Информационная служба Хабра во второй раз посетила конференцию OFFZONE. Мероприятие проходило 24 и 25 августа 2023 года в Москве в лофт‑пространстве GOELRO. Эта конференция представляет собой больше неформальное общение между разными специалистами в сфере информационной безопасности. Если Positive Hack Days (PHD) — это городской фестиваль для людей, даже не разбирающихся в ИБ, то OFFZONE — это больше мероприятие для укрепления общения внутри комьюнити. Ну на этом больше сравнений мероприятий не будет. Во‑первых, сам стараюсь не сравнивать мероприятия, во‑вторых, обзор существует не для сравнения, а для рассказа об этом мероприятии.
Начну опять не по традиции — с активностей. Их было много, причём как вполне подходящих под слово «лаундж», так и таких, где надо было подумать. За выигрыш в активностях можно получить какой‑то мерч. Сами они имели условную направленность, связанную с ИБ, но больше были развлекательными. Все, кто участвовал в активностях, автоматически участвовали в сквозном OFFZONE‑квесте, идущем через все активности. За участие в них посетителям на стендах начисляли очки под названием offcoin. Могу не упомнить всех активностей, но постараюсь осветить побольше.
Самая, пожалуй, сложная для меня активность — это Куб. В одном из павильонов стоял куб в оформлении, вдохновлённом вселенной SCP. На сайте OFFZONE в этом стиле также была оформлена страница Куба. Его необходимо было взломать, чтобы выяснить все секреты.
Ну и так как есть отсылка к SCP, то описание Куба тоже в стиле этой вселенной. Есть «объект» с известными характеристиками, места его обнаружения и отчёты наблюдений и изучений. Поучаствовать в «изучении объекта» могли все, кто взял с собой ноутбук. В отличие от остальных стендов у Куба было свободно.
И да, у стендов было все два дня очень много народу, причём до вечера. Я не люблю очереди, поэтому просто наблюдал со стороны. Тем более, находясь в очереди, можно было не попасть на доклады.
Вернёмся к активностям: на стенде Security Vision надо было решать задачи по IT и ИБ. Они были различной степени сложности.
Потом я направился к стенду «Лаборатории Касперского». У них активность называлась «Миссия Мидори White Hat». Задача участника — проверить инфраструктуру города на устойчивость и выявить все возможные уязвимости. Чем‑то напоминает Standoff от PT, но в уменьшенном варианте.
После «Лаборатории Касперского» я отправился к стенду компании «ГАРДА». Там была «Кибердуэль». В рамках дуэли нужно было защитить кибервселенную от угроз.
Как и на прошлых фестивалях, на этом была крафтовая зона. Традиционно в этой зоне можно было самостоятельно поработать, обменяться опытом с коллегами или научиться держать паяльник, паять несложные вещи, выяснить, зачем нужен флюс и что такое припой. Как и в прошлый раз, в крафтовой зоне можно было спаять аддон и приделать его к бейджу. Кстати о них, в этот раз бейджи опять были уникальные, у нас на сайте есть обзор бейджа с прошлого OFFZONE. Кроме создания самостоятельного создания аддоны выдавали на стендах за активности. Бейдж тоже был сделан в виде того самого Куба, вдохновлённого «объектами» SCP.
Рядом с крафтовой зоной располагался стенд «Кибердома». Тут особых активностей не было (всего несколько заданий по заполнению буклета) зато был самовар и алкогольные напитки для посетителей.
После стенда «Кибердома» я отправился в ещё один павильон с несколькими стендами от разных компаний. Там были два игровых автомата. Для игры в них нужны были специальные жетоны. Их надо было получить на стенде компании BI.ZONE за подписку на их социальные сети. Как я говорил, автоматов было два. Первый — это автомат с мягкими игрушками, где нужно специальной «рукой» схватить игрушку и донести до отверстия, такие раньше стояли в различных магазинах, да и сейчас стоят. Игрушки в автоматах были бизон и жук. Мне удалось выиграть жука. Второй — это автомат с пневматическим устройством, выбивающим вещи на полке. Такие тоже можно встретить в магазинах и на вокзалах, обычно там лежат телефоны, часы и другие вещи. В автомате на OFFZONE были чёрные уточки с логотипом BI.ZONE. Однако, когда я захотел выиграть уточку, они закончились.
В этом же павильоне был стенд, где посетителям предлагалось вскрыть разные замки или выбраться из наручников. Часть замков висела на большом кубе. Рядом с наручниками и замками находились столы с настольными играми.
