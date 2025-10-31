Содержание статьи
- — Какая у OFFZONE изначальная концепция? Она изменилась со временем?
- — Сегодня OFFZONE выглядит куда более организованно. Если новое сообщество захочет к вам присоединиться, как это сделать?
- — То есть для сообществ участие полностью бесплатное, а для партнеров действуют другие правила?
- — Как вы формируете программу?
- — Какая сейчас ситуация с заявками на доклады? Как известно, сильного спикера трудно заполучить.
- — Расскажи про внутренний сюжет OFFZONE.
- — Какие новые темы были популярны на OFFZONE? И какие доклады ты бы выделил?
- — Что поменялось при подготовке к OFFZONE 2025?
- — С какими трудностями вы сталкивались при организации OFFZONE?
- — Почему не рассылать бейджи участникам заранее, например за месяц до конференции?
- — OFFZONE известна прикольным и качественным мерчем. Как устроена его разработка? И чем удивили на OFFZONE 2025?
- — Конференция собрала несколько тысяч участников, но вы сознательно ограничиваете рост. Почему?
- — Ваши билеты считаются дорогими. Планируете повышать цены?
— Какая у OFFZONE изначальная концепция? Она изменилась со временем?
— OFFZONE задумывался как конференция от сообщества и для сообщества. Мы хотели создать площадку, где различные группы — от DC до багхантеров — могли бы организовывать свои зоны и общаться, а мы бы предоставляли им инфраструктуру. Наша изначальная идея — создать полностью некоммерческое мероприятие. Но на практике полностью самоуправляемая модель не сработала. Представители сообществ по‑разному относились к ответственности и срокам: нам приходилось доделывать чужие материалы буквально в последние дни.
Очень скоро стало ясно, что организацию нужно брать в свои руки. Мы привлекли комьюнити‑менеджера, чтобы он заранее договаривался с командами, устанавливал четкие таймлайны и следил за качеством подготовки. Не всем это нравится: многие хотели бы побольше «рок‑н-ролла» и свободы. Но у конференции есть аудитория, которой мы обязаны дать качественный контент. Поэтому материалы должны быть готовы уже за месяц до начала события.
Некоторые сообщества не приняли такой формат и отошли в сторону. В результате OFFZONE перестал быть полностью открытой платформой, куда может прийти любая группа и сделать что угодно. Чтобы получилось профессиональное событие, а не базар, приходится вводить ограничения.
— Сегодня OFFZONE выглядит куда более организованно. Если новое сообщество захочет к вам присоединиться, как это сделать?
— Мы будем рады новым участникам. У нас есть отдельная система комьюнити‑партнерств. Это некоммерческая история: мы предоставляем площадку и всю инфраструктуру, а от сообщества требуем только качественный контент и готовность его организовать. Мы размещаем такие зоны наравне с коммерческими партнерами, иногда даже вперемежку. Например, поместили локпикеров рядом со стендами крупных компаний, и это отлично сработало. У локпикеров своя аудитория, к ним идут целенаправленно, отчего создается живое разнообразие.
— То есть для сообществ участие полностью бесплатное, а для партнеров действуют другие правила?
— Верно. Мы изначально хотели, чтобы OFFZONE сохранила независимость от бизнеса и строилась вокруг технического контента. В то время уже существовали крупные корпоративные мероприятия вроде ICC (Международный конгресс по кибербезопасности — прим. ред.) или Cyber Polygon, а мы хотели сделать именно «технарское» событие.
Бизнес приходит к нам за нетворкингом и выгодой: прорекламировать свои решения, найти клиентов или хороших спецов в свою команду. Поэтому сразу объясняем партнерам: обычная реклама здесь не сработает. Если вы хотите получить пользу от участия, предлагайте что‑то интерактивное: квест, мини-CTF, задания, квизы. Не стенд с буклетами, а то, что будет вовлекать посетителей.
— Как вы формируете программу?
— С первого года у нас работает комитет call for papers, в нем обычно 9–11 экспертов — как независимых, так и от компаний. Правило простое: не больше одного представителя от одной организации. Комитет оценивает все доклады по пятибалльной шкале и таким образом отбирает самый сильный контент.
В комитете участвуют известные специалисты: Эльдар Заитов из «Яндекса» (kyprizel, один из создателей CTFtime.org), Сергей Голованов из «Лаборатории Касперского», исследователь Макс Горячих и другие. Среди них есть специалисты по железу, веб‑безопасности, инфраструктуре — мы стараемся перекрыть все направления. В комитете уважаемые люди, которые внимательно просматривают заявки и вносят большой вклад в программу.
