Ezen a télen, vagy inkább a katolikus karácsony és újév közötti napok egyikén a Veeam műszaki támogató mérnökei szokatlan feladatokkal voltak elfoglalva: a „Veeamonymous” nevű hackercsoportra vadásztak.
Elmesélte, hogy a srácok maguk találtak ki és hajtottak végre egy igazi küldetést a valóságban a munkájuk során, „harchoz közel álló” feladatokkal. Kirill Stetsko, Eszkalációs mérnök.
- Miért kezdted ezt egyáltalán?
- Körülbelül ugyanígy találták ki az emberek egy időben a Linuxot – csak szórakozásból, saját örömükre.
Mozgásra vágytunk, ugyanakkor valami hasznosat, érdekeset akartunk csinálni. Emellett szükség volt némi érzelmi megkönnyebbülésre a mérnökök számára a mindennapi munkájuk során.
- Ki javasolta ezt? Kinek az ötlete volt?
— Az ötlet a menedzserünk, Katya Egorova volt, majd közös erőfeszítéssel született meg a koncepció és minden további ötlet. Kezdetben arra gondoltunk, hogy csinálunk egy hackathont. De a koncepció kidolgozása során az ötlet küldetéssé nőtte ki magát, elvégre a műszaki támogató mérnök más tevékenység, mint a programozás.
Tehát felhívtuk a barátokat, elvtársakat, ismerősöket, különböző emberek segítettek a koncepcióban - egy ember a T2-től (a második támogatási vonal szerkesztő megjegyzése), egy személy T3-ban, néhány ember a SWAT-csapatból (gyors reagálású csapat különösen sürgős esetekben - szerkesztő megjegyzése). Mindannyian összeültünk, leültünk és megpróbáltunk feladatokat kitalálni a küldetésünkhöz.
— Nagyon váratlan volt mindezt megismerni, mert tudtommal a küldetésmechanikát általában szakforgatókönyvírók dolgozzák ki, vagyis nem csak egy ilyen összetett dologgal foglalkoztál, hanem a munkáddal kapcsolatban is. , az Ön szakmai tevékenységi területére.
— Igen, nem csak szórakoztatást akartunk tenni, hanem a mérnökök technikai tudását is „felpumpálni”. Tanszékünk egyik feladata a tudáscsere és a képzés, de egy ilyen küldetés kiváló alkalom arra, hogy az emberek életben „megérintsenek” néhány új technikát.
– Hogyan találtad ki a feladatokat?
– Ötletbörzét tartottunk. Megértettük, hogy technikai teszteket kell végeznünk, és olyanokat, amelyek érdekesek és egyben új ismereteket hoznak.
Például úgy gondoltuk, hogy az embereknek meg kell próbálniuk a forgalom szippantását, hexa szerkesztőket, valamit Linuxon csinálni, és néhány, a termékeinkkel kapcsolatos kicsit mélyebb dolgot (Veeam Backup & Replication és mások).
A koncepció is fontos része volt. Úgy döntöttünk, hogy a hackerek, az anonim hozzáférés és a titkos légkör témájára építünk. A Guy Fawkes maszkból szimbólumot készítettek, és a név magától értetődő – Veeamonymous.
"Kezdetben volt a szó"
Az érdeklődés felkeltésére úgy döntöttünk, hogy a rendezvény előtt egy küldetés témájú PR-kampányt szervezünk: irodánkban plakátokat lógattunk ki a hirdetményekkel. Néhány nappal később pedig, titokban mindenki elől, lefestették őket spray-vel, és "kacsát" indítottak, azt mondják, néhány támadó tönkretette a plakátokat, még fotót is csatoltak bizonyítékkal...
- Szóval te magad csináltad, vagyis a szervezők csapata?!
— Igen, pénteken 9 óra körül, amikor már mindenki elment, elmentünk és kihúztuk a lufiból a zöld „V” betűt.) A küldetés sok résztvevője sosem sejtette, hogy ki tette – jöttek hozzánk az emberek. és megkérdezte, ki tette tönkre a plakátokat? Valaki nagyon komolyan vette ezt a kérdést, és teljes vizsgálatot folytatott ebben a témában.
A küldetéshez hangfájlokat, „kitépett” hangokat is írtunk: például amikor egy mérnök bejelentkezik a [gyártási CRM] rendszerünkbe, ott van egy válaszoló robot, amely mindenféle kifejezést, számot mond... Itt vagyunk ezekből a szavakból, amiket felvett, többé-kevésbé értelmes kifejezéseket komponált, nos, talán kicsit ferdén - például egy hangfájlban kaptuk a „Nincs barátok, akik segítenének”.
