Итоги OFFZONE 2022: платформа Bug Bounty, уязвимости Apple и APT‑атаки

Итоги OFFZONE 2022: платформа Bug Bounty, уязвимости Apple и APT‑атаки

Итоги OFFZONE 2022: платформа Bug Bounty, уязвимости Apple и APT‑атаки

В этом году OFFZONE посетили 2000 человек, а своим опытом с участниками поделились 68 экспертов. Мероприятие поддержали 48 партнеров, в том числе 19 представителей комьюнити и 14 — медиа.

25 и 26 августа в центре LOFT HALL состоялась третья конференция по практической кибербезопасности OFFZONE 2022. Она объединила безопасников, разработчиков, исследователей, а также преподавателей и студентов технических вузов.

Мероприятие открыл Евгений Волошин, директор блока экспертных сервисов BI.ZONE: «В третий раз конференция OFFZONE должна была состояться еще в 2020-м, но из-за сложной эпидемиологической обстановки мы переносили ее целых два года. В этом году нам ничто не помешало, мероприятие прошло на одном дыхании и вместило еще больше технических докладов, кейсов и прикладных задач. Мы задали себе более высокую планку, но при этом не растеряли важную для нас атмосферу комьюнити и живого общения».

За два дня конференции на пяти треках докладов и трех мастер-классах выступили 68 экспертов из VK, «Авито», «Тинькофф», «Лаборатория Касперского», Positive Technologies, Сбер, BI.ZONE и др.

Также на OFFZONE 2022 представили платформу BI.ZONE Bug Bounty, на которой за 2 дня конференции зарегистрировалось 235 багхантеров. Сегодня там уже доступна публичная программа BI.ZONE, поучаствовав в которой исследователи могут получить до 300 тысяч рублей за найденные уязвимости. Вскоре на платформе также появится публичная программа «Авито».

Ключевым спикером стал Дмитрий Евдокимов — эксперт по обеспечению безопасности в контейнеризированных средах и основатель компании Luntry. В своем докладе он рассказывал об эволюции кибербезопасности, о том, как меняется ландшафт информационных систем и как это сказывается на обеспечении их безопасности.

Другие эксперты затронули повышение привилегий на устройствах Apple, APT‑атаки, сетевые атаки на протоколы FHRP, истории из пентестерской практики и многие другие актуальные темы отрасли кибербезопасности.

Одновременно с треками докладов на конференции в этом году работали тематические зоны от специалистов по безопасности финансовых систем и банковской инфраструктуры (Finance.Zone), экспертов по безопасной разработке и анализу защищенности веб-приложений (AppSec.Zone), а также площадка, организованная сообществом хай-тек-энтузиастов и исследователей аппаратного обеспечения (DC&HW.Zone).

На OFFZONE 2022 внимание уделили и софт-скилам: главный редактор журнала «Хакер» провел мастер-класс по написанию качественных технических статей. Для наглядности поделился примерами из материалов издания.

Помимо образовательной части, на OFFZONE 2022 было много интерактива — участники конференции находили уязвимости в умных устройствах, апгрейдили свои бейджи в зоне пайки, сражались на киберспортивных турнирах и даже делали татуировки. В этом году 6 участников сделали тату с лого конференции, получив за это мерч и бессрочную проходку на OFFZONE.

Ключевым состязанием мероприятия стал турнир по этичному хакингу CTFZone. На протяжении 48 часов за место на вершине рейтинга боролись 1207 команд из 54 стран мира. В итоге в тройку призеров вошли представители Израиля, Швейцарии и США.

Отдельно стоит отметить бейджи конференции, которым организаторы уделяют особое внимание, добавляя с каждым годом новые функции. В этот раз они представляли из себя полноценные микрокомпьютеры с питанием, светодиодами и платежной системой для внутренней валюты конференции — очков Offcoin. Всего за 2 дня конференции участники мероприятия заработали 475 тыс. «оффкоинов», купив на них брендированную одежду и сувенирную продукцию от организаторов и партнеров мероприятия.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru