Welcome to OFFZONE 2.0

17–18 июня 2019

Зоны докладов

AppSec.Zone Все о безопасности веб-приложений

Hardware.Zone Все о железе, аппаратных атаках и анализе радиоэфира

Finance.Zone Все о безопасности в финансовых сервисах

Tool.Zone Живые демонстрации от разработ-чиков offensive/defensive-тулзов для арсенала безопасников

Москва 2049 Прошло полгода. По всему миру выжившие ученые и эксперты внутри своих убежищ создают специальные лаборатории, где возрождают технологии. Уцелевшие остатки «железа» служат трофеями для восстанов-ления компьютеров, интернета нет, самые востребованные специалисты — те, кто уме-ет работать в консоли. Одно из таких мест — в Москве, на площадке ЦДП. Это лаборато-рия OFFZONE. Добро пожаловать!

Keynote-спикеры

17 июня

18 июня

CTF-тренинг: введение в атаки по побочным каналам

Александр МатросовГлавный исследователь по взлому прошивок и железа, NVIDIA

Сергей ИвановНезависимый исследователь по информационной безопасности

Родриго Бранко Главный исследователь безопасности, Intel

Роман КоркикянЭксперт по безопасности, Kudelski Group

1st Track

2nd Track

Воркшоп по введению в разработку эксплоитов

Fast track

Offcoin

Где получить очки Offcoin

Для участников и гостей конференции подготовлены активности, за участие в которых начисляются очки Offcoin.

CTFZONE: Hackquest Большой квест от создателей CTF

Game.ZoneИграем в консоли, участвуем в киберспортивных турнирах

Tattoo.ZoneДелаем тату в постапокалиптиче-ском стиле

BI.ZONE Решаем задачи разной сложности и участвуем в «Похек за 10 (15) минут» на стенде компании BI.ZONE

IoT.Zone Ломаем умные устройства

Craft.Zone Задания с бейджем конференции

Где потратить

Правила

Очки начисляются на бейдж конференции, который участник получает на стойке регистрации в обмен на билет.

Баланс бейджа можно проверить в специальном терминале. Очки Offcoin не могут быть переданы другим участникам.

Если гость нарушит правила участия в активностях, баланс его бейджа с накопленными очками Offcoin будет обнулен, а сам бейдж — заблокирован.

Полученные очки Offcoin можно обменять на сувенирную продукцию с логотипом конференции в нашем магазине.

Подробное описание конкурсов: https://offzone.moscow/ru/offcoin/

Карта OFFZONE

2nd Floor

1st Floor

2

4 56

67

10 1st Track

Условные обозначения

AppSec.Zone

Tattoo.Zone

Speaker.Zone

Hardware.Zone

Lounge.Zone

Game.Zone

IoT.Zone

CTFZONE: Hackquest

Tool.Zone

Finance.Zone

Craft.Zone

Offcoin

1

1

2

3

3

4

5

6

7

8

8

9

9

10

11

11

2nd Track

17 июня1st Track 2nd Track Hardware.Zone AppSec.Zone Tool.Zone Finance.Zone

11:00 Открытие

11:10 Эволюция сложных угроз: гонка вооружений между аналитиком и атакующимАлександр МатросовNVIDIA

12:00 Обед Интенсив по введению в разработку эксплоитовСергей ИвановНезависимый исследователь по безопасности

Введение в схемотехнику. Синтез электронных схемАнтон КанышевИнженер-разработчик аппаратного обеспечения

DevSecOps: как сделать бизнес-кейсMark Miller Sonatype

Проект Raw-packetВладимир ИвановDigital Security

13:00 Hunting for abusing of PowerShell Теймур ХеирхабаровBI.ZONE

Side-channel в каждый домЮрий КупашевBI.ZONE

SAST и Application Security: как бороться с уязвимостями в кодеСергей ХреновPVS-Studio

14:00 RED TEAMplate.Собираем собственную Красную АрмиюСофия Марахович Игорь Мотрони Виталий МалкинИнформзащита

Обед Обед

Защита облачных инфраструктур с помощью Cloud Security SuiteJayesh Singh Chauhan Sprinkl

15:00 Атака RIDL (Rogue In-flight Data Load)Stephan van Schaik Sebastian OsterlundVUSec (VU University)

