Cet hiver, ou plutôt un jour entre Noël catholique et le Nouvel An, les ingénieurs du support technique de Veeam étaient occupés à des tâches inhabituelles : ils recherchaient un groupe de hackers appelé « Veeamonymous ».
Il a raconté comment les gars eux-mêmes ont imaginé et mené en réalité une véritable quête dans leur travail, avec des tâches "proches du combat". Kirill Stetsko, Ingénieur Escalade.
- Pourquoi as-tu commencé ça ?
- C'est à peu près de la même manière que les gens ont inventé Linux à une certaine époque - juste pour s'amuser, pour leur propre plaisir.
Nous avions envie de mouvement, et en même temps nous voulions faire quelque chose d’utile, d’intéressant. De plus, il était nécessaire de donner un certain soulagement émotionnel aux ingénieurs dans leur travail quotidien.
- Qui a suggéré ça ? De qui était l’idée ?
— L'idée est venue de notre manager Katya Egorova, puis le concept et toutes les autres idées sont nés grâce à des efforts communs. Au départ, nous avions pensé à faire un hackathon. Mais au cours du développement du concept, l'idée s'est transformée en quête : après tout, un ingénieur de support technique est un type d'activité différent de celui de la programmation.
Nous avons donc appelé des amis, des camarades, des connaissances, différentes personnes nous ont aidé avec le concept - une personne de T2 (la deuxième ligne de soutien est Note de l'éditeur), une personne atteinte de T3, quelques personnes de l'équipe SWAT (équipe d'intervention rapide pour les cas particulièrement urgents - Note de l'éditeur). Nous nous sommes tous réunis, nous sommes assis et avons essayé de trouver des tâches pour notre quête.
— C'était très inattendu d'apprendre tout cela, car, à ma connaissance, les mécanismes de quête sont généralement élaborés par des scénaristes spécialisés, c'est-à-dire que vous avez non seulement traité d'une chose aussi complexe, mais aussi par rapport à votre travail , à votre domaine d'activité professionnel.
— Oui, nous voulions en faire non seulement un divertissement, mais aussi « gonfler » les compétences techniques des ingénieurs. L'une des tâches de notre département est l'échange de connaissances et la formation, mais une telle quête est une excellente opportunité de permettre aux gens de « toucher » de nouvelles techniques pour eux-mêmes.
— Comment avez-vous trouvé les tâches ?
— Nous avons eu une séance de brainstorming. Nous avions compris que nous devions faire des tests techniques, et tels qu'ils seraient intéressants et en même temps apporteraient de nouvelles connaissances.
Par exemple, nous avons pensé que les gens devraient essayer de détecter le trafic, d'utiliser des éditeurs hexadécimaux, de faire quelque chose pour Linux, des choses un peu plus approfondies liées à nos produits (Veeam Backup & Replication et autres).
Le concept était également un élément important. Nous avons décidé de nous appuyer sur le thème des hackers, de l'accès anonyme et d'une atmosphère de secret. Le masque de Guy Fawkes est devenu un symbole et le nom est venu naturellement : Veeamonymous.
"Au commencement était le mot"
Pour susciter l'intérêt, nous avons décidé d'organiser une campagne de relations publiques sur le thème des quêtes avant l'événement : nous avons accroché des affiches avec l'annonce autour de notre bureau. Et quelques jours plus tard, en cachette de tout le monde, ils les ont peints avec des bombes aérosols et ont commencé un « canard », ils disent que certains assaillants ont abîmé les affiches, ils ont même joint une photo avec une preuve….
- Alors tu l'as fait toi-même, c'est-à-dire l'équipe des organisateurs ?!
— Oui, vendredi, vers 9 heures, alors que tout le monde était déjà parti, nous sommes allés dessiner la lettre « V » en vert sur des ballons.) De nombreux participants à la quête n'ont jamais deviné qui l'avait fait - les gens sont venus vers nous et j'ai demandé qui avait gâché les affiches ? Quelqu’un a pris cette question très au sérieux et a mené une enquête complète sur ce sujet.
Pour la quête, nous avons également écrit des fichiers audio, des sons « arrachés » : par exemple, lorsqu'un ingénieur se connecte à notre système [de production CRM], il y a un robot répondeur qui dit toutes sortes de phrases, de chiffres... Nous y sommes à partir de ces mots qu'il a enregistrés, composé de phrases plus ou moins significatives, enfin, peut-être un peu tordues - par exemple, nous avons « Pas d'amis pour vous aider » dans un fichier audio.