— Какая сейчас ситуация с заявками на доклады? Как известно, сильного спикера трудно заполучить.
— Поначалу это действительно было вызовом: мы буквально уговаривали людей выступить. Теперь такой проблемы нет: заявок хватает. Даже наоборот, их слишком много. На OFZONE 2025 подали рекордное количество заявок, было по 15–20 претендентов на место. В результате несколько хороших докладов не прошло лишь потому, что они не поместились в сетку. Это неприятно и для нас, и для авторов: очевидно, что они не будут ждать год, а уйдут на другие конференции.
Бывают и другие ситуации: иногда партнеры, заплатившие за стенд, настаивают, чтобы их руководители обязательно выступили. Но здесь мы принципиальны: попасть в программу можно только через комитет call for papers и только при условии, что доклад действительно интересный. Я сам объясняю партнерам, что заплаченные деньги не гарантируют право на выступление.
Главное, что нам удалось сохранить с самого первого года, — отсутствие «джинсы» и коммерческих выступлений. Наш комитет независим, и никто не сможет протолкнуть доклад без предварительной оценки. Отбор идет исключительно по качеству и содержанию. Также есть базовые правила: никакой политики, религии, экстремизма — ничего, что может нарушить закон или превратить конференцию в площадку для чужих повесток. Мы за свободу и «бурление» именно в технических темах. Программа формируется исключительно из качественного технического контента, благодаря чему OFFZONE по‑прежнему остается конференцией от сообщества и для сообщества.
— Расскажи про внутренний сюжет OFFZONE.
— У OFFZONE есть «сквозная история», которая развивается с 2018 года. Тематику каждой OFFZONE задает маскот конференции CUB_3. Именно от него зависит дизайн новой конференции: шрифты, мерч, визуальная концепция, даже оформление презентаций.
В этом году концепция лаборатории выросла именно из сюжетной линии. По легенде ивента, один из сотрудников лаборатории, изучавшей CUB_3 и три его дочерних объекта, слишком часто входил с ними в контакт. Из‑за этого ученый сошел с ума и решил создать четвертый объект, который будет превосходить остальные в силе. Конечно, все закончилось плохо. А почему — это должны были выяснить участники в зоне CUB_3.
Иногда приходится корректировать сюжет. Например, после 2021--2022 годов мы сознательно отказались от постапокалиптических и милитаризированных образов. На фоне событий в мире эта тематика выглядела слишком мрачной.
К сожалению, не все участники уделяют внимание истории OFFZONE. В нее вникает, может, 20% аудитории. У нас даже был нарисованный энтузиастами комикс, но он не получил продолжения. При этом для команды это важная часть конференции и внутренняя вселенная, которую мы все вместе согласовываем и развиваем. Например, в этом году по внутреннему лору разработали компьютерную игру OFFZONE Lab Incident. Можете поиграть на сайте конференции.
— Какие новые темы были популярны на OFFZONE? И какие доклады ты бы выделил?
— Главная тема, конечно, — искусственный интеллект. У нас уже второй год работает отдельная AI.Zone, в этом году зал был забит с утра до вечера. Людям безумно интересно все, что связано с ИИ, и мы понимаем, что в будущем придется выделять под зону больше пространства.
Отдельно отмечу тему импортозамещения, хотя само слово мне не нравится. На многих конференциях эта тема сводится к скучным круглым столам, но у нас получилось иначе. Например, у Михаила Сухова был отличный доклад про FreeIPA — это аналог Active Directory для Linux. На выступлении показали реальные уязвимости и техники, с которыми уже сталкиваются пентестеры на проектах. Это как раз импортозамещение «по‑хакерски»: конкретные проблемы, новые сценарии атак и свежая CVE-2025-4404, которая попала в доклад буквально с полей.
Еще один сильный доклад был у Вячеслава Цепенникова. Он показал, как можно использовать публичные доски задач и канбан‑сервисы для организации реверс‑шелла и проброса внутрь инфраструктуры. Тема практичная: такие вещи тяжело детектируются, что заставляет защитников задуматься, как по‑новому смотреть на сетевой трафик.
