Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
2023-09-18
Отчёт о мероприятии OFFZone 2023 и интервью с хакером Caster
2024-06-14
"Белых хакеров" в России станет больше
2024-08-23
Конференция по кибербезопасности OFFZONE 2024 установила рекорд по количеству гостей
2025-08-27
BI.ZONE выпустила исследование теневых ресурсов «Threat Zone 2025: обратная сторона»
Назад
habr.com Хабр
2 года назад

Отчёт о мероприятии OFFZone 2023 и интервью с хакером Caster

Информационная служба Хабра во второй раз посетила конференцию OFFZONE. Мероприятие проходило 24 и 25 августа 2023 года в Москве в лофт‑пространстве GOELRO. Эта конференция представляет собой больше неформальное общение между разными специалистами в сфере информационной безопасности. Если Positive Hack Days (PHD) — это городской фестиваль для людей, даже не разбирающихся в ИБ, то OFFZONE — это больше мероприятие для укрепления общения внутри комьюнити, по словам организаторов фестиваля. Ну на этом больше сравнений мероприятий не будет. Во‑первых, сам стараюсь не сравнивать мероприятия, во‑вторых, обзор существует не для сравнения, а для рассказа об этом мероприятии.

Начну опять не по традиции — с активностей. Их было много, причём как вполне подходящих под слово «лаундж», так и таких, где надо было подумать. За выигрыш в активностях можно получить какой‑то мерч. Сами они имели условную направленность, связанную с ИБ, но больше были развлекательными. Все, кто участвовал в активностях, автоматически участвовали в сквозном OFFZONE‑квесте,, идущем через все активности. За участие в них посетителям на стендах начисляли очки в виде фишек под названием OFFCOIN. Могу не упомнить всех активностей, но постараюсь осветить побольше.

Самая, пожалуй, сложная для меня активность — это Куб. В одном из павильонов стоял куб в оформлении вселенной SCP. На сайте OFFZONE в этом стиле также была оформлена страница Куба. Его необходимо было взломать, чтобы выяснить все секреты.

Ну и так как есть отсылка к SCP, то описание Куба тоже в стиле этой вселенной. Есть «объект» с известными характеристиками, места его обнаружения и отчёты наблюдений и изучений. Поучаствовать в «изучении объекта» могли все, кто взял с собой ноутбук. В отличие от остальных стендов у Куба было свободно.

И да, у стендов было все два дня очень много народу, причём до вечера. Я не люблю очереди, поэтому просто наблюдал со стороны. Тем более, находясь в очереди, можно было не попасть на доклады.

Вернёмся к активностям: на стенде Security Vision надо было решать задачи по IT и ИБ. Они были различной степени сложности.

Потом я направился к стенду «Лаборатории Касперского». У них активность называлась «Миссия Мидори White Hat». Задача участника — проверить инфраструктуру города на устойчивость и выявить все возможные уязвимости. Чем‑то напоминает Standoff от PT, но в уменьшенном варианте.

После «Лаборатории Касперского» я отправился к стенду компании «ГАРДА». Там была «Кибердуэль». В рамках дуэли нужно было защитить кибервселенную от угроз.

Как и на прошлых фестивалях, на этом была крафтовая зона. Традиционно в этой зоне можно было самостоятельно поработать, обменяться опытом с коллегами или научиться держать паяльник, паять несложные вещи, выяснить, зачем нужен флюс и что такое припой. Как и в прошлый раз, в крафтовой зоне можно было спаять аддон и приделать его к бейджу. Кстати о них, в этот раз бейджи опять были уникальные, у нас на сайте есть обзор бейджа с прошлого OFFZone. Кроме создания самостоятельного создания аддоны выдавали на стендах за активности. Бейдж тоже был сделан в виде того самого Куба, «объекта» SCP.

Рядом с крафтовой зоной располагался стенд «Кибердома». Тут особых активностей не было (всего несколько заданий по заполнению буклета) зато был самовар и алкогольные напитки для посетителей.

После стенда «Кибердома» я отправился в ещё один павильон с несколькими стендами от разных компаний. Там были два игровых автомата. Для игры в них нужны были специальные жетоны. Их надо было получить на стенде компании BI.ZONE за подписку на их социальные сети. Как я говорил, автоматов было два. Первый — это автомат с мягкими игрушками, где нужно специальной «рукой» схватить игрушку и донести до отверстия, такие раньше стояли в различных магазинах, да и сейчас стоят. Игрушки в автоматах были бизон и жук. Мне удалось выиграть жука. Второй — это автомат с пневматическим устройством, выбивающим вещи на полке. Такие тоже можно встретить в магазинах и на вокзалах, обычно там лежат телефоны, часы и другие вещи. В автомате на OFFZone были чёрные уточки с логотипом BI.ZONE. Однако когда я захотел выиграть уточку, они закончились. 

