2023年2月14日补充背景信息:2021年,我把已有工作整理了一下,投Blackhat Europe 2021。在投稿前,我仔细研究了一下Blackhat的投稿流程和注意事项。遗憾的是,议题最终未被录用。今天梳理旧日文档,发现了这篇投稿指南,于是把它发在博客上,既鞭策自己努力作出更多优质研究,又能够为打算投稿的朋友提供一些流程上的信息。

基本信息

Blackhat常见的投稿类型有两种:BriefingsArsenals。前者即投一个议题,时长在30到40分钟之间;后者则是投一个工具。对应的投稿途径分别是Call for PapersCall for Tools。这种“议题或工具”的形式也为国内的KCon会议所采用。

对于任何会议投稿,首先需要关注的是投稿起止时间及入选通知时间。以Blackhat Europe 2021为例:

  • Call for Papers的起止时间为2021-05-10~2021-06-28,入选通知时间为2021年8月中旬。
  • Call for Tools的起止时间为2021-06-14~2021-08-02,入选通知时间为2021年8月16日所在周。

由于会议的国际性,对于时间紧迫的投稿者来说,时区差异也十分重要。例如,Blackhat Europe 2021的Call for Papers截止时间是太平洋时间2021-06-28 23:59,对应北京时间为2021-06-29 14:59;而Call for Tools的截止时间是英国夏令时(BST)2021-08-02 23:59,对应北京时间为2021-08-03 06:59。

在投稿之前,你需要注册一个Blackhat账号。每次投稿都会以表格形式要求添加演讲者信息,这部分内容可以准备一次,以后复用即可。

疫情期间,也要关注会议是否有线上参加的选项。例如,Blackhat Europe 2021允许线上分享(virtual only),不必前往伦敦。

Briefings: Call for Papers

提交要求

首先要确保认真理解并尽量满足官网对议题的要求

  1. 议题只能由研究人员/演讲者提交,而非公关或市场人员。
  2. 不接受特定产品或厂商相关的投稿。
  3. 投稿需要详细给出计划展示的概念、想法、发现、解决方案等内容。
  4. 包含新研究、新工具、新漏洞等内容的投稿将优先录用。
  5. 包含White Papers的投稿将优先录用。
  6. 不接受内容不完整的投稿。
  7. 允许提交多个议题,但每个议题必须分别填写独立投稿表格。
  8. 投稿必须包括演讲团队的详细介绍。
  9. 评审委员会可能会就相关问题联系投稿者。

确定领域

首先确定你的议题属于哪个领域(Tracks),详细列表及介绍见官网,这里给出列表:

Entry Entry Entry
AI, ML, & DATA SCIENCE APPLIED SECURITY APPSEC
CLOUD & PLATFORM SECURITY COMMUNITY CORPSEC
CRYPTOGRAPHY CYBER-PHYSICAL SYSTEMS DATA FORENSICS AND INCIDENT RESPONSE
DEFENSE EXPLOIT DEVELOPMENT HARDWARE / EMBEDDED
HUMAN FACTORS MALWARE MOBILE
NETWORK SECURITY POLICY REVERSE ENGINEERING

投稿模板

虽然投稿是以填写表格的方式进行,官方给出了一个PDF模板对填写内容做了说明。

评审委员会

这部分摘录自官网

  • 从独特性、整体内容的专业程度、准确性等方面进行审核。
  • 可能会多次向提交者提出问题。
  • 好的提交通常会附带学术论文、PoC代码、视频DEMO等。
  • 不接受花钱上会。

条约

官网摘录一些值得注意的条约:

  • 提交者在提交期间不得就议题直接联系某个评审委员会成员。
  • 采用循环录取的方式接受议题。
  • 所有的通信和问询都应通过cfp@blackhat.com进行。
  • 一旦议题被录用,演讲者需提交一份录像。
  • 30分钟的议题只允许团队中的一个演讲者做演讲,40分钟的则允许两个,但官网将列出团队所有成员。
  • 大会的完全通行证只提供给参与演讲的人。

Arsenals: Call for Tools

Arsenal投稿的要求较为简单,基本可参考Briefings,不再单列。

其他建议

Blackhat官网推荐了三篇文章来帮助我们更好地投稿。我们将这些文章中提供的建议编译整合如下:

  1. 让你的工作清晰、易懂,讲一个有趣的故事。审核一个复杂的投稿最少需要三十分钟,你要让没有做过你的研究的人充分理解你的议题。不要加对主题没有帮助的信息,这可能让评审失焦。
  2. 为了被选中,你必须要充分说明你做了什么,以及它为什么重要。不要做了100个小时的研究,但只花5分钟填写申请表。认真对待你的申请。
  3. 要吸引评审的注意力,确保你的内容清晰、简洁、切题。要让评审意识到你有认真对待投稿。
  4. 提供必要、足够的细节帮助人们理解你要做的事。在足够和必要之间达到平衡。
  5. 虽然只需提交一个概要(Abstract)而非一篇学术论文,你仍然需要将你做的关键部分充分表达出来。要让评审委员会理解你的工作。
  6. 在提交之前,用Google查一下有没有人已经做过类似的分享。另外,如果有前人的工作,讲一下你是如何建立在他们的基础上,并指出与他们的不同或在他们的基础上又前进了多少。
  7. 新人可以先参加一些小的Blackhat会议,如新加坡、伦敦的会议,这些竞争相对小一些。
  8. 移除非必要的市场营销性质的描述。
  9. 题目通常可以由两个部分组成:第一部分有趣,玩文字游戏也未尝不可,第二部分则是技术角度的总结。标题要有趣也要名副其实。
  10. 要选对你的投稿领域(Tracks)。
  11. 摘要展示研究路线和方法,Blackhat的提交表格摘要部分有300字字数限制。摘要可以由三部分构成:
    1. 技术的简单介绍或概述。
    2. 攻击路径覆盖。
    3. 结果、结论、工具发布等。
  12. 摘要不要过长。摘要要写得有趣,让人看了你的摘要后愿意去听你讲。
  13. 关于议题大纲:围绕核心内容,关注质量而非内容数量。大纲和摘要一样重要。大纲要有条理。
  14. 关于Message for Review Board:可以写感谢的话,如“thank you for spending some minutes with me”,当然也可以少量加一些前面没有出现的额外信息。
  15. 原创、有洞见、引人注目。
  16. 要关注你的议题提供了哪些人们可能不知道的信息,解决了什么现有问题,或者给了人们看某个事物的独特视角。
  17. 申请表格中所有空都要填!
  18. 对于Blackhat来说,你要尝试回答以下问题:
    1. 你希望参与者能从你的议题中获得什么?
    2. 为什么你的议题值得上Blackhat,给出三个理由。
  19. 要让你的议题成体系,有明显的进程方向。展示你将如何带着观众一起在你的演讲中前行,以及这些信息对他们有何意义。
  20. 如果允许添加附件,可以在附件中放入额外的信息。
  21. 可以在提交前让你信得过的专家先帮忙点评一下。
  22. 你的议题通常会提出一些问题,并解决它们。确保解决你提出的所有问题,不要让问题数量多于答案数量。
  23. 及早准备,安全会议众多,即使这次被拒,还可以投下一个。
  24. 把所有东西准备好后一次投掉,不要一点一点往投稿系统里写。
  25. 被拒不要气馁,继续投别的。