Ключевая новость (барабанная дробь!)
Keynote-спикер конференции OFFZONE - Дмитрий Скляров (Positive Technologies).
Исследователь, виртуозный storyteller и человек, о котором слышал каждый безопасник.
Главный тезис его доклада – "20 лет в ИБ - взгляд со стороны исследователя".
Послушать легендарного исследователя и задать вопрос одному из самых уважаемых людей в отрасли можно будет сразу после открытия в первый день конференции, 15 ноября. Не пропустите!
#offzone #offzone2018 #keynote
Keynote-спикер конференции OFFZONE - Дмитрий Скляров (Positive Technologies).
Исследователь, виртуозный storyteller и человек, о котором слышал каждый безопасник.
Главный тезис его доклада – "20 лет в ИБ - взгляд со стороны исследователя".
Послушать легендарного исследователя и задать вопрос одному из самых уважаемых людей в отрасли можно будет сразу после открытия в первый день конференции, 15 ноября. Не пропустите!
#offzone #offzone2018 #keynote
У нас было 2 главных трека, 42 доклада, 3 мощнейшие тематические зоны, интерактивный бейдж и горы активностей, квестов и всего такого, всех цветов, а еще ящик хардвари, партнёрские стенды и две дюжины коробок мерча. Не то, чтобы это всё было нужно в первый год, но раз начали делать годную конференцию, то идти надо уже до конца. Единственное, что меня беспокоило — это CTF. В мире нет никого более беспомощного, безответственного и безнравственного, чем человек в CTF-трипе. И я знал, что довольно скоро мы в это окунёмся.
(с) Страх и ненависть в комъюнити
#offzone #offzone2018
(с) Страх и ненависть в комъюнити
#offzone #offzone2018
Одно из главных событий конференции - финал CTFZONE 2018🔥
Отборочный этап соревнований был по-настоящему жарким! В CTFZONE Quals приняли участие более 1000 команд - мы были бы рады привезти в Москву каждую из топ-50 команд, но в финале примут участие только 10 лучших:
1. LC↯BC (Россия)
2. !SpamAndHex (Венгрия)
3. p4 (Польша)
4. Bushwackers (Россия)
5. GoGiSaJo (Южная Корея)
6. LeaveCat (Южная Корея)
7. CyKor (Южная Корея)
8. dcua (Украина)
9. Dragon Sector (Польша)
10. 0ops (Китай)
В прошлом году устойчивость инфраструктуры CTFZONE отметили все участники, поэтому изменений немного. В суровой Attack/Defence битве участникам предстоит продемонстрировать знания в самых разных областях: "web", "pwn", "crypto", "binary", "ppc". Фишкой этого года станет таск в категории "hardware".
Ну хватит слов, приходите посмотреть и увидите все сами! А пока вспомним, как это было в прошлом году ;)
#offzone #offzone2018 #ctfzone
Отборочный этап соревнований был по-настоящему жарким! В CTFZONE Quals приняли участие более 1000 команд - мы были бы рады привезти в Москву каждую из топ-50 команд, но в финале примут участие только 10 лучших:
1. LC↯BC (Россия)
2. !SpamAndHex (Венгрия)
3. p4 (Польша)
4. Bushwackers (Россия)
5. GoGiSaJo (Южная Корея)
6. LeaveCat (Южная Корея)
7. CyKor (Южная Корея)
8. dcua (Украина)
9. Dragon Sector (Польша)
10. 0ops (Китай)
В прошлом году устойчивость инфраструктуры CTFZONE отметили все участники, поэтому изменений немного. В суровой Attack/Defence битве участникам предстоит продемонстрировать знания в самых разных областях: "web", "pwn", "crypto", "binary", "ppc". Фишкой этого года станет таск в категории "hardware".
Ну хватит слов, приходите посмотреть и увидите все сами! А пока вспомним, как это было в прошлом году ;)
#offzone #offzone2018 #ctfzone
"Бейдж" - какие образы возникают в голове у типичного посетителя хакерских конференций, когда он слышит это слово? Печатная плата с сотнями компонентов? Пластиковая карточка с россыпью мигающих светодиодов? Виниловая пластинка? Может быть, интересные задания с ним связанные?
Мы, OFFZONE, решили не отходить от канонов и разработать свою версию бейджа. Красота, функциональность и интересные задачи внутри. Мы постарались сохранить ключевые принципы, но внести что-то новое и доселе невиданное.
Получилось ли у нас? Увидите на OFFZONE!
