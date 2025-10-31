Ког­да закон­чилась кон­ферен­ция OFFZONE 2025 , я встре­тил­ся с Евге­нием Волоши­ным — дирек­тором по стра­тегии BI.ZONE и глав­ным иде­оло­гом мероп­риятия. Он рас­ска­зал, как с годами менялась кон­цепция, с какими слож­ностя­ми стал­кивались орга­низа­торы и какие темы боль­ше все­го инте­ресу­ют учас­тни­ков OFFZONE.

— Какая у OFFZONE изначальная концепция? Она изменилась со временем?

— OFFZONE задумы­вал­ся как кон­ферен­ция от сооб­щес­тва и для сооб­щес­тва. Мы хотели соз­дать пло­щад­ку, где раз­личные груп­пы — от DC до баг­ханте­ров — мог­ли бы орга­низо­вывать свои зоны и общать­ся, а мы бы пре­дос­тавля­ли им инфраструк­туру. Наша изна­чаль­ная идея — соз­дать пол­ностью неком­мерчес­кое мероп­риятие. Но на прак­тике пол­ностью само­управля­емая модель не сра­бота­ла. Пред­ста­вите­ли сооб­ществ по‑раз­ному отно­сились к ответс­твен­ности и сро­кам: нам при­ходи­лось доделы­вать чужие матери­алы бук­валь­но в пос­ледние дни.

Очень ско­ро ста­ло ясно, что орга­низа­цию нуж­но брать в свои руки. Мы прив­лекли комь­юни­ти‑менед­жера, что­бы он заранее догова­ривал­ся с коман­дами, уста­нав­ливал чет­кие тай­млай­ны и сле­дил за качес­твом под­готов­ки. Не всем это нра­вит­ся: мно­гие хотели бы поболь­ше «рок‑н-рол­ла» и сво­боды. Но у кон­ферен­ции есть ауди­тория, которой мы обя­заны дать качес­твен­ный кон­тент. Поэто­му матери­алы дол­жны быть готовы уже за месяц до начала события.

Не­кото­рые сооб­щес­тва не при­няли такой фор­мат и отош­ли в сто­рону. В резуль­тате OFFZONE перес­тал быть пол­ностью откры­той плат­формой, куда может прий­ти любая груп­па и сде­лать что угод­но. Что­бы получи­лось про­фес­сиональ­ное событие, а не базар, при­ходит­ся вво­дить огра­ниче­ния.

— Сегодня OFFZONE выглядит куда более организованно. Если новое сообщество захочет к вам присоединиться, как это сделать?

— Мы будем рады новым учас­тни­кам. У нас есть отдель­ная сис­тема комь­юни­ти‑пар­тнерств. Это неком­мерчес­кая исто­рия: мы пре­дос­тавля­ем пло­щад­ку и всю инфраструк­туру, а от сооб­щес­тва тре­буем толь­ко качес­твен­ный кон­тент и готов­ность его орга­низо­вать. Мы раз­меща­ем такие зоны нарав­не с ком­мерчес­кими пар­тне­рами, иног­да даже впе­ремеж­ку. Нап­ример, помес­тили лок­пикеров рядом со стен­дами круп­ных ком­паний, и это отлично сра­бота­ло. У лок­пикеров своя ауди­тория, к ним идут целенап­равлен­но, отче­го соз­дает­ся живое раз­нооб­разие.

— То есть для сообществ участие полностью бесплатное, а для партнеров действуют другие правила?

— Вер­но. Мы изна­чаль­но хотели, что­бы OFFZONE сох­ранила незави­симость от биз­неса и стро­илась вок­руг тех­ничес­кого кон­тента. В то вре­мя уже сущес­тво­вали круп­ные кор­поратив­ные мероп­риятия вро­де ICC (Меж­дународ­ный кон­гресс по кибер­безопас­ности — прим. ред.) или Cyber Polygon, а мы хотели сде­лать имен­но «тех­нар­ское» событие.

