Ove zime, odnosno jednog od dana između katoličkog Božića i Nove godine, inženjeri tehničke podrške Veeama bili su zaokupljeni neobičnim zadacima: lovili su skupinu hakera pod nazivom “Veeamonymous”.
Ispričao je kako su dečki sami osmislili i na svom poslu u stvarnosti odradili pravu potragu sa zadacima “bliskim borbenim” Kiril Stecko, Inženjer za eskalaciju.
- Zašto si uopće započeo ovo?
- Otprilike na isti način na koji su ljudi svojedobno smislili Linux - samo za zabavu, za vlastito zadovoljstvo.
Željeli smo kretanje, a ujedno smo htjeli raditi nešto korisno, nešto zanimljivo. Osim toga, bilo je potrebno dati malo emocionalnog olakšanja inženjerima od njihovog svakodnevnog rada.
- Tko je to predložio? Čija je to bila ideja?
— Ideja je bila naša voditeljica Katya Egorova, a zatim su zajedničkim snagama rođeni koncept i sve daljnje ideje. U početku smo mislili napraviti hackathon. No tijekom razvoja koncepta ideja je prerasla u potragu, na kraju krajeva, inženjer tehničke podrške je drugačija aktivnost od programiranja.
Dakle, pozvali smo prijatelje, suborce, poznanike, razne ljude koji su nam pomogli oko koncepta - jedna osoba iz T2 (druga linija podrške je napomena urednika), jedna osoba sa T3, par ljudi iz SWAT tima (brzi tim za posebno hitne slučajeve - napomena urednika). Svi smo se okupili, sjeli i pokušali smisliti zadatke za našu potragu.
— Bilo je vrlo neočekivano saznati za sve ovo, jer, koliko ja znam, mehaniku zadataka obično rade specijalizirani scenaristi, odnosno ne samo da ste se vi bavili tako složenom stvari, nego i u odnosu na vaš posao , na vaše profesionalno područje djelovanja.
— Da, htjeli smo to učiniti ne samo zabavom, već i "napumpati" tehničke vještine inženjera. Jedna od zadaća u našem odjelu je razmjena znanja i obuka, no ovakva potraga izvrsna je prilika da ljudi uživo “dopipaju” neke za njih nove tehnike.
— Kako ste dolazili do zadataka?
— Imali smo oluju ideja. Imali smo razumijevanja da moramo napraviti neke tehničke testove, i to takve da budu zanimljivi, a ujedno donose nova znanja.
Na primjer, mislili smo da bi ljudi trebali probati njuškati promet, koristiti hex editore, raditi nešto za Linux, neke malo dublje stvari vezane uz naše proizvode (Veeam Backup & Replication i drugi).
Koncept je također bio važan dio. Odlučili smo graditi na temi hakera, anonimnog pristupa i atmosfere tajnovitosti. Maska Guya Fawkesa napravljena je u simbol, a naziv je došao sam po sebi - Veeamonymous.
"U početku bijaše riječ"
Kako bismo potaknuli interes, odlučili smo organizirati PR kampanju na temu potrage prije samog događanja: objesili smo plakate s objavom po našem uredu. A nekoliko dana kasnije, tajno od svih, išarali su ih sprejevima i pokrenuli “patku”, kažu da su neki napadači uništili plakate, čak su priložili i fotografiju s dokazom….
– Pa vi ste to napravili sami, odnosno ekipa organizatora?!
— Da, u petak, oko 9 sati, kad su svi već otišli, otišli smo i iz balona nacrtali zeleno slovo "V".) Mnogi sudionici potrage nikada nisu pogodili tko je to učinio - ljudi su nam prilazili i pitao tko je uništio plakate? Netko je ovo pitanje shvatio vrlo ozbiljno i proveo cijelu istragu na ovu temu.
Za potragu smo napisali i audio datoteke, "istrgnute" zvukove: na primjer, kada se inženjer prijavi u naš [produkcijski CRM] sustav, tu je robot koji se javlja i izgovara svakakve fraze, brojeve... Evo nas od tih riječi koje je snimio, sastavio više ili manje smislene fraze, dobro, možda malo krivo - na primjer, dobili smo "No friend to help you" u audio datoteci.