Интересный доклад подготовили ребят из «Бастиона». Они напомнили, что многие компании забывают про базовую гигиену, пока гоняются за сложными APT-атаками и выстраивают многоуровневые защиты. А ведь большинство атак до сих пор проводят скрипт‑кидди с публичными инструментами вроде Metasploit или Mimikatz. Оказалось, что даже привычные антивирусы до сих пор реально останавливают массу таких атак. Это звучит неожиданно, особенно для тех, кто скептически относится к этому классу продуктов.
В целом мне нравится, что на OFFZONE нет бесконечного «пережевывания» старых кейсов вроде WannaCry или NotPetya. Вместо этого мы слышим о том, что действительно волнует индустрию сегодня: ИИ, новые технологии в инфраструктуре, свежие техники пентеста и реальные проблемы базовой защиты.
— Что поменялось при подготовке к OFFZONE 2025?
— В первую очередь обновили контент и его подачу в наших медиаканалах. Телеграм‑канал OFFZONE всегда был более неформальным, чем у BI.ZONE. В этом году мы постили больше креативного контента, а еще выпускали забавные reels с обзорами мерча. Это выстрелило: получили много положительных отзывов, аудитория оживилась.
Еще мы изменили формат взаимодействия со СМИ: вместо классической пресс‑конференции сделали для журналистов экскурсию по площадке с элементами квеста, чтобы погрузить в историю конференции. Это оказалось гораздо интереснее, особенно для тех, кто бывает у нас регулярно.
— С какими трудностями вы сталкивались при организации OFFZONE?
— В прошлом году у нас были сложности с площадкой в ЗИЛе. Это памятник культуры в стиле конструктивизма: там много пространства, запутанных коридоров и лестниц, из‑за чего было сложно наладить логистику и навигацию. Опыт был интересный, но повторять не хочется. А в этом году подвела погода. Накануне открытия прошел сильнейший ливень, который буквально смыл часть конструкций. Крыши валялись на земле, пришлось срочно все восстанавливать. Понервничали, но, к счастью, в день старта погода наладилась.
И были трудности из‑за солд‑аута. Мы заранее предупреждали, что билеты закончатся, но все равно в последний момент приходили люди — и частные участники, и компании — готовые купить билет «за любые деньги». А мы принципиально не допускаем спекуляций: нет билетов — значит, их действительно нет. Это дисциплинирует аудиторию, приучает планировать участие заранее.
Но зато мы решили проблему с длинными очередями на входе. Организовали раннюю регистрацию: бейджи и пакеты участников можно было получить на площадке за два дня до конференции. Еще активно мотивировали участников приходить заранее, особенно тех, кто хотел попасть на Keynote — в этом году его открывал Евгений Касперский. В результате более 40% посетителей зарегистрировались заранее.
Были и запасные планы, например конкурсы и раздачи прямо в очередях. Но они не понадобились, потому что удалось избежать больших скоплений людей.
— Почему не рассылать бейджи участникам заранее, например за месяц до конференции?
— Во‑первых, бейджи готовятся до последнего: мы стараемся поместить туда все свежие задания и интерактивные элементы. Если печатать слишком рано, не сможем реализовать все задумки.
Во‑вторых, бейджи связаны с экономикой OFFZONE. В них заложены задания, за которые участники получают офкоины — внутреннюю валюту конференции. Если выдать бейдж за неделю или месяц, участник решит все задачи заранее, сдаст их результаты сразу по приезде и обрушит баланс системы. Другими словами, может «налутать» много валюты, скупить мерч и оставить остальных ни с чем.
Экономика OFFZONE — это целая экосистема, в которой участвуют и партнеры, и комьюнити, и сами организаторы. Она требует постоянного управления, чтобы задания не были слишком легкими или чрезмерно сложными. У нас даже разработана антифрод‑система. Если видим, что какой‑то бейдж массово генерирует офкоины, то блокируем его и разбираемся, в чем дело. Иногда оказывается, что у партнера в таске «захардкожен» флаг, он быстро расходится по конференции, и вся экономика ломается. Хотя посетители обычно не замечают проблем, таких ситуаций бывало много. Для команды это источник постоянного стресса и, честно говоря, новых седых волос.
— OFFZONE известна прикольным и качественным мерчем. Как устроена его разработка? И чем удивили на OFFZONE 2025?
— У нас есть команда по мерчу — полноценный креативный отдел. Задача команды — делать не просто сувениры, а вещи, которыми будут регулярно пользоваться. Если выпускаем худи, то качественную; если гаджет, то полностью рабочий. В прошлом году мы сделали алкотестер, который действительно показывал уровень спирта, а в этом году — электронную рулетку.
