Итоги OFFZONE 2022: платформа Bug Bounty, уязвимости Apple и APT‑атаки

Итоги OFFZONE 2022: платформа Bug Bounty, уязвимости Apple и APT‑атаки

В этом году OFFZONE посетили 2000 человек, а своим опытом с участниками поделились 68 экспертов. Мероприятие поддержали 48 партнеров, в том числе 19 представителей комьюнити и 14 — медиа.

25 и 26 августа в центре LOFT HALL состоялась третья конференция по практической кибербезопасности OFFZONE 2022. Она объединила безопасников, разработчиков, исследователей, а также преподавателей и студентов технических вузов.

Мероприятие открыл Евгений Волошин, директор блока экспертных сервисов BI.ZONE: «В третий раз конференция OFFZONE должна была состояться еще в 2020-м, но из-за сложной эпидемиологической обстановки мы переносили ее целых два года. В этом году нам ничто не помешало, мероприятие прошло на одном дыхании и вместило еще больше технических докладов, кейсов и прикладных задач. Мы задали себе более высокую планку, но при этом не растеряли важную для нас атмосферу комьюнити и живого общения».

За два дня конференции на пяти треках докладов и трех мастер-классах выступили 68 экспертов из VK, «Авито», «Тинькофф», «Лаборатория Касперского», Positive Technologies, Сбер, BI.ZONE и др.

Также на OFFZONE 2022 представили платформу BI.ZONE Bug Bounty, на которой за 2 дня конференции зарегистрировалось 235 багхантеров. Сегодня там уже доступна публичная программа BI.ZONE, поучаствовав в которой исследователи могут получить до 300 тысяч рублей за найденные уязвимости. Вскоре на платформе также появится публичная программа «Авито».

Ключевым спикером стал Дмитрий Евдокимов — эксперт по обеспечению безопасности в контейнеризированных средах и основатель компании Luntry. В своем докладе он рассказывал об эволюции кибербезопасности, о том, как меняется ландшафт информационных систем и как это сказывается на обеспечении их безопасности.

Другие эксперты затронули повышение привилегий на устройствах Apple, APT‑атаки, сетевые атаки на протоколы FHRP, истории из пентестерской практики и многие другие актуальные темы отрасли кибербезопасности.

Одновременно с треками докладов на конференции в этом году работали тематические зоны от специалистов по безопасности финансовых систем и банковской инфраструктуры (Finance.Zone), экспертов по безопасной разработке и анализу защищенности веб-приложений (AppSec.Zone), а также площадка, организованная сообществом хай-тек-энтузиастов и исследователей аппаратного обеспечения (DC&HW.Zone).

На OFFZONE 2022 внимание уделили и софт-скилам: главный редактор журнала «Хакер» провел мастер-класс по написанию качественных технических статей. Для наглядности поделился примерами из материалов издания.

Помимо образовательной части, на OFFZONE 2022 было много интерактива — участники конференции находили уязвимости в умных устройствах, апгрейдили свои бейджи в зоне пайки, сражались на киберспортивных турнирах и даже делали татуировки. В этом году 6 участников сделали тату с лого конференции, получив за это мерч и бессрочную проходку на OFFZONE.

Ключевым состязанием мероприятия стал турнир по этичному хакингу CTFZone. На протяжении 48 часов за место на вершине рейтинга боролись 1207 команд из 54 стран мира. В итоге в тройку призеров вошли представители Израиля, Швейцарии и США.

Отдельно стоит отметить бейджи конференции, которым организаторы уделяют особое внимание, добавляя с каждым годом новые функции. В этот раз они представляли из себя полноценные микрокомпьютеры с питанием, светодиодами и платежной системой для внутренней валюты конференции — очков Offcoin. Всего за 2 дня конференции участники мероприятия заработали 475 тыс. «оффкоинов», купив на них брендированную одежду и сувенирную продукцию от организаторов и партнеров мероприятия.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Оборотный штраф смягчит компенсация

Компании получат минимальный оборотный штраф, если выплатят компенсацию большинству пострадавшим от утечки. Такое предложение обсуждают в Минцифры. Против оборотных штрафов выступает Ассоциация больших данных.

О смягчившейся позиции Минцифры по оборотным штрафам за утечку пишет РБК. Речь о законопроекте, над которым министерство работает с весны этого года. Разработка началась на фоне крупных утечек в “Яндекс.Еда”, Delivery Club и медицинской лаборатории “Гемотест”. Сервисы доставки тогда оштрафовали на 60 тыс. рублей, а персональные данные из медцентра оценили в 0,2 копейки за клиента.

По словам главы ведомства Максута Шадаева, главная сложность заключается в том, чтобы прописать в законопроекте конструкцию, которая будет предусматривать минимальный и максимальный проценты оборотного штрафа.

“Мы пытаемся сказать, что смягчающим обстоятельством для назначения минимального порога будет урегулирование вопросов с пострадавшими, — объясняет Шадаев. — Это самое сложное, такой конструкции просто нет. Мы говорим: двум третям тех граждан, чьи данные утекли, пожалуйста, компенсируйте ущерб. Если вы подписали соглашение, что вы урегулировали с ними вопросы, то идете по нижней планке”.

В Минцифры не пояснили, каким образом будут рассчитывать число пострадавших, которым компенсировали ущерб.

“Компания в добровольном порядке сможет выплатить компенсации и сообщить об этом в Роскомнадзор. Если данные подтвердятся в суде, штраф [за утечку] будет снижен”, — говорит Шадаев.

По словам министра, это существенное послабление, так как в текущей версии законопроекта размер фиксированного штрафа для первого случая утечки может составлять до 10 млн руб.

Минцифры весной заявило о намерении ввести оборотные штрафы для компаний, допустивших утечку персональных данных.

В первой редакции законопроекта предлагалось штрафовать компанию на 1% от годовой выручки за сам факт утечки и на 3%, если она не сообщила о ней вовремя. В последней редакции документа такой порядок штрафа предусматривается только для компаний, допустивших утечку более 100 000 записей.

Против этих мер выступает Ассоциация больших данных (АБД), в которую входят интернет-компании, операторы связи и банки, критикует поправки в законопроект. Свои замечания ассоциация направила в Минцифры. Бизнес просит министерство пересмотреть размеры штрафов в сторону их уменьшения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru