Совсем недавно мы объявили о возвращении ZeroNights и получили яркий отклик. Спасибо всем! Это заряжает делать конференцию масштабнее — ведь ее ждут
🔠🔠🔠

Сейчас мы работаем над программой и принимаем заявки на доклады как Offensive, так и AppSec/SecOps направленности в формате Call For Papers по ссылке: Хочу выступить на ZeroNights c докладом! 🔥

А еще понемногу на сайте появляются коллеги, которые помогают нам освещать события вокруг ZeroNights, планируют создать для вас интересные активности на площадке и сделать мероприятие более эффектным и разнообразным.

Стать частью нашего общего движа можно в качестве:

— Комьюнити-партнера
— Информационного партнера
— Партнера конференции
— Другие идеи — тоже можно! 👀

Чуть подробнее вы можете узнать здесь 🔥

Оставить заявку на сайте

ZeroNights X прошел ровно 4 года назад, 25 августа 2021 года!

Can you imagine? 🥺

2021 год стал для ZeroNights особенным, так как он ознаменовал десятилетний юбилей конференции. Своими поздравлениями тогда поделились наши организаторы и участники 💥 Собрали для вас некоторые из них!

Смотрим — ностальгируем 🍿

CFP: Времени до дедлайна все меньше

Хотели бы напомнить, что до окончания приема заявок на доклады осталось не так уж много времени 🤔

А также расскажем, что получает спикер конференции ZeroNights 2025:

✈️ Крутой набор эксклюзивных спикерских подарков;
✈️ Компенсацию транспорта — если вы едете на конференцию из другого города;
✈️ Компенсацию проживания на время проведения конференции — для гостей Петербурга.

🔥 В случае выступления с докладом, который ранее нигде не звучал, вас ждет еще и материальное поощрение 😏

Подавайте заявку уже сейчас! И увидимся лично на конференции 26 ноября ⚡️

🔥 Старт продаж билетов на ZeroNights 2025 🔥

Осталось всего два месяца до конференции. Пора покупать билеты! 🐆

Мы реализуем несколько категорий билетов, в том числе со спикер-пати — вечерней программой, где будут присутствовать спикеры. Это отличная возможность провести время в компании докладчиков, обсудить интересующие вопросы кибербезопасности в неформальной обстановке.

⬆️ Студентам

Эта категория билетов рассчитана на учащихся бакалавриата, специалитета и магистратуры только очной формы обучения.
В день конференции купившим этот тип билета обязательно нужно взять с собой студенческий. Без этого на площадку вас не пустят.

⬆️ Физическим лицам

Это категория для всех желающих принять участие в конференции. Вы можете приобрести билет со спикер-пати или без.

⬆️ Юридическим лицам

Это входной билет для сотрудников компаний. Если вы участвуете в конференции в качестве делегата и вам необходимы документы, такие как счет и закрывающий акт, то выбирайте этот тип билета. Вы можете приобрести билет со спикер-пати или без.

Помните, что конференция 18+! Пожалуйста, возьмите с собой паспорт, чтобы при необходимости подтвердить свой возраст 1️⃣8️⃣➕

Увидимся 26 ноября в Санкт-Петербурге на площадке LOFT HALL#7!

Купить билет

VK поддерживает ZeroNights 2025 🤩

У нас мега крутая новость, которой мы с удовольствием делимся с вами — конференция ZeroNights в этом году проходит при участии 🌐!

Есть слухи, что ребята готовят немало невероятных активностей на площадке для гостей ZN!

Ждите анонса с подробностями… 🤝

Как получить инвайт? Решите HackQuest перед ZeroNights 🔓

HackQuest — это традиционный хакерский квест перед конференцией ZeroNights, суть которого — решить задачи ИБ, например, найти уязвимости в веб-приложениях, отреверсить, взломать телефон, провести пентест.

⚡ Квест начнется в эту пятницу, 17 октября, в 20:00 (МСК) ⚡

Победители этого квеста получат 🎁 инвайт на конференцию ZeroNights 2025 и попадут в Зал Славы.

