📝Начали подъезжать райтапы по заданиям для отборочного тура CTFZone. Сегодня мы рады представить вашему вниманию текст, посвященный таску In the Shadows: https://habr.com/ru/company/bizone/blog/486390/

⚠️Закрыли общий CFP, но у тех, кто не успел подготовить заявку к 1 февраля, еще есть шанс.

📝Продолжается набор докладов для Finance.Zone. Главные требования: выступление должно быть ориентировано на технических специалистов и иметь прямое отношение к кибербезопасности в области финансов.

Подробнее о требованиях к докладу: https://offzone.moscow/ru/finance-zone/

Готов прототип бейджа для OFFZONE 2020. Расскажем о некоторых фишках:
📌 Как и на предыдущих конференциях, бейдж будет кошельком для OFFCOIN — внутренней валюты OFFZONE.
📌 На бейдже будет ряд тасков, решение которых принесет немного OFFCOIN и славы.
📌 Участники конференции смогут изменять внешний вид своего бейджа.
📌 Возможности апгрейда ограничены лишь фантазией и спецификацией коннектора Shitty Add-On V1.
Подробности – https://habr.com/ru/company/bizone/blog/487226/

🏠Для иногородних участников OFFZONE 2020 у нас есть небольшой, но приятный бонус: скидки в двух гостиницах на 15–19 апреля.

Отель Maxima Panorama hotel — скидка 25%.
7 мин до конференции пешком.
Ближайшая станция метро:
✔️Автозаводская (100 м)

Отель Palmira business club — скидка 15%.
15 мин до конференции на такси / каршеринге.
Ближайшие станции метро:
✔️Нагатинская (1,4 км)
✔️Тульская (1,3 км)
✔️Павелецкая (3,8 км)

Чтобы воспользоваться скидкой, напишите нам на [email protected], и мы с радостью поможем вам!

🔥️️Еще остались свободные слоты на доклады Hardware.Zone!

Если вы давно работаете над собственным исследованием на тему (без)опасности в области железа и электроники, но ждали подходящего момента, чтобы рассказать миру о ваших открытиях, не упустите шанс сделать это на OFFZONE 2020!

Мы приглашаем всех любителей хакерского железа стать спикерами OFFZONE:

▪️выступить с лекцией на тему аппаратной безопасности;
▪️провести мастер-класс в рамках Hardware.Zone.

Мы будем рады как опытным хардварщикам, так и начинающим энтузиастам. Все заявки можно направить нам на [email protected].

Не уверены, подойдет ли ваша тема? Посмотрите, какие доклады и активности проходили на Hardware.Zone в 2019 и 2018 годах, или сразу пишите нам!

⚡️Tattoo.Zone

Когда мы задумали сделать пространство, где можно будет набить тату в стиле постапокалипсиса прямо во время конференции, мы и представить не могли, что Tattoo.Zone станет одной из самых востребованных локаций на OFFZONE.

В итоге за две конференции мы создали 36 произведений постапокалиптической нательной живописи.

Одна из фишек Tattoo.Zone — специальная татуировка с символикой OFFZONE, которая дает право бесплатного прохода на все последующие конференции OFFZONE, а также speaker party.

Первыми счастливыми обладателями таких тату стали Александр Малышев и Владимир Иванов. В преддверии OFFZONE 3.0 мы решили поговорить с ребятами, а заодно проверить, на месте ли тату.

Полное интервью по ссылке:
https://offzone.moscow/ru/tattoo-zone/

Ищем спикеров на AppSec.Zone!
 
➡️У вас есть исследование на тему построения безопасной архитектуры для приложений?
 
➡️Вы разрабатывали процессы, интегрировали механизмы или внедряли инструменты для построения SDLC?

➡️Вы находили секьюрити-особенности в библиотеках языков программирования или клевые баги во время bug bounty? 

Не упустите шанс рассказать об этом на OFFZONE 2020! 

Мы рады всем, кому небезразличны вопросы безопасности приложений. Направляйте заявки на [email protected] или напрямую @tr3ska.

Не уверены, подойдет ли ваша тема? Посмотрите, какие доклады были на AppSec.Zone в 2019 году, или сразу пишите нам!

Подробнее: https://offzone.moscow/ru/appsec-zone/

Тем временем подъехали первые доклады! Must visit для пользователей Android 😉
 
Эксперты из Google Евгений Родионов и Кайли Макробертс расскажут об особенностях мобильного фишинга. 
 
При реализации таких атак вредоносные приложения используют различные методы обхода средств защиты для кражи парольной или финансовой информации. 

Евгений и Кайли подробно разберут некоторые техники, с которыми они столкнулись при анализе вредоноса. 
 
Вы узнаете из первых уст, что делает Google для противодействия подобным угрозам. И, главное, что можем сделать мы все, чтобы Android стал еще безопаснее.
 
