Un paio di giorni fa abbiamo completato uno degli eventi più emozionanti che abbiamo avuto la fortuna di ospitare all'interno del blog: un gioco di hacker online con distruzione del server.
I risultati hanno superato tutte le nostre aspettative: i partecipanti non solo hanno preso parte, ma si sono rapidamente organizzati in una comunità ben coordinata di 620 persone su Discord, che ha letteralmente preso d'assalto la ricerca in due giorni senza sosta per dormire.
Ed è così che è finita:
Come è iniziato tutto e di cosa si tratta?
Il gioco è iniziato il 12 agosto quando abbiamo pubblicato il post sul blog con un video in cui un hacker a forma di teschio si offre di giocare, distruggere il server, provocare un cortocircuito nella stanza (beh, o un mini-incendio) e prendere i soldi rimanenti nel distruggidocumenti.
Si trattava di una ricerca online: abbiamo lanciato una trasmissione su YouTube da una stanza piena di dispositivi IoT, un server sotto il letto (che doveva essere distrutto), e un acquario era fissato sopra il server e sopra era appeso un peso. Per rendere il gioco più ricco di azione, abbiamo deciso di creare un montepremi di 200 rubli, che abbiamo caricato nel distruggidocumenti e impostato per l'accensione ogni 000 minuti. Ogni ora il trituratore mangiava 60 rubli: prima i giocatori lo fermavano, più soldi avrebbero vinto.
Costruire questa missione era una missione a sé stante: dovevamo mangiare solo cibo e dormire per diverse ore al giorno nella stessa stanza. Ma la cosa più sorprendente è stata osservare il volo dei pensieri dei giocatori e il loro impatto emotivo nel processo.
A dire il vero, l'ingegnosità dei giocatori nel risolvere gli enigmi ha superato molte volte la nostra modesta idea: ogni minuto libero abbiamo letto la chat di Discord e in alcuni casi abbiamo letteralmente pianto dalle risate, scoprendo cosa stavano facendo i giocatori e come scherzavano il processo.
7 persone hanno lavorato instancabilmente al progetto: un backender, uno specialista di hardware, un vero produttore cinematografico, un designer CG e due coproduttori ideologici.
Nei prossimi post ti diremo esattamente come è stata implementata la ricerca dal punto di vista tecnico, ma per ora ti dirò la soluzione: come esattamente era necessario hackerare questa stanza in trasmissione. Allo stesso tempo, ricordiamoci della cronologia degli eventi, così come di tutte le folli teorie degli Illuminati della chat discord e basta.
Cosa avevano i giocatori all'inizio del gioco?
Tutti gli oggetti nella stanza erano divisi in tre categorie:
- Dispositivi IoT facili da usare e non di gioco
- Dispositivi di gioco per completare la missione
- entourage
Abbiamo posizionato 8 elementi molto facili da gestire: due lampade, una ghirlanda, cinque lettere FALCON, ognuna delle quali poteva essere cambiata di colore. Tutto questo può essere attivato/disattivato direttamente dal sito Web e vedere immediatamente il risultato in trasmissione: li abbiamo appositamente resi disponibili a tutti i giocatori, indipendentemente dal loro livello di esperienza tecnica.
Tutto ciò che è stato semplicemente incluso dal sito
Degli importanti elementi di gioco necessari per completare la missione e il cui accesso non era così facile da ottenere:
- Server con coperchio aperto e acquario sopra
- Peso sospeso per rompere un acquario
- Megatron 3000 - un potente puntatore laser puntato sulla corda che sostiene il peso
- Una potente ventola che si avviava quando il server era sotto carico
- Lavagna a fogli mobili su cui sono stati scritti login e password per Megatron
- Un telefono che puoi chiamare e vedere la tua chiamata in diretta
- Il trituratore che mangiava banconote da 1000 rubli all'ora
Come è stata risolta esattamente la ricerca?
