最近幾年，國內的安全會議不僅數量越來越多，規模也越來越大。隔壁的霓虹國最近也辦了一場國際安全會議。

10月29日~11月2日，日本最大的安全會議CodeBlue在東京召開。大部分人對Code Blue並不是很熟悉。就連百度搜尋Code Blue，搜尋結果都只是一部同名的日本電視劇，集齊了大家的男神和女神。不過，這並不影響Cude Blue成為日本最大的安全會議。

Code Blue的創始人是一位名為篠田佳奈的女性。這並不多見。1998年她結束美國留學學習計算機後，便返回日本，成功進入企業的安全部門。

 

常常會有人問她Blackhat什麼時候可以在日本舉辦？她沒辦法回答，畢竟這也不是她一個人說了算的……於是2014年，她便邀請了國內外的安全專家，前往日本，在分享技術，也就建立了Code Blue。會議設有同聲傳譯，有日語和英語，解決了講不同語言的人無法聽懂的問題。

為什麼叫Code Blue呢？

官網如是介紹：

CODE BLUE aims to be a place where international connections and communities form and grow, and will contribute to a better Internet world by connecting people through CODE (technology), beyond and across the BLUE (oceans).

Code Blue 旨在成為一個國際交流和社群形成和發展的地方，並將通過 code (技術)，將 海洋（Blue）彼岸以外的人們連線起來，為更美好的網際網路世界做出貢獻。

相比較太平洋彼岸的Defcon和Blackhat，Code Blue 的名氣還略顯遜色，不過並不影響它致力於成為國際頂尖安全會議的想法。

那日本的安全大會，有哪些精彩看點呢？

會議分為三個部分：培訓、演講、比賽，10月29、30號為培訓。11月1號、2號為演講、比賽同步進行。

CTF 比賽

此次CTF 比賽分為線上和線下兩個部分，面向全球。線上初賽過後，留下10支決賽隊伍，前往Code Blue現場 參加決賽。

現場圖片

十支決賽隊伍分別為：Dragon Sector（波蘭）、CyKOR（韓國）、!SpamAndHex（奧地利）、TSG（日本）、LeaveCat-PLUS（韓國）、blue-lotus（中國）、hxp（德國）、LC·BC（俄羅斯）、0daysober（法國、瑞士）、PPP（美國）。

比賽現場，還有主辦方對DEF CON的無情吐槽

感謝 WDEIL 來自前線的圖片

除此之外，比賽現場還有4個其他同時進行的比賽。

以上便是比賽列表，除了有常見的CTF比賽外，還涉及到了自動化網路攻擊挑戰、智慧合約攻擊挑戰、汽車黑客挑戰和破冰挑戰。

會上有哪些中國人的身影？

此次會議匯聚了全球頗具影響力的安全安全專家，和大家分享最新最前沿的技術。在為期兩天的會議中，共約有45項議題，內容涉及物聯網、區塊鏈、網路犯罪等前沿領域。在眾多安全專家中，其中也不乏中國安全研究員的身影。

Android藍芽的安全性剖析

360阿爾法團隊的龔廣和戴建軍給大家分享了議題《Android藍芽的安全性剖析》。他們提到，從Android 4.2開始，Google採用了名為Bluedroid的藍芽元件，取代之前的BlueZ。Bluedroid支援多種協議和配置，由於其複雜性，自然也引入了很多安全問題。

戴建軍介紹，攻擊者只需要一臺帶有藍芽介面卡的筆記本，就可以通過各種藍芽協議通道，傳送不同型別的資料包，欺騙藍芽服務，繞過多種程式碼層面的限制，觸發漏洞。介紹完典型的漏洞和攻擊方法之後，戴建軍還提出了其他層面的安全問題，並給出了相應的改進意見。同時，360阿爾法團隊也已經向Google的Android安全團隊報告了這些問題和改進措施，Android安全團隊接受並採用，表示將會在以後的程式碼中修復。

遠端控制聯網汽車的方法論

360智慧網聯汽車安全實驗室的高階安全研究員嚴敏睿和李嘉豪帶來的關於智慧網聯車的議題《遠端控制聯網汽車的方法論》，針對現代聯網汽車的資訊保安進行了分析，提出了一套資訊保安測試方法論，並與當地車廠就汽車資訊保安的發展和改善進行了討論。

嚴敏睿表示，在如今什麼都講究智慧的時代，智慧聯網汽車也越來越受到大家歡迎。但是，智慧化和聯網化就意味著更多的攻擊面，其中最可能受到攻擊的就是車聯網中的車端車機、車端聯網模組和雲平臺。越來越多的網際網路公司正在參與汽車行業並試圖開發和生產聯網汽車，但普遍缺乏嚴格的安全思想來建立安全系統，這就需要智慧汽車廠商、安全廠商協作，提高安全意識，努力構建更完善的安全系統。

利用無線強制門戶實現遠端程式碼執行

無線網路已經事實上成為了大多數企業的重要基礎設施，其安全性對於我們來說不言而喻。專注於無線安全攻防的360天馬安全團隊柴坤哲、王永濤和楊芸菲，在此次會議上帶來了關於企業無線網路安全的議題《利用無線強制門戶實現遠端程式碼執行》(RCE with Captive Portal)。在議題中，他們介紹了一種組合攻擊方法，利用無線網路強制門戶的特性與Windows系統的一系列漏洞來達到遠端程式碼執行的效果，並提出了一些防範方法。

楊芸菲介紹，無線強制門戶常見於公共Wi-Fi網路，移動裝置會強制彈出登入網頁，需要使用者以簡訊驗證碼或微信認證的方式進行登入才可以上網。由於Wi-Fi網路在協議上存在許多安全問題，導致使用者很容易遭受同名釣魚熱點攻擊，配合無線強制門戶會在使用者裝置上強制彈出視窗的特性，攻擊者很容易對使用者發起多種攻擊，議題中展示的方式僅僅是對企業使用者的一種攻擊方式。

門票究竟多少錢？

最後是大家關心的票價問題，確認過眼神，是去不起的會議.......

培訓

如果報名人數達不到最低人數，課程就會取消。

《實踐DevSecOps和AppSec自動化 專家講習班》

2天，175,000日元，摺合人民幣約 10679元

《攻擊和防禦容器化的應用程式和無伺服器技術》

2天，160,000日元，摺合人民幣約 9764元

《用於惡意軟體分析的Windows DBI》

1天，80,000日元，摺合人民幣約 4882元

大會門票

早鳥票：41,800日元，約人民幣 2550元

正常票價：74,800 日元，約人民幣 4564元

現場買：132,000日元，約人民幣 8055元

其中一些分會場需要再次購買門票進入。

看完這些門票價格，不得不感慨，看雪峰會的門票價格，真的是良心價啊！

參考來源：

• 文中部分圖片由 WDEIL 友情提供，非常感謝！
  
• Code Blue 官網：https://codeblue.jp/2018/en/
  
• 奇虎360
  

- End -

更多資訊：

1、殭屍病毒Mirai作者被判賠償860萬美元 在家監禁6個月

2、北京海淀某科技公司員工離職帶走程式碼 獲利800萬被抓

3、研究團隊讓你的腦電波能完全取代密碼

4、基於Docker搭建Jumpserver堡壘機操作實踐