Хакер #305. Многошаговые SQL-инъекции
25 и 26 августа в центре LOFT HALL состоялась третья конференция по практической кибербезопасности OFFZONE 2022. Она объединила безопасников, разработчиков, исследователей, а также преподавателей и студентов технических вузов.
В этом году OFFZONE посетили 2000 человек, а своим опытом с участниками поделились 68 экспертов. Мероприятие поддержали 48 партнеров, в том числе 19 представителей комьюнити и 14 медиа.
Мероприятие открыл Евгений Волошин, директор блока экспертных сервисов BI.ZONE:
«В третий раз конференция OFFZONE должна была состояться еще в 2020 году, но из-за сложной эпидемиологической обстановки мы переносили ее целых два года. В этом году нам ничто не помешало, мероприятие прошло на одном дыхании и вместило еще больше технических докладов, кейсов и прикладных задач. Мы задали себе более высокую планку, но при этом не растеряли важную для нас атмосферу комьюнити и живого общения».
За два дня конференции на пяти треках докладов и трех мастер-классах выступили 68 экспертов из VK, «Авито», «Тинькофф», «Лаборатория Касперского», PositiveTechnologies, Сбер, BI.ZONE и многие другие.
Также на OFFZONE 2022 представили платформу BI.ZONE Bug Bounty, на которой за два дня конференции зарегистрировалось 235 багхантеров. Сегодня там уже доступна публичная программа BI.ZONE, поучаствовав в которой исследователи могут получить до 300 000 рублей за найденные уязвимости. Вскоре на платформе также появится публичная программа «Авито».
Ключевым спикером мероприятия стал Дмитрий Евдокимов — эксперт по обеспечению безопасности в контейнеризированных средах и основатель компании Luntry. В своем докладе он рассказывал об эволюции кибербезопасности, о том, как меняется ландшафт информационных систем и как это сказывается на обеспечении их безопасности.
Другие эксперты затронули вопросы повышения привилегий на устройствах Apple, APT‑атаки, сетевые атаки на протоколы FHRP, истории из пентестерской практики и многие другие актуальные темы отрасли кибербезопасности.
Одновременно с треками докладов на конференции в этом году работали тематические зоны от специалистов по безопасности финансовых систем и банковской инфраструктуры (Finance.Zone), экспертов по безопасной разработке и анализу защищенности веб-приложений (AppSec.Zone), а также площадка, организованная сообществом хайтек-энтузиастов и исследователей аппаратного обеспечения (DC&HW.Zone).
На OFFZONE 2022 внимание уделили и софт-скилам: главный редактор журнала «Хакер», Андрей Письменный, провел мастер-класс по написанию качественных технических статей. Для наглядности он поделился примерами из материалов издания.
Помимо образовательной части, на OFFZONE 2022 было много интерактива: участники конференции находили уязвимости в умных устройствах, апгрейдили свои бейджи в зоне пайки, сражались на киберспортивных турнирах и даже делали татуировки. В этом году шесть участников сделали тату с лого конференции, получив за это мерч и бессрочную проходку на OFFZONE.
Ключевым состязанием мероприятия стал турнир по этичному хакингу CTFZone. На протяжении 48 часов за место на вершине рейтинга боролись 1207 команд из 54 стран мира. В итоге в тройку призеров вошли представители Израиля, Швейцарии и США.
Отдельно стоит отметить бейджи конференции, которым организаторы уделяют особое внимание, добавляя с каждым годом новые функции. В этот раз они представляли собой полноценные микрокомпьютеры с питанием, светодиодами и платежной системой для внутренней валюты конференции — очков Offcoin. Всего за два дня конференции участники мероприятия заработали 475 000 «оффкоинов», купив на них брендированную одежду и сувенирную продукцию от организаторов и партнеров мероприятия.