Par exemple, nous avons représenté l'adresse IP en code binaire, et encore une fois, en utilisant ces chiffres [prononcés par le robot], nous avons ajouté toutes sortes de sons effrayants. Nous avons filmé la vidéo nous-mêmes : dans la vidéo, nous avons un homme assis avec une cagoule noire et un masque de Guy Fawkes, mais en réalité il n'y a pas une personne, mais trois, car deux se tiennent derrière lui et tiennent une « toile de fond » en tissu. Une couverture :).
- Eh bien, vous êtes confus, pour le dire crûment.
- Oui, nous avons pris feu. En général, nous avons d'abord élaboré nos spécifications techniques, puis composé un aperçu littéraire et ludique sur le thème de ce qui se serait passé. Selon le scénario, les participants traquaient un groupe de hackers appelé « Veeamonymous ». L'idée était aussi que nous allions, pour ainsi dire, « briser le 4ème mur », c'est-à-dire que nous transférerions les événements dans la réalité - nous peignions avec une bombe aérosol, par exemple.
L'un des anglophones natifs de notre département nous a aidé dans le traitement littéraire du texte.
- Attends, pourquoi un locuteur natif ? As-tu tout fait en anglais aussi ?!
— Oui, nous l'avons fait pour les bureaux de Saint-Pétersbourg et de Bucarest, donc tout était en anglais.
Pour la première expérience, nous avons essayé de faire en sorte que tout fonctionne correctement, le script était donc linéaire et assez simple. Nous avons ajouté plus d'environnements : textes secrets, codes, images.
Nous avons également utilisé des mèmes : il y avait un tas d'images sur des thèmes d'enquêtes, d'ovnis, des histoires d'horreur populaires - certaines équipes ont été distraites par cela, essayant d'y trouver des messages cachés, d'appliquer leurs connaissances en stéganographie et d'autres choses... mais, bien sûr, il n’y avait rien de tel.
À propos des épines
Cependant, au cours du processus de préparation, nous avons également été confrontés à des défis inattendus.
Nous avons beaucoup lutté avec eux et résolu toutes sortes de problèmes inattendus, et environ une semaine avant la quête, nous pensions que tout était perdu.
Cela vaut probablement la peine de parler un peu de la base technique de la quête.
Tout a été fait dans notre laboratoire ESXi interne. Nous avions 6 équipes, ce qui signifie que nous devions allouer 6 pools de ressources. Ainsi, pour chaque équipe, nous avons déployé un pool distinct avec les machines virtuelles nécessaires (même IP). Mais comme tout cela se trouvait sur des serveurs qui sont sur le même réseau, la configuration actuelle de nos VLAN ne nous permettait pas d'isoler les machines dans des pools différents. Et, par exemple, lors d'un test, nous avons reçu des situations dans lesquelles une machine d'un pool se connectait à une machine d'un autre.
— Comment avez-vous pu corriger la situation ?
— Au début, nous avons longuement réfléchi, testé toutes sortes d'options avec des autorisations, des vLAN séparés pour les machines. En conséquence, ils ont fait ceci : chaque équipe ne voit que le serveur Veeam Backup, via lequel tous les travaux ultérieurs ont lieu, mais ne voit pas le sous-pool caché, qui contient :
- plusieurs machines Windows
- Serveur principal Windows
- Machine Linux
- paire VTL (Virtual Tape Library)
Tous les pools se voient attribuer un groupe distinct de ports sur le commutateur vDS et leur propre VLAN privé. Cette double isolation est exactement ce qui est nécessaire pour éliminer complètement la possibilité d’interaction réseau.
À propos des courageux
— Quelqu'un pourrait-il participer à la quête ? Comment les équipes ont-elles été constituées ?
— C'était notre première expérience d'organisation d'un tel événement, et les capacités de notre laboratoire étaient limitées à 6 équipes.
Tout d'abord, comme je l'ai déjà dit, nous avons mené une campagne de relations publiques : à l'aide d'affiches et de mailings, nous avons annoncé qu'une quête aurait lieu. Nous avions même quelques indices : les phrases étaient cryptées en code binaire sur les affiches elles-mêmes. De cette façon, nous avons suscité l'intérêt des gens, et les gens ont déjà conclu des accords entre eux, avec des amis, entre amis et ont coopéré. En conséquence, plus de personnes ont répondu que nous n'avions de pools, nous avons donc dû procéder à une sélection : nous avons proposé une tâche de test simple et l'avons envoyée à tous ceux qui ont répondu. C'était un problème de logique qui devait être résolu rapidement.