Биз­нес при­ходит к нам за нет­воркин­гом и выгодой: про­рек­ламиро­вать свои решения, най­ти кли­ентов или хороших спе­цов в свою коман­ду. Поэто­му сра­зу объ­ясня­ем пар­тне­рам: обыч­ная рек­лама здесь не сра­бота­ет. Если вы хотите получить поль­зу от учас­тия, пред­лагай­те что‑то инте­рак­тивное: квест, мини-CTF, задания, кви­зы. Не стенд с бук­летами, а то, что будет вов­лекать посети­телей.

— Как вы формируете программу?

— С пер­вого года у нас работа­ет комитет call for papers, в нем обыч­но 9–11 экспер­тов — как незави­симых, так и от ком­паний. Пра­вило прос­тое: не боль­ше одно­го пред­ста­вите­ля от одной орга­низа­ции. Комитет оце­нива­ет все док­лады по пятибалль­ной шка­ле и таким обра­зом отби­рает самый силь­ный кон­тент.

В комите­те учас­тву­ют извес­тные спе­циалис­ты: Эль­дар Заитов из «Яндекса» (kyprizel, один из соз­дателей CTFtime.org), Сер­гей Голова­нов из «Лабора­тории Кас­пер­ско­го», иссле­дова­тель Макс Горячих и дру­гие. Сре­ди них есть спе­циалис­ты по железу, веб‑безопас­ности, инфраструк­туре — мы ста­раем­ся перек­рыть все нап­равле­ния. В комите­те ува­жаемые люди, которые вни­матель­но прос­матри­вают заяв­ки и вно­сят боль­шой вклад в прог­рамму.

— Какая сейчас ситуация с заявками на доклады? Как известно, сильного спикера трудно заполучить.

— Понача­лу это дей­стви­тель­но было вызовом: мы бук­валь­но уго­вари­вали людей выс­тупить. Теперь такой проб­лемы нет: заявок хва­тает. Даже наобо­рот, их слиш­ком мно­го. На OFZONE 2025 подали рекор­дное количес­тво заявок, было по 15–20 пре­тен­дентов на мес­то. В резуль­тате нес­коль­ко хороших док­ладов не прош­ло лишь потому, что они не помес­тились в сет­ку. Это неп­рият­но и для нас, и для авто­ров: оче­вид­но, что они не будут ждать год, а уйдут на дру­гие кон­ферен­ции.

Бы­вают и дру­гие ситу­ации: иног­да пар­тне­ры, зап­латив­шие за стенд, нас­таивают, что­бы их руково­дите­ли обя­затель­но выс­тупили. Но здесь мы прин­ципи­аль­ны: попасть в прог­рамму мож­но толь­ко через комитет call for papers и толь­ко при усло­вии, что док­лад дей­стви­тель­но инте­рес­ный. Я сам объ­ясняю пар­тне­рам, что зап­лачен­ные день­ги не гаран­тиру­ют пра­во на выс­тупле­ние.

Глав­ное, что нам уда­лось сох­ранить с самого пер­вого года, — отсутс­твие «джин­сы» и ком­мерчес­ких выс­тупле­ний. Наш комитет незави­сим, и ник­то не смо­жет про­тол­кнуть док­лад без пред­варитель­ной оцен­ки. Отбор идет исклю­читель­но по качес­тву и содер­жанию. Так­же есть базовые пра­вила: никакой полити­ки, религии, экс­тре­миз­ма — ничего, что может нарушить закон или прев­ратить кон­ферен­цию в пло­щад­ку для чужих повес­ток. Мы за сво­боду и «бур­ление» имен­но в тех­ничес­ких темах. Прог­рамма фор­миру­ется исклю­читель­но из качес­твен­ного тех­ничес­кого кон­тента, бла­года­ря чему OFFZONE по‑преж­нему оста­ется кон­ферен­цией от сооб­щес­тва и для сооб­щес­тва.

— Расскажи про внутренний сюжет OFFZONE.

— У OFFZONE есть «сквоз­ная исто­рия», которая раз­вива­ется с 2018 года. Темати­ку каж­дой OFFZONE зада­ет мас­кот кон­ферен­ции CUB_3. Имен­но от него зависит дизайн новой кон­ферен­ции: шриф­ты, мерч, визу­аль­ная кон­цепция, даже офор­мле­ние пре­зен­таций.

В этом году кон­цепция лабора­тории вырос­ла имен­но из сюжет­ной линии. По леген­де ивен­та, один из сот­рудни­ков лабора­тории, изу­чав­шей CUB_3 и три его дочер­них объ­екта, слиш­ком час­то вхо­дил с ними в кон­такт. Из‑за это­го уче­ный сошел с ума и решил соз­дать чет­вертый объ­ект, который будет пре­вос­ходить осталь­ные в силе. Конеч­но, все закон­чилось пло­хо. А почему — это дол­жны были выяс­нить учас­тни­ки в зоне CUB_3.

Иног­да при­ходит­ся кор­ректи­ровать сюжет. Нап­ример, пос­ле 2021--2022 годов мы соз­натель­но отка­зались от пос­тапока­лип­тичес­ких и милита­ризи­рован­ных обра­зов. На фоне событий в мире эта темати­ка выг­лядела слиш­ком мрач­ной.

К сожале­нию, не все учас­тни­ки уде­ляют вни­мание исто­рии OFFZONE. В нее вни­кает, может, 20% ауди­тории. У нас даже был нарисо­ван­ный энту­зиас­тами комикс, но он не получил про­дол­жения. При этом для коман­ды это важ­ная часть кон­ферен­ции и внут­ренняя все­лен­ная, которую мы все вмес­те сог­ласовы­ваем и раз­вива­ем. Нап­ример, в этом году по внут­ренне­му лору раз­работа­ли компь­ютер­ную игру OFFZONE Lab Incident. Можете поиг­рать на сай­те кон­ферен­ции.

— Какие новые темы были популярны на OFFZONE? И какие доклады ты бы выделил?

— Глав­ная тема, конеч­но, — искусс­твен­ный интеллект. У нас уже вто­рой год работа­ет отдель­ная AI.Zone, в этом году зал был забит с утра до вечера. Людям безум­но инте­рес­но все, что свя­зано с ИИ, и мы понима­ем, что в будущем при­дет­ся выделять под зону боль­ше прос­транс­тва.

От­дель­но отме­чу тему импорто­заме­щения, хотя само сло­во мне не нра­вит­ся. На мно­гих кон­ферен­циях эта тема сво­дит­ся к скуч­ным круг­лым сто­лам, но у нас получи­лось ина­че. Нап­ример, у Миха­ила Сухова был отличный док­лад про FreeIPA — это ана­лог Active Directory для Linux. На выс­тупле­нии показа­ли реаль­ные уяз­вимос­ти и тех­ники, с которы­ми уже стал­кива­ются пен­тесте­ры на про­ектах. Это как раз импорто­заме­щение «по‑хакер­ски»: кон­крет­ные проб­лемы, новые сце­нарии атак и све­жая CVE-2025-4404, которая попала в док­лад бук­валь­но с полей.

Еще один силь­ный док­лад был у Вячес­лава Цепен­никова. Он показал, как мож­но исполь­зовать пуб­личные дос­ки задач и кан­бан‑сер­висы для орга­низа­ции реверс‑шел­ла и проб­роса внутрь инфраструк­туры. Тема прак­тичная: такие вещи тяжело детек­тиру­ются, что зас­тавля­ет защит­ников задумать­ся, как по‑новому смот­реть на сетевой тра­фик.

Ин­терес­ный док­лад под­готови­ли ребят из «Бас­тиона». Они напом­нили, что мно­гие ком­пании забыва­ют про базовую гиги­ену, пока гоня­ются за слож­ными APT-ата­ками и выс­тра­ивают мно­гоуров­невые защиты. А ведь боль­шинс­тво атак до сих пор про­водят скрипт‑кид­ди с пуб­личны­ми инс­тру­мен­тами вро­де Metasploit или Mimikatz. Ока­залось, что даже при­выч­ные анти­виру­сы до сих пор реаль­но оста­нав­лива­ют мас­су таких атак. Это зву­чит неожи­дан­но, осо­бен­но для тех, кто скеп­тичес­ки отно­сит­ся к это­му клас­су про­дук­тов.

