Хабр на конференции OFFZONE 2022: российская BugBounty, кибербез и… текила?

25 и 26 августа в Москве в центре LOFT HALL состоялась третья конференция по практической кибербезопасности OFFZONE 2022, где побывала и информационная служба Хабра в лице @ancotir и @IgnatChuker. Конференция объединила всех неравнодушных к сфере информационной безопасности: разработчиков, исследователей, самих безопасников и даже преподавателей и студентов технических вузов. В материале рассказываем, что было на мероприятии, какие активности на нём проходили, а также при чём здесь текила и татуировки.

7295d4d6d7d0299b18085facd1b2f2b8.png

Бейджи

Сразу начнём с бейджей. Обычно на мероприятиях выдаются стандартные пластиковые бейджи, отличающиеся друг от друга только дизайном под оформление того или иного форума. Организаторы OFFZONE решили, что это слишком скучно. Вдохновившись опытом крупнейшей в мире конференции для хакеров DEFCON, с 2019 года они изготавливают интерактивные текстолитовые бейджи, представляющие собой печатные платы с набором из четырёх батареек ААА. В 2019 году с бейджем в виде дискеты 3,5» можно было выделывать разное прямо на мероприятии, например, напаять DIP Switch для управления режимами работы бейджа или смонтировать 0,96» OLED-дисплей с интерфейсом I2C и пару перемычек.

c05958722638eb1a496066e699cb5c16.png

В этом году бейджи-платы представляли собой полноценные микрокомпьютеры с питанием, светодиодами и платёжной системой для внутренней валюты конференции — очков Offcoin. Согласно данным от организаторов, на OFFZONE 2022 пришло более 2000 человек. То есть речь идёт о двух тысячах выданных бейджей, на которых за два дня мероприятия было заработано 475 тысяч оффкоинов. Их можно было менять на брендированную одежду, а также на сувениры от организаторов и партнёров форума.

3456bc996bda93efcf052b1c5d91b918.jpeg9056ed28b8bad22e5055f0a62d1c3c56.jpeg

Главной фишкой бейджа в этом году стала возможность кастомной разработки и создания аддона с собственным дизайном, под которые были предусмотрены два посадочных места. До первого июля проводился конкурс «красоты» среди аддонов посетителей форума, результаты которого объявили 15 июля в Telegram-канале мероприятия. Организаторы OFFZONE 2022 выделили информационной службе Хабра пару бейджей-плат, и через некоторое время @daniilshat расскажет о его технических особенностях, а также возьмёт интервью у разработчиков

493efc3fd8d40f81190bfb9f084e7a0c.jpegФотографии бейджей с разными аддонами, переданные гостями форума.

BI.ZONE Bug Bounty

Ключевым событием мероприятия стала презентация платформы BI.ZONE Bug Bounty, о которой @IgnatChuker писал 26 августа. Как указали организаторы, за 2 дня конференции на платформе зарегистрировалось 235 багхантеров, а сегодня там появилась публичная программа от BI.ZONE с выплатой за найденные уязвимости до 300 тысяч рублей. Вскоре на платформе появится публичная программа «Авито», единственного на текущий момент открытого партнёра BI.ZONE Bug Bounty, кроме самой BI.ZONE.

На платформе учитывается рейтинг, накопленный багхантерами на различных международных платформах, также тут представлены удобные инструменты для работы с отчётами как для исследователей, так и для компаний. Как указали в BI.ZONE, разработкой платформы занимались бывшие белые хакеры, которые, основываясь на собственном опыте, старались сделать сервис максимально удобным для работы. BI.ZONE обещает содействовать в решении спорных вопросов между компаниями и багхантерами, например, если исследователю не заплатили за уязвимость или заплатили меньше положенного.

b8ab95a7fe93b735a8271d8687d40c0c.png

BI.ZONE Bug Bounty стала второй отечественной платформой для багхантеров, представленной в этом году после ухода из России популярного зарубежного сервиса Hacker One. В мае Positive Technologies запустила собственный сервис The Standoff 365 Bug Bounty в ходе форума Positive Hack Days. При этом в BI.ZONE заверили, что планы по запуску своего Bug Bounty у компании были уже давно, но по разным причинам их не получалось реализовать до текущего момента. В основном задержки были связаны с проработкой нормативной базы. Поскольку компания изначально планировала конкурировать с HackerOne, необходимо было создавать более выгодные для багхантеров и компаний условия.