Une équipe était autorisée jusqu'à 5 personnes. Il n'y avait pas besoin d'un capitaine, l'idée était la coopération, la communication entre eux. Quelqu'un est fort, par exemple sous Linux, quelqu'un est fort dans les bandes (sauvegardes sur bandes), et tout le monde, voyant la tâche, pourrait investir ses efforts dans la solution globale. Tout le monde a communiqué et a trouvé une solution.
— A quel moment cet événement a-t-il commencé ? Avez-vous eu une sorte d’« heure X » ?
— Oui, nous avions un jour strictement désigné, nous l'avons choisi pour qu'il y ait moins de charge de travail dans le département. Naturellement, les chefs d'équipe étaient prévenus à l'avance que telles ou telles équipes étaient invitées à participer à la quête, et qu'il fallait leur accorder un certain soulagement ce jour-là. Il semblait que ce devrait être la fin de l’année, le vendredi 28 décembre. Nous nous attendions à ce que cela prenne environ 5 heures, mais toutes les équipes l'ont terminé plus rapidement.
— Est-ce que tout le monde était sur un pied d'égalité, est-ce que tout le monde avait les mêmes tâches à partir de cas réels ?
— Eh bien, oui, chacun des compilateurs a tiré quelques histoires de son expérience personnelle. Nous savions que cela pouvait se produire dans la réalité, et il serait intéressant pour une personne de le « ressentir », de le regarder et de le comprendre. Ils ont également pris des mesures plus spécifiques, par exemple la récupération de données à partir de bandes endommagées. Certains avec des indices, mais la plupart des équipes l'ont fait elles-mêmes.
Ou il était nécessaire d'utiliser la magie des scripts rapides - par exemple, nous avons eu une histoire selon laquelle une "bombe logique" "déchirait" une archive multivolume dans des dossiers aléatoires le long de l'arborescence, et il était nécessaire de collecter les données. Vous pouvez le faire manuellement - rechercher et copier les [fichiers] un par un, ou vous pouvez écrire un script à l'aide d'un masque.
En général, nous avons essayé d'adhérer au point de vue selon lequel un problème peut être résolu de différentes manières. Par exemple, si vous êtes un peu plus expérimenté ou si vous souhaitez vous perdre, vous pouvez le résoudre plus rapidement, mais il existe un moyen direct de le résoudre de front - mais en même temps, vous consacrerez plus de temps au problème. Autrement dit, presque chaque tâche avait plusieurs solutions, et il était intéressant de savoir quelles voies les équipes choisiraient. La non-linéarité résidait donc précisément dans le choix de l’option de solution.
À propos, le problème de Linux s'est avéré le plus difficile - une seule équipe l'a résolu de manière indépendante, sans aucune indication.
— Pourriez-vous prendre des indices ? Comme dans une vraie quête ??
— Oui, c'était possible de le prendre, car nous avons compris que les gens sont différents, et que ceux qui manquent de connaissances peuvent rejoindre la même équipe, donc afin de ne pas retarder le passage et de ne pas perdre l'intérêt compétitif, nous avons décidé que nous donnerait des conseils. Pour ce faire, chaque équipe a été observée par une personne des organisateurs. Eh bien, nous avons veillé à ce que personne ne triche.
A propos des étoiles
— Y avait-il des prix pour les gagnants ?
— Oui, nous avons essayé de créer les prix les plus agréables à la fois pour tous les participants et pour les gagnants : les gagnants ont reçu des sweat-shirts de créateurs avec le logo Veeam et une phrase cryptée en code hexadécimal (noir). Tous les participants ont reçu un masque Guy Fawkes et un sac griffé avec le logo et le même code.
- Autrement dit, tout était comme dans une vraie quête !
"Eh bien, nous voulions faire quelque chose de cool et d'adulte, et je pense que nous avons réussi."
- C'est vrai! Quelle a été la réaction finale de ceux qui ont participé à cette quête ? Avez-vous atteint votre objectif ?
- Oui, beaucoup sont venus plus tard et ont dit qu'ils voyaient clairement leurs points faibles et voulaient les améliorer. Quelqu'un a cessé d'avoir peur de certaines technologies - par exemple, vider des blocs de bandes et essayer d'y récupérer quelque chose... Quelqu'un a réalisé qu'il devait améliorer Linux, et ainsi de suite. Nous avons essayé de confier un éventail de tâches assez large, mais pas tout à fait trivial.