Dirò subito: la bara si è aperta in modo abbastanza semplice.
Lo scopo del gioco era fermare il distruggidocumenti provocando un cortocircuito nella stanza. Per fare ciò è stato necessario rompere l'acquario gettandovi un peso e riempire d'acqua il server. Il peso era tenuto su una corda a cui Megatron mirava. Prendendo il controllo di Megatron, la corda potrebbe essere tagliata. Questo è stato fatto in 5 semplici passaggi:
Passaggio 1. Caricare il server nella stanza
Ad esempio, inviando pacchetti con un comando.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaIl suggerimento era molto carico su .
Lo stesso captcha che doveva essere attaccato
Quando il server veniva caricato, la sua temperatura aumentava e questo poteva essere monitorato sul sistema di monitoraggio aperto direttamente davanti alla telecamera. Poi si è acceso il ventilatore, aprendo una barriera luminosa sulla lavagna a fogli mobili. Quindi si sono aperti il login e la password per accedere alla pagina di Megatron, scritti sulla lavagna.
E la stessa pagina di gestione di Megatron può essere trovata controllando tutti i certificati emessi per il dominio ooosokol.ru.
Su un sottodominio c'era una pagina di controllo di Megatron. Ma non si aprì finché Megatron non ricevette l'energia primaria.
I giocatori hanno ripercorso tutte queste fasi quasi immediatamente nei commenti della trasmissione su YouTube. Successivamente i compiti si sono complicati e i giocatori hanno creato il server Discord RUVDS Hack Room e lì hanno continuato la discussione.
Passaggio 2: applicare l'energia primaria a Megatron
Tutti i dispositivi intelligenti controllati dal sito (le stesse lampade che i giocatori accendevano e spegnevano senza fermarsi) avevano i propri identificatori.
Per fornire alimentazione primaria a Megatron e allo stesso tempo illuminarlo è stato necessario trovare e accendere un dispositivo nascosto nella pagina di gestione dell'ufficio.
Per fare ciò, dovevi guardare gli identificatori del dispositivo e notare che ci sono 4 dispositivi in totale, ma solo 3 sono disponibili sul sito.
Quando è stato acceso il quarto dispositivo, la pagina Megatron è diventata disponibile e il laser stesso è stato evidenziato. Ma allo stesso tempo era impossibile sparare con un laser, e questo C'era un messaggio che il laser non era ancora disponibile e un suggerimento: c'era un ingorgo in ufficio, bisogna chiamare la società di gestione e chiedere la corrente.
Suggerimento sulla società di gestione
3. Chiama la società di gestione e chiedi di accendere Megatron
Secondo l'ENT, Megatron non ha potuto sparare perché gli ingorghi nell'ufficio sono stati eliminati. Poteva ridare la corrente solo la società di gestione, che doveva essere contattata e identificata come proprietaria della LLC.
È stato facile trovare il numero della società di gestione: lo abbiamo inserito direttamente nel piè di pagina.
Ma l’identificazione è stata molto più difficile.
Chiamando il numero +74991130688, un'operatrice prese il telefono e con voce annoiata chiese la locanda dell'azienda e il nome completo del proprietario. Senza questo, si è rifiutata di accendere la corrente e lo ha spiegato con il fatto che si tratta di una normale sala di controllo in outsourcing, hanno 2000 clienti e uffici e senza queste informazioni è semplicemente impossibile trovare quello di cui hanno bisogno.
Questa si è rivelata la fase più difficile per i giocatori. Ci sono voluti quasi due giorni per trovare il TIN corretto e il nome completo del proprietario e io (rappresentato dall'operatore della sala di controllo) ho ricevuto più di 400 chiamate durante questo periodo. Il telefono squillava ogni 2-3 minuti.
I ragazzi hanno scavato come meglio potevano. È stato utilizzato di tutto: hanno sventrato il codice sorgente del sito, hanno cercato su Google il proprietario del sito Sokolov e hanno effettuato ricerche sui social network.