А в качестве шпаргалки, три основных вектора атак на банковские и финансовые приложения под управлением этой ОС от Google: 
 
✔️кража временных паролей;
✔️кража логина / пароля или данных кредитной карты;
✔️неавторизованные платежи. 
 
Подробности на #OFFZONE2020

Для некоторых это уже не секрет, но теперь пора узнать всем:

DC группы со всей страны объединяются на предстоящем OFFZONE и нас будет много!
Мы собираемся зажечь и призываем вас помочь нам!
Не успели в основной список докладчиков? Есть что-то в закромах, что стоит рассказать? Самое время заявить о себе!

У нас можно: выступить с докладом, показать мастер-класс, скооперироваться для организации квеста и даже разложить стенд!

Заполняй форму и мы свяжемся с тобой!

🔥️️️🔥️️️🔥️️️А мы продолжаем знакомить вас со спикерами первого трека!

В идеальном мире сторонний софт не должен давать возможность повышения привилегий злоумышленнику. Однако современный мир по-прежнему не идеален, и софт, который, как, казалось бы, не должен иметь привилегированного доступа, может стать причиной повышения привилегий на вашем компьютере. Именно такое исследование и провел Василий Кравец, тимлид из команды «Перспективного мониторинга».

Во время своего доклада он расскажет о новых найденных уязвимостях в Steam, Origin и Abbyy FineReader.

Исследователь поделится практическими советами, как находить и исправлять такие уязвимости, а также как наладить взаимодействие с вендором, чтобы не превратить его в боль.

#OFFZONE2020

Друзья, это решение далось нам нелегко.

Мир OFFZONE, участники которого успешно борются с угрозами киберпространства, не смог устоять перед угрозой биологической. Мы вынуждены сообщить, что OFFZONE 2020 переносится в связи с эпидемией коронавирусной инфекции (COVID-19). Новые даты мероприятия мы озвучим после стабилизации ситуации в мире.

Почему так произошло?
В этом году практически половина спикеров OFFZONE 2020 должна была приехать из-за рубежа. Сейчас большинство этих стран попадает под карантин по прибытии в Россию. Кроме того, 7 из 10 команд, участвующих в финале соревнований CTFZone, также сталкиваются с трудностями выезда из своей страны.

Что будет с CTFZone?
Соревнования пройдут в апреле в онлайн-режиме с трансляцией в социальных сетях конференции на русском и английском языках. Мы сохраняем обязательства перед участниками турнира и призовой фонд в $18 000. Победители смогут принять участие в финале DEF CON CTF.

Что мне делать с билетом?
Все, кто приобрел билеты на OFFZONE 2020, смогут по ним посетить мероприятие в новые даты или вернуть 100% от стоимости. Для преданных участников мы подготовили сюрприз: несданный билет, купленный до 12 марта 2020 года, дает право на эксклюзивную футболку.

Мы приносим искренние извинения в связи со сложившейся ситуацией и не прощаемся. В ближайшее время расскажем о новых активностях OFFZONE в сети. По всем вопросам можно обращаться на [email protected].

🔥🔥🔥Write-up CTFZone Quals 2019: Chicken

Несмотря на перенос конференции OFFZONE 2020, финалу соревнований CTFZone быть! В этом году он впервые пройдет в онлайн-режиме и будет активно транслироваться в социальных сетях.
О подробностях объявим позже, а пока предлагаем изучить райтап веб-таска с отборочного этапа. Разбор решения нам прислал Devand MacLean из Канады. Специально для «Хабра» мы сделали перевод и приглашаем узнать, с какой цепочкой уязвимостей столкнулись участники и при чем здесь курица.

https://habr.com/ru/company/bizone/blog/492222/

Бейдж OFFZONE 2020 — результат нашей бурной, иногда даже слишком, фантазии. 🙃 И в этом году он должен был стать главным рупором CTFZone. Но нет.

Рассказываем полную безумия и боли историю, как в процессе создания бейджа мы

📌боролись за эргономику,
📌добывали компоненты при закрытых границах,
📌использовали магию DIY против дефицита.

И, конечно, о том, какие обстоятельства оказались сильнее нас.⬇️
https://habr.com/ru/company/bizone/blog/493644/

Онлайн-финал соревнований CTFZone 2020 пройдёт уже на следующих выходных!

Соревнования начнутся 25 апреля в 15:00 мск (12:00 UTC) и продлятся ровно 24 часа.

Десять команд из разных уголков мира сразятся в битве Attack/Defense не только за звание победителя CTFZone 2020, но и за право показать себя в финале DEF CON CTF!

Держать вас в курсе происходящих событий будем в твиттере: twitter.com/ctfzone

Save the date!

💫Финал CTFZone 2020 done!