Образовательная часть

OFFZONE 2022 отметился довольно плотной программой образовательных лекций на различные тематики. Они проходили в нескольких залах, некоторые параллельно, поэтому прослушать все лекции было физически невозможно. Людей на лекциях было много, как и на самом мероприятии. В некоторых случаях приходилось стоять в дверях, чтобы послушать выступление спикера, поскольку в зале попросту не было места.

f88829a26c8af36f1773c868dd12590d.png

Ключевым спикером мероприятия стал Дмитрий Евдокимов, эксперт по обеспечению безопасности в контейнеризированных средах и основатель компании Luntry. Он рассказывал об эволюции кибербеза, как меняется ландшафт информационных систем и как это сказывается на обеспечении их безопасности. Выступало и множество независимых экспертов, например, Никита Панов — специалист по цифровой криминалистике и лидер сообщества 4n6.ru. В первый день конференции он рассказывал про скрытые в USB-кабелях опасности.

Также спикерами были затронуты темы повышения привилегий на устройствах Apple, APT-атаки, сетевые атаки на протоколы FHRP, истории из пентестерской практики. Эксперты разбирали RFID, рассказывали о моделировании угроз, обсуждали UEFI (unified extensible firmware interface) и разработку модулей с отладкой, механизмы аутентификации и авторизации в облаках Microsoft Office 365 и многое другое. Полную программу и информацию о присутствовавших спикерах можно посмотреть на сайте мероприятия. 

Всего за два дня конференции на пяти треках докладов и трёх мастер-классах выступили 68 экспертов из VK, «Авито», «Тинькофф», «Лаборатории Касперского», Positive Technologies, «Сбера», BI.ZONE и не только.

Игры, конкурсы и другие активности

На OFFZONE в этом году было доступно очень много разных активностей: мероприятия от компаний-партнёров, турнир по этичному хакингу CTFZone, конкурс HACK in 15 min, крафтовая зона для любителей паять и даже возможность бесплатно набить татуировку или покурить кальян. Начнём по порядку.

Практически за все активности посетителям начислялись оффкоины, которые, как уже было сказано, можно было потратить на мерч. В одном зале располагалось сразу несколько компаний, проводящих различные конкурсы. Например, на входе гостей со своим стендом встречала DeteAct. Компания проводила конкурс HackQuest со взломом систем различной степени сложности из категорий web, infra, mobile, smart contracts. Каждые два часа открывался новый таск, приближенный к реальной практике анализа защищённости. Первый, кто решал задание, получал от компании мерч и запас оффкоинов.

11658987eee5a12b347712fced505094.png5d913f5020ed1d00a74d6de0fbe4a442.pngd69a07c15c49d5e97a4d07d6c37d6156.png

На мероприятии был стенд «Лиги Цифровой Экономики», запустившей два CTF по web и мобильной разработке. Специалисты компании по мобильной разработке сделали ещё один стенд в Community.Zone в отдельном зале, выделенном под общение комьюнити-партнёров. Рядом стоял стенд компании Swordfish Security, организовавшей Web CTF, рассчитанный на начинающих безопасников и разработчиков.

0d4338944da40604d5901ac13ccb7132.png7cebfdbd9deb265100790811bd86e0db.png

На стенде Positive Technologies присутствовала своя система, позаимствованная с The Standoff.  Участникам конкурса необходимо было нанести максимальный ущерб городу Standoff Crash Camp в виде взлома критически важных объектов инфраструктуры. Победителю, набравшему больше всего баллов, обещали выплатить 100 тысяч рублей и вручать ценный мерч. Всем остальным участникам начислялись оффкоины. Также Positive Technologies периодически читала лекции на тему кибербеза.

ce24936c03fe69effa74460eeef4ecdc.png

Одним из самых ярких стендов мероприятия стал стенд компаний Angara Security и «Гарда Технологии», на котором проходил киберспортивный турнир по аркадной игре «Кибер Путешествие». Цифровому аватару участника необходимо было прийти к финишу раньше соперника, собирая по пути оффкоины. Задачу усложняли кибератаки, замедляющие аватар, и вредоносное ПО, крадущее урожай оффкоинов. 