Stavano cercando i numeri di identificazione fiscale di diverse società
Schema di ricerca quasi completo
Ad un certo punto hanno chiamato addirittura con un numero falsificato, come se chiamassero dall'ufficio della società Sokol elencato a piè di pagina.
Poi abbiamo appreso quante aziende si chiamano Sokol. Quasi tutte queste società hanno ricevuto chiamate dai giocatori, ma questo non era nulla in confronto a ciò che ha sperimentato il sito , dal quale abbiamo acquistato lo stesso Megatron circa un mese fa.
Innanzitutto, la discordia ha attaccato il supporto di Lasersmasters.
Quindi siamo riusciti a trovare l'account di qualcuno lì! Mentre il supporto di Lasermasters ha già smesso di lesinare sulle espressioni.
Attenzione, tenere i bambini lontani dallo schermo
Alla fine, Lasermasters ha deciso di infastidirli e il loro sito è andato in crash. Così come siamo riusciti a demolire il sito Sokol, anche se lo abbiamo rialzato rapidamente.
Durante le indagini, i ragazzi di Discord hanno persino trovato un attore, la cui foto abbiamo acquistato dalle azioni, in modo che interpretasse il ruolo del principale antagonista, il proprietario della LLC Andrei Sokolov. Si è scoperto che il suo nome è Yuri e non ha assolutamente idea del tipo di pasticcio in cui si è cacciato.
Andrey Sokolov, personaggio del gioco
Yuri, modello
Se solo sapesse come ha costretto 600 persone a non dormire per due giorni...)
Poi hanno iniziato a scavare appositamente per me, come organizzatore della ricerca (che avrebbe potuto benissimo concludersi con successo se i ragazzi avessero intuito di hackerare i miei canali di lavoro).
Mi sono persino preoccupato un po' quando hanno nominato il mio patronimico e persino il mio numero di identificazione fiscale. Ma mi sono sentito sollevato quando, mentre il telefono danneggiato funzionava, improvvisamente ho avuto un fratello maggiore, che improvvisamente si è rivelato essere il direttore tecnico di Habr.
Mio caro fratello, anche lui ha sofferto
Nel frattempo le ipotesi diventavano sempre più incredibili
E si arrivò alle teorie degli Illuminati.
Le teorie del complotto più succose riguardavano SpongeBob, Harry Potter e il lampeggiamento della ghirlanda di diodi cinesi che abbiamo posizionato all'interno dell'unità di sistema.
Da dove vengono SpongeBob e Harry Potter, dici? Abbiamo inserito i loro indirizzi nella pagina dei contatti di Sokol e questo ha dato origine a molte speculazioni nella comunità discord. Anche se volevamo solo rendere omaggio alle nostre opere d'infanzia preferite.
Lo stesso riferimento nella pagina ""
E come risultato
Si è scoperto che nella serie ci sono davvero documenti di SpongeBob. Erano chiamati TIN
Una delle teorie più complesse era che la ghirlanda cinese lampeggiante contenesse un messaggio in codice Morse.
Lo sfarfallio è stato registrato e si è cercato di decifrarlo
Una teoria più semplice è che i ragazzi abbiano cercato di capire se l'indizio fosse nascosto nelle carte.
Lungo la strada siamo stati paragonati — una valutazione immeritatamente alta, ma comunque piacevole.
I giocatori hanno provato l'ingegneria sociale con tutte le loro forze. Mi hanno chiamato sotto le spoglie dell'FSB, dei vigili del fuoco, dello stesso Sokolov, della sua ex moglie e della guardia di sicurezza che presumibilmente siede al piano di sotto. Dissero che era scoppiato un incendio, qualcuno era rimasto bloccato nell'ascensore e la storia più straziante era che il cane della persona che aveva chiamato era presumibilmente seduto in ufficio, avvolto dalle fiamme.
