教全球“黑客”技术 —— ASU网络安全团队在顶级黑客大会上推出“黑帽大会学院”

McSafe

在拉斯维加斯举行的第33届黑帽大会（DEF CON 33）期间，亚利桑那州立大学（Arizona State University）网络安全与可信基础中心研究运营副主任杰基·勒费弗斯（Jackie LeFevers，左）和该中心主任、计算机科学与工程学副教授亚当·杜佩（Adam Doupé，最右）与加州大学圣巴巴拉分校（University of California, Santa Barbara）人工智能行动研究所（ACTION AI Institute）常务董事蒂姆·罗宾逊（Tim Robinson）交谈。勒费弗斯和杜佩是亚利桑那州立大学团队的一员，该团队组织了有史以来首个黑帽大会学院（DEF CON Academy），这是一个旨在为首次参会者提供网络安全入门途径的培训区域。照片由凯莉·德沃斯（Kelly deVos）/亚利桑那州立大学拍摄。

    八月的拉斯维加斯酷热难耐、喧嚣嘈杂，霓虹灯闪烁不息。然而，在会展中心那宽敞宏大的展厅内，真正的“电流”并非来自老虎机，而是源自笔记本电脑。今年，超过3万名黑客、工程师和网络侦探再度齐聚一堂，参加全球规模最大的黑客大会——第33届黑帽大会（DEF CON 33）。

    而今年，黑客们有史以来第一次接触到了一个新事物：黑帽大会学院（DEF CON Academy）。这是一个由亚利桑那州立大学（Arizona State University）工程学院艾拉·A·富尔顿（Ira A. Fulton）计算机与增强智能学院教职员工主办的开放式培训基地。

    黑帽大会以其紧张激烈的氛围而闻名——代码如闪电般在屏幕上飞速滚动，竞赛通宵达旦，还有一群热衷于通过破解来增强安全性的专业人士。然而，对于初来乍到的新人而言，踏入这个世界可能会让他们感到无所适从。而黑帽大会学院的设计初衷，正是为了改变这一状况。

    “黑帽大会（DEF CON）始终强调社区（共同体）精神，”亚利桑那州立大学富尔顿工程学院计算机科学与工程学副教授、本次大会组织团队负责人扬·肖希塔什维利（Yan Shoshitaishvili）说道，“通过设立黑帽大会学院，我们希望打造一个‘入门通道’，一个无论参与者背景如何，都能坐下来学习基础知识、并发现‘没错，自己也能成为一名道德黑客’的空间。”



罗伯特·瓦辛格（Robert Wasinger）在黑帽大会学院（DEF CON Academy）的教室里忙碌着。瓦辛格是亚利桑那州立大学网络安全与可信基础中心的网络安全研究员，同时也是富尔顿工程学院的研究生助教。他在黑帽大会学院的筹办过程中发挥了关键作用，并在座无虚席的教室里做了富有启发性的演讲。照片由凯莉·德沃斯（Kelly deVos）/亚利桑那州立大学拍摄

先动手实践，再提问解惑

    在为期三天的活动中，黑帽大会学院内热闹非凡。据估计，约有2500名参与者穿梭于现场讲座、小组讨论以及由亚利桑那州立大学全球广泛使用的网络安全教育平台pwn.college提供支持的互动游戏化活动之间。一支由20多名亚利桑那州立大学网络安全专业学生组成的团队随时待命，为参会者配置所提供的笔记本电脑、解答疑问，并指导学员完成各项练习。

    在一系列讲座中，均由亚利桑那州立大学的学生研究员主导讲解。初学者在“初学者终端操作技巧”（Terminal Tactics for Beginners）课程中学会了如何破解命令行；另一些学员则在“利用预期：缓冲区溢出初学者指南”（Exploiting Expectations: A Beginner’s Guide to Buffer Overflows）课程中深入探索了二进制漏洞利用。

    还有更多资深参会者挤满了“设计性欺骗”（Deceit by Design）课程的教室。在该课程中，网络安全研究员、富尔顿工程学院研究生助教罗伯特·瓦辛格（Robert Wasinger）演示了现代处理器如何通过“幽灵”（Spectre）和“熔毁”（Meltdown）等推测执行漏洞泄露用户信息。

    现场座无虚席。笔记本电脑键盘声此起彼伏，屏幕上布满代码，当参会者当场解决挑战时，现场便爆发出欢呼声。会议期间，参会者在pwn.college平台上解决了超过1300个问题。

    “网络安全不能仅靠阅读来掌握，”瓦辛格说道，“你需要亲眼见证系统实时故障，理解故障原因，然后学会如何防御。这正是我们在黑帽大会学院中精心打造的直观体验。”