Короткие волны на практикеАлександр Алексеев (R2AUK)Независимый исследователь

Новый взгляд на продуктовую безопасностьДмитрий ДесятковWrike

16:00 Фаззинг для веб-приложений и API на практике Иван НовиковWallarm

CTF-тренинг «Введение в атаки по побочным каналам»Роман КоркикянKudelski Group

Любительское радио: что, как и зачемДаниил ПогореловНезависимый исследователь

Атаки на Android Activity & Intents или с чего стоит начать изучение атак на Android приложенияЕгор БогомоловWallarm

Один фреймворк, чтоб править всеми: фреймворк для сбора сведений об устройствах, подключенных к интернетуАнтоний НиколаевBI.ZONE

17:00 BackSwap — будущее банковского вредоносного кода?Michal Poslušný Peter KalnaiESET

Локпик или тихий взломДанила ЗгонниковНезависимый исследователь

Open Source & Secure develop — миф или реальность?Артем БачевскийАлексей ГуськовНезависимые исследователи

18:00 Уязвимости EvilParcel и их эксплуатация in-the-wild в Android.InfectionAds.1Кирилл Лейфер Dr.Web

1st Track 2nd Track Hardware.Zone AppSec.Zone Tool.Zone Finance.Zone11:00 Открытие

11:10 Эволюция сложных угроз: гонка вооружений между аналитиком и атакующимАлександр МатросовNVIDIA

12:00 Обед Интенсив по введению в разработку эксплоитовСергей ИвановНезависимый исследователь по безопасности

Введение в схемотехнику. Синтез электронных схемАнтон КанышевИнженер-разработчик аппаратного обеспечения

DevSecOps: как сделать бизнес-кейсMark Miller Sonatype

Проект Raw-packetВладимир ИвановDigital Security

13:00 Hunting for abusing of PowerShell Теймур ХеирхабаровBI.ZONE

Side-channel в каждый домЮрий КупашевBI.ZONE

SAST и Application Security: как бороться с уязвимостями в кодеСергей ХреновPVS-Studio

14:00 RED TEAMplate.Собираем собственную Красную АрмиюСофия Марахович Игорь Мотрони Виталий МалкинИнформзащита

Обед Обед

Защита облачных инфраструктур с помощью Cloud Security SuiteJayesh Singh Chauhan Sprinkl

15:00 Атака RIDL (Rogue In-flight Data Load)Stephan van Schaik Sebastian OsterlundVUSec (VU University)

Короткие волны на практикеАлександр Алексеев (R2AUK)Независимый исследователь

Новый взгляд на продуктовую безопасностьДмитрий ДесятковWrike

16:00 Фаззинг для веб-приложений и API на практике Иван НовиковWallarm

CTF-тренинг «Введение в атаки по побочным каналам»Роман КоркикянKudelski Group

Любительское радио: что, как и зачемДаниил ПогореловНезависимый исследователь

Атаки на Android Activity & Intents или с чего стоит начать изучение атак на Android приложенияЕгор БогомоловWallarm

Один фреймворк, чтоб править всеми: фреймворк для сбора сведений об устройствах, подключенных к интернетуАнтоний НиколаевBI.ZONE

17:00 BackSwap — будущее банковского вредоносного кода?Michal Poslušný Peter KalnaiESET

Локпик или тихий взломДанила ЗгонниковНезависимый исследователь

Open Source & Secure develop — миф или реальность?Артем БачевскийАлексей ГуськовНезависимые исследователи

18:00 Уязвимости EvilParcel и их эксплуатация in-the-wild в Android.InfectionAds.1Кирилл Лейфер Dr.Web

18 июня1st Track 2nd Track Hardware.Zone AppSec.Zone Tool.Zone Finance.Zone

11:00 О машине изнутри: как Offensive Security определяет способы наших вычисленийRodrigo BrancoIntel

12:00 Статический анали-затор для языка Dart, или как сканировать новый JavaScript Дмитрий ДесятковГригорий СтрельцовWrike

Плагины Burp SuiteДенис РыбинDigital Security

Хакерспейсы: кузницы будущегоАртем ПопцовCADR Hackerspace

Просто о сложном. Типовые уязвимости в ASP.NET семействеАлексей Морозов Независимый исследователь