В целом мне нра­вит­ся, что на OFFZONE нет бес­конеч­ного «переже­выва­ния» ста­рых кей­сов вро­де WannaCry или NotPetya. Вмес­то это­го мы слы­шим о том, что дей­стви­тель­но вол­нует индус­трию сегод­ня: ИИ, новые тех­нологии в инфраструк­туре, све­жие тех­ники пен­теста и реаль­ные проб­лемы базовой защиты.

— Что поменялось при подготовке к OFFZONE 2025?

— В пер­вую оче­редь обно­вили кон­тент и его подачу в наших меди­ака­налах. Телег­рам‑канал OFFZONE всег­да был более нефор­маль­ным, чем у BI.ZONE. В этом году мы пос­тили боль­ше кре­атив­ного кон­тента, а еще выпус­кали забав­ные reels с обзо­рами мер­ча. Это выс­тре­лило: получи­ли мно­го положи­тель­ных отзы­вов, ауди­тория ожи­вилась.

Еще мы изме­нили фор­мат вза­имо­дей­ствия со СМИ: вмес­то клас­сичес­кой пресс‑кон­ферен­ции сде­лали для жур­налис­тов экскур­сию по пло­щад­ке с эле­мен­тами квес­та, что­бы пог­рузить в исто­рию кон­ферен­ции. Это ока­залось гораз­до инте­рес­нее, осо­бен­но для тех, кто быва­ет у нас регуляр­но.

— С какими трудностями вы сталкивались при организации OFFZONE?

— В прош­лом году у нас были слож­ности с пло­щад­кой в ЗИЛе. Это памят­ник куль­туры в сти­ле конс­трук­тивиз­ма: там мно­го прос­транс­тва, запутан­ных коридо­ров и лес­тниц, из‑за чего было слож­но наладить логис­тику и навига­цию. Опыт был инте­рес­ный, но пов­торять не хочет­ся. А в этом году под­вела погода. Накану­не откры­тия про­шел силь­нейший ливень, который бук­валь­но смыл часть конс­трук­ций. Кры­ши валялись на зем­ле, приш­лось сроч­но все вос­ста­нав­ливать. Понер­вни­чали, но, к счастью, в день стар­та погода налади­лась.

И были труд­ности из‑за солд‑аута. Мы заранее пре­дуп­режда­ли, что билеты закон­чатся, но все рав­но в пос­ледний момент при­ходи­ли люди — и час­тные учас­тни­ки, и ком­пании — готовые купить билет «за любые день­ги». А мы прин­ципи­аль­но не допус­каем спе­куля­ций: нет билетов — зна­чит, их дей­стви­тель­но нет. Это дис­ципли­ниру­ет ауди­торию, при­учает пла­ниро­вать учас­тие заранее.

Но зато мы решили проб­лему с длин­ными оче­редя­ми на вхо­де. Орга­низо­вали ран­нюю регис­тра­цию: бей­джи и пакеты учас­тни­ков мож­но было получить на пло­щад­ке за два дня до кон­ферен­ции. Еще активно мотиви­рова­ли учас­тни­ков при­ходить заранее, осо­бен­но тех, кто хотел попасть на Keynote — в этом году его откры­вал Евге­ний Кас­пер­ский. В резуль­тате более 40% посети­телей зарегис­три­рова­лись заранее.

Бы­ли и запас­ные пла­ны, нап­ример кон­курсы и раз­дачи пря­мо в оче­редях. Но они не понадо­бились, потому что уда­лось избе­жать боль­ших скоп­лений людей.

— Почему не рассылать бейджи участникам заранее, например за месяц до конференции?

— Во‑пер­вых, бей­джи готовят­ся до пос­ледне­го: мы ста­раем­ся помес­тить туда все све­жие задания и инте­рак­тивные эле­мен­ты. Если печатать слиш­ком рано, не смо­жем реали­зовать все задум­ки.

Во‑вто­рых, бей­джи свя­заны с эко­номи­кой OFFZONE. В них заложе­ны задания, за которые учас­тни­ки получа­ют офко­ины — внут­реннюю валюту кон­ферен­ции. Если выдать бей­дж за неделю или месяц, учас­тник решит все задачи заранее, сдаст их резуль­таты сра­зу по при­езде и обру­шит баланс сис­темы. Дру­гими сло­вами, может «налутать» мно­го валюты, ску­пить мерч и оста­вить осталь­ных ни с чем.