9a9aa16183daaf02c86c4984c0fd476e.jpeg20a86775701ff8ea3e92fa418abb8be4.png

На своём стенде «Сбер» подготовил две активности: защитить документ по готовым инструкциям Sber IRM и в рамках работы с сервисом маркирования документов извлечь идентификационную метку, которой отмечают разные экземпляры документа для отслеживания утечек. «РТК Солар» расположился в большой отдельной зоне Solar Lounge.Zone с мягкими креслами, лимонадом и кальяном. Гостям нужно было играть в интерактивную игру Solar Games со своего устройства. Участники отвечали на вопросы на логику и эрудицию, выполняли задания по пентесту и OSINT, а также проходили короткий опрос об «РТК-Солар».

Кстати про игры! На площадку Game.Zone компания Kaspersky привезла PS4, PS5 и Dendy, на которых можно было поиграть в известные файтинги, гонки и симулятор готовки в ресторане Overcooked. За победу в особых турнирах участники получали аддон к бейджу конференции.

Что касается активностей в остальных зонах, то в Payment Village проходило соревнование по взлому онлайн-банка, банкоматов, смарттерминалов и платёжных карт. В рамках CTFZone 2022, проходящей в Community.Zone в формате Jeopardy, командам дали 48 часов на выполнение заданий из категорий web, crypto, pwn, reverse, osint. В Jock Wars нужно было написать бота и загрузить в игру, чтобы сразиться с другими участниками за место в общем рейтинге и оффкоины. 

21ce1b060bc4968ca1d5bad58a6ed59f.png

В Community.Zone находился стенд конкурса Hack in 15 minute с забавными правилами. Участникам отводилось 15 минут на взлом системы. За каждую дополнительную минуту начислялся штраф в виде рюмки текилы, после употребления которой хакер должен был продолжить взлом. Весь процесс транслировался на экран стенда. Также на мероприятии была тату-зона, где тату-мастер бесплатно набивал татуировку любому желающему. Гостям нужно было выбрать тату из набора макетов, но если кто-то решался набить лого OFFZONE, получал право на бесплатное посещение всех последующих конференций OFFZONE. Также посетители могли попробовать себя в роли тату-мастера, тренируясь на на большом куске кожи на столе.

14bf3388ca74bb4cf901fbf6da64f86f.jpeg507891af1f28b1ae94a1ea8bd5b8d9bb.png

Напоследок расскажем немного о крафтовой зоне мероприятия и воркшопах. Любой пришедший на OFFZONE мог посетить Craft.Zone, чтобы спаять девайс для защиты гаджетов от несанкционированных подключений или аддон для бейджа-платы. Несмотря на то, что в зоне не было ни кальянов, ни текилы, все посадочные места в ней были заняты. В воркшопах также царила рабочая атмосфера. Участники проходили серию практических занятий по изучению эксплуатации ошибок ядра в современных дистрибутивах Linux для архитектуры x86–64. В рамках занятий посетители получали образы виртуальных машин с инструментами и файлами, а также пошаговые инструкции для практических заданий. Подробнее можно почитать на сайте конференции.

0bbdd248f12295ad174a5ddcfb573857.png3c76f73e56b89247647da73bc16fbb76.png

В целом конференция прошла очень насыщенно. Как Хабру рассказали в BI.ZONE, компания ставила целью сделать скорее неформальное мероприятие, чем форум для бизнесменов и предпринимателей. Нам кажется, что им это удалось. На OFFZONE 2022 было много интересных конкурсов и лекций, мест для отдыха и простого общения с коллегами по ремеслу. Насыщенная программа позволяла провести эти два дня с максимальной пользой.

© Habrahabr.ru