻仍在持續亢奮地回放白天的場面，我就這樣懷著滿滿的期待進入了夢鄉，迎接明天的到來。

未完待續

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！