Például az IP-címet bináris kódban ábrázoltuk, és ismét ezeknek a számoknak a segítségével [a robot által kiejtett] mindenféle ijesztő hangot adtunk hozzá. A videót mi magunk forgattuk: a videóban egy férfi ül fekete csuklyában és Guy Fawkes maszkban, de a valóságban nem egy ember van, hanem három, mert ketten állnak mögötte és egy „hátteret” tartanak egy takaró :).
- Hát, őszintén szólva össze vagy zavarodva.
- Igen, kigyulladtunk. Általában először a műszaki specifikációinkkal álltunk elő, majd irodalmi és játékos vázlatot alkottunk az állítólagos történtek témájáról. A forgatókönyv szerint a résztvevők a „Veeamonymous” nevű hackercsoportra vadásztak. Az ötlet az is volt, hogy mintegy „betörjük a 4. falat”, vagyis az eseményeket a valóságba ültetjük át – például szórófejből festettünk.
Tanszékünk egyik angol anyanyelvű előadója volt segítségünkre a szöveg irodalmi feldolgozásában.
- Várj, miért anyanyelvi beszélő? Te is angolul csináltad az egészet?!
— Igen, a szentpétervári és a bukaresti irodának csináltuk, tehát minden angolul volt.
Az első élményben igyekeztünk mindent egyszerűen működni, így a forgatókönyv lineáris és meglehetősen egyszerű volt. További környezetet adtunk hozzá: titkos szövegek, kódok, képek.
Használtunk mémeket is: volt egy rakás kép nyomozás, ufó, népszerű horror sztorik témájában - néhány csapat figyelmét ez megzavarta, próbáltak ott rejtett üzeneteket találni, alkalmazni a szteganográfiai ismereteiket és egyéb dolgokat... de persze semmi ilyesmi nem volt.
A tövisről
A felkészülés során azonban váratlan kihívásokkal is szembesültünk.
Sokat küszködtünk velük és mindenféle váratlan problémát megoldottunk, és körülbelül egy héttel a küldetés előtt azt hittük, hogy minden elveszett.
Valószínűleg érdemes egy kicsit mesélni a küldetés technikai alapjairól.
Minden a belső ESXi laborunkban történt. 6 csapatunk volt, ami azt jelenti, hogy 6 erőforráskészletet kellett kiosztanunk. Így minden csapat számára külön készletet telepítettünk a szükséges virtuális gépekkel (ugyanaz az IP). De mivel mindez ugyanazon a hálózaton lévő szervereken volt, VLAN-jaink jelenlegi konfigurációja nem tette lehetővé, hogy a különböző készletekben lévő gépeket elkülönítsük. És például egy próbaüzem során kaptunk olyan helyzeteket, amikor az egyik készletből származó gép egy másik géphez csatlakozott.
– Hogyan tudtad korrigálni a helyzetet?
— Eleinte sokáig gondolkodtunk, teszteltünk mindenféle lehetőséget jogosultságokkal, külön vLAN-okat a gépekhez. Ennek eredményeként ezt tették - minden csapat csak a Veeam Backup szervert látja, amelyen keresztül minden további munka zajlik, de nem látja a rejtett alkészletet, amely tartalmazza:
- több Windows gép
- Windows központi szerver
- Linuxos gép
- pár VTL (virtuális szalagkönyvtár)
Minden készlethez külön portcsoport van hozzárendelve a vDS-kapcsolón és saját privát VLAN-ja. Ez a kettős elszigetelés pontosan az, ami a hálózati interakció lehetőségének teljes kiküszöböléséhez szükséges.
A bátrakról
– Részt vehetne valaki a küldetésben? Hogyan alakultak a csapatok?
— Ez volt az első tapasztalatunk egy ilyen rendezvény lebonyolításával, laboratóriumunk kapacitása 6 csapatra korlátozódott.
Először is, ahogy már mondtam, PR-kampányt hajtottunk végre: plakátokkal és postai úton bejelentettük, hogy küldetést tartanak. Még néhány nyomunk is volt – magukon a plakátokon a kifejezések bináris kóddal voltak titkosítva. Ezzel felkeltettük az emberek érdeklődését, és az emberek már megegyeztek egymás között, barátokkal, barátokkal, együttműködtek. Ennek eredményeként többen válaszoltak, mint ahány medencénk volt, ezért ki kellett választanunk: kitaláltunk egy egyszerű tesztfeladatot, és elküldtük mindenkinek, aki válaszolt. Ez egy logikai probléma volt, amit gyorsan meg kellett oldani.
