- PVSM.RU - https://www.pvsm.ru -

ZeroNights’2013 — отчет о конференции

image

7-8 ноября в Москве в очередной, третий раз прошла конференция по практической безопасности — ZeroNights.

И, знаете, я бы не хотел описывать всё в привычном Хабру формате — мол смотрите, как было круто, каких крутых перцов мы собрали и разные удачные фоточки! Я думаю, что подобные отчеты нужны в основном тем, кто не был на мероприятии и прочитав его вынес для себя полезную информацию с текущего мероприятия и понял, хочет ли он приехать на ZeroNights в следующем году. Поэтому и я потрачу время с пользой — расскажу тем, кому это действительно нужно, и читатель вынесет для себя полезное, а не прочтет очередной маркетинговый булщит. Но фотки я все равно вставлю (:

1. Intro

Сам я был участником и обычным посетителем на ZeroNights 0x01, а на прошедшем ZN — выступил как спикер и со-организатор. Что такое вообще ZeroNights? В России, да что говорить, в СНГ, можно по пальцам пересчитать конференции, которые с ног до головы вовлечены именно в технические, а не бумажные аспекты безопасности. И ZeroNights — яркий представитель такой конференции. Первый ZN прошел в СПб, длился 1 день. Второй и третий проходили уже в Москве и продолжались 2 дня.

2. ZeroNights 2013

2.1 Получаем билет

Чтобы попасть на ZeroNights нужно или купить билет (для студентов цена ~1500 рублей), или выиграть в нашем ежегодном HackQuest'е инвайт. В этом году формат хакквеста был следующий — 1 неделя, каждый день — одно задание на 24 часа. Кто первый решает — получает инвайт. Был и побег из песочницы Python, и реверс, и веб, и разведка. Архив заданий лежит тут [1].
Ну а если стать спикером — конечно же вход будет бесплатным. Даже если на FastTrack, где рассказывать можно всего минут 10-15 о каком-нибудь забавном ресерче, найденной баге или новом подходе старых векторов атак. Так что обязательно подумайте об участии в CFP в следующем году.

image
Основной зал

Выдвигаемся

Составив план, что хочется посетить из программы [2], узнав список спикеров [3], и если надо: купив билеты и подыскав место, где жить, выдвигаемся на конференцию.

Конференция по факту в себя включает:

  • 2 трэка, т.е. 2 зала. На 250 и на 350 человек;
  • 2 зала под бесплатные воркшопы (тренинги) по следующим темам:
    • Фаззинг приложений;
    • SMT-решатели;
    • Анализа по времени в криптографии;
    • BlackBox-анализ iOS-приложений;
    • Реверсинг приложений, написанных с применением ООП;
    • Эксплуатации багов в приложениях, написанных с использованием HTML5 (урезанный тренинг с Black Hat USA’2013).
  • HardWare Village;
  • Пентест лаборатория PentestIT;
  • Различные другие конкурсы.

Попытавшись расставить приоритеты, куда хочется сходить (довольно редко бывает, что получается им следовать уже по факту) приходим на регистрацию.

2.2 Первый день конференции

Пройдя регистрацию и получив бейдж (а также, по желанию, напиток ClubMate) начинаем осматриваться.

image
Антон Карпов приносит радость BugHunter'ам

Вступительное слово организаторов и спонсоров в общем зале. Яндекс рассказал о нововведениях в своей BugBounty программы (увеличение выплат, личный проект bughunter'ам), затем доклад кейноута Rafal Wojtczuk'а о виртуализации. Далее небольшой перерыв и уже разбитие на 2 трэка. Я посетил не так много докладов, из них в первый день был доклад про округления в банках — баге 100 лет в обед, а до сих пор работает. Но доклад был интересен тем, что автор еще и сделал устройство для распознавания OTP :) И еще, оказалось, что она работает и в некотором российском банке [4]! Полностью посетил тренинг по (не)безопасности HTML5 и для себя узнал много нового.

Параллельно конкурсы (например, от Лаборатории Касперского. Врайтапы раз [5] и два [6]), лаборатория от PentestIT, о которой они детально рассказали [7] в своём блоге и другие доклады, на которые я не попал (исключая «HART (in)security» моего коллеги dark_k3y [8]).

