ZeroNights'2013 — отчет о конференции

    image

    7-8 ноября в Москве в очередной, третий раз прошла конференция по практической безопасности — ZeroNights.

    И, знаете, я бы не хотел описывать всё в привычном Хабру формате — мол смотрите, как было круто, каких крутых перцов мы собрали и разные удачные фоточки! Я думаю, что подобные отчеты нужны в основном тем, кто не был на мероприятии и прочитав его вынес для себя полезную информацию с текущего мероприятия и понял, хочет ли он приехать на ZeroNights в следующем году. Поэтому и я потрачу время с пользой — расскажу тем, кому это действительно нужно, и читатель вынесет для себя полезное, а не прочтет очередной маркетинговый булщит. Но фотки я все равно вставлю.

    1. Intro


    Сам я был участником и обычным посетителем на ZeroNights 0x01, а на прошедшем ZN — выступил как спикер и со-организатор. Что такое вообще ZeroNights? В России, да что говорить, в СНГ, можно по пальцам пересчитать конференции, которые с ног до головы вовлечены именно в технические, а не бумажные аспекты безопасности. И ZeroNights — яркий представитель такой конференции. Первый ZN прошел в СПб, длился 1 день. Второй и третий проходили уже в Москве и продолжались 2 дня.

    2. ZeroNights 2013


    2.1 Получаем билет

    Чтобы попасть на ZeroNights нужно или купить билет (для студентов цена ~1500 рублей), или выиграть в нашем ежегодном HackQuest'е инвайт. В этом году формат хакквеста был следующий — 1 неделя, каждый день — одно задание на 24 часа. Кто первый решает — получает инвайт. Был и побег из песочницы Python, и реверс, и веб, и разведка. Архив заданий лежит тут.
    Ну а если стать спикером — конечно же вход будет бесплатным. Даже если на FastTrack, где рассказывать можно всего минут 10-15 о каком-нибудь забавном ресерче, найденной баге или новом подходе старых векторов атак. Так что обязательно подумайте об участии в CFP в следующем году.

    image
    Основной зал

    Выдвигаемся

    Составив план, что хочется посетить из программы, узнав список спикеров, и если надо: купив билеты и подыскав место, где жить, выдвигаемся на конференцию.

    Конференция по факту в себя включает:
    • 2 трэка, т.е. 2 зала. На 250 и на 350 человек;
    • 2 зала под бесплатные воркшопы (тренинги) по следующим темам:
      • Фаззинг приложений;
      • SMT-решатели;
      • Анализа по времени в криптографии;
      • BlackBox-анализ iOS-приложений;
      • Реверсинг приложений, написанных с применением ООП;
      • Эксплуатации багов в приложениях, написанных с использованием HTML5 (урезанный тренинг с Black Hat USA’2013).
    • HardWare Village;
    • Пентест лаборатория PentestIT;
    • Различные другие конкурсы.


    Попытавшись расставить приоритеты, куда хочется сходить (довольно редко бывает, что получается им следовать уже по факту) приходим на регистрацию.

    2.2 Первый день конференции

    Пройдя регистрацию и получив бейдж (а также, по желанию, напиток ClubMate) начинаем осматриваться.

    image
    Антон Карпов приносит радость BugHunter'ам

    Вступительное слово организаторов и спонсоров в общем зале. Яндекс рассказал о нововведениях в своей BugBounty программы (увеличение выплат, личный проект bughunter'ам), затем доклад кейноута Rafal Wojtczuk'а о виртуализации. Далее небольшой перерыв и уже разбитие на 2 трэка. Я посетил не так много докладов, из них в первый день был доклад про округления в банках — баге 100 лет в обед, а до сих пор работает. Но доклад был интересен тем, что автор еще и сделал устройство для распознавания OTP :) И еще, оказалось, что она работает и в некотором российском банке! Полностью посетил тренинг по (не)безопасности HTML5 и для себя узнал много нового.

    Параллельно конкурсы (например, от Лаборатории Касперского. Врайтапы раз и два), лаборатория от PentestIT, о которой они детально рассказали в своём блоге и другие доклады, на которые я не попал (исключая «HART (in)security» моего коллеги dark_k3y).

    И, конечно же, HarWare Village!


    HackRF, BladeRF стали хитом! А некоторые и забрали их себе, по окончанию конкурса с передачей специального пакета

    image
    Передатчик из конкурса Hardware Village

    2.3 Второй день

    Выступление ключевого спикера Gregor Kopf про состояние криптографии и почему не стоит писать свои велосипеды, продолжение воркшопов и начал фаст-трэка! Фаст-трэк — секция с докладами по 15 минут, которая пользуется большой популярностью. Так как за такое короткое время можно узнать многое и по-существу!

    image

    Параллельно участники развлекались как могли. Например — запускали Kali Linux на терминале Qiwi:


    Или спуфили сеть и уводили аккаунты (в т.ч. видел на некоторых экранах чужие гугловские аккаунты).
    image

    Так что посещая конференцию стоит быть аккуратней.