#offzone #offzone2018
Мы, OFFZONE, решили не отходить от канонов и разработать свою версию бейджа. Красота, функциональность и интересные задачи внутри. Мы постарались сохранить ключевые принципы, но внести что-то новое и доселе невиданное.
Получилось ли у нас? Увидите на OFFZONE!
#offzone #offzone2018
💥Анонсируем первые доклады конференции - ресерчи о низкоуровневых уязвимостях!
🔺"Проснись, Нео: детектирование виртуализации при помощи спекулятивного исполнения"
(Иннокентий Сенновский)
Ошибки в реализации спекулятивного исполнения привели к нескольким уязвимостям, позволяющим читать данные с повышенными привилегиями из ядра, других процессов и даже из гипервизора. Однако есть ещё несколько способов применения спекулятивного исполнения злоумышленниками. В докладе будет рассмотрена одна из таких техник, которая может позволить злоумышленникам избежать обнаружения современными виртуализованными песочницами за счет детектирования виртуализации (Spectre Variant 3a, CVE-2018-3640).
🔺Intel ME Manufacturing Mode – скрытая угроза
(Максим Горячий, Марк Ермолов)
В своём докладе исследователи расскажут, как, используя недокументированные команды, можно перезаписать SPI-flash память и реализовать самый страшный сценарий - локальную эксплуатацию уязвимости в ME (INTEL-SA-00086) на Apple Mac Book (CVE-2018-4251).
Принцип безопасность через неясность (security through obscurity) не один год критикуется специалистами, но это не мешает крупным производителям электроники под предлогом защиты интеллектуальной собственности требовать подписывать соглашения о неразглашении (Non-Disclosure Agreement) для получения технической документации. Ситуация ухудшается из-за возрастающей сложности микросхем и интеграцией в них различных проприетарных прошивок, что фактически делает невозможным анализ таких платформ независимым исследователями и ставит под удар как обычных пользователей, так и производителей оборудования.
Подробная информация о каждом из докладов скоро будет анонсирована на сайте: https://offzone.moscow
#offzone #offzone2018
🔺"Проснись, Нео: детектирование виртуализации при помощи спекулятивного исполнения"
(Иннокентий Сенновский)
Ошибки в реализации спекулятивного исполнения привели к нескольким уязвимостям, позволяющим читать данные с повышенными привилегиями из ядра, других процессов и даже из гипервизора. Однако есть ещё несколько способов применения спекулятивного исполнения злоумышленниками. В докладе будет рассмотрена одна из таких техник, которая может позволить злоумышленникам избежать обнаружения современными виртуализованными песочницами за счет детектирования виртуализации (Spectre Variant 3a, CVE-2018-3640).
🔺Intel ME Manufacturing Mode – скрытая угроза
(Максим Горячий, Марк Ермолов)
В своём докладе исследователи расскажут, как, используя недокументированные команды, можно перезаписать SPI-flash память и реализовать самый страшный сценарий - локальную эксплуатацию уязвимости в ME (INTEL-SA-00086) на Apple Mac Book (CVE-2018-4251).
Принцип безопасность через неясность (security through obscurity) не один год критикуется специалистами, но это не мешает крупным производителям электроники под предлогом защиты интеллектуальной собственности требовать подписывать соглашения о неразглашении (Non-Disclosure Agreement) для получения технической документации. Ситуация ухудшается из-за возрастающей сложности микросхем и интеграцией в них различных проприетарных прошивок, что фактически делает невозможным анализ таких платформ независимым исследователями и ставит под удар как обычных пользователей, так и производителей оборудования.
Подробная информация о каждом из докладов скоро будет анонсирована на сайте: https://offzone.moscow
#offzone #offzone2018
Анонсируем доклады конференции, которые будет представлены в Fast Track! Мы разделили их на две категории и сегодня расскажем о докладах в части Defensive!
▪️ История одного DevSecOps
(Артем Бачевский, Денис Ратченко, Алексей Гуськов)
Как подключить ~500 команд разработки с ~3500 проектов силами четырех человек и внедрить систему Quality Gate-ов для проектов? Артем Бачевский, Денис Ратченко и Алексей Гуськов точно знают ответ на этот вопрос и расскажут в своем докладе о разработке нескольких решений с помощью которых удалось реализовать такую масштабную задачу, а также тех сложностях с которыми пришлось столкнуться на пути "от идеи до реализации".
▪️ AppSec as a Code
(Антон Башарин, Юрий Шабалин)
Сегодня многие говорят про DevOps, диджитализацию, трансформацию бизнеса и много других страшных слов. Эта тема пришла и в безопасную разработку, порушив уютный мир статического анализа перед релизами и заставив многих задуматься, а нужно ли трансформировать AppSec в таком же ключе? В своем докладе спикеры расскажут о том каковы в их понимании принципы построения DevSecOps и в чем заключается его отличие от классической модели безопасности. На примере вымышленной организации будет рассмотрено, как этим всем можно управлять и не потонуть в бесконечных настройках и заведении новых задач.