И, конечно же, HarWare Village!

ZeroNights2013 — отчет о конференции
HackRF, BladeRF стали хитом! А некоторые и забрали их себе, по окончанию конкурса с передачей специального пакета

image
Передатчик из конкурса Hardware Village

2.3 Второй день

Выступление ключевого спикера Gregor Kopf про состояние криптографии и почему не стоит писать свои велосипеды, продолжение воркшопов и начал фаст-трэка! Фаст-трэк — секция с докладами по 15 минут, которая пользуется большой популярностью. Так как за такое короткое время можно узнать многое и по-существу!

image

Параллельно участники развлекались как могли. Например — запускали Kali Linux на терминале Qiwi:

Или спуфили сеть и уводили аккаунты (в т.ч. видел на некоторых экранах чужие гугловские аккаунты).
image

Так что посещая конференцию стоит быть аккуратней.

Закончилось всё «баталией» — OpenSource vs Microsoft. Проходило в следующем формате: обе стороны представляются, после каждой из них задаются какие-нибудь каверзные вопросы от организаторов. На ответ — 5 минут. Далее уже перекрестные дискуссии. Эдакое шоу :) Запись можно скачать здесь — 2013.zeronights.ru/includes/docs/zvuk.rar [9]

Для меня ZeroNights стал ещё и отличной возможностью встретиться лично со всеми, с кем долгое время общался только в твиттере/скайпе.

3 ZeroNights 2014

Конечно, мы ждем всех! Тех, кто не был, и кто был. В этом году были отличные доклады, но были организационные проблемы. Поэтому хочу закончить статью цитированием [10] CEO нашей компании — Ильи Медведовского:

Что вы хотите поменять или улучшить, каковы ваши планы на будущее?

Организацию. В России объективно сложно организовывать бюджетную конференцию на 1000 и больше человек. В Москве существует проблема с помещениями и все очень дорого. Шикарные залы и кейтеринг вне нашей концепции и бюджета. Мы позиционируем это мероприятие как бюджетное, мы хотим, чтобы сюда приходила молодежь, студенты, поэтому мы стараемся устанавливать максимально бюджетные цены и у нас очень демократичная организация.

Безусловно, мы будем работать над организационными вопросами. В следующем году у нас будет новый профессиональный организатор плюс отдельный супервизор с нашей стороны. О новом организатора мы сообщим, я надеюсь, в самое ближайшее время и мы обещаем сделать все от нас зависящее для повышения уровня организации в 2014.

Могу с уверенностью, сказать, что следующая ZeroNights 2014 будет не менее интересной по контенту, гораздо лучше организованной, прежде всего, в плане различных мелочей, плюс мы и наши новые партнеры подготовим ряд интересных сюрпризов. По нашим прогнозам ее посетит в 2014 году около 1500 человек. Будем рады видеть всех в качестве посетителей, а если у вас есть интересные исследования мирового уровня – ждем вас как спикеров!

Ссылки:

Автор: BeLove

Источник [15]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/51663

Ссылки в тексте:

[1] тут: http://hackquest.zeronights.org/archive/2013/

[2] программы: http://2013.zeronights.ru/includes/program.pdf

[3] список спикеров: http://2013.zeronights.ru/speakers

[4] некотором российском банке: http://www.itsec.pro/2013/11/zeronights.html

[5] раз: http://habrahabr.ru/post/204432/

[6] два: http://habrahabr.ru/post/204698/

[7] рассказали: http://habrahabr.ru/company/pentestit/blog/202386/

[8] dark_k3y: http://habrahabr.ru/users/dark_k3y/

[9] 2013.zeronights.ru/includes/docs/zvuk.rar: http://2013.zeronights.ru/includes/docs/zvuk.rar

[10] цитированием: http://bis-expert.ru/blog/1826/43667

[11] Материалы конференции: http://2013.zeronights.ru/materials

[12] Официальный фотоотчет: https://picasaweb.google.com/106780973074407646953/ZeroNights2013?authkey=Gv1sRgCPGe4e7A-_ffxgE#

[13] Отчет и мнения участников в журнале «Хакер»: http://www.xakep.ru/post/61751/

[14] Официальный твиттер конференции: https://twitter.com/zeronights

[15] Источник: http://habrahabr.ru/post/205840/