Na primjer, predstavili smo IP adresu u binarnom kodu, i opet, koristeći te brojeve [koje izgovara robot], dodali smo sve vrste zastrašujućih zvukova. Sami smo snimili video: u videu imamo čovjeka koji sjedi u crnoj kapuljači i nosi masku Guya Fawkesa, ali u stvarnosti nije jedna osoba, već tri, jer dvije stoje iza njega i drže napravljenu “pozadinu” od dekice :).
- Pa zbunio si se, pravo rečeno.
- Da, zapalili smo se. Uglavnom, prvo smo osmislili svoje tehničke specifikacije, a zatim složili literarni i razigrani nacrt na temu onoga što se navodno dogodilo. Prema scenariju, sudionici su lovili grupu hakera pod nazivom “Veeamonymous”. Ideja je bila i da takoreći “razbijemo 4. zid”, odnosno da događaje prenesemo u stvarnost – slikali smo iz spreja, na primjer.
U literarnoj obradi teksta pomogao nam je jedan od izvornih govornika engleskog jezika s našeg odjela.
- Čekaj, zašto izvorni govornik? Jeste li i vi to sve radili na engleskom?!
— Da, radili smo to za urede u St. Petersburgu i Bukureštu, tako da je sve bilo na engleskom.
Za prvo iskustvo pokušali smo da sve jednostavno funkcionira, tako da je scenarij bio linearan i prilično jednostavan. Dodali smo još okruženja: tajne tekstove, šifre, slike.
Koristili smo i memeove: bilo je hrpa slika na temu istraga, NLO-a, nekih popularnih horor priča - nekim timovima je to odvlačilo pažnju, pokušavajući tamo pronaći neke skrivene poruke, primijeniti svoje znanje steganografije i drugo... ali, naravno, ništa takvo nije bilo.
O trnju
Međutim, tijekom procesa priprema susreli smo se i s neočekivanim izazovima.
Puno smo se mučili s njima i rješavali svakakve neočekivane probleme, a otprilike tjedan dana prije potrage mislili smo da je sve izgubljeno.
Vjerojatno je vrijedno reći nešto o tehničkoj osnovi potrage.
Sve je napravljeno u našem internom ESXi laboratoriju. Imali smo 6 timova, što znači da smo morali izdvojiti 6 resursa. Dakle, za svaki tim smo postavili zaseban bazen s potrebnim virtualnim strojevima (isti IP). No budući da se sve to nalazilo na poslužiteljima koji su na istoj mreži, trenutna konfiguracija naših VLAN-ova nije nam dopuštala izolaciju strojeva u različitim bazenima. I, na primjer, tijekom testnog rada primili smo situacije u kojima se stroj iz jednog skupa povezivao sa strojem iz drugog.
— Kako ste uspjeli ispraviti situaciju?
— Isprva smo dugo razmišljali, testirali sve vrste opcija s dopuštenjima, odvojenim vLAN-ovima za strojeve. Kao rezultat toga, učinili su ovo - svaki tim vidi samo Veeam Backup poslužitelj, preko kojeg se odvija sav daljnji rad, ali ne vidi skriveni subpool, koji sadrži:
- nekoliko Windows strojeva
- Windows jezgreni poslužitelj
- Linux stroj
- upariti VTL (Virtual Tape Library)
Svim skupovima je dodijeljena zasebna grupa portova na vDS preklopniku i vlastiti privatni VLAN. Ova dvostruka izolacija je upravo ono što je potrebno kako bi se u potpunosti eliminirala mogućnost mrežne interakcije.
O hrabrima
— Može li itko sudjelovati u potrazi? Kako su formirani timovi?
— Ovo je bilo naše prvo iskustvo održavanja ovakvog događaja, a mogućnosti našeg laboratorija bile su ograničene na 6 timova.
Prvo smo, kao što sam već rekao, proveli PR kampanju: plakatima i mailingom najavili smo održavanje potrage. Imali smo čak i neke tragove - fraze su bile šifrirane u binarnom kodu na samim plakatima. Na taj način smo zainteresirali ljude i ljudi su se već međusobno dogovorili, s prijateljima, s prijateljima, surađivali. Kao rezultat toga, više ljudi je odgovorilo nego što smo imali bazena, pa smo morali provesti selekciju: osmislili smo jednostavan testni zadatak i poslali ga svima koji su odgovorili. Bio je to logički problem koji je trebalo brzo riješiti.