В этом же павильоне был стенд, где посетителям предлагалось вскрыть разные замки или выбраться из наручников. Часть замков висела на большом кубе. Рядом с наручниками и замками находились столы с настольными играми.

Далее в павильоне была игра Hack in 15 minutes. Как и в 2022 году, участник должен был взломать систему за 15 минут, если ему требуется дополнительное время, надо выпить шот алкогольного напитка за каждые 5 минут.

После павильона с автоматами я отправился в павильон TATTOO.ZONE. Как можно было понять, здесь расположились татуировщики. В обмен на валюту фестиваля (OFFCOIN) можно было набить татуировку на выбор. Также можно было получить тату дешевле, но выбранную в случайном порядке. Для этого надо было крутить специальное колесо выбора. И да, за набитый логотип OFFZone можно было получить пожизненный проход на фестиваль и местную валюту. В этом же павильоне располагался стенд издания «Хакер».

Следующим местом, куда я направился, был павильон GAME.ZONE. Тут местную валюту можно получить за победу в одном из турниров на  консолях. Всего  было 3 консоли: PS4, PS5 и Game Stick. Соревнования были по файтингам Mortal Kombat, Tekken), гоночному симулятору Hot Wheels и симулятору готовки в ресторане — Overcooked. Мы перечислили самые глобальные и интересные активности конференции.

Потом я отправился в павильон со стендами «Сбера», «Совкомбанк Технологий», «Лиги цифровой экономики», Start X, «Тинькоффа», SWORDFISH SECURITY (возможно кого‑то забыл, прошу прощения). На стенде «Лиги цифровой экономики» проходила викторина с ответами, а на стенде «Совкомбанк Технологий» можно было зарегистрироваться на CTF. На стендах остальных компаний тоже были активности, но очень локальные — быстрые задачи и квесты по различным направлениям в рамках IT и ИБ, взломы систем.

Ну и последний павильон — это крыша, на ней расположилась компания Positive Technologies. Здесь можно было покурить кальян и сыграть в ИБ‑казино в покер. Причём, как в казино, тут был крупье и сыграть можно было с другими игроками.

Ещё до обхода всех активностей я посетил пресс‑конференцию, посвящённую BI.ZONE Bug Bounty. Пересказывать её не вижу смысла, потому что я взял интервью у владельца платформы Андрея Лёвкина. Поэтому, как изменилась платформа за год, можно прочитать в отдельном материале.

Ну что ж, переходим к лекциям. К сожалению, в этот раз я совсем не смог попасть на них. Как и в случае с PHD, на часть лекций было очень много народу и прорваться было сложно. В 2023 году часть докладов была не узконаправленной, а скорее имела общую направленность (популяризационную) ИБ. Надеюсь, их выложат, потому что трансляции лекций предусмотрено не было. Однако мне удалось поймать на OFFZone хакера Caster и задать ему пару вопросов. Он как раз прочитал лекцию про своё авторское исследование по оборудованию фирмы MikroTik. Ну вот и само интервью:

Расскажите немного о себе.

Я являюсь исследователем и инженером в области сетевой безопасности, выпускаю публикации в жанрах Offensive и Defensive под франшизой «Nightmare».

Вас можно назвать «белым» (этичным хакером)?

Нет, так как это фактически профессия пентестера, которым я не являюсь.

Я думаю, «титул» хакера присваивает тебе ИБ‑сообщество, сам себя назвать хакером не могу.

Ваша деятельность носит больше финансовый или творческий характер?

«Caster» является моим альтер‑эго, с помощью которого я представляю свои исследования. Это исключительно творчество.

Я выпускаю свои работы под вдохновением музыкальных треков, которые создают мне основу для написания исследований.

Какая у вас специализация? Почему именно она?

Моя специализация — это сетевая безопасность и сетевой инжиниринг.

Моя основная фаза развития в области IT началась с 16 лет и именно вместе с сетевым оборудованием, поскольку тогда я поступил в колледж на направление ССА, и под рукой было огромное количество сетевого оборудования, которое привлекало меня своей сложностью и механикой работы.

Я бы назвал себя человеком, любящим более низкие уровни, такие как канальный и сетевой уровень.

На OFFZONE вы представили авторское исследование по оборудованию фирмы MikroTik, расскажите о нём в общих чертах? Это отдельное исследование, или оно входит в серию исследований о сетевых устройствах различных фирм?