Далее в павильоне была игра Hack in 15 minutes. Как и в 2022 году, участник должен был взломать систему за 15 минут, если ему требуется дополнительное время, надо выпить шот алкогольного напитка за каждые 5 минут.
После павильона с автоматами я отправился в павильон Tatoo.Zone. Как можно было понять, здесь расположились татуировщики. В обмен на валюту фестиваля (offcoin) можно было набить татуировку на выбор. Также можно было получить тату дешевле, но выбранную в случайном порядке. Для этого надо было крутить специальное колесо выбора. И да, за набитый логотип OFFZONE можно было получить пожизненный проход на фестиваль и местную валюту. В этом же павильоне располагался стенд издания «Хакер».
Следующим местом, куда я направился, был павильон Game.Zone. Тут местную валюту можно получить за победу в одном из турниров на консолях. Всего было 3 консоли: PS4, PS5 и Game Stick. Соревнования были по файтингам Mortal Kombat, Tekken), гоночному симулятору Hot Wheels и симулятору готовки в ресторане — Overcooked. Мы перечислили самые глобальные и интересные активности конференции.
Потом я отправился в павильон со стендами «Сбера», «Совкомбанк Технологий», «Лиги цифровой экономики», Start X, «Тинькоффа», SWORDFISH SECURITY (возможно кого‑то забыл, прошу прощения). На стенде «Лиги цифровой экономики» проходила викторина с ответами, а на стенде «Совкомбанк Технологий» можно было зарегистрироваться на CTF. На стендах остальных компаний тоже были активности, но очень локальные — быстрые задачи и квесты по различным направлениям в рамках IT и ИБ, взломы систем.
Ну и последний павильон — это крыша, на ней расположилась компания Positive Technologies. Здесь можно было покурить кальян и сыграть в ИБ‑казино в покер. Причём, как в казино, тут был крупье и сыграть можно было с другими игроками.
Ещё до обхода всех активностей я посетил пресс‑конференцию, посвящённую BI.ZONE Bug Bounty. Пересказывать её не вижу смысла, потому что я взял интервью у владельца платформы Андрея Лёвкина. Поэтому, как изменилась платформа за год, можно прочитать в отдельном материале.
Ну что ж, переходим к лекциям. К сожалению, в этот раз я совсем не смог попасть на них. Как и в случае с PHD, на часть лекций было очень много народу и прорваться было сложно. В 2023 году часть докладов была не узконаправленной, а скорее имела общую направленность (популяризационную) ИБ. Надеюсь, их выложат, потому что трансляции лекций предусмотрено не было. Однако мне удалось поймать на OFFZONE хакера Caster и задать ему пару вопросов. Он как раз прочитал лекцию про своё авторское исследование по оборудованию фирмы MikroTik. Ну вот и само интервью:
Расскажите немного о себе.
Я являюсь исследователем и инженером в области сетевой безопасности, выпускаю публикации в жанрах Offensive и Defensive под франшизой «Nightmare».
Вас можно назвать «белым» (этичным хакером)?
Нет, так как это фактически профессия пентестера, которым я не являюсь.
Я думаю, «титул» хакера присваивает тебе ИБ‑сообщество, сам себя назвать хакером не могу.
Ваша деятельность носит больше финансовый или творческий характер?
«Caster» является моим альтер‑эго, с помощью которого я представляю свои исследования. Это исключительно творчество.
Я выпускаю свои работы под вдохновением музыкальных треков, которые создают мне основу для написания исследований.
Какая у вас специализация? Почему именно она?
Моя специализация — это сетевая безопасность и сетевой инжиниринг.
Моя основная фаза развития в области IT началась с 16 лет и именно вместе с сетевым оборудованием, поскольку тогда я поступил в колледж на направление ССА, и под рукой было огромное количество сетевого оборудования, которое привлекало меня своей сложностью и механикой работы.
Я бы назвал себя человеком, любящим более низкие уровни, такие как канальный и сетевой уровень.
На OFFZONE вы представили авторское исследование по оборудованию фирмы MikroTik, расскажите о нём в общих чертах? Это отдельное исследование, или оно входит в серию исследований о сетевых устройствах различных фирм?
Оборудование MikroTik является крайне популярным в продакшне, о безопасности которого я и хотел рассказать коммьюнити. У RouterOS очень мощный спектр функций, однако он всё ещё далёк от идеала и в нём отсутствуют достаточно важные механизмы безопасности, такие как DAI, SAVI, RA Guard, Port Security и др. RouterOS хорош, но разработчикам ещё есть над чем поработать.