Egy csapat legfeljebb 5 fős volt. Nem volt szükség kapitányra, az ötlet az együttműködés, az egymással való kommunikáció volt. Valaki erős például a Linuxban, valaki erős a szalagokban (szalagra mentés), és mindenki, látva a feladatot, belefektethet az átfogó megoldásba. Mindenki kommunikált egymással és megtalálta a megoldást.
– Mikor kezdődött ez az esemény? Volt valami „X órád”?
— Igen, volt egy szigorúan kijelölt napunk, úgy választottuk, hogy kevesebb legyen a terhelés az osztályon. Természetesen a csapatvezetőket előre értesítették arról, hogy ilyen-olyan csapatokat meghívtak a küldetésbe, és aznap kellett némi könnyítést kapniuk [a berakodással kapcsolatban]. Úgy nézett ki, hogy az év vége, december 28-a, péntek. Arra számítottunk, hogy körülbelül 5 órát vesz igénybe, de minden csapat gyorsabban teljesítette.
— Mindenki egyenrangú volt, mindenkinek ugyanazok a feladatai voltak valós esetek alapján?
— Nos, igen, mindegyik összeállító személyes tapasztalatból vett át néhány történetet. Valamiről tudtuk, hogy ez a valóságban is megtörténhet, és érdekes lenne az embernek ezt „megérezni”, megnézni, kitalálni. Néhány konkrétabb dolgot is vittek – például adat-helyreállítást a sérült szalagokról. Némelyik tippekkel, de a csapatok többsége magától csinálta.
Vagy ki kellett használni a gyors szkriptek varázsát - például volt egy történetünk, hogy valami „logikai bomba” egy többkötetes archívumot „tépett” véletlenszerű mappákba a fa mentén, és össze kellett gyűjteni az adatokat. Ezt megteheti manuálisan is – keresse meg és másolja a [fájlokat] egyenként, vagy írhat egy szkriptet egy maszk segítségével.
Általában igyekeztünk ragaszkodni ahhoz az állásponthoz, hogy egy probléma többféleképpen is megoldható. Például, ha kicsit tapasztaltabb vagy, vagy össze akarsz zavarodni, akkor gyorsabban meg tudod oldani, de van közvetlen út a frontális megoldásra - ugyanakkor több időt fogsz fordítani a problémára. Vagyis szinte minden feladatnak több megoldása volt, és érdekes volt, hogy a csapatok milyen utakat választanak. Tehát a nemlinearitás pontosan a megoldási lehetőség kiválasztásában volt.
Egyébként a Linux-probléma bizonyult a legnehezebbnek - csak egy csapat oldotta meg önállóan, mindenféle utalás nélkül.
– Tudna tippeket fogadni? Mint egy igazi küldetésben??
— Igen, el lehetett fogadni, mert megértettük, hogy az emberek különbözőek, és akiknek nincs némi tudásuk, azok ugyanabba a csapatba kerülhetnek, így annak érdekében, hogy ne késlekedjen a továbbjutás és ne veszítse el a versenyérdeklődést, úgy döntöttünk, hogy lenne tippeket. Ennek érdekében minden csapatot a szervezők egy-egy embere figyelt meg. Nos, gondoskodtunk arról, hogy senki ne csaljon.
A csillagokról
– Voltak díjak a nyerteseknek?
— Igen, igyekeztünk a résztvevők és a nyertesek számára is a lehető legkellemesebb nyereményeket megajándékozni: a nyertesek Veeam logóval és hexadecimális kóddal titkosított frázisú, fekete dizájner pulóvereket kaptak. Minden résztvevő kapott egy Guy Fawkes maszkot és egy márkás táskát logóval és ugyanazzal a kóddal.
- Vagyis minden olyan volt, mint egy igazi küldetésben!
– Nos, egy klassz, felnőttes dolgot akartunk csinálni, és azt hiszem, sikerült is.
- Ez igaz! Mi volt a végső reakciója azoknak, akik részt vettek ebben a küldetésben? Elérted a célodat?
- Igen, később sokan feljöttek és azt mondták, hogy egyértelműen látják a gyenge pontjaikat, és szeretnének fejleszteni. Valaki abbahagyta a félelem bizonyos technológiáktól – például attól, hogy blokkokat dob ki a szalagokról, és próbál ott valamit megragadni... Valaki rájött, hogy javítania kell a Linuxon, és így tovább. Megpróbáltunk elég széles feladatokat adni, de nem teljesen triviálisakat.
A győztes csapat
"Aki akarja, eléri!"