L'équipe gagnante
« Celui qui veut y parviendra ! »
— Est-ce que cela a demandé beaucoup d'efforts de la part de ceux qui ont préparé la quête ?
- En fait oui. Mais cela était probablement dû au fait que nous n'avions aucune expérience dans la préparation de telles quêtes, de ce type d'infrastructure. (Faisons une réserve sur le fait qu'il ne s'agit pas de notre véritable infrastructure - elle était simplement censée remplir certaines fonctions de jeu.)
Ce fut une expérience très intéressante pour nous. Au début j'étais sceptique, car l'idée me paraissait trop cool, je pensais qu'elle serait très difficile à mettre en œuvre. Mais nous avons commencé à le faire, nous avons commencé à labourer, tout a commencé à prendre feu et finalement nous avons réussi. Et il n’y avait même pratiquement aucune superposition.
Au total, nous avons passé 3 mois. Pour l’essentiel, nous avons trouvé un concept et discuté de ce que nous pourrions mettre en œuvre. Au cours du processus, bien sûr, certaines choses ont changé, car nous avons réalisé que nous n'avions pas la capacité technique de faire quelque chose. Nous avons dû refaire quelque chose en cours de route, mais de manière à ce que l'ensemble du schéma, de l'histoire et de la logique ne se brise pas. Nous avons essayé non seulement de donner une liste de tâches techniques, mais aussi de l'adapter à l'histoire, afin qu'elle soit cohérente et logique. Le travail principal s'est déroulé le mois dernier, soit 3 à 4 semaines avant le jour X.
— Alors, en plus de votre activité principale, vous avez consacré du temps à la préparation ?
— Nous l'avons fait parallèlement à notre travail principal, oui.
- On vous demande de refaire ça ?
- Oui, nous avons de nombreuses demandes à répéter.
- Et toi?
- Nous avons de nouvelles idées, de nouveaux concepts, nous voulons attirer plus de monde et étendre cela dans le temps - à la fois le processus de sélection et le processus de jeu lui-même. En général, nous nous inspirons du projet "Cicada", vous pouvez le rechercher sur Google - c'est un sujet informatique très sympa, des gens du monde entier s'y réunissent, ils lancent des discussions sur Reddit, sur des forums, ils utilisent des traductions de code, résolvent des énigmes , et tout ça.
— L’idée était géniale, juste du respect pour l’idée et la mise en œuvre, car ça vaut vraiment beaucoup. Je souhaite sincèrement que vous ne perdiez pas cette inspiration et que tous vos nouveaux projets aboutissent également. Merci!
— Oui, pouvez-vous regarder un exemple de tâche que vous ne réutiliserez certainement pas ?
"Je soupçonne que nous n'en réutiliserons aucun." Par conséquent, je peux vous parler de la progression de l’ensemble de la quête.
Titre bonusAu tout début, les joueurs ont le nom de la machine virtuelle et les informations d'identification de vCenter. Après s'être connectés, ils voient cette machine, mais elle ne démarre pas. Ici, vous devez deviner que quelque chose ne va pas avec le fichier .vmx. Une fois qu'ils l'ont téléchargé, ils voient l'invite nécessaire pour la deuxième étape. Essentiellement, il indique que la base de données utilisée par Veeam Backup & Replication est cryptée.
Après avoir supprimé l'invite, téléchargé le fichier .vmx et allumé avec succès la machine, ils voient que l'un des disques contient en fait une base de données cryptée en base64. En conséquence, la tâche consiste à le déchiffrer et à obtenir un serveur Veeam entièrement fonctionnel.
Un peu sur la machine virtuelle sur laquelle tout cela se passe. On s'en souvient, d'après l'intrigue, le personnage principal de la quête est une personne plutôt sombre et fait quelque chose qui n'est clairement pas très légal. Par conséquent, son ordinateur de travail devrait avoir une apparence complètement hacker, que nous avons dû créer, malgré le fait qu'il s'agisse de Windows. La première chose que nous avons faite a été d'ajouter de nombreux accessoires, tels que des informations sur les piratages majeurs, les attaques DDoS, etc. Ensuite, ils ont installé tous les logiciels typiques et placé partout diverses sauvegardes, fichiers avec hachage, etc. Tout est comme dans les films. Entre autres choses, il y avait des dossiers nommés close-case*** et open-case***
Pour progresser davantage, les joueurs doivent restaurer les indices à partir des fichiers de sauvegarde.