Timu je bilo dozvoljeno do 5 ljudi. Nije bilo potrebe za kapetanom, ideja je bila suradnja, komunikacija jedni s drugima. Netko je jak, primjerice, u Linuxu, netko je jak u trakama (sigurnosnim kopijama na trake), a svatko bi, uvidjevši zadatak, mogao uložiti trud u cjelokupno rješenje. Svi su međusobno komunicirali i našli rješenje.
— U kojem je trenutku započeo ovaj događaj? Jeste li imali neku vrstu “sata X”?
— Da, imali smo strogo određen dan, odabrali smo ga tako da na odjelu bude manje opterećenja. Naravno, voditelji timova bili su unaprijed obaviješteni da su ti i takvi timovi pozvani da sudjeluju u potrazi, te im je trebalo dati neke olakšice [što se tiče utovara] tog dana. Činilo se da bi trebao biti kraj godine, 28. prosinca, petak. Očekivali smo da će trajati oko 5 sati, ali svi timovi su to brže završili.
— Jesu li svi bili ravnopravni, jesu li svi imali iste zadatke na temelju stvarnih slučajeva?
— Pa da, svaki od sastavljača uzeo je neke priče iz osobnog iskustva. Znali smo za nešto da bi se to moglo dogoditi u stvarnosti i bilo bi zanimljivo da čovjek to “napipa”, pogleda i shvati. Uzeli su i neke konkretnije stvari - primjerice, oporavak podataka s oštećenih vrpci. Neki sa savjetima, ali većina timova je to učinila sama.
Ili je bilo potrebno koristiti čaroliju brzih skripti - primjerice, imali smo priču da je neka "logička bomba" "potrgala" višetomnu arhivu u nasumične mape duž stabla, a trebalo je prikupiti podatke. To možete učiniti ručno - pronaći i kopirati [datoteke] jednu po jednu ili možete napisati skriptu pomoću maske.
Općenito, nastojali smo se pridržavati stajališta da se jedan problem može riješiti na različite načine. Na primjer, ako ste malo iskusniji ili se želite zbuniti, onda to možete riješiti brže, ali postoji izravan način da to riješite direktno - ali u isto vrijeme ćete potrošiti više vremena na problem. Odnosno, gotovo svaki zadatak je imao nekoliko rješenja, a bilo je zanimljivo koje će putove izabrati timovi. Dakle, nelinearnost je bila upravo u izboru opcije rješenja.
Usput, problem s Linuxom pokazao se najtežim - samo ga je jedan tim riješio samostalno, bez ikakvih savjeta.
— Možete li prihvatiti savjete? Kao u pravoj potrazi??
— Da, bilo je moguće uzeti ga, jer smo shvatili da su ljudi različiti, ai oni kojima nedostaje znanja mogu ući u isti tim, pa kako ne bismo odugovlačili prolaz i kako ne bismo izgubili natjecateljski interes, odlučili smo da bi savjeti. U tu svrhu svaku je ekipu promatrala osoba iz organizatora. Dobro, pobrinuli smo se da nitko ne vara.
O zvijezdama
— Je li bilo nagrada za pobjednike?
— Da, potrudili smo se napraviti što ugodnije nagrade za sve sudionike i pobjednike: pobjednici su dobili dizajnerske majice s logotipom Veeam i frazom šifriranom u heksadecimalnom kodu, crna). Svi sudionici dobili su masku Guya Fawkesa i brendiranu torbu s logom i istim kodom.
- Odnosno, sve je bilo kao u pravoj potrazi!
“Pa, htjeli smo napraviti cool, odraslu stvar, i mislim da smo uspjeli.”
- To je istina! Kakva je bila konačna reakcija onih koji su sudjelovali u ovoj potrazi? Jeste li postigli svoj cilj?
- Da, mnogi su se kasnije javili i rekli da su jasno vidjeli svoje slabe točke i da ih žele popraviti. Netko se prestao bojati određenih tehnologija - na primjer, bacati blokove s vrpci i pokušavati tamo nešto zgrabiti... Netko je shvatio da treba poboljšati Linux, i tako dalje. Pokušali smo dati prilično širok raspon zadataka, ali ne posve trivijalnih.