Эко­номи­ка OFFZONE — это целая эко­сис­тема, в которой учас­тву­ют и пар­тне­ры, и комь­юни­ти, и сами орга­низа­торы. Она тре­бует пос­тоян­ного управле­ния, что­бы задания не были слиш­ком лег­кими или чрез­мерно слож­ными. У нас даже раз­работа­на антифрод‑сис­тема. Если видим, что какой‑то бей­дж мас­сово генери­рует офко­ины, то бло­киру­ем его и раз­бира­емся, в чем дело. Иног­да ока­зыва­ется, что у пар­тне­ра в тас­ке «захар­дко­жен» флаг, он быс­тро рас­ходит­ся по кон­ферен­ции, и вся эко­номи­ка лома­ется. Хотя посети­тели обыч­но не замеча­ют проб­лем, таких ситу­аций бывало мно­го. Для коман­ды это источник пос­тоян­ного стрес­са и, чес­тно говоря, новых седых волос.

— OFFZONE известна прикольным и качественным мерчем. Как устроена его разработка? И чем удивили на OFFZONE 2025?

— У нас есть коман­да по мер­чу — пол­ноцен­ный кре­атив­ный отдел. Задача коман­ды — делать не прос­то сувени­ры, а вещи, которы­ми будут регуляр­но поль­зовать­ся. Если выпус­каем худи, то качес­твен­ную; если гад­жет, то пол­ностью рабочий. В прош­лом году мы сде­лали алко­тес­тер, который дей­стви­тель­но показы­вал уро­вень спир­та, а в этом году — элек­трон­ную рулет­ку.

Са­мым обсужда­емым пред­метом сезона ста­ла кноп­ка для «май­нин­га» офко­инов — гром­кая кла­виша от кла­виату­ры с харак­терным щел­чком. Она бесила и весели­ла одновре­мен­но, имен­но этим и заш­ла. Еще мы поп­робова­ли выпус­тить «дев­чачьи» позиции, нап­ример розовый лонг­слив. Его разоб­рали очень быс­тро, так что мы точ­но пов­торим идею. Дру­гой экспе­римент — джи­бит­сы для крок­сов. Мно­гие сом­невались, но они тоже наш­ли свою ауди­торию, осо­бен­но сре­ди учас­тни­ков с семь­ями.

Для нас мерч — это часть атмосфе­ры. Он дол­жен вызывать эмо­ции и при­носить поль­зу. Поэто­му я впол­не серь­езно счи­таю нашу груп­пу мер­ча одной из луч­ших в Рос­сии, если не в мире.

— Конференция собрала несколько тысяч участников, но вы сознательно ограничиваете рост. Почему?

— Мы решили не гнать­ся за боль­шими чис­лами. В прош­лом году кон­ферен­цию посети­ло око­ло 4000 человек, а в этом году мы спе­циаль­но ори­енти­рова­лись на 2500 учас­тни­ков из‑за неболь­шой пло­щад­ки. Поэто­му мы выпус­тили куда мень­ше билетов, чем мог­ли бы про­дать. Нам важ­но сох­ранить камер­ность, атмосфе­ру «сво­ей тусов­ки», на которой мож­но встре­тить зна­комых, пооб­щать­ся лич­но, а не рас­тво­рить­ся в фес­тиваль­ной тол­пе.

— Ваши билеты считаются дорогими. Планируете повышать цены?

— Мы ста­раем­ся удер­живать цену на при­емле­мом уров­не. Конеч­но, билеты не дешевые, но они пол­ностью рас­купа­ются. Иног­да при­ходит­ся зак­рывать про­дажи для кор­поратив­ного сек­тора за нес­коль­ко дней до начала события.

Все зависит от эко­номи­ки кон­ферен­ции, она счи­тает­ся каж­дый год заново. Лич­но мне хотелось бы зафик­сировать сто­имость, потому что некото­рые цен­ники пси­холо­гичес­ки тяжело вос­при­нима­ются. К тому же плат­ный билет меня­ет отно­шение ауди­тории. Нап­ример, сту­ден­ты, для которых есть спе­циаль­ная льго­та, более осоз­нанно отно­сят­ся к прог­рамме, если зап­латили за вход.

