Denne vinter, eller rettere, på en af dagene mellem katolsk jul og nytår, havde Veeams tekniske supportingeniører travlt med usædvanlige opgaver: de var på jagt efter en gruppe hackere kaldet "Veeamonymous".
Han fortalte, hvordan fyrene selv fandt på og udførte en virkelig søgen i virkeligheden på deres arbejde, med opgaver "tæt på kamp" Kirill Stetsko, Eskaleringsingeniør.
- Hvorfor startede du overhovedet med det her?
- Omtrent på samme måde som folk fandt på Linux på én gang - bare for sjov, for deres egen fornøjelses skyld.
Vi ville gerne have bevægelse, og samtidig ville vi gøre noget nyttigt, noget interessant. Derudover var det nødvendigt at give en følelsesmæssig lettelse til ingeniørerne fra deres daglige arbejde.
- Hvem foreslog dette? Hvis idé var det?
— Idéen var vores manager Katya Egorova, og så blev konceptet og alle yderligere ideer født gennem fælles indsats. I første omgang tænkte vi på at lave et hackathon. Men under udviklingen af konceptet voksede ideen til en søgen; en teknisk supportingeniør er trods alt en anden type aktivitet end programmering.
Så vi ringede til venner, kammerater, bekendte, forskellige mennesker hjalp os med konceptet - en person fra T2 (den anden linje af støtte er redaktionsnotat), en person med T3, et par personer fra SWAT-teamet (hurtigreaktionsteam for særligt presserende sager - redaktionsnotat). Vi tog os alle sammen, satte os ned og prøvede at finde på opgaver til vores søgen.
— Det var meget uventet at lære om alt dette, for så vidt jeg ved, bliver quest-mekanik normalt udarbejdet af specialiserede manuskriptforfattere, det vil sige, at du ikke kun beskæftigede dig med en så kompleks ting, men også i forhold til dit arbejde , til dit professionelle aktivitetsområde.
— Ja, vi ville ikke bare gøre det til underholdning, men at "pumpe op" ingeniørernes tekniske færdigheder. En af opgaverne i vores afdeling er udveksling af viden og træning, men sådan en søgen er en glimrende mulighed for at lade folk "røre" nogle nye teknikker for dem live.
– Hvordan kom du på opgaverne?
- Vi havde en brainstorm-session. Vi havde en forståelse for, at vi skulle lave nogle tekniske test, og sådan at de ville være interessante og samtidig bringe ny viden.
For eksempel tænkte vi, at folk skulle prøve at sniffe trafik, bruge hex-editorer, gøre noget for Linux, nogle lidt dybere ting relateret til vores produkter (Veeam Backup & Replication og andre).
Konceptet var også en vigtig del. Vi besluttede at bygge videre på temaet hackere, anonym adgang og en atmosfære af hemmeligholdelse. Guy Fawkes-masken blev lavet om til et symbol, og navnet kom naturligt - Veeamonymous.
"I begyndelsen var ordet"
For at vække interessen besluttede vi at organisere en PR-kampagne med quest-tema før begivenheden: Vi hængte plakater op med annonceringen omkring vores kontor. Og et par dage senere, hemmeligt for alle, malede de dem med spraydåser og startede en "and", de siger, at nogle angribere ødelagde plakaterne, de vedhæftede endda et billede med et bevis...
- Så du gjorde det selv, altså arrangørholdet?!
— Ja, i fredags, omkring klokken 9, da alle allerede var gået, gik vi hen og tegnede bogstavet “V” i grønt fra balloner.) Mange deltagere i missionen gættede aldrig, hvem der gjorde det - folk kom hen til os og spurgte, hvem der ødelagde plakaterne? Nogen tog dette spørgsmål meget alvorligt og gennemførte en hel undersøgelse om dette emne.
Til questen skrev vi også lydfiler, "rippede ud" lyde: for eksempel, når en ingeniør logger ind på vores [produktions CRM]-system, er der en svarrobot, der siger alle mulige sætninger, tal... Her er vi fra de ord, som han har optaget, komponeret mere eller mindre meningsfulde sætninger, ja, måske lidt skæve - for eksempel fik vi "No friends to help you" i en lydfil.