Правила HackQuest 2025

🤝Прочитать подробности и принять участие в HackQuest можно на сайте: hackquest.zeronights.org.

По всем вопросам: [email protected]

Осталось всего 3️⃣ часа до старта нашего традиционного хакерского квеста HackQuest!

🟢HackQuest будет длиться неделю — до 20:00 (МСК) часов 24 октября
🟢Каждый день в 20:00 (МСК) будет открываться новое задание, на решение которого отводится 24 часа
🟢Лучшие игроки получат инвайт на конференцию ZeroNights 2025!

Правила участия подробно по ссылке.

🟩 Принять участие в HackQuest: hackquest.zeronights.org 🟩

Стратегический партнер конференции ZeroNights — ГК «Солар», архитектор комплексной кибербезопасности 🤝

☀️ «Солар» ☀️ — архитектор комплексной кибербезопасности. Здесь о технологиях, инструментах и людях, которые защищают российский бизнес от кибератак.

Все каналы: https://t.iss.one/addlist/j2Jbz8d7azZhMTVi

HackQuest: итоги 👍

Хакерский квест HackQuest ZeroNights 2025 проходил с 17 по 24 октября.
1052 попыток сдать флаг, 68 флагов успешно сдано 💪

Список 🟩победителей🟩 которые получат билеты на конференцию ZeroNights и уже попали в Зал Славы:

День 1: darkside
День 2: yanikita
День 3: vos
День 4: troubleshoot
День 5: Reworr
День 6: pavkir
День 7: AtomCenter

Стоит также отметить, что участник под ником vos решил первым три задачи из семи – абсолютный победитель 😎 А disasm_me_ch собрал проходку из двух третьих мест и одного второго.

В этом году таски для вас готовили: VolgaCTF, DSEC by Solar, B4CKSP4CE, crytech7, rawrd channel, Akiba Hackspace, SPbCTF

Надеемся, вам пришелся по душе HackQuest этого года.
Ждем всех 26 ноября на конференции ZeroNights 2025! ⚡️

🚨 Первые доклады уже на сайте! 🚨

Мы начинаем публиковать доклады, которые вы сможете послушать на ZeroNights 2025! Ловите первые три выступления для секции Offensive Track. Она охватывает темы использования современных техник взлома для проведения продвинутых кибератак, обнаружения уязвимостей в устройствах и приложениях, а также способы их эксплуатации.

🔝🔝🔝

"Скользкий мамонт - препарируем нашумевший вирус под Android" — Павел Васильев

Разберём увлекательные техники, которые были использованы авторами Android-вируса "Мамонт" для скрытия от статического анализа. Как авторам удалось достичь эффекта, когда установленное приложение может не увидеть система, и не может открыть ни декомпилятор, ни утилиты для работы с архивами? Восстановим код приложения до валидного состояния, декомпилируем и изучим, что же находится под капотом.

"Вредоносные расширения: как ваш браузер работает на атакующего" — Артемий Цецерский

Браузер — наш цифровой рабочий стол. Всё проходит через него: логины, пароли, переписки, финансы. А теперь представь, что внутри него завелся маленький «монстр», который всё это похищает. Страшно?
В этом докладе разберём, как расширения браузера становятся инструментом постэксплуатации и используется для сбора данных, перехвата сессий, проксирования трафика и даже захвата компьютера. Реальные тактики, техники доставки, постэксплуатаци и, конечно же, как с этим всем бороться.

"Истории Kubernetes пентестов: путь через уязвимости" — Сергей Канибор

В докладе поделюсь своим пятилетним опытом проведения пентестов Kubernetes кластеров, а также разберу самые интересные случаи компрометации К8s с помощью уязвимостей. Покажу, как небольшие лазейки превращаются в критические угрозы, и обсудим, какие меры помогут защитить кластер от реальных атак.

Мы будем добавлять доклады по мере их утверждения. Полный вариант программы вы всегда найдете по ссылке на нашем сайте конференции ZeroNights 2025 👍

➡️ Продолжаем публиковать доклады, которые вы сможете услышать уже 26 ноября на ZeroNights 2025 в Санкт-Петербурге!