— Nagy erőfeszítést igényelt a küldetést előkészítőktől?
- Valójában igen. De ez nagy valószínűséggel annak volt köszönhető, hogy nem volt tapasztalatunk ilyen küldetések, ilyen infrastruktúra előkészítésében. (Tegyük meg, hogy nem ez az igazi infrastruktúránk – egyszerűen csak néhány játékfunkciót kellett volna betöltenie.)
Nagyon érdekes élmény volt számunkra. Eleinte szkeptikus voltam, mert túl menőnek tűnt az ötlet, azt hittem, nagyon nehéz lesz megvalósítani. De elkezdtük csinálni, elkezdtünk szántani, kezdett lángra lobbanni minden, és végül sikerült is. És gyakorlatilag nem is voltak átfedések.
Összesen 3 hónapot töltöttünk. Nagyrészt kitaláltunk egy koncepciót, és megbeszéltük, hogy mit tudnánk megvalósítani. A folyamat során természetesen néhány dolog megváltozott, mert rájöttünk, hogy nincs technikai lehetőségünk valamire. Útközben újra kellett csinálnunk valamit, de úgy, hogy az egész körvonal, történelem és logika ne törjön meg. Arra törekedtünk, hogy ne csak egy listát adjunk a technikai feladatokról, hanem úgy, hogy az illeszkedjen a történetbe, hogy koherens és logikus legyen. A fő munka az utolsó hónapban zajlott, vagyis X. nap előtt 3-4 héttel.
— Tehát a fő tevékenysége mellett a felkészülésre szánt időt?
— Ezt a fő munkánkkal párhuzamosan csináltuk, igen.
- Még egyszer felkérnek erre?
- Igen, sok megismétlendő kérésünk van.
- És te?
- Új ötleteink, új koncepcióink vannak, szeretnénk minél több embert vonzani és idővel kinyújtani – mind a kiválasztási folyamatot, mind magát a játékmenetet. Általánosságban elmondható, hogy a „Cicada” projekt inspirált minket, guglizhatsz - ez egy nagyon klassz informatikai téma, a világ minden tájáról egyesülnek ott emberek, indítanak szálakat Redditen, fórumokon, kódfordításokat használnak, találós kérdéseket fejtenek meg , és minden.
– Az ötlet nagyszerű volt, csak tisztelet az ötletnek és a megvalósításnak, mert tényleg sokat ér. Őszintén kívánom, hogy ne veszítse el ezt az ihletet, és minden új projektje sikeres legyen. Köszönöm!
– Igen, tudsz példát nézni egy olyan feladatra, amelyet biztosan nem használsz fel újra?
– Gyanítom, hogy egyiket sem használjuk újra. Ezért elmondhatom az egész küldetés előrehaladásáról.
Bónusz számA legelején a játékosok rendelkeznek a virtuális gép nevével és a vCenter hitelesítő adataival. Belépés után látják ezt a gépet, de nem indul el. Itt ki kell találnia, hogy valami nincs rendben a .vmx fájllal. Miután letöltötték, megjelenik a második lépéshez szükséges prompt. Lényegében azt mondja, hogy a Veeam Backup & Replication által használt adatbázis titkosított.
A prompt eltávolítása, a .vmx fájl visszatöltése és a gép sikeres bekapcsolása után látják, hogy az egyik lemezen valóban base64 titkosítású adatbázis található. Ennek megfelelően a feladat a kód visszafejtése és egy teljesen működőképes Veeam szerver beszerzése.
Egy kicsit a virtuális gépről, amelyen mindez megtörténik. Mint emlékszünk, a cselekmény szerint a küldetés főszereplője egy meglehetősen sötét ember, és olyasmit csinál, ami nyilvánvalóan nem túl legális. Ezért a munkahelyi számítógépe teljesen hacker-szerű megjelenésű legyen, amit meg kellett alkotnunk, annak ellenére, hogy Windows. Az első dolog, amit tettünk, az volt, hogy sok kelléket adtunk hozzá, például információkat a nagyobb hackekről, DDoS-támadásokról és hasonlókról. Aztán feltelepítették az összes tipikus szoftvert, és mindenhova elhelyeztek különféle dumpokat, fájlokat hashekkel stb. Minden olyan, mint a filmekben. Többek között voltak zárt tokos*** és nyitott tokos*** nevű mappák
A továbblépéshez a játékosoknak vissza kell állítaniuk a tippeket a biztonsági mentési fájlokból.