For eksempel repræsenterede vi IP-adressen i binær kode, og igen ved at bruge disse tal [udtales af robotten], tilføjede vi alle mulige skræmmende lyde. Vi har selv filmet videoen: i videoen har vi en mand, der sidder i en sort hætte og bærer en Guy Fawkes maske, men i virkeligheden er der ikke én person, men tre, fordi to står bag ham og holder en "bagtæppe" lavet af et tæppe :).
- Nå, du er forvirret, for at sige det ligeud.
- Ja, vi brød i brand. Generelt kom vi først med vores tekniske specifikationer og komponerede derefter en litterær og legende oversigt over, hvad der angiveligt skete. Ifølge scenariet var deltagerne på jagt efter en gruppe hackere kaldet "Veeamonymous". Tanken var også, at vi sådan set skulle ”bryde den 4. væg”, det vil sige at vi ville overføre begivenheder til virkelighed – vi malede f.eks. fra en spraydåse.
En af de engelsktalende som modersmål fra vores afdeling hjalp os med den litterære bearbejdning af teksten.
- Vent, hvorfor en native speaker? Gjorde du også det hele på engelsk?!
— Ja, vi gjorde det for kontorerne i St. Petersborg og Bukarest, så alt var på engelsk.
Til den første oplevelse prøvede vi at få alt til at fungere, så manuskriptet var lineært og ganske enkelt. Vi tilføjede flere omgivelser: hemmelige tekster, koder, billeder.
Vi brugte også memes: der var en masse billeder om emnerne undersøgelser, UFO'er, nogle populære rædselshistorier - nogle hold blev distraheret af dette, forsøgte at finde nogle skjulte beskeder der, anvende deres viden om steganografi og andre ting... men der var selvfølgelig ikke noget lignende.
Om torne
Men under forberedelsesprocessen stødte vi også på uventede udfordringer.
Vi kæmpede meget med dem og løste alle mulige uventede problemer, og cirka en uge før missionen troede vi, at alt var tabt.
Det er nok værd at fortælle lidt om det tekniske grundlag for questen.
Alt blev udført i vores interne ESXi-laboratorium. Vi havde 6 hold, hvilket betyder, at vi skulle tildele 6 ressourcepuljer. Så for hvert hold implementerede vi en separat pulje med de nødvendige virtuelle maskiner (samme IP). Men da alt dette var placeret på servere, der er på det samme netværk, tillod den nuværende konfiguration af vores VLAN os ikke at isolere maskiner i forskellige puljer. Og for eksempel modtog vi under en testkørsel situationer, hvor en maskine fra en pool blev forbundet med en maskine fra en anden.
– Hvordan kunne du rette op på situationen?
— Først tænkte vi i lang tid, testede alle mulige muligheder med tilladelser, separate vLAN'er til maskiner. Som et resultat gjorde de dette - hvert hold ser kun Veeam Backup-serveren, hvorigennem alt videre arbejde foregår, men ser ikke den skjulte undergruppe, som indeholder:
- flere Windows-maskiner
- Windows kerneserver
- Linux maskine
- par VTL (Virtual Tape Library)
Alle pools er tildelt en separat gruppe af porte på vDS-switchen og deres eget private VLAN. Denne dobbelte isolation er præcis, hvad der er nødvendigt for fuldstændigt at eliminere muligheden for netværksinteraktion.
Om de modige
— Kunne nogen deltage i missionen? Hvordan blev holdene dannet?
— Dette var vores første oplevelse med at afholde et sådant arrangement, og vores laboratoriums muligheder var begrænset til 6 hold.
Først, som jeg allerede sagde, gennemførte vi en PR-kampagne: ved hjælp af plakater og mailings annoncerede vi, at der ville blive afholdt en mission. Vi havde endda nogle spor - sætninger blev krypteret i binær kode på selve plakaterne. På den måde fik vi folk interesseret, og folk nåede allerede til aftaler indbyrdes, med venner, med venner og samarbejdede. Som følge heraf svarede flere mennesker, end vi havde puljer, så vi var nødt til at foretage en udvælgelse: Vi kom med en simpel testopgave og sendte den til alle, der svarede. Det var et logisk problem, som skulle løses hurtigt.