Ci sono stati anche tentativi di corruzione
Lentamente, i miei meme hanno cominciato ad apparire nella chat.
Eccone un paio
Nel frattempo le fabbriche erano ferme
aiutare
C'erano sempre meno soldi nel trituratore. Affinché il vincitore riceva almeno qualcosa, abbiamo deciso di dare un suggerimento. Allo stesso tempo, seguendo le regole del game design, alza la tensione subito prima del finale.
Separato Abbiamo pubblicato un video sul blog. All'inizio venne inserito un pezzo di Fight Club come riferimento a Tyler Durden, che stava pensando di inserire il 25° fotogramma nei film mentre lavorava nei cinema.
Abbiamo deciso di applicare la stessa meccanica e abbiamo inserito un suggerimento su come farlo nel 25° fotogramma TIN corretto e nome completo del proprietario.
Dopodiché i ragazzi lo hanno capito molto rapidamente
Passaggio 4. Spara con un laser in modalità non combattimento
Quando l'elettricità veniva fornita dalla società di gestione e dopo che le prese venivano accese, Megatron si accendeva e poteva accendersi in modalità test. Nel modulo di input è già stato inserito un token per uno scatto di prova.
Ogni 25 secondi veniva generato un nuovo gettone, questo poteva essere utilizzato per accendere il laser per 10 secondi alla potenza 10/255
Quindi il laser si è raffreddato per 1 minuto e durante questo minuto non è stato disponibile e non ha accettato nuove richieste di iniezione.
Questa potenza era del tutto insufficiente per bruciare la corda, ma qualsiasi giocatore poteva sparare da Megatron e vedere il raggio laser in azione.
La reazione della comunità è stata più che vigorosa
Ma tutti si calmarono rapidamente e si resero conto che questa non era la fine del gioco.
Quindi la comunità ha iniziato a capire come avviare la modalità combattimento
brainstorming
Ci sono falsi su Discord
Non sapevamo che nella trasmissione ci fosse scritto qualcosa sulla gamba del tavolo
La community è arrivata allo step 4. Comprendere come vengono generati i token: trova l'essenza e genera un token che accende il laser in modalità combattimento
La modalità di combattimento di Megatron è al 100% di potenza laser a 3 watt. Questo è sufficiente per 2 minuti per bruciare la corda che sosteneva il peso, rompere l'acquario e inondare il server con acqua.
Abbiamo lasciato alcuni suggerimenti : ovvero il codice di generazione dei token, da cui si potrebbe capire che i token di test e di combattimento vengono generati in base allo stesso contatore indicatore. Nel caso di un gettone di combattimento, oltre al controvalore, viene utilizzato anche un sale, che viene quasi completamente lasciato nella storia del cambiamento di questo contenuto, ad eccezione degli ultimi due caratteri.
Come tutti avevano subito intuito, erano 42
Nei commenti in sostanza c'era una corrispondenza tra Andrey Sokolov e lo sviluppatore ("sviluppatore saggio", come lo chiamavano i ragazzi di Discord).
Nella corrispondenza, Andrey ha inviato uno dei token di combattimento e lo sviluppatore ha risposto che questo token era inizializzato con un controvalore di 42.
Conoscendo questi dati, è stato possibile ordinare gli ultimi 2 simboli del sale e scoprire effettivamente che per questo sono stati utilizzati i numeri di Lost, convertiti nel sistema esadecimale.
Quindi i giocatori dovevano individuare il valore del contatore (analizzando il gettone test) e generare un gettone di combattimento utilizzando il valore del contatore successivo e il sale selezionato nel passaggio precedente.
Il contatore aumenta semplicemente con ogni scatto di prova e ogni 25 secondi. Non ne abbiamo scritto da nessuna parte, doveva essere una piccola sorpresa di gioco. I ragazzi lo hanno capito molto rapidamente e hanno lanciato il megatron in modalità combattimento.
