ZeroNights’2013 — отчет о конференции

в 14:15, , рубрики: 2013, zeronights, Блог компании «Digital Security», информационная безопасность, метки: ,

image

7-8 ноября в Москве в очередной, третий раз прошла конференция по практической безопасности — ZeroNights.

И, знаете, я бы не хотел описывать всё в привычном Хабру формате — мол смотрите, как было круто, каких крутых перцов мы собрали и разные удачные фоточки! Я думаю, что подобные отчеты нужны в основном тем, кто не был на мероприятии и прочитав его вынес для себя полезную информацию с текущего мероприятия и понял, хочет ли он приехать на ZeroNights в следующем году. Поэтому и я потрачу время с пользой — расскажу тем, кому это действительно нужно, и читатель вынесет для себя полезное, а не прочтет очередной маркетинговый булщит. Но фотки я все равно вставлю (:

1. Intro

Сам я был участником и обычным посетителем на ZeroNights 0x01, а на прошедшем ZN — выступил как спикер и со-организатор. Что такое вообще ZeroNights? В России, да что говорить, в СНГ, можно по пальцам пересчитать конференции, которые с ног до головы вовлечены именно в технические, а не бумажные аспекты безопасности. И ZeroNights — яркий представитель такой конференции. Первый ZN прошел в СПб, длился 1 день. Второй и третий проходили уже в Москве и продолжались 2 дня.

2. ZeroNights 2013

2.1 Получаем билет

Чтобы попасть на ZeroNights нужно или купить билет (для студентов цена ~1500 рублей), или выиграть в нашем ежегодном HackQuest'е инвайт. В этом году формат хакквеста был следующий — 1 неделя, каждый день — одно задание на 24 часа. Кто первый решает — получает инвайт. Был и побег из песочницы Python, и реверс, и веб, и разведка. Архив заданий лежит тут.
Ну а если стать спикером — конечно же вход будет бесплатным. Даже если на FastTrack, где рассказывать можно всего минут 10-15 о каком-нибудь забавном ресерче, найденной баге или новом подходе старых векторов атак. Так что обязательно подумайте об участии в CFP в следующем году.

image
Основной зал

Выдвигаемся

Составив план, что хочется посетить из программы, узнав список спикеров, и если надо: купив билеты и подыскав место, где жить, выдвигаемся на конференцию.

Конференция по факту в себя включает:

  • 2 трэка, т.е. 2 зала. На 250 и на 350 человек;
  • 2 зала под бесплатные воркшопы (тренинги) по следующим темам:
    • Фаззинг приложений;
    • SMT-решатели;
    • Анализа по времени в криптографии;
    • BlackBox-анализ iOS-приложений;
    • Реверсинг приложений, написанных с применением ООП;
    • Эксплуатации багов в приложениях, написанных с использованием HTML5 (урезанный тренинг с Black Hat USA’2013).
  • HardWare Village;
  • Пентест лаборатория PentestIT;
  • Различные другие конкурсы.

Попытавшись расставить приоритеты, куда хочется сходить (довольно редко бывает, что получается им следовать уже по факту) приходим на регистрацию.

2.2 Первый день конференции

Пройдя регистрацию и получив бейдж (а также, по желанию, напиток ClubMate) начинаем осматриваться.

image
Антон Карпов приносит радость BugHunter'ам

Вступительное слово организаторов и спонсоров в общем зале. Яндекс рассказал о нововведениях в своей BugBounty программы (увеличение выплат, личный проект bughunter'ам), затем доклад кейноута Rafal Wojtczuk'а о виртуализации. Далее небольшой перерыв и уже разбитие на 2 трэка. Я посетил не так много докладов, из них в первый день был доклад про округления в банках — баге 100 лет в обед, а до сих пор работает. Но доклад был интересен тем, что автор еще и сделал устройство для распознавания OTP :) И еще, оказалось, что она работает и в некотором российском банке! Полностью посетил тренинг по (не)безопасности HTML5 и для себя узнал много нового.

Параллельно конкурсы (например, от Лаборатории Касперского. Врайтапы раз и два), лаборатория от PentestIT, о которой они детально рассказали в своём блоге и другие доклады, на которые я не попал (исключая «HART (in)security» моего коллеги dark_k3y).

И, конечно же, HarWare Village!

ZeroNights2013 — отчет о конференции
HackRF, BladeRF стали хитом! А некоторые и забрали их себе, по окончанию конкурса с передачей специального пакета

image
Передатчик из конкурса Hardware Village

2.3 Второй день

Выступление ключевого спикера Gregor Kopf про состояние криптографии и почему не стоит писать свои велосипеды, продолжение воркшопов и начал фаст-трэка! Фаст-трэк — секция с докладами по 15 минут, которая пользуется большой популярностью. Так как за такое короткое время можно узнать многое и по-существу!

image

Параллельно участники развлекались как могли. Например — запускали Kali Linux на терминале Qiwi:

Или спуфили сеть и уводили аккаунты (в т.ч. видел на некоторых экранах чужие гугловские аккаунты).
image

Так что посещая конференцию стоит быть аккуратней.

Закончилось всё «баталией» — OpenSource vs Microsoft. Проходило в следующем формате: обе стороны представляются, после каждой из них задаются какие-нибудь каверзные вопросы от организаторов. На ответ — 5 минут. Далее уже перекрестные дискуссии. Эдакое шоу :) Запись можно скачать здесь — 2013.zeronights.ru/includes/docs/zvuk.rar

Для меня ZeroNights стал ещё и отличной возможностью встретиться лично со всеми, с кем долгое время общался только в твиттере/скайпе.

3 ZeroNights 2014

Конечно, мы ждем всех! Тех, кто не был, и кто был. В этом году были отличные доклады, но были организационные проблемы. Поэтому хочу закончить статью цитированием CEO нашей компании — Ильи Медведовского:

Что вы хотите поменять или улучшить, каковы ваши планы на будущее?

Организацию. В России объективно сложно организовывать бюджетную конференцию на 1000 и больше человек. В Москве существует проблема с помещениями и все очень дорого. Шикарные залы и кейтеринг вне нашей концепции и бюджета. Мы позиционируем это мероприятие как бюджетное, мы хотим, чтобы сюда приходила молодежь, студенты, поэтому мы стараемся устанавливать максимально бюджетные цены и у нас очень демократичная организация.

Безусловно, мы будем работать над организационными вопросами. В следующем году у нас будет новый профессиональный организатор плюс отдельный супервизор с нашей стороны. О новом организатора мы сообщим, я надеюсь, в самое ближайшее время и мы обещаем сделать все от нас зависящее для повышения уровня организации в 2014.

Могу с уверенностью, сказать, что следующая ZeroNights 2014 будет не менее интересной по контенту, гораздо лучше организованной, прежде всего, в плане различных мелочей, плюс мы и наши новые партнеры подготовим ряд интересных сюрпризов. По нашим прогнозам ее посетит в 2014 году около 1500 человек. Будем рады видеть всех в качестве посетителей, а если у вас есть интересные исследования мирового уровня – ждем вас как спикеров!

Ссылки:

Автор: BeLove

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js