Itt el kell mondani, hogy kezdetben elég sok információt kaptak a játékosok, és a küldetés során megkapták a legtöbb adatot (pl. IP, bejelentkezési adatok és jelszavak), biztonsági másolatokban vagy gépeken szétszórt fájlokban találva nyomokat. . Kezdetben a biztonsági mentési fájlok a Linux tárhelyen találhatók, de magát a kiszolgálón lévő mappát a zászlóval csatolják noexec, így a fájlok helyreállításáért felelős ügynök nem tud elindulni.
Az adattár kijavításával a résztvevők hozzáférnek az összes tartalomhoz, és végül visszaállíthatják az információkat. Meg kell érteni, melyik az. Ehhez pedig csak tanulmányozniuk kell az ezen a gépen tárolt fájlokat, meg kell határozniuk, hogy melyikük „törött”, és pontosan mit kell visszaállítani.
Ezen a ponton a forgatókönyv az általános informatikai ismeretek helyett a Veeam-specifikus funkciók felé tolódik el.
Ebben a konkrét példában (amikor ismeri a fájl nevét, de nem tudja, hol keresse), az Enterprise Manager keresési funkcióját kell használnia, és így tovább. Ennek eredményeként a teljes logikai lánc visszaállítása után a játékosok egy másik bejelentkezési/jelszavas és nmap kimenettel rendelkeznek. Ez eljuttatja őket a Windows Core szerverre, és RDP-n keresztül (hogy az élet ne tűnjön mézesmáznak).
Ennek a szervernek a fő jellemzője: egy egyszerű szkript és több szótár segítségével a mappák és fájlok teljesen értelmetlen szerkezete jött létre. És amikor bejelentkezik, egy üdvözlő üzenetet kap, mint például: „Itt felrobbant egy logikai bomba, ezért össze kell szednie a nyomokat a további lépésekhez.”
A következő nyomot egy többkötetes archívumra osztották (40-50 darab), és véletlenszerűen osztották szét ezek között a mappákban. Az volt az elképzelésünk, hogy a játékosoknak meg kell mutatniuk tehetségüket egyszerű PowerShell-szkriptek írásában, hogy egy jól ismert maszk segítségével többkötetes archívumot állítsanak össze, és megkapják a szükséges adatokat. (De úgy alakult, mint abban a viccben – néhány alany szokatlanul fejlettnek bizonyult.)
Az archívum egy fényképet tartalmazott egy kazettáról ("Utolsó vacsora - Legjobb pillanatok" felirattal), amely utalást adott egy csatlakoztatott szalagkönyvtár használatára, amely egy hasonló nevű kazettát tartalmazott. Csak egy probléma volt – kiderült, hogy annyira működésképtelen, hogy még katalogizálásra sem került. Itt kezdődött a küldetés talán legkeményebb része. Letöröltük a fejlécet a kazettáról, így az adatok helyreállításához csak ki kell dobni a „nyers” blokkokat, és át kell őket nézni egy hexa szerkesztőben, hogy megtaláljuk a fájlindítási jelzőket.
Megkeressük a jelölőt, megnézzük az eltolást, megszorozzuk a blokkot a méretével, összeadjuk az eltolást és a belső eszköz segítségével megpróbáljuk visszaállítani a fájlt egy adott blokkból. Ha mindent helyesen csináltunk, és a matematika egyetért, akkor a játékosok kezében egy .wav fájl lesz.
Ebben egy hanggenerátor segítségével többek között egy bináris kódot diktálnak, amely egy másik IP-re bővül.
Kiderült, hogy ez egy új Windows szerver, ahol minden a Wireshark használatának szükségességére utal, de nincs ott. A fő trükk az, hogy két rendszer van telepítve erre a gépre - csak a második lemeze van leválasztva az eszközkezelőn keresztül offline, és a logikai lánc az újraindítás szükségességéhez vezet. Aztán kiderül, hogy alapértelmezés szerint egy teljesen más rendszernek kell elindulnia, ahol a Wireshark telepítve van. És ez idő alatt a másodlagos operációs rendszeren voltunk.
Itt nem kell semmi különöset tenni, csak engedélyezze a rögzítést egyetlen felületen. A dump viszonylag alapos vizsgálata során kiderül, hogy a segédgép rendszeres időközönként egyértelműen balkezes csomagot küld, amely egy YouTube-videó linkjét tartalmazza, ahol a játékosokat egy bizonyos szám felhívására kérik. Az első hívó gratulációt fog hallani az első helyhez, a többiek HR-es meghívót (vicc) kapnak.
Egyébként nyitottak vagyunk műszaki támogató mérnökök és gyakornokok számára. Üdv a csapatban!
Forrás: will.com