Самым обсуждаемым предметом сезона стала кнопка для «майнинга» офкоинов — громкая клавиша от клавиатуры с характерным щелчком. Она бесила и веселила одновременно, именно этим и зашла. Еще мы попробовали выпустить «девчачьи» позиции, например розовый лонгслив. Его разобрали очень быстро, так что мы точно повторим идею. Другой эксперимент — джибитсы для кроксов. Многие сомневались, но они тоже нашли свою аудиторию, особенно среди участников с семьями.
Для нас мерч — это часть атмосферы. Он должен вызывать эмоции и приносить пользу. Поэтому я вполне серьезно считаю нашу группу мерча одной из лучших в России, если не в мире.
— Конференция собрала несколько тысяч участников, но вы сознательно ограничиваете рост. Почему?
— Мы решили не гнаться за большими числами. В прошлом году конференцию посетило около 4000 человек, а в этом году мы специально ориентировались на 2500 участников из‑за небольшой площадки. Поэтому мы выпустили куда меньше билетов, чем могли бы продать. Нам важно сохранить камерность, атмосферу «своей тусовки», на которой можно встретить знакомых, пообщаться лично, а не раствориться в фестивальной толпе.
— Ваши билеты считаются дорогими. Планируете повышать цены?
— Мы стараемся удерживать цену на приемлемом уровне. Конечно, билеты не дешевые, но они полностью раскупаются. Иногда приходится закрывать продажи для корпоративного сектора за несколько дней до начала события.
Все зависит от экономики конференции, она считается каждый год заново. Лично мне хотелось бы зафиксировать стоимость, потому что некоторые ценники психологически тяжело воспринимаются. К тому же платный билет меняет отношение аудитории. Например, студенты, для которых есть специальная льгота, более осознанно относятся к программе, если заплатили за вход.
OFFZONE — масштабная и дорогостоящая затея. Мы как организаторы ни разу не вышли в ноль по вложениям на ее проведение и даже не думаем, что так случится. Понимали с самого старта, что делаем некоммерческий проект. Поэтому никогда не ставили целью получить прибыль.
— Как ты считаешь, у российского хакерского сообщества есть свой уникальный стиль, в отличие от DEFCON или CCC?
— Да, безусловно. В США и Европе комьюнити начали складываться еще в 80–90-е годы. DEFCON или CCC несут за собой огромное легаси, которое во многом определяет их формат и даже ограничивает развитие. В России же все стартовало позднее, но на другой технологической базе: у нас уже был интернет, нормальные средства коммуникации, площадки для обмена опытом. Благодаря этому комьюнити сразу получилось более динамичным, разнообразным и живым.
Мы понимаем, что OFFZONE несет на себе роль главной «хакерской» конференции в стране. У нас нет жесткого разделения на «старую» и «новую» гвардию. Пентестеры спокойно общаются с ресерчерами, «железячники» с веберами. На DEFCON видно, как разные группы живут обособленно, а у нас этого барьера нет.
— Какие цели ставит OFFZONE на будущее?
— Внутри команды есть установка: каждый новый OFFZONE делаем лучше предыдущего. Звучит банально, но именно так мы и работаем. Конференцию организовывают люди, у которых есть основная работа — реагирование на инциденты, пентесты и другие проекты. Они собираются и обсуждают OFFZONE по вечерам или ночью, потому что горят идеей. Это заряжает новых участников команды: они видят, что создают проект федерального и даже международного уровня, а таких в России осталось очень мало. Для меня лично эталоном всегда были старый PHDays и ZeroNights. Первый со временем превратился в бизнес‑фестиваль, а второй, к сожалению, давно не проводился.
Если говорить о внешней миссии, то здесь для нас важно сохранить уже наработанное: качественный контент, приятную атмосферу, ограниченное количество участников и хорошие площадки. При этом мы должны быть гибкими: если растет интерес к какой‑то теме, мы расширяем для нее трек; если интерес падает — сокращаем. Так, несколько лет назад отдельный трек по Application Security собирал полный зал, а сейчас эту тему можно уложить в один день. Зато появляются новые направления, а мы готовы под них подстраиваться.
Иногда это касается и совсем неожиданных вещей. Например, сначала на OFFZONE работали два тату‑мастера, затем три, но очередь к ним с каждым годом растет. Может, к OFFZONE 2026 соберем школу тату. Шучу, конечно. Но такой у нас подход: внимательно слушать сообщество и развивать те направления, которые ему действительно интересны.