Et hold var tilladt op til 5 personer. Der var ikke behov for en kaptajn, ideen var samarbejde, kommunikation med hinanden. Nogen er stærk, for eksempel i Linux, nogen er stærk i bånd (backups til bånd), og alle, der ser opgaven, kunne investere deres kræfter i den overordnede løsning. Alle kommunikerede med hinanden og fandt en løsning.
- På hvilket tidspunkt startede denne begivenhed? Havde du en slags "time X"?
— Ja, vi havde en strengt fastsat dag, vi valgte den, så der var mindre arbejdsbyrde i afdelingen. Naturligvis blev holdlederne på forhånd informeret om, at sådanne og sådanne hold var inviteret til at deltage i questen, og de skulle have en vis lettelse [med hensyn til lastning] den dag. Det så ud til, at det skulle være årets udgang, den 28. december, fredag. Vi forventede, at det ville tage omkring 5 timer, men alle hold gennemførte det hurtigere.
— Var alle ligestillede, havde alle de samme opgaver ud fra reelle sager?
— Nå, ja, hver af kompilatorerne tog nogle historier fra personlig erfaring. Vi vidste om noget, at dette kunne ske i virkeligheden, og det ville være interessant for en person at "føle" det, se og finde ud af det. De tog også nogle mere specifikke ting – for eksempel datagendannelse fra beskadigede bånd. Nogle med hints, men de fleste af holdene gjorde det på egen hånd.
Eller det var nødvendigt at bruge magien ved hurtige scripts - for eksempel havde vi en historie om, at en eller anden "logisk bombe" "revede" et arkiv med flere bind i tilfældige mapper langs træet, og det var nødvendigt at indsamle dataene. Du kan gøre dette manuelt - find og kopier [filer] en efter en, eller du kan skrive et script ved hjælp af en maske.
Generelt forsøgte vi at holde fast i det synspunkt, at et problem kan løses på forskellige måder. Er du for eksempel lidt mere erfaren eller vil du blive forvirret, så kan du løse det hurtigere, men der er en direkte måde at løse det på – men du vil samtidig bruge mere tid på problemet. Det vil sige, at næsten hver opgave havde flere løsninger, og det var interessant, hvilke veje holdene ville vælge. Så ulineariteten lå netop i valget af løsningsmulighed.
Forresten viste Linux-problemet sig at være det sværeste - kun ét hold løste det uafhængigt uden nogen hints.
– Kunne du tage imod hints? Som i en rigtig søgen??
— Ja, det var muligt at tage det, for vi forstod, at folk er forskellige, og dem, der mangler noget viden, kunne komme ind på samme hold, så for ikke at forsinke passagen og for ikke at miste konkurrenceinteressen, besluttede vi, at vi ville tippe. For at gøre dette blev hvert hold observeret af en person fra arrangørerne. Nå, vi sørgede for, at ingen snød.
Om stjernerne
— Var der præmier til vinderne?
— Ja, vi forsøgte at lave de mest behagelige præmier til både alle deltagere og vinderne: Vinderne modtog designer sweatshirts med Veeam-logoet og en sætning krypteret i hexadecimal kode, sort). Alle deltagere modtog en Guy Fawkes maske og en mærketaske med logo og samme kode.
- Det vil sige, alt var ligesom i en rigtig søgen!
"Nå, vi ville gerne lave en sej, voksen ting, og jeg tror, det lykkedes."
- Det er rigtigt! Hvad var den endelige reaktion fra dem, der deltog i denne søgen? Har du nået dit mål?
- Ja, mange kom senere op og sagde, at de tydeligt så deres svage sider og ville forbedre dem. Nogen holdt op med at være bange for visse teknologier - for eksempel at dumpe blokke fra bånd og prøve at få fat i noget der... Nogen indså, at han var nødt til at forbedre Linux, og så videre. Vi forsøgte at give en ret bred vifte af opgaver, men ikke helt trivielle.