Итак... ➡️

"NT-хеш пароля внутри Passwordless (Kerberos+PKINIT) в Windows — что? зачем? почему?" — Долбин Николай, Акимов Антон

Все (наверно) знают, как работает онлайн/оффлайн аутентификация в доменной Windows машине по паролю? Можем напомнить... Но никто (наверно) не знает, как работает онлайн/оффлайн аутентификация в доменной Windows машине по смарт-карте? Можем рассказать...
Что может или не может сделать в обоих случаях потенциальный нарушитель, чтобы получить аутентификационную информацию пользователя?

"А че? Как ломать LLM?" — Алексей Морозов

Поговорим про модные LLM-штуки. Рассмотрим разные типы атак, как защищать, и что с этим делать? Представлю инструменты для автоматического и полуавтоматического анализа уязвимостей в ML/LLM. Расскажу забавные кейсы, которые встречались на практике. Покажу пример, как одна LLM ломает другую.

"Когда весь периметр — одна страница: критические уязвимости на простых сайтах" — Алексей Водясов

Расскажу несколько кейсов, на что стоит обратить внимание при пентесте простых одностраничных сайтов. Как в "безвыходной" ситуации сделать крит.

Надеемся, вы уже закончили рабочий день! 🤪 Потому что пришло время остановить мгновенье и узнать, какие еще доклады будут на Offensive Track конференции ZeroNights 2025

"Солевые приключения" — Павел Топорков

Как не уйти с пентеста несолоно хлебавши и найти ту самую рану в инфраструктуре, на которую можно насыпать соль. Рассказ о том, как устроен SaltStack, как его ломать, и в чём его соль, вы услышите на самом солёном докладе "Солевые приключения".

"Что в дашборде твоём? Я просто хотел посмотреть метрики..." — Сергей Гордейчик

Мониторинг — это не только про графики и тихие радости девопса, это и про стремительный pwn. Мы покажем, как через Grafana и, особенно, в связке с Prometheus и прочими k8s можно получить доступ к чувствительным данным, обойти ограничения сети и начать внутреннюю разведку — даже без yet another CVE. Доклад основан на живом исследовании с практическими примерами и тулами.

"Современные авто: от секретов в прошивке ЭБУ до удаленного "окирпичивания" целого автопарка" — Сергей Ануфриенко, Александр Козлов

Все мы в той или иной степени осведомлены о том, что подключенные устройства (IoT) нередко оказываются уязвимыми с точки зрения информационной безопасности. В то же время сегодня значительная часть современных автомобилей является подключенной — имеет связь с облачными сервисами производителя. В нашем докладе мы на конкретных примерах покажем, с какими уязвимостями в автомобильных блоках мы сталкивались в своей работе, какие сценарии атак возможны через доступные интерфейсы (включая СМС сообщения и облачную инфраструктуру) и какие последствия это может иметь для безопасности и эксплуатации транспортных средств.

Мы будем добавлять доклады по мере их утверждения. Полный вариант программы вы всегда найдете по ссылке на нашем сайте конференции ZeroNights 2025 👍

Пятница ненастоящая, а вот наши доклады для грядущей конференции по кибербезопасности ZeroNights 2025 — вполне себе! 👍

Вот пруфы-подробности ➡️➡️➡️

"Успешные ошибки: новые техники Code Injection и SSTI" — Владислав Корчагин

В данном исследовании будут представлены две такие техники для внедрения кода и SSTI: error-based и boolean error-based blind. Я продемонстрирую полезные нагрузки для пяти языков программирования: Python, PHP, Java, Ruby и NodeJS. Кроме этого, я расскажу об особенностях универсального обнаружения уязвимостей при помощи данных техник, что позволит эффективно автоматизировать выявление слепого внедрения.

"Горшочек, не вари! Истории про Web3-ловушки" — Азерский Владислав, Николай Микрюков

Смарт-контракты, которые только притворяются уязвимыми... В нашем докладе мы рассмотрим существующие и ранее применявшиеся в Web3 трюки децентрализованных ханипотов.