Ici, il faut dire qu'au début, les joueurs recevaient pas mal d'informations, et ils recevaient la plupart des données (comme l'IP, les identifiants et les mots de passe) au cours de la quête, trouvant des indices dans des sauvegardes ou des fichiers dispersés sur les machines. . Initialement, les fichiers de sauvegarde se trouvent sur le référentiel Linux, mais le dossier lui-même sur le serveur est monté avec l'indicateur noexec, l'agent responsable de la récupération des fichiers ne peut donc pas démarrer.
En réparant le référentiel, les participants ont accès à tout le contenu et peuvent enfin restaurer n'importe quelle information. Reste à comprendre de quoi il s’agit. Et pour ce faire, il leur suffit d'étudier les fichiers stockés sur cette machine, de déterminer lesquels d'entre eux sont « cassés » et lesquels doivent exactement être restaurés.
À ce stade, le scénario passe des connaissances informatiques générales aux fonctionnalités spécifiques de Veeam.
Dans cet exemple particulier (lorsque vous connaissez le nom du fichier, mais ne savez pas où le chercher), vous devez utiliser la fonction de recherche d'Enterprise Manager, etc. En conséquence, après avoir restauré toute la chaîne logique, les joueurs disposent d'un autre login/mot de passe et d'une sortie nmap. Cela les amène au serveur Windows Core et via RDP (pour que la vie ne ressemble pas à du miel).
La principale caractéristique de ce serveur : à l'aide d'un simple script et de plusieurs dictionnaires, une structure de dossiers et de fichiers absolument dénuée de sens a été formée. Et lorsque vous vous connectez, vous recevez un message de bienvenue du type « Une bombe logique a explosé ici, vous devrez donc rassembler les indices pour les étapes suivantes. »
L'indice suivant a été divisé en une archive multivolume (40 à 50 pièces) et répartie de manière aléatoire entre ces dossiers. Notre idée était que les joueurs devaient montrer leurs talents en écrivant des scripts PowerShell simples afin de constituer une archive multivolume à l'aide d'un masque bien connu et d'obtenir les données requises. (Mais cela s'est avéré comme dans cette blague - certains sujets se sont avérés inhabituellement développés physiquement.)
Les archives contenaient une photo d'une cassette (avec l'inscription « Last Supper - Best Moments »), qui donnait une allusion à l'utilisation d'une bibliothèque de bandes connectée, qui contenait une cassette portant un nom similaire. Il n’y avait qu’un seul problème : il s’est avéré si inutilisable qu’il n’a même pas été catalogué. C’est là que commence probablement la partie la plus difficile de la quête. Nous avons effacé l'en-tête de la cassette, donc pour en récupérer les données, il vous suffit de vider les blocs « bruts » et de les parcourir dans un éditeur hexadécimal pour trouver les marqueurs de début de fichier.
Nous trouvons le marqueur, regardons le décalage, multiplions le bloc par sa taille, ajoutons le décalage et, à l'aide de l'outil interne, essayons de récupérer le fichier d'un bloc spécifique. Si tout est fait correctement et que les mathématiques concordent, alors les joueurs auront un fichier .wav entre leurs mains.
Dans celui-ci, à l'aide d'un générateur vocal, entre autres choses, un code binaire est dicté, qui est étendu à une autre IP.
Il s'avère qu'il s'agit d'un nouveau serveur Windows, où tout suggère la nécessité d'utiliser Wireshark, mais ce n'est pas le cas. L'astuce principale est qu'il y a deux systèmes installés sur cette machine - seul le disque du second est déconnecté via le gestionnaire de périphériques hors ligne et la chaîne logique conduit à la nécessité de redémarrer. Ensuite, il s'avère que par défaut, un système complètement différent, sur lequel Wireshark est installé, devrait démarrer. Et pendant tout ce temps, nous étions sur le système d'exploitation secondaire.
Il n’y a rien de spécial à faire ici, activez simplement la capture sur une seule interface. Un examen relativement attentif du dump révèle un paquet clairement gaucher envoyé à intervalles réguliers depuis la machine auxiliaire, qui contient un lien vers une vidéo YouTube dans laquelle les joueurs sont invités à appeler un certain numéro. Le premier appelant entendra les félicitations pour la première place, les autres recevront une invitation aux RH (blague)).
D'ailleurs, nous sommes ouverts pour les ingénieurs du support technique et les stagiaires. Bienvenue dans l'équipe!
Source: habr.com