▪️ Scanner Orchestration Tool - one-click SDLC
(Иван Елкин, Илья Говорков)
Когда уже есть SDLC, процессы налажены, компания выпускает безопасные продукты, но эти продукты начинают распадаться на микросервисы... Cтановится трудно жонглировать обилием инструментов: десятки сканеров, waf, трекеры, CI, bugbounty, сотни разработчиков и админов, где что лежит, кто за что ответственный? В своем докладе Иван Елкин и Илья Говорков расскажут о создании инструмента, который позволил инвентаризировать приложения, и сделать plаybook из различных SDL сценариев.
▪️ HWallet: The simplest Bitcoin hardware wallet
(Nemanja Nikodijevic)
Last year we witnessed a huge leap in value for many cryptocurrencies, which attracted much interest from the hacking community to try and find vulnerabilities in various hardware and software used for storing private keys. Even the most secure, so-called hardware wallets, had to be patched after certain vulnerabilities were discovered. This talk will explore an alternative approach in the hardware wallet design, which can deliver more secure and convenient wallets in the future.
▪️ Что нового в безопасности Android?
(Юрий Шабалин)
В рамках доклада будут освещены основные отличия новых версий Android в плане безопасности, какая новая функциональность появилась, что изменилось в уже существующих механизмах, с какими ограничениями придется столкнуться, а также что может пригодиться для разработки более безопасного приложения.
Подробная информация о каждом из докладов скоро будет анонсирована на сайте: https://offzone.moscow/ru
#offzone #offzone2018 #fasttrack #defensive
▪️ История одного DevSecOps
(Артем Бачевский, Денис Ратченко, Алексей Гуськов)
Как подключить ~500 команд разработки с ~3500 проектов силами четырех человек и внедрить систему Quality Gate-ов для проектов? Артем Бачевский, Денис Ратченко и Алексей Гуськов точно знают ответ на этот вопрос и расскажут в своем докладе о разработке нескольких решений с помощью которых удалось реализовать такую масштабную задачу, а также тех сложностях с которыми пришлось столкнуться на пути "от идеи до реализации".
▪️ AppSec as a Code
(Антон Башарин, Юрий Шабалин)
Сегодня многие говорят про DevOps, диджитализацию, трансформацию бизнеса и много других страшных слов. Эта тема пришла и в безопасную разработку, порушив уютный мир статического анализа перед релизами и заставив многих задуматься, а нужно ли трансформировать AppSec в таком же ключе? В своем докладе спикеры расскажут о том каковы в их понимании принципы построения DevSecOps и в чем заключается его отличие от классической модели безопасности. На примере вымышленной организации будет рассмотрено, как этим всем можно управлять и не потонуть в бесконечных настройках и заведении новых задач.
▪️ Scanner Orchestration Tool - one-click SDLC
(Иван Елкин, Илья Говорков)
Когда уже есть SDLC, процессы налажены, компания выпускает безопасные продукты, но эти продукты начинают распадаться на микросервисы... Cтановится трудно жонглировать обилием инструментов: десятки сканеров, waf, трекеры, CI, bugbounty, сотни разработчиков и админов, где что лежит, кто за что ответственный? В своем докладе Иван Елкин и Илья Говорков расскажут о создании инструмента, который позволил инвентаризировать приложения, и сделать plаybook из различных SDL сценариев.
▪️ HWallet: The simplest Bitcoin hardware wallet
(Nemanja Nikodijevic)
Last year we witnessed a huge leap in value for many cryptocurrencies, which attracted much interest from the hacking community to try and find vulnerabilities in various hardware and software used for storing private keys. Even the most secure, so-called hardware wallets, had to be patched after certain vulnerabilities were discovered. This talk will explore an alternative approach in the hardware wallet design, which can deliver more secure and convenient wallets in the future.
▪️ Что нового в безопасности Android?
(Юрий Шабалин)
В рамках доклада будут освещены основные отличия новых версий Android в плане безопасности, какая новая функциональность появилась, что изменилось в уже существующих механизмах, с какими ограничениями придется столкнуться, а также что может пригодиться для разработки более безопасного приложения.
Подробная информация о каждом из докладов скоро будет анонсирована на сайте: https://offzone.moscow/ru
#offzone #offzone2018 #fasttrack #defensive