Pobjednički tim
“Tko hoće, taj će i ostvariti!”
— Je li to zahtijevalo puno truda od onih koji su pripremali potragu?
- Zapravo da. Ali to je najvjerojatnije zbog činjenice da nismo imali iskustva u pripremi takvih zadataka, ovakve infrastrukture. (Napomenimo da ovo nije naša prava infrastruktura - jednostavno je trebala obavljati neke funkcije igre.)
Bilo je to vrlo zanimljivo iskustvo za nas. U početku sam bio skeptičan, jer mi se ideja činila previše kul, mislio sam da će biti jako teško izvediva. Ali krenuli smo, počeli smo orati, sve je počelo gorjeti i na kraju smo uspjeli. Čak nije bilo gotovo nikakvih slojeva.
Ukupno smo proveli 3 mjeseca. Uglavnom smo osmislili koncept i razgovarali o tome što bismo mogli implementirati. U tom procesu su se, naravno, neke stvari promijenile, jer smo shvatili da nemamo tehničkih mogućnosti nešto napraviti. Morali smo usput nešto prepravljati, ali tako da se ne pokvari cijeli okvir, povijest i logika. Nastojali smo ne samo dati popis tehničkih zadataka, nego ga uklopiti u priču, tako da bude koherentan i logičan. Glavni posao odvijao se zadnjih mjesec dana, odnosno 3-4 tjedna prije dana X.
— Dakle, uz svoju glavnu aktivnost, odvojili ste vrijeme za pripremu?
— To smo radili paralelno s glavnim poslom, da.
- Traži li se od tebe da to ponoviš?
- Da, imamo mnogo zahtjeva za ponoviti.
- A ti?
- Imamo nove ideje, nove koncepte, želimo privući više ljudi i razvući to kroz vrijeme - kako proces selekcije, tako i sam proces igre. Općenito, inspirirani smo projektom “Cicada”, možete ga guglati - to je jako cool IT tema, ljudi iz cijelog svijeta se tamo ujedinjuju, pokreću teme na Redditu, na forumima, koriste prijevode kodova, rješavaju zagonetke , i sve to.
— Ideja je bila super, svaka čast na ideji i realizaciji, jer stvarno puno vrijedi. Iskreno vam želim da ne izgubite to nadahnuće i da svi vaši novi projekti također budu uspješni. Hvala vam!
— Da, možete li pogledati primjer zadatka koji sigurno nećete ponovno upotrijebiti?
"Pretpostavljam da nećemo ponovno upotrijebiti nijedan od njih." Stoga vam mogu govoriti o napretku cijele potrage.
Bonus pjesmaNa samom početku igrači imaju naziv virtualnog stroja i vjerodajnice iz vCenter-a. Nakon što su se prijavili, vide ovaj stroj, ali se ne pokreće. Ovdje morate pogoditi da nešto nije u redu s .vmx datotekom. Nakon što ga preuzmu, vide upit potreban za drugi korak. U biti, piše da je baza podataka koju koristi Veeam Backup & Replication šifrirana.
Nakon uklanjanja upita, ponovnog preuzimanja .vmx datoteke i uspješnog uključivanja stroja, vide da jedan od diskova zapravo sadrži base64 šifriranu bazu podataka. Sukladno tome, zadatak je dešifrirati ga i dobiti potpuno funkcionalan Veeam poslužitelj.
Malo o virtualnom stroju na kojem se sve to događa. Kao što se sjećamo, prema zapletu, glavni lik potrage je prilično mračna osoba i radi nešto što očito nije baš legalno. Stoga bi njegovo radno računalo trebalo imati potpuno hakerski izgled, što smo mi morali kreirati, unatoč tome što se radi o Windowsima. Prvo što smo učinili bilo je da smo dodali mnogo rekvizita, poput informacija o velikim hakovima, DDoS napadima i slično. Zatim su instalirali sav tipični softver i posvuda postavili razne dumpove, datoteke s hashovima itd. Sve je kao u filmovima. Između ostalog, tu su bile mape pod nazivom Closed-case*** i Open-case***
Da bi napredovali dalje, igrači moraju vratiti savjete iz sigurnosnih kopija datoteka.