Passaggio 5. Il laser brucia la corda
Com'è stato
Tutto è semplice qui. L’invio di un gettone di combattimento trasformerebbe il laser in modalità combattimento e la stanza cambierebbe e andrebbe in “modalità disastro”, come la chiamavamo nello scenario generale:
- Tutte le luci nella stanza si spensero
- I pulsanti per i dispositivi IoT sul sito Web non sono più disponibili
- Luci lampeggianti e suono della sirena
- Il peso rosso era illuminato
- Sullo schermo televisivo è iniziato il conto alla rovescia fino a quando il laser non è stato lanciato in modalità combattimento.
Abbiamo dato il conto alla rovescia di un'ora e mezza in modo che tutti coloro che hanno giocato avessero il tempo di accendere la trasmissione e vedere la finale. E per una buona ragione: mentre aspettavo con il fiato sospeso il rumore dell'impatto e dei vetri rotti provenienti dalla stanza accanto, l'intero team che ha costruito la missione, senza dire una parola, ha iniziato ad andare alla base per vedere il finale con il loro propri occhi. Sono corsi nella stanza e hanno iniziato ad abbracciarsi.
Nel frattempo sulla discordia
Al termine del conto alla rovescia, il laser è entrato in azione e in due minuti ha bruciato la corda: il peso è volato direttamente nell'acquario. Prima dell'impatto, un capibara impazzito urlò sullo schermo, alzando le piccole zampe in preda al panico.
Dato che l'intera squadra era riunita lì, abbiamo lanciato un piccolo messaggio a tutti coloro che hanno combattuto per la finale per due giorni su Discord e siamo andati ad aprire lo champagne:
Come abbiamo calcolato i tempi di lancio dei video pubblicitari e il volo del peso?
Dopo una dozzina di test di bruciatura di una corda con un laser, ci siamo resi conto che si tratta di un design molto inaffidabile: la corda mezza bruciata diventa più sottile, sotto il peso del peso si allunga, cambia posizione e il laser non può più tagliare completamente.
Pertanto, abbiamo preso una strada diversa: abbiamo duplicato il burnout avvolgendo la corda con filo di nicromo. Una corrente è passata attraverso il filo, è diventato rovente e ha bruciato la corda in circa 2 secondi - questo ci ha dato un'idea precisa di quando accendere il capibara urlante, fermare il timer di avvio e avviare lo spot pubblicitario:
Cosa non ha funzionato per noi?
Alla fine, dall'unità di sistema avrebbe dovuto uscire un fumo denso, come in un incendio: abbiamo preparato dei fumogeni, li abbiamo accesi allo stesso modo, ma per qualche motivo non hanno funzionato (probabilmente a causa dell'acqua).
Chi è il vincitore?
Ne è uscito vincitore Arkady Alekseev da San Pietroburgo - è stato il primo a generare un token di prova e ha vinto i soldi rimanenti nel distruggidocumenti per un importo di 134 rubli.
Una breve intervista con Arkady.
Raccontaci di te, cosa fai al lavoro?
Sono uno specialista della sicurezza per formazione, laureato alla BIT presso ITMO. Lavoro come sviluppatore web full stack in outsourcing. A scuola ho partecipato a concorsi, anche di programmazione e matematica.
Come sei venuto a conoscenza del gioco?
Sono andato ad Habr solo per leggere, ho visto l'articolo e mi sono interessato.
Quante ore hai giocato quando ti sei iscritto?
Mi sono iscritto la sera del giorno in cui è stato pubblicato l'articolo (cioè un giorno prima della fine). Ho trascorso la serata e buona parte della giornata successiva.
Cosa ti è piaciuto e cosa no?
In generale mi è piaciuto tutto (ovviamente ho vinto)), ma ero un po' nervoso per le chiamate. Beh, ad esempio, chiamare e controllare ciascuna versione in qualche modo non era molto buono, almeno era imbarazzante: ho capito che ce n'erano ancora diverse dozzine che chiamavano, metà di loro scherzavano e cercavano di impegnarsi nell'ingegneria sociale.