Поздравляем победителей!
🥇 mslc (Россия) — 10 000 $
🥈 Bushwhackers (Россия) — 5 000 $
🥉 A*O*E (Китай) — 3 000 $

Пожелаем удачи mslc! Именно им предстоит сразиться с сильнейшими в мире командами в финале DEF CON CTF.

🔥Мы знаем, что вы будете делать 22–23 апреля 2021 года

На сроки постапокалипсиса IRL мы повлиять не можем. Но дату постапокалипсиса в стенах отдельно взятой конференции по кибербезопасности мы уже назначили.

Ждем всех 22 и 23 апреля следующего года на OFFZONE 2021 в Москве (можете не проверять, это четверг и пятница;)

Все обещания в силе:
— если вы сохранили билет на OFFZONE 2020, вы сможете по нему посетить OFFZONE 2021;
— если сохраненный билет был куплен до 12 марта 2020 года, при встрече мы подарим вам эксклюзивную футболку;
— если новые даты не подходят, вы можете сдать билет и вернуть 100% от его стоимости до 21 марта 2021 года включительно.

Даты — в календарь, ожидание — на максимум, отсчет пошел 🧟‍♂️

Если бы в апреле этого года был OFFZONE, вы смогли бы вживую следить за борьбой топовых команд мира на финале CTFZone. Правда, от переноса турнира в онлайн зрители мало что потеряли: самое интересное на CTF все равно видно только участникам. Так что у нас отличная новость: все, что было в апреле в онлайне, теперь можно посмотреть самим без смс и регистрации.

Мы выложили райтапы к таскам финала CTFZone 2020. По ссылкам вас ждут исходники, разборы, а еще истории с кровавыми техническими подробностями о том, как авторы заданий:

➡️Нашли баланс между «хм, нечто новенькое» и «это какая-то жесть», разрабатывая таск по крипте Little Knowledge («Хабр», RUS).

• Самописная криптуха: vulnerable by design, или история одного CTF-таска

➡️Сделали первое полноценное Android-задание для attack-defense CTF, потратив кучу времени на продумывание архитектуры и уворачивание от грабель и костылей. Райтап к Trust Area получился в трех томах (Medium, ENG).

• CTFZone Paper: Trust Area — Backend Part
• CTFZone Paper: Trust Area — Client Part
• CTFZone Paper: Trust Area — Infra

➡️…. (....) ← тут должно было быть описание таска Armworms, но мы решили просто выложить исходники на GitHub. Если что, это таск с визуализацией, где компьютеры сражаются друг с другом в памяти.

В каждом райтапе указаны авторы: если будут вопросы, как что развернуть — смело пишите. И вообще пишите, будем рады обратной связи и предложениям. Keep in touch!

​💥Хотите увидеться через неделю? Приходите на «Похек за 10 (15) минут», который мы проводим в гостях у наших друзей VolgaCTF в Самаре.

VolgaCTF, международные межвузовские соревнования по кибербезопасности, в этом году пройдут в десятый раз. В программе не только CTF-финал, как можно решить по названию, но и два дня конференции, где практическим опытом кибербеза поделятся ведущие эксперты из России и из-за рубежа. (Мы тоже в деле: Иннокентий Сенновский aka Rumata888 представит доклад о фаззинге «Эволюция метода научного тыка».)

Участвовать в конференции можно онлайн. А кто лично приедет в Самару, получит шанс проверить свои хакерские суперспособности на нашем «Похеке за 10 (15) минут».

Напомним правила. Участники шарят свои мониторы через Chromecast и на случайном таске демонстрируют все, чем привыкли пользоваться: инструменты, техники, скилы. Изначально дается 10 минут на решение задания. Нужно дополнительное время? Тогда не обойтись без шота! Максимум, сколько можно выторговать, — 5 минут (ценой пяти шотов). В остальном надежда только на свои силы!

👉Запоминайте даты:
14–18 сентября — VolgaCTF
15–16 сентября — конференция в рамках VolgaCTF
15 сентября — «Похек за 10 (15) минут» и доклад Иннокентия Сенновского

👉За подробностями и регистрацией: @volgactf
До встречи!

Call for Papers для OFFZONE 2021

Постапокалипсис — это круто, а быть голосом постапокалипсиса — еще круче.

Да, мы ищем спикеров!
Нетерпеливым — сюда: offzone.moscow/ru/2021-call-for-papers 

Для терпеливых расскажем, о чем речь.
🧟‍♂️Кто мы: международная конференция по практической кибербезопасности.

📖Кого мы ищем: реальных практиков, экспертов и ресерчеров. У нас не рекламируют вендоров — у нас делятся результатами исследования, рассказывают о лайфхаках и представляют собственный подход к offensive- и defensive-задачам.

📆Дедлайн подачи заявки: 1 февраля.

✅Что делать прямо сейчас:
— подать заявку 
— переслать новость коллегам, друзьям и знакомым из профессионального комьюнити
— сесть за исследование, раз дедлайн через четыре месяца ;)