Mr. SIP: инструмент аудита и атак на основе SIPMelih TasNeslisah Topcu Независимые исследователи

Война. Война никогда не меняется. Как украсть реквизиты мошенников, или как мы боремся с фродомБорис ИвановBI.ZONE

12:30 Дела ажурные: как Microsoft Azure помогает в проведении фишинговой атакиОльга КареловаM-13

13:00 Логические уязвимо-сти браузеровXiaoyin LiuНезависимый исследователь

Анатомия спуфинга элек-тронной почтыАлексей ЕгоровKaspersky Lab

Signal Integrity. Передаем сигнал без ошибокАнтон КанышевНезависимый исследователь

Восстание машинЛеон МайстерCheckmarx

Мониторинг риска и фрода портфеля мерчантов и платежных шлюзов и банков эквайеровСергей ВельцCybertonica

13:30 Методология аудита безопасности смарт- контрактов STOТатьяна МихайловаDeiteriy Lab

14:00 Обед Cборщик данных безопас-ных веб-перехватчиков: поиск паролей в существу-ющих git-репозиториях и push-запросахГеоргий СидоровскийHome credit and finance bank

Обед Обед Обед Банкомат или не былоОльга ОсиповаАлексей ОсиповKaspersky Lab

14:30 Анализ безопасности охранных системАнтон ОстроконскийDeiteriy Lab

15:00 Intel VISA: cквозь кроличью норуМаксим ГорячийМарк Ермолов Positive Technologies

Когда охотник становится жертвойПавел КаннНиколай ТопорковSwordfish Security

Power Integrity. Организация качественного питанияАнтон КанышевНезависимый исследователь

Как построить Secure SDLC без SDLCИван АфанасьевBI.ZONE

KuboltАнтон БулавинКсения АбрамоваSEMrush

Основы хакинга платежных POS-терминаловАлексей СтенниковPositive Technologies

15:30 Уязвимости контроля доступа в API GraphQLНикита СтупинMail.Ru Group

16:00 Take a leak…Алексей ЧерныхРостелеком

Используем «фишечки» Microsoft Advanced Threat Analytics при проведении RedTeamКонстантин ЕвдокимовM-13

Еще немного об уязвимостях в АСУ ТП Борис СавковРостелеком

Как правильно скани-ровать приложения?Омар ГаниевDeteAct

Платежные карты 101Екатерина ПухареваQIWI

16:30 LambdaGuard: безопасность в Serverless AWSАртем ЦветковSkyscanner

17:00 Небезопасные конфигурации таблиц страницАртем ШишкинIntel

0xh0731Артем БачевскийНезависимый исследователь

Очередная уязвимость в реализации xhr для chromeСергей ШекянShape security

Безопасность микропро-цессорных платежных карт. Погружаемся в тему EMV и бесконтактных платежейНикита БулановСбербанк

18:00 Перерыв

18:30 Церемония закрытия

1st Track 2nd Track Hardware.Zone AppSec.Zone Tool.Zone Finance.Zone11:00 О машине изнутри:

как Offensive Security определяет способы наших вычисленийRodrigo BrancoIntel

12:00 Статический анали-затор для языка Dart, или как сканировать новый JavaScript Дмитрий ДесятковГригорий СтрельцовWrike

Плагины Burp SuiteДенис РыбинDigital Security

Хакерспейсы: кузницы будущегоАртем ПопцовCADR Hackerspace

Просто о сложном. Типовые уязвимости в ASP.NET семействеАлексей Морозов Независимый исследователь

Mr. SIP: инструмент аудита и атак на основе SIPMelih TasNeslisah Topcu Независимые исследователи

Война. Война никогда не меняется. Как украсть реквизиты мошенников, или как мы боремся с фродомБорис ИвановBI.ZONE

12:30 Дела ажурные: как Microsoft Azure помогает в проведении фишинговой атакиОльга КареловаM-13

13:00 Логические уязвимо-сти браузеровXiaoyin LiuНезависимый исследователь

Анатомия спуфинга элек-тронной почтыАлексей ЕгоровKaspersky Lab

Signal Integrity. Передаем сигнал без ошибокАнтон КанышевНезависимый исследователь

Восстание машинЛеон МайстерCheckmarx

Мониторинг риска и фрода портфеля мерчантов и платежных шлюзов и банков эквайеровСергей ВельцCybertonica

13:30 Методология аудита безопасности смарт- контрактов STOТатьяна МихайловаDeiteriy Lab

14:00 Обед Cборщик данных безопас-ных веб-перехватчиков: поиск паролей в существу-ющих git-репозиториях и push-запросахГеоргий СидоровскийHome credit and finance bank

Обед Обед Обед Банкомат или не былоОльга ОсиповаАлексей ОсиповKaspersky Lab

14:30 Анализ безопасности охранных системАнтон ОстроконскийDeiteriy Lab

15:00 Intel VISA: cквозь кроличью норуМаксим ГорячийМарк Ермолов Positive Technologies

Когда охотник становится жертвойПавел КаннНиколай ТопорковSwordfish Security

Power Integrity. Организация качественного питанияАнтон КанышевНезависимый исследователь

Как построить Secure SDLC без SDLCИван АфанасьевBI.ZONE

KuboltАнтон БулавинКсения АбрамоваSEMrush

Основы хакинга платежных POS-терминаловАлексей СтенниковPositive Technologies

15:30 Уязвимости контроля доступа в API GraphQLНикита СтупинMail.Ru Group

16:00 Take a leak…Алексей ЧерныхРостелеком

Используем «фишечки» Microsoft Advanced Threat Analytics при проведении RedTeamКонстантин ЕвдокимовM-13

Еще немного об уязвимостях в АСУ ТП Борис СавковРостелеком

Как правильно скани-ровать приложения?Омар ГаниевDeteAct

Платежные карты 101Екатерина ПухареваQIWI

16:30 LambdaGuard: безопасность в Serverless AWSАртем ЦветковSkyscanner

17:00 Небезопасные конфигурации таблиц страницАртем ШишкинIntel

0xh0731Артем БачевскийНезависимый исследователь

Очередная уязвимость в реализации xhr для chromeСергей ШекянShape security

Безопасность микропро-цессорных платежных карт. Погружаемся в тему EMV и бесконтактных платежейНикита БулановСбербанк

18:00 Перерыв

18:30 Церемония закрытия

Где пообедать?

1

4

2

6

5

3

Brioche Barул. Садовая-Черногрязская, 22/1

Европейская кухня, бизнес-ланч от 250 руб. с 12:00 до 18:00

1

Silver’s Irish Pubул. Машкова, 28/20, стр. 1

Европейская кухня, бизнес-ланч от 370 руб. c 12:00 до 16:00

2

Чайхона №1ул. Покровка, 50/2

Восточная, европейская и пан- азиатская кухня, 30% на основное меню с 12:00 до 17:00

3

Мясной бар №7ул. Садовая-Черногрязская, 22/1

Европейская кухня, стейк-хаус, бургеры, бизнес-ланч от 450 руб. c 12:00 до 16:00

4

Смайл арт-кафеул. Покровка, 48, стр. 1

Европейская, вегетарианская кух-ня, бизнес-ланч с 12:00 до 17:00

5

Оджухариул. Садовая-Черногрязская, 22/1

Грузинская кухня, 30% на основное меню с 12:00 до 17:00

6

Организатор

Генеральный партнер

Задания с мобильным приложением «Сбербанк Онлайн» на Android

VR-игра «Агент кибербезопасности»

Демонстрация VR-разработок Лаборатории кибербезопасности

Безалкогольный бар

Игра «Морской бой»

Игра «Где логика»

Telegram-квест с розыгрышем мерча

Прямая трансляция из Finance.Zone и AppSec.Zone

Фотобудка

Зарядный шкаф

Стратегические партнеры

Конкурс Voice Attack с биометрическими заданиями

Хакерская викторина с розыгрышами элитных подушек и промокодами для участия в Bug Bounty

Партнеры

Задания по обходу системы распознавания лиц

Конкурс фотографий в Instagram

Конкурс с балансбордом

Демонстрация инструментов AppSec.Hub и Bishop

Комьюнити-партнеры

offzone.moscow