Оборудование MikroTik является крайне популярным в продакшне, о безопасности которого я и хотел рассказать коммьюнити. У RouterOS очень мощный спектр функций, однако он всё ещё далёк от идеала и в нём отсутствуют достаточно важные механизмы безопасности, такие как DAI, SAVI, RA Guard, Port Security и др. RouterOS хорош, но разработчикам еще есть над чем поработать.

Я публикую свои работы под франшизой «Nightmare» и работа про оборудование MikroTik не является первой в этой серии. Всё началось с моего исследования «Cisco Nightmare», в котором я рассмотрел основные недостатки безопасности, и как их могут абьюзить пентестеры. Эта франшиза будет продолжаться, я уже работаю над исследованиями про других вендоров.

Устройства MikroTik выбраны, потому что их много используют в нашей стране?

На самом деле данную тему я выбрал ещё полтора года назад, да и с оборудованием MikroTik я работал достаточно долго, чтобы иметь компетенцию для написания этой работы.

И да, они очень популярны в сетях продакшена, я надеюсь, моя работа «MikroTik Nightmare» подарит ещё больше осведомлённости в контексте особенностей работы этого оборудования. Всегда здорово писать о том, что является очень востребованным и популярным.

Вы отправляли свои исследования в MikroTik?

Я думал над этим, но пока нет.

Какие ещё фирмы, в чьих устройствах вы находили уязвимости? Эти компании предоставляли вам вознаграждение за найденные уязвимости?

Я не совсем нахожу уязвимости, я делаю акцент именно на мисконфигурациях сетевого оборудования, которые создают Offensive‑векторы для пентестера. Я никогда не участвовал в Bug Bounty в контексте сетевого железа.

Но в ближайшем будущем у меня большие планы спуститься на уровень ниже для такой вещи, как Reverse Engineering (КУ), именно эта область и является ключом к тому, чтобы находить нестандартные вещи в оборудовании. Я считаю RE высшим пилотажем информационной безопасности.

Российские сетевые устройства вы проверяли на уязвимости? Насколько они безопасны и отказоустойчивы?

С точки зрения исследования безопасности нет, но имею в своём послужном списке опыт работы с оборудованием SNR, ребята делают отличные коммутаторы, которые я использовал для исполнения проектов для заказчиков при построении/миграции сетевых инфраструктур.

На самом деле любое оборудование может быть под высоким уровнем безопасности и иметь функции отказоустойчивости, вопрос лишь интеграции таких решений в корпоративные сети. Нет разницы, какой вендор и в какой стране оборудование сделали. Всё зависит от квалификации инженера и особенностей сетевой инфраструктуры.

Очень советую почитать его статьи про MikroTik (раз, два). Довольно интересное большое исследование. Кстати, это не последний материал по мотивам выступления на OFFZone. Кроме интервью хакера Caster и Андрея Лёвкина будет ещё материал про мошеннические кол‑центры.

Подводя итоги фестиваля, хочется отметить двоякость мероприятия. С одной стороны, было много интересных активностей, как на подумать, так и на развлечься. С другой стороны, было очень много людей. И это сильно портило впечатление. Например, аддоны для бейджей от BI.ZONE закончились в середине первого дня, утки тоже. Или уже во второй половине первого дня в очереди на тату закончилось место, и ответственные за активность говорили всем желающим, что в лист ожидания им можно попасть, но шансов получить татуировку особо нет. Или, к примеру, чтобы купить еду в фудкорте, приходилось отстаивать огромную очередь, поэтому часть гостей просто заказывала доставку еды.

Ещё некоторые посетители в толпе жаловались на темы докладов, сравнивая с прошлыми конференциями. Им не хватало серьёзности и глубокого погружения в тему («хардкорности»). Мне же, наоборот, это помогло найти две идеи для материала.

Что же до оценки активностей, то тут мнения разделились: кто‑то из посетителей считал, что нужны узкопрофильные ИБ‑активности, а кто‑то наоборот пришёл расслабиться и пообщаться со знакомыми под лёгкие игры.

Организаторы заявили, что в 2023 году OFFZONE посетило 2,5 тысячи человек, а активностей для посетителей было 33, плюс лекции. Даже с учётом двух дней и того, что не все 2,5 тысячи пришли сразу, всё равно небольшие площади лофта и небольшое количество активностей могли вызвать негатив у людей. Возможно, что OFFZONE перерос уже просто небольшой фестиваль «для своих» и ему уже стоит становиться полноценным фестивалем ИБ и разделять активности и лекции на популяризаторские и профильные. Не буду ничего советовать организаторам, это так, мои мысли. Думаю, организаторы сами решат. Надеюсь, я смог рассказать о фестивале достаточно полно.

Назад