夺旗赛：先破后立

    黑帽大会（DEF CON）及其学院的核心，便是那场传奇般的“夺旗赛”（Capture the Flag，简称CTF）。与操场上的游戏版本不同，网络安全夺旗赛要求参赛者攻破软件程序、逆向破解代码或解开数字谜题，以找出隐藏的“旗帜”。这项赛事兼具竞技性与科学性，被广泛视为全球顶尖黑客的训练场。

    学院向参会者介绍了夺旗赛的基础知识，为他们提供了一个实践精英团队所使用技能的途径。在“专业级危险：向漏洞研究专家提问”（Professionally Dangerous: Ask the Experts in Vulnerability Research）小组讨论会上，资深黑客们强调了这些竞赛为何至关重要。

    包括美国国防部高级研究计划局（Defense Advanced Research Projects Agency）前局长特别助理佩里·亚当斯（Perri Adams）在内的小组成员告诉参会者，夺旗赛是投身网络安全领域最有效的途径之一。他们强调，这类挑战在培养参与者像攻击者一样思考方面具有独特价值。专家指出，对于初出茅庐的新人而言，夺旗赛更是进入该领域无可比拟的切入点。

    这一理念与黑帽大会学院的使命不谋而合。亚利桑那州立大学的教职员工将现场教学与夺旗赛风格的练习相结合，让初学者既能掌握相关背景知识，又能树立安全、合规开展黑客活动的信心。



富尔顿工程学院计算机科学与工程学教授扬·肖希塔什维利（Yan Shoshitaishvili，右）在黑帽大会学院（DEF CON Academy）主持了“专业级危险：向漏洞研究专家提问”（Professionally Dangerous: Ask the Experts in Vulnerability Research）小组讨论会。美国海军研究生院（Naval Postgraduate School）计算机科学高级讲师、《灰帽黑客》（Gray Hat Hacking）合著者克里斯·伊格尔（Chris Eagle，左）向与会者表示，夺旗赛练习是进入网络安全职业领域的一条有效途径。照片由凯莉·德沃斯（Kelly deVos）/亚利桑那州立大学拍摄

当好奇心化作职业道路

    网络安全威胁逐年加剧，而人才储备却难以跟上步伐。行业报告估算，全球现存350万个网络安全岗位空缺，仅美国就有75万个职位无人填补。填补这一缺口，仅靠传统课程远远不够，还需让网络安全变得平易近人、引人入胜。

    这正是黑帽大会学院意义非凡之处。它不仅展现了教职团队的技术实力，更为数百名怀揣好奇之心的人敞开了大门，让他们如今或许会考虑投身关键系统防护事业。

    “最引人注目的是现场的热情氛围，”牵头组织工作的网络安全与可信基础中心研究运营副主任杰基·勒费弗斯（Jackie LeFevers）表示，“学生、业余爱好者和行业专家纷纷参与其中，踊跃提问、解决问题。这正是我们希望点燃的火花：一场人人都能视自己为网络安全解决方案一部分的运动。”


将研究成果转化为现实影响力

    亚利桑那州立大学的专家们的影响力不仅局限于黑帽大会学院。由肖希塔什维利（Shoshitaishvili）与富尔顿工程学院计算机科学与工程学副教授亚当·杜佩（Adam Doupé）、王若愚（Fish Wang）和鲍由之（Tiffany Bao）共同领导的Shellphish黑客团队，在由美国国防高级研究计划局（DARPA）和美国卫生高级研究计划局（Advanced Research Projects Agency for Health）举办的高风险人工智能网络安全挑战赛（AI Cyber Challenge）决赛中脱颖而出，荣获第五名。

    该团队开发的系统ARTIPHISHELL运用人工智能技术，能够检测并修复广泛使用的开源软件中的安全漏洞。这一网络推理系统已向公众开放，供人们访问、测试和使用。

    此次活动中所展现的教育、竞赛与创新的融合，反映了亚利桑那州立大学在网络安全领域的广泛布局：为学生提供现实挑战，让顶尖研究人员给予指导，并不断拓展知识与实践的边界。

    “网络安全领域的问题错综复杂，但相关人才与好奇心同样充沛，”肖希塔什维利表示，“通过黑帽大会学院等举措，我们正确保更多人拥有将好奇心转化为实际影响力的工具。”



前排从左至右：瓦辛格（Wasinger）、肖希塔什维利（Shoshitaishvili）以及网络安全与可信基础中心（Center for Cybersecurity and Trusted Foundations）的职员软件工程师康纳·尼尔森（Connor Nelson，黑帽大会学院组织团队成员）与自愿协助会议参会者的亚利桑那州立大学学生合影留念。照片由凯莉·德沃斯（Kelly deVos）/亚利桑那州立大学拍摄