Det vindende hold
"Den, der vil, vil opnå det!"
— Krævede det en stor indsats fra dem, der forberedte missionen?
- Faktisk ja. Men dette skyldtes højst sandsynligt, at vi ikke havde nogen erfaring med at forberede sådanne quests, denne form for infrastruktur. (Lad os tage forbehold for, at dette ikke er vores rigtige infrastruktur - det skulle simpelthen udføre nogle spilfunktioner.)
Det var en meget interessant oplevelse for os. Først var jeg skeptisk, fordi ideen virkede for sej for mig, jeg troede, at den ville være meget svær at gennemføre. Men vi begyndte at gøre det, vi begyndte at pløje, alt begyndte at brænde, og til sidst lykkedes det. Og der var endda stort set ingen overlejringer.
I alt brugte vi 3 måneder. For det meste kom vi med et koncept og diskuterede, hvad vi kunne implementere. I processen ændrede nogle ting sig naturligvis, fordi vi indså, at vi ikke havde den tekniske evne til at gøre noget. Vi skulle lave noget om undervejs, men sådan at hele omridset, historien og logikken ikke gik i stykker. Vi forsøgte ikke bare at give en liste over tekniske opgaver, men at få den til at passe ind i historien, så den var sammenhængende og logisk. Hovedarbejdet foregik den sidste måned, det vil sige 3-4 uger før dag X.
— Så ud over din hovedaktivitet afsatte du tid til forberedelse?
— Det gjorde vi sideløbende med vores hovedarbejde, ja.
- Bliver du bedt om at gøre det her igen?
- Ja, vi har mange anmodninger om at gentage.
- Og dig?
- Vi har nye ideer, nye koncepter, vi vil tiltrække flere og strække det ud over tid - både udvælgelsesprocessen og selve spilprocessen. Generelt er vi inspireret af "Cicada"-projektet, du kan google det - det er et meget fedt it-emne, folk fra hele verden forenes der, de starter tråde på Reddit, på fora, de bruger kodeoversættelser, løser gåder , og alt det der.
- Ideen var fantastisk, bare respekt for idéen og implementeringen, for den er virkelig meget værd. Jeg ønsker oprigtigt, at du ikke mister denne inspiration, og at alle dine nye projekter også lykkes. Tak skal du have!
— Ja, kan du se et eksempel på en opgave, som du bestemt ikke vil genbruge?
"Jeg formoder, at vi ikke vil genbruge nogen af dem." Derfor kan jeg fortælle dig om forløbet af hele missionen.
Bonus sporAllerede i begyndelsen har spillere navnet på den virtuelle maskine og legitimationsoplysninger fra vCenter. Når de er logget ind, ser de denne maskine, men den starter ikke. Her skal du gætte, at der er noget galt med .vmx-filen. Når de har downloadet det, ser de den nødvendige prompt til det andet trin. Grundlæggende siger det, at databasen, der bruges af Veeam Backup & Replication, er krypteret.
Efter at have fjernet prompten, downloadet .vmx-filen tilbage og tændt for maskinen, ser de, at en af diskene faktisk indeholder en base64-krypteret database. Derfor er opgaven at dekryptere den og få en fuldt funktionel Veeam-server.
Lidt om den virtuelle maskine, hvor alt dette sker. Som vi husker, er hovedpersonen i questen ifølge plottet en temmelig mørk person og gør noget, der tydeligvis ikke er særlig lovligt. Derfor skulle hans arbejdscomputer have et helt hacker-agtigt udseende, som vi skulle skabe, på trods af at det er Windows. Det første, vi gjorde, var at tilføje en masse rekvisitter, såsom information om større hacks, DDoS-angreb og lignende. Så installerede de al den typiske software og placerede diverse dumps, filer med hashes osv. overalt. Alt er som i filmene. Der var blandt andet mapper med navnet lukket sag*** og åben sag***
For at komme videre skal spillere gendanne tip fra backupfiler.