    Закончилось всё «баталией» — OpenSource vs Microsoft. Проходило в следующем формате: обе стороны представляются, после каждой из них задаются какие-нибудь каверзные вопросы от организаторов. На ответ — 5 минут. Далее уже перекрестные дискуссии. Эдакое шоу :) Запись можно скачать здесь — 2013.zeronights.ru/includes/docs/zvuk.rar

    Для меня ZeroNights стал ещё и отличной возможностью встретиться лично со всеми, с кем долгое время общался только в твиттере/скайпе.

    3 ZeroNights 2014


    Конечно, мы ждем всех! Тех, кто не был, и кто был. В этом году были отличные доклады, но были организационные проблемы. Поэтому хочу закончить статью цитированием CEO нашей компании — Ильи Медведовского:
    Что вы хотите поменять или улучшить, каковы ваши планы на будущее?

    Организацию. В России объективно сложно организовывать бюджетную конференцию на 1000 и больше человек. В Москве существует проблема с помещениями и все очень дорого. Шикарные залы и кейтеринг вне нашей концепции и бюджета. Мы позиционируем это мероприятие как бюджетное, мы хотим, чтобы сюда приходила молодежь, студенты, поэтому мы стараемся устанавливать максимально бюджетные цены и у нас очень демократичная организация.

    Безусловно, мы будем работать над организационными вопросами. В следующем году у нас будет новый профессиональный организатор плюс отдельный супервизор с нашей стороны. О новом организатора мы сообщим, я надеюсь, в самое ближайшее время и мы обещаем сделать все от нас зависящее для повышения уровня организации в 2014.

    Могу с уверенностью, сказать, что следующая ZeroNights 2014 будет не менее интересной по контенту, гораздо лучше организованной, прежде всего, в плане различных мелочей, плюс мы и наши новые партнеры подготовим ряд интересных сюрпризов. По нашим прогнозам ее посетит в 2014 году около 1500 человек. Будем рады видеть всех в качестве посетителей, а если у вас есть интересные исследования мирового уровня – ждем вас как спикеров!

    Ссылки:
    Метки:
    Digital Security 113,19
    Безопасность как искусство
    Поделиться публикацией
    Комментарии 15
    • +8
      Опять я :)
      • +2
        Я тоже немного побаловался, простите
        Тыц
        Жертва была найдена и предупреждена, ничего не тронуто, все ради фана :)
        • +3
          Крутая штука с докладов — девайс, который жмет на кнопки банковского токена и распознает цифры с дисплея, чтобы автоматизировать он-лайн банкинг (пачки микро-транзакций с выгодным округлением)
          • –4
            Ребят, а что за конференция по безопасности такая, что вайфай такой дырявый?

            Про гуглоаккаунты тоже непонятно, кто-то гуглопочтой без ssl пользуется? Безопасники, тоже мне.
            • +1
              Конференция сама по себе, вайфай арендованного помещения — сам по себе.
              У гугла вовсе не везде SSL, к примеру youtube по-умолчанию по http ходит.
              • +5
                На многих конференциях по безопасности (например, Def Con) разрешено делать внутри сети что угодно.
                • 0
                  SSL Strip
                  • 0
                    В смысле wifi дырявый? Пароль есть у всех, считай сеть не защищена. Или я не прав?
                  • 0
                    Все равно маркетингового булшита дофига )
                    Ну и МАЛО!
                    Дописывай!
                    • 0
                      Ага, маркетинг :)
                      С меня в этом году хватит статей) за декабрь 4 штуки) продолжение описал в «Хакере», собирал у всех интервью www.xakep.ru/post/61751/
                    • 0
                      Конференция была очень интересной, но вот проблема звукоизоляции залов стояла остро. Спикеры все разные, кто-то говорит громко, кто-то не очень, кто-то пользуется гарнитурой, кто-то нет. Из-за этого возникали ситуации, когда сидя, даже, в первых рядах можно было слышать доклад спикера из другого зала.
                      • +1
                        image
                        Вот этот девайс очень выручает при проблемной звукоизоляции, попробуйте в следующий раз)
                        Даже если нет необходимости в переводе и доклад на русском, в него всего транслируется текущая звуковая дорожка и слышно гораздо лучше.

                        Особенно в паре с собственными наушниками
                      • +2
                        зиронайт выросли, большие молодцы, pt, конечно, тоже молодцы ) но каждый понимает, где понты, а где андеграунд. Привет всем от гринов.
                        • 0
                          А можно где-то посмотреть видеозаписи конференции?
                          • 0
                            Таковые отсутствуют

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое