6 ноября, 2025

Добро пожаловать в Vice City SAS City 2025!

Всем привет!

А тем временем у нас отгремел очередной Security Analyst Summit 2025, или просто SAS-2025. Это уже 16-я конференция, которая на этот раз прошла в таиландском курортном городе Кхао Лаке, что примерно в 100 км к северу от Пхукета.

Напомню, что SAS – это абсолютно особенная security-конференция, не похожая на другие подобные, но менее задористые и более корпоративно-протокольные мероприятия. Исторически она выросла из внутренних ассамблей нашей компании, когда команда экспертов увеличилась в размерах и стала глобальной — нам потребовалось раз в год собирать их всех вместе, чтобы они пообщались вживую, чтобы те просто знакомились и рассказывали про свои очень впечатляющие исследования и расследования. И это была отличная идея.

Потом кому-то [умному] пришла в голову идея приглашать внешних экспертов по кибербезу — и мы начали звать коллег и из других компаний и организаций. Так постепенно, год за годом SAS стал тем, чем он является сейчас – международной конференцией топ-аналитиков… но с элементом безбашенной вечеринки. Тут мы можем себе позволить и немного похулиганить, и поиграть, и вообще всё делаем не как все — это раз. А два: конференция так и осталась несколько закрытой, сохранила формат «клуба по приглашениям»: кто в ней будет участвовать решает специальный экспертный комитет. Потому здесь говорят более открыто и делятся с коллегами более полной информацией, чем на аналогичных IT-security тусовках.

Каждый раз мы выбираем уникальный формат «декораций», обыгрываем что-то всем известное и понятное. Например, в прошлый раз мы обыгрывали космическую тему — и у нас были в гостях российский космонавт и американский астронавт (про SAS-2024 здесь), годом раньше обыгрывали антураж «Индианы Джонс» (SAS-2023) — и так далее. В этом году мы создали город SAS City, в стиле игры GTA: Vice City, которая, оказывается, вышла в свет ровно 23 года назад (29.10.2002).

Я ни разу в GTA не играл, но оформление игры и нашей конференции оцениваю положительно

К тому же тема погонь в большом городе резонирует с нашими реалиями, ведь жизнь исследователя-кибербезопасника = это миссии, квесты, прокачка уровней и охота за новыми знаниями. Мы играем на светлой стороне: там где не только любопытство, но и защита и этика. Увы, это бесконечная гонка, и даже самым крутым героям-исследователям иногда нужен перерыв. И вот SAS — это как раз то самое место, где можно выпустить пар: пошутить, поиграть, посмеяться и вообще уйти в кибербезопасностный разгул. Этакое живое неотполированное корпоративное мероприятие с зашкаливающей концентрацией первоклассного киберконтента и людей, которые искренне кайфуют от своего дела.

В этот раз покайфовать и выпустить пар, послушать остальных и выступить самостоятельно приехали аж 210 человек из 25 стран. Добро пожаловать в SAS City!

Зона встречи и регистрации гостей:

Раздача бейджей:

Бейджи в этот году были особо креативны:

И просто хорошая фотка:

Пора начинать. Оформление зала — просто 11 из 10, не меньше ->

Зал готов к началу конференции, гости прибывают, скоро начнётся что-то интересное…

4:32 до старта…

Поехали!

Официальное открытие конференции — на сцене наш ведущий эксперт Дмитрий Галов:

Он же потом был практически бессменным ведущим всего мероприятия, а это нелегко! И потом объясню почему…

Мне тоже удалось сказать несколько приветственных слов :)

Как всегда, крутые доклады; как всегда, жарко на сцене и в кулуарах!

Рисерчеры, реверсеры, пентестеры, джейлбрейкеры, правоохранители (включая из Интерпола), представители бизнеса, госорганов, 10 журналистов со всего мира — и все у нас в гостях!

Итого, в этом году за один день на сцене можно было наблюдать 23 доклада и 27 выступающих:

А также 59 выпитых шотов — такие уж традиции, ничего не поделаешь! :)

Это наша «козырная фишка» — все докладчики после выступления вместе с ведущим выпивают по стопке :)

Но только по одной!

Но всё равно у тамады ведущего конференции — самая тяжёлая работа…

А также просто хорошие фотки:

Да уж, скучать с такой насыщенной программой точно было некогда! На сцене выступали талантливейшие исследователи, которые не просто читают отчёты об уязвимостях, а буквально живут ими. Например, среди докладов были следующие темы:

— Разбор случаев, как видеорегистраторы превращаются в инструмент кибератак (это был настоящий триллер!)

— Доклад о том, как всего одна уязвимость нулевого дня может превратиться в дыру размером с целую цепочку поставок в автопроме.

— Результаты анализа головного устройства автомобиля Kia — там тоже нашлось, что изучить.

— Докладчица из DARKNAVY показала, как безобидная «бесшовная синхронизация» в смартфонах может стать отличным подарком для злоумышленников.

А также истории, которые:

— заставят задуматься о том, насколько безопасно мы пользуемся браузерными расширениями и встраиваемыми устройствами;

— сообщают о таргетированных атаках на китайские ИИ-платформы;

— раскрыли подробности сложной кампании группы Bluenoroff, охотившейся за данными и криптовалютой.

И многое другое. Скучно в зале совершенно не было!

Да и как тут заскучаешь, если в какой-то момент на сцену выезжает старенький мерседес S-класса 1998 года, купленный здесь же в Таиланде, за рулём которого профессиональный автогонщик Ян Марденборо —

А потом мы знатно поболтали на разные темы, включая автомобильную кибербезопасность:

Не могу пройти мимо финала киберсоревнований Capture The Flag (CTF), который проходил здесь же за день до самой конференции. А всего же в отборочных матчах принимало участие аж 1600(!) команд из 90 стран(!!)… Все подробности можно посмотреть по ссылке.

Так вот, в финале SAS CTF приняли участие 90 человек, представлявших 8 международных команд. Призовой фонд составил $18K — да, согласен, что не так много. Но зато престижно :) Вот они и бились до последнего:

Ведущие CTF:

А вечером мы всей толпой дружно поехали на Гала-ужин!

Не буду вас грузить фотками разных профессиональных увеселительных шоу-выступлений на сцене (насмотрелся уже их, наверное, сотню раз — уже смотрелка замозолилась), но вот награждение довольных победителей обязательно покажу.

Спасибо нашим спонсорам, которые помогли с немалым бюджетом мероприятия:

Итак, лучшие докладчики. По результатам голосования экспертов на конференции три доклада получили наивысшую оценку:

— Питер Гейсслер (независимый исследователь) об атаке на принтеры, а следом и на корпоративную сеть с помощью специального шрифта (точнее файла в формате TTF).

— Наш Боря Ларин из команды GReAT про наследников Hacking Team (про это уже можно почитать в подробностях).

— Паоло Кавалия (компания Shielder) с докладом под названием «Влажная мечта банд-шифровальщиков» о 13 уязвимостях в менеджере привилегированного доступа (PAM-платформы) от Broadcom.

Награждение победителей SAS CTF:

Ура!

Кстати, а что же стало со стареньким мерседесом — жертвой конференции? Его потом откатили к нам на гала-ужин, где развеселённому народу раздали баллончики с краской — и они ухандокали агрегат до полной неузнаваемости.

Вот как стараются, негодяи…

Один баллончик с краской предложили и мне… Но я отказался. Решил судьбу иначе. Если машинка наша, да ещё вот так раскрашенная — то почему бы не прокатиться?

Да! — и через день примерно 80 км от отеля конференции до следующего места обитания я по Таиланду катался вот на этом агрегате:

Когда проезжали местный пхукетский чекпойнт (полицейская проверка на дороге) — они на нас вежливо посмотрели, посмеялись, останавливать не стали. Но это уже совсем-совсем другая история (с) :)

Да плюс ко всему мы любим не только поработать, а потом повеселиться — но ещё и покататься куда-нибудь поинтересней. Так и сейчас случилось: посадили наших гостей на лодки и отвезли их на острова Симилан, что в Индийском океане:

Кто хорошо работает — тот и веселится неплохо! = это про нас :)

Местная природная красота — скала Парус:

Туда нужно забраться:

А потом в нехилый прибой обратно на лодку загрузиться :)

Да всё отлично получилось! Чего нам побаиваться!

В общем, снова было мегаздорово! После каждого SAS-а думаешь, что ну вот уже круче просто невозможно. Но, как говорится, «никогда такого не было, и вот опять»! Ещё раз большое спасибо всем организаторам, участникам, докладчикам и всем причастным! Сколько труда специалистов самого высокого мирового уровня было вложено! Всё-таки очень крутая у нас конференция!

И, конечно, теперь с большим любопытством и предвкушением буду снова ждать следующего SAS-а :)

За ностальгией по предыдущим конференциям сюда:

2009: Дубровник, Хорватия.
2010: Лимассол, Кипр.
2011: Малага, Испания.
2012: Канкун, Мексика.
2013: Пуэрто-Рико, США.
2014: Пунта-Кана, Доминикана.
2015: снова Канкун, Мексика.
2016: Тенериф.
2017: Сен-Мартен, Карибы.
2018: и опять Канкун, Мексика..
2019: Сингапур.
// в 2020 и 2021м SAS был в онлайн-формате по ковидным, а в 2022м не было по очевидным причинам.
2023: Пхукет, Таиланд.
2024: Бали, Индонезия.

Всё на этом, дорогой уважаемый SAS. До следующего года!

Прочитать комментарии 0
Оставить заметку

5 ноября, 2025

Прогулки по Рапа-Нуи (острову Пасхи).

Погулять по Рапа-Нуи (острову Пасхи). Звучит экзотически, но когда ты наконец добрался до этого удалённого места обитания хомо сапиенса, то задача приобретает чисто практический смысл. Здесь это есть где, в основном вдоль побережья — заодно голову прочистить после длинного перелёта, или же помедитировать после близкого знакомства со статуями-моаи в каменоломне или на одной из сохранившихся ритуальных платформ. Для […]

4 ноября, 2025

Рассвет на ритуальной платформе.

А не пора ли нам погулять по пасхальным рапа-нуйским просторам? Здесь, конечно, не кенийско-танзанийские саванные масштабы. Не таймырско-арктические многокилометровые тундры, не бесконечно-беспощадные песчаные огромадья Сахары, Саудовской Аравии или же Австралии. Здесь на острове всё гораздо скромней, но погулять после обеда и до ужина тоже есть где. Например. Вот карьер, где вытачивали каменные статуи, которые только что показывал. Но на языке […]

3 ноября, 2025

Осенне-камчатское фотопопурри. Часть 3.

Невозможно остановить камчатский фотопопуризм — чем глубже погружаешься во внушительный фотоархив нашего сентябрьского путешествия по осенней Камчатке, тем яснее ощущаешь желание поделиться великолепием местного разнокартинья, которое подают исключительно в очень редкую хорошую погоду. Не обессудьте :)

2 ноября, 2025

Рапа-Нуи (остров Пасхи): жуть по жилам, удивление по головному мозгу.

Продолжаю рассказы про Рапа-Нуи a.k.a. остров Пасхи. В предыдущем посте мы впитали достаточно общей информации про эти необычные места, пора пройтись по конкретным объектам. С чего начать? А давайте с каменоломни, где все добывались «исходники» для этих статуй-моаи.

1 ноября, 2025

Осенне-камчатское фотопопурри. Часть 2.

Продолжаю фотопопурри о недавнем путешествии по осенней Камчатке. Возвращаемся в кальдеру Узон, а оттуда и в Долину гейзеров. Сентябрьские картинки там просто безбашенные, а если увести рассказы слишком далеко на юг Камчатки, то сложно будет возвращаться. Итак, чтобы быть просто кратким. Без разных прочих усиливающих комментариев, словесных подкрашиваний и прочих вульгарных словесных конструкций — они здесь просто не […]

31 октября, 2025

Главные вопросы о поездке на Рапа-Нуи (остров Пасхи).

Итак, Рапа-Нуи, он же Остров Пасхи (начало историй здесь и здесь). Напомню, что после одного из самых экзотических авиамаршрутов в моей видавшей виды практике перемещений по миру (одно название чего стоит: «Сочи — остров Пасхи») мы приземлились в аэропорту под кодовым названием IPC. Аэропорт как аэропорт — оставим его в покое уже рассказанным и перейдём к более важным […]

Еще

Блог о путешествиях