Ovdje se mora reći da je na početku igračima dano dosta informacija, a većinu podataka (poput IP-a, prijava i lozinki) dobili su tijekom potrage, pronalazeći tragove u sigurnosnim kopijama ili datotekama razasutim po strojevima . U početku se sigurnosne kopije datoteka nalaze u Linux repozitoriju, ali je sama mapa na poslužitelju montirana s oznakom noexec, tako da se agent odgovoran za oporavak datoteka ne može pokrenuti.
Popravljanjem repozitorija sudionici dobivaju pristup svim sadržajima i konačno mogu vratiti sve informacije. Ostaje razumjeti koji je. A da bi to učinili, samo trebaju proučiti datoteke pohranjene na ovom računalu, utvrditi koje su od njih "pokvarene" i što točno treba vratiti.
U ovoj točki, scenarij se udaljava od općeg informatičkog znanja prema specifičnim značajkama Veeama.
U ovom konkretnom primjeru (kada znate naziv datoteke, ali ne znate gdje ga tražiti), trebate koristiti funkciju pretraživanja u Enterprise Manageru, i tako dalje. Kao rezultat toga, nakon obnavljanja cijelog logičkog lanca, igrači imaju još jednu prijavu/lozinku i nmap izlaz. To ih dovodi do Windows Core poslužitelja i putem RDP-a (da život ne izgleda kao med).
Glavna značajka ovog poslužitelja: uz pomoć jednostavne skripte i nekoliko rječnika formirana je apsolutno besmislena struktura mapa i datoteka. A kada se prijavite, dobit ćete poruku dobrodošlice poput "Ovdje je eksplodirala logička bomba, pa ćete morati sastaviti tragove za daljnje korake."
Sljedeći trag podijeljen je u arhivu s više svezaka (40-50 komada) i nasumično raspoređen među tim mapama. Naša je ideja bila da igrači pokažu svoje talente u pisanju jednostavnih PowerShell skripti kako bi sastavili arhivu s više volumena koristeći dobro poznatu masku i dobili potrebne podatke. (Ali ispalo je kao u onom vicu - pokazalo se da su neki ispitanici fizički neobično razvijeni.)
U arhivi se nalazila fotografija kazete (s natpisom “Posljednja večera - najbolji trenuci”), koja je davala naslutiti korištenje povezane biblioteke traka, koja je sadržavala kasetu sličnog naziva. Postojao je samo jedan problem - pokazalo se da je toliko neispravan da nije ni katalogiziran. Ovdje je započeo vjerojatno najteži dio potrage. Izbrisali smo zaglavlje s kasete, tako da za vraćanje podataka s njega samo trebate izbaciti "sirove" blokove i pregledati ih u heksadecimalnom uređivaču kako biste pronašli oznake početka datoteke.
Pronalazimo marker, gledamo pomak, množimo blok s njegovom veličinom, dodajemo pomak i pomoću internog alata pokušavamo vratiti datoteku iz određenog bloka. Ako je sve napravljeno kako treba i matematika se slaže, tada će igrači imati .wav datoteku u svojim rukama.
U njemu se pomoću generatora glasa, između ostalog, diktira binarni kod koji se proširuje u drugi IP.
Ovo je, pokazalo se, novi Windows poslužitelj, gdje sve upućuje na potrebu korištenja Wiresharka, ali ga nema. Glavni je trik u tome što su na ovom stroju instalirana dva sustava - samo je disk s drugog isključen putem upravitelja uređaja izvan mreže, a logički lanac dovodi do potrebe za ponovnim pokretanjem. Tada se ispostavlja da bi se prema zadanim postavkama trebao pokrenuti potpuno drugačiji sustav, gdje je instaliran Wireshark. I cijelo to vrijeme bili smo na sekundarnom OS-u.
Ovdje nema potrebe činiti ništa posebno, samo omogućite snimanje na jednom sučelju. Relativno pomno ispitivanje deponije otkriva jasno ljevoruki paket poslan s pomoćnog stroja u pravilnim intervalima, koji sadrži poveznicu na YouTube video gdje se od igrača traži da nazovu određeni broj. Prvom pozivu će se čestitati na prvom mjestu, ostali će dobiti poziv u HR (šala)).
Usput, otvoreni smo za inženjere tehničke podrške i pripravnike. Dobrodošli u tim!
Izvor: www.habr.com