Я публикую свои работы под франшизой «Nightmare», и работа про оборудование MikroTik не является первой в этой серии. Всё началось с моего исследования «Cisco Nightmare», в котором я рассмотрел основные недостатки безопасности, и как их могут абьюзить пентестеры. Эта франшиза будет продолжаться, я уже работаю над исследованиями про других вендоров.
Устройства MikroTik выбраны, потому что их много используют в нашей стране?
На самом деле данную тему я выбрал ещё полтора года назад, да и с оборудованием MikroTik я работал достаточно долго, чтобы иметь компетенцию для написания этой работы.
И да, они очень популярны в сетях продакшена, я надеюсь, моя работа «MikroTik Nightmare» подарит ещё больше осведомлённости в контексте особенностей работы этого оборудования. Всегда здорово писать о том, что является очень востребованным и популярным.
Вы отправляли свои исследования в MikroTik?
Я думал над этим, но пока нет.
Какие ещё есть фирмы, в чьих устройствах вы находили уязвимости? Эти компании предоставляли вам вознаграждение за найденные уязвимости?
Я не совсем нахожу уязвимости, я делаю акцент именно на мисконфигурациях сетевого оборудования, которые создают Offensive‑векторы для пентестера. Я никогда не участвовал в Bug Bounty в контексте сетевого железа.
Но в ближайшем будущем у меня большие планы спуститься на уровень ниже для такой вещи, как Reverse Engineering (RE), именно эта область и является ключом к тому, чтобы находить нестандартные вещи в оборудовании. Я считаю RE высшим пилотажем информационной безопасности.
Российские сетевые устройства вы проверяли на уязвимости? Насколько они безопасны и отказоустойчивы?
С точки зрения исследования безопасности нет, но имею в своём послужном списке опыт работы с оборудованием SNR, ребята делают отличные коммутаторы, которые я использовал для исполнения проектов для заказчиков при построении/миграции сетевых инфраструктур.
На самом деле любое оборудование может быть под высоким уровнем безопасности и иметь функции отказоустойчивости, вопрос лишь интеграции таких решений в корпоративные сети. Нет разницы, какой вендор и в какой стране оборудование сделали. Всё зависит от квалификации инженера и особенностей сетевой инфраструктуры.
Очень советую почитать его статьи про MikroTik (раз, два). Довольно интересное большое исследование. Кстати, это не последний материал по мотивам выступления на OFFZONE. Кроме интервью хакера Caster и Андрея Лёвкина будет ещё материал про мошеннические кол‑центры.
Подводя итоги фестиваля, хочется отметить двоякость мероприятия. С одной стороны, было много интересных активностей, как на подумать, так и на развлечься. С другой стороны, было очень много людей. И это сильно портило впечатление. Например, аддоны для бейджей от BI.ZONE закончились в середине первого дня, утки тоже. Или уже во второй половине первого дня в очереди на тату закончилось место, и ответственные за активность говорили всем желающим, что в лист ожидания им можно попасть, но шансов получить татуировку особо нет. Или, к примеру, чтобы купить еду в фудкорте, приходилось отстаивать огромную очередь, поэтому часть гостей просто заказывала доставку еды.
Ещё некоторые посетители в толпе жаловались на темы докладов, сравнивая с прошлыми конференциями. Им не хватало серьёзности и глубокого погружения в тему («хардкорности»). Мне же, наоборот, это помогло найти две идеи для материала.
Что же до оценки активностей, то тут мнения разделились: кто‑то из посетителей считал, что нужны узкопрофильные ИБ‑активности, а кто‑то наоборот пришёл расслабиться и пообщаться со знакомыми под лёгкие игры.
Организаторы заявили, что в 2023 году OFFZONE посетило 2,5 тысячи человек, а активностей для посетителей было 33, плюс лекции. Даже с учётом двух дней и того, что не все 2,5 тысячи пришли сразу, всё равно небольшие площади лофта и небольшое количество активностей могли вызвать негатив у людей. Возможно, что OFFZONE перерос уже просто небольшой фестиваль «для своих» и ему уже стоит становиться полноценным фестивалем ИБ и разделять активности и лекции на популяризаторские и профильные. Не буду ничего советовать организаторам, это так, мои мысли. Думаю, организаторы сами решат. Надеюсь, я смог рассказать о фестивале достаточно полно.