OFFZONE — мас­штаб­ная и дорогос­тоящая затея. Мы как орга­низа­торы ни разу не выш­ли в ноль по вло­жени­ям на ее про­веде­ние и даже не дума­ем, что так слу­чит­ся. Понима­ли с самого стар­та, что дела­ем неком­мерчес­кий про­ект. Поэто­му никог­да не ста­вили целью получить при­быль.

— Как ты считаешь, у российского хакерского сообщества есть свой уникальный стиль, в отличие от DEFCON или CCC?

— Да, безус­ловно. В США и Евро­пе комь­юни­ти начали скла­дывать­ся еще в 80–90-е годы. DEFCON или CCC несут за собой огромное легаси, которое во мно­гом опре­деля­ет их фор­мат и даже огра­ничи­вает раз­витие. В Рос­сии же все стар­товало поз­днее, но на дру­гой тех­нологи­чес­кой базе: у нас уже был интернет, нор­маль­ные средс­тва ком­муника­ции, пло­щад­ки для обме­на опы­том. Бла­года­ря это­му комь­юни­ти сра­зу получи­лось более динамич­ным, раз­нооб­разным и живым.

Мы понима­ем, что OFFZONE несет на себе роль глав­ной «хакер­ской» кон­ферен­ции в стра­не. У нас нет жес­тко­го раз­деления на «ста­рую» и «новую» гвар­дию. Пен­тесте­ры спо­кой­но обща­ются с ресер­черами, «железяч­ники» с вебера­ми. На DEFCON вид­но, как раз­ные груп­пы живут обо­соб­ленно, а у нас это­го барь­ера нет.

— Какие цели ставит OFFZONE на будущее?

— Внут­ри коман­ды есть уста­нов­ка: каж­дый новый OFFZONE дела­ем луч­ше пре­дыду­щего. Зву­чит баналь­но, но имен­но так мы и работа­ем. Кон­ферен­цию орга­низо­выва­ют люди, у которых есть основная работа — реаги­рова­ние на инци­ден­ты, пен­тесты и дру­гие про­екты. Они собира­ются и обсужда­ют OFFZONE по вечерам или ночью, потому что горят иде­ей. Это заряжа­ет новых учас­тни­ков коман­ды: они видят, что соз­дают про­ект федераль­ного и даже меж­дународ­ного уров­ня, а таких в Рос­сии оста­лось очень мало. Для меня лич­но эта­лоном всег­да были ста­рый PHDays и ZeroNights. Пер­вый со вре­менем прев­ратил­ся в биз­нес‑фес­тиваль, а вто­рой, к сожале­нию, дав­но не про­водил­ся.

Ес­ли говорить о внеш­ней мис­сии, то здесь для нас важ­но сох­ранить уже нарабо­тан­ное: качес­твен­ный кон­тент, при­ятную атмосфе­ру, огра­ничен­ное количес­тво учас­тни­ков и хорошие пло­щад­ки. При этом мы дол­жны быть гиб­кими: если рас­тет инте­рес к какой‑то теме, мы рас­ширя­ем для нее трек; если инте­рес пада­ет — сок­раща­ем. Так, нес­коль­ко лет назад отдель­ный трек по Application Security собирал пол­ный зал, а сей­час эту тему мож­но уло­жить в один день. Зато появ­ляют­ся новые нап­равле­ния, а мы готовы под них подс­тра­ивать­ся.

Иног­да это каса­ется и сов­сем неожи­дан­ных вещей. Нап­ример, сна­чала на OFFZONE работа­ли два тату‑мас­тера, затем три, но оче­редь к ним с каж­дым годом рас­тет. Может, к OFFZONE 2026 соберем шко­лу тату. Шучу, конеч­но. Но такой у нас под­ход: вни­матель­но слу­шать сооб­щес­тво и раз­вивать те нап­равле­ния, которые ему дей­стви­тель­но инте­рес­ны.