Her skal det siges, at spillerne i begyndelsen fik en del information, og de modtog de fleste data (som IP, logins og adgangskoder) i løbet af questen, idet de fandt spor i sikkerhedskopier eller filer spredt på maskiner . Til at begynde med er backupfilerne placeret på Linux-lageret, men selve mappen på serveren er monteret med flaget noexec, så den agent, der er ansvarlig for filgendannelse, kan ikke starte.
Ved at rette op på depotet får deltagerne adgang til alt indhold og kan endelig gendanne enhver information. Det er tilbage at forstå, hvilken det er. Og for at gøre dette skal de bare studere filerne, der er gemt på denne maskine, bestemme, hvilke af dem der er "brudt", og hvad der præcist skal gendannes.
På dette tidspunkt skifter scenariet væk fra generel it-viden til Veeam-specifikke funktioner.
I dette særlige eksempel (når du kender filnavnet, men ikke ved, hvor du skal lede efter det), skal du bruge søgefunktionen i Enterprise Manager og så videre. Som et resultat, efter at have gendannet hele den logiske kæde, har spillerne endnu et login/adgangskode og nmap-output. Dette bringer dem til Windows Core-serveren og via RDP (så livet ikke ser ud som honning).
Hovedtræk ved denne server: ved hjælp af et simpelt script og flere ordbøger blev der dannet en absolut meningsløs struktur af mapper og filer. Og når du logger ind, modtager du en velkomstbesked som "En logisk bombe er eksploderet her, så du bliver nødt til at samle ledetrådene for yderligere trin."
Følgende ledetråd blev opdelt i et arkiv med flere bind (40-50 stykker) og tilfældigt fordelt mellem disse mapper. Vores idé var, at spillere skulle vise deres talenter i at skrive simple PowerShell-scripts for at sammensætte et arkiv med flere bind ved hjælp af en velkendt maske og få de nødvendige data. (Men det viste sig ligesom i den joke - nogle af emnerne viste sig at være usædvanligt fysisk udviklede.)
Arkivet indeholdt et foto af en kassette (med inskriptionen "Last Supper - Best Moments"), som gav et fingerpeg om brugen af et tilsluttet båndbibliotek, som indeholdt en kassette med et lignende navn. Der var kun et problem - det viste sig at være så ubrugeligt, at det ikke engang var katalogiseret. Det var her nok den mest hardcore del af søgen begyndte. Vi slettede overskriften fra kassetten, så for at gendanne data fra den, skal du bare dumpe de "rå" blokke og se gennem dem i en hex-editor for at finde filstartmarkører.
Vi finder markøren, ser på forskydningen, multiplicerer blokken med dens størrelse, tilføjer forskydningen og forsøger ved hjælp af det interne værktøj at gendanne filen fra en bestemt blok. Hvis alt er gjort korrekt, og matematikken stemmer overens, har spillerne en .wav-fil i hænderne.
I den dikteres blandt andet ved hjælp af en stemmegenerator en binær kode, som udvides til en anden IP.
Dette, viser det sig, er en ny Windows-server, hvor alt antyder behovet for at bruge Wireshark, men det er der ikke. Det vigtigste trick er, at der er to systemer installeret på denne maskine - kun disken fra den anden er afbrudt via enhedsadministratoren offline, og den logiske kæde fører til behovet for at genstarte. Så viser det sig, at et helt andet system, hvor Wireshark er installeret, som standard burde starte. Og hele denne tid var vi på det sekundære OS.
Der er ingen grund til at gøre noget særligt her, bare aktiver optagelse på en enkelt grænseflade. En forholdsvis nøje undersøgelse af lossepladsen afslører en tydeligt venstrehåndspakke sendt fra hjælpemaskinen med jævne mellemrum, som indeholder et link til en YouTube-video, hvor spillere bliver bedt om at ringe til et bestemt nummer. Den første, der ringer, vil høre tillykke med førstepladsen, resten modtager en invitation til HR (joke)).
I øvrigt har vi åbent for tekniske supportingeniører og praktikanter. Velkommen til holdet!
Kilde: www.habr.com