"Обфускация LDAP запросов" — Владимир Ротанов

LDAP — один из основных протоколов на этапе разведки при атаке внутреннюю сеть. В докладе разберем, какие есть способы обнаружения разведки при помощи данного протокола, какие есть способы модификации LDAP-запросов, чтобы это обнаружение избежать, и что из этого работает в реальности.

Мы будем добавлять доклады по мере их утверждения. Полный вариант программы вы всегда найдете по ссылке на сайте конференции ZeroNights 2025 👍

Админы канала закрывают ноутбуки и желают всем хорошо отдохнуть на длинных выходных! 😎 Но перед этим — еще немного о том, какие доклады спикеров ZeroNights 2025 ждут вас на Offensive Track 26 ноября в Санкт-Петербурге.

"От А до Бутрома: уязвимости в цепочке загрузки SoC Kirin и Balong" — ValdikSS

Доклад расскажет об уязвимостях BootROM, присущих модемам всего семейства Huawei Balong за последние 12 лет (включая модели с поддержкой 5G), а также смартфонам на процессоре Kirin 980 (2019).

"On the Dark Side of Java: features, vulnerabilities, backdoors" — Алексей Москвин, Даниил Садырин

В докладе будет представлена новая техника анализа Java-приложений, которая не только открывает большие возможности при пентестах, но также показывает, что имеющиеся сейчас SAST/SCA инструменты абсолютно не гарантируют, что безопасная разработка не превратится в разработку Backdoor-ов. Мы приведем ряд шокирующих примеров, которые заставят по-новому посмотреть на всю Maven экосистему в целом.
Доклад будет полезен как пентестерам, так и AppSec-ам и DevSecOps-ам.

Программа еще формируется. Все принятые на данный момент доклады вы найдете по ссылке на сайте конференции ZeroNights 2025 👍

⬆️ SecOps Track — Go! ⬆️

Начинаем примешивать к Offensive-докладам темы с нашего второго трека. Спикеры, которых вы услышите со сцены🟩SecOps Track🟩 поговорят о реальных кейсах SecOps, о стратегии AppSec и о рабочих подходах к безопасной разработке. Со сцены конференции о кибербезопасности ZeroNights 2025 будут звучать доклады о практической защите на всех уровнях — от кода до инфраструктуры.

Итак, первые пошли!

"DisTrolles. Мал контейнер, да дорог" — Иван Горюшкин

Distroless образы — это компактно, безопасно и быстро, но не всегда, не везде и не для всех. В докладе детально разберём преимущества и недостатки перехода на Distroless, дадим практические рекомендации по внедрению и анализу безопасности. На конкретных примерах разберёмся, как и когда оправдано использование этой технологии.

"Плагины атакуют! Изучаем функционал вредоносных расширений для Visual Studio Code" — Станислав Раковский

Visual Studio Code Marketplace + несколько антивирусов + песочница = всё равно небезопасно?
Спикер расскажет о кампаниях, в рамках которых злоумышленникам удалось опубликовать вредоносную нагрузку в магазине расширение VSCode, несмотря на комплекс превентивных мер, которые использует Microsoft для защиты своих пользователей.

"Спидраннеры — это white hat hacker’ы от мира геймдева" — Владислав Павловский, Станислав Косолапов

Спидраны в 2025 году — это большая сформировавшаяся культура, в которой люди на чистом энтузиазме готовы пойти на любые трюки, которые позволят сократить время прохождения игры. И в какой-то момент кажется, что они зашли в своём стремлении настолько далеко, что порой буквально используют те же техники и инструменты, что и пентестеры и реверс-инженеры при анализе сайтов и программ. В рамках этого выступления инженер в сфере кибербеза и лидер российского спидран-сообщества объединились, чтобы вместе рассмотреть этот феномен — от входа в сферу до передовых решений по реверс-инженерингу и автоматизации!

Программа еще формируется. Все принятые на данный момент доклады вы найдете по ссылке на сайте конференции ZeroNights 2025 👍