Come hai fatto a trovare il gettone di battaglia per Megatron?
Quando sono entrato, avevano già spammato il server, acceso lampadine, trovato la password per il pannello di amministrazione laser, tutti i tipi di sottodomini e pagine.
È stato anche facile trovare un profilo su Github e una sintesi con i commenti. Da lì, il processo di generazione di un token e del suo segreto è ovvio. In tali missioni non c'è bisogno di inventare molto, IMHO, dal momento che puoi affogare in una serie di opzioni per lo sviluppo degli eventi; e di conseguenza devi seguire dove ti spinge il creatore della ricerca.
Tenendo conto dei restanti sottodomini e del sito di test sulla tilde, era chiaro che dopo aver alimentato il laser sarebbe stato necessario selezionare un token. Così, quella stessa sera ho abbozzato una richiesta approssimativa di accensione del laser (basata su 4 moduli disponibili: 1 sul cantiere e 3 su quello di prova/vecchio) e ho provato a brutare con gettoni funzionanti a partire da 42 (beh, per gli sciocchi: all'improvviso tutto è già abilitato e la pagina con l'invio del token verrà semplicemente aperta dopo il TIN e il nome completo).
Non sono sicuro che la richiesta fosse corretta, dato che non c'era tempo per controllare (dopotutto era possibile solo verificare che il laser fosse acceso), ma mi sono preparato in anticipo per la ricerca del token.
C'era anche una logica ovvia con i websocket e la gestione dei dispositivi nel file app.js. C'era un accenno audace di un dispositivo a9, durante l'invio di energia: vero, la presa si è bloccata. Ho provato a inviargli tutto: non si sa mai, potrebbe esserci un dispositivo aggiuntivo per risolvere il TIN, ma senza successo.
Poi ho cercato il resto dei file ID accanto a quei dieci, ma ovunque c'era un dispositivo sconosciuto. Ho anche provato a cercare su Google ogni genere di cose, sali [email protected], ho inviato tutto nel modulo nella pagina del listino prezzi, ho fatto qualche ricerca con Lasermasters, ma tutto senza successo. Il giorno dopo ero seduto in chat, cercando su Google ogni sorta di cose, poi è venuto fuori l'argomento stego e mi sono consultato con la persona stegosolve per immagini e gif (ma ho capito mentalmente che il 99% delle volte non c'era niente lì, dal momento che sarebbe troppo + una contraddizione con la linea di ricerca principale).
Ma alla fine, mi sono anche seduto e ho frugato tra tutte le foto e le gif per un paio d'ore. Ho chiamato ancora un paio di volte con opzioni TIN diverse, ma non ha funzionato. Poi ho deciso di rinunciarvi, ma lì hanno pubblicato un suggerimento - ed è diventato chiaro che il numero di identificazione del contribuente (TIN) sarebbe stato trovato nel prossimo futuro, ed è quello che è successo. Quindi o io o qualcun altro (non è ovvio) abbiamo inviato energia: fedele al dispositivo a9 e il laser ha iniziato a funzionare, anche se forse non c'era alcuna connessione e ha iniziato a funzionare solo dopo il TIN. In generale, sono entrato nel pannello di amministrazione del laser e sono rimasto piuttosto sorpreso, dal momento che il server stesso ha inviato il token (e mi stavo già preparando per il brute). È diventato ovvio che il token era di prova, poiché la trasmissione + il buon senso + l'ho controllato.
Il codice conteneva la logica di inviare un token funzionante da qualche parte come notifica, ma a quanto pare o era il codice sbagliato oppure era necessario per altre parti del sistema. Ho redatto uno script per ottenere il token funzionante corrente da quello di prova corrente e ho iniziato a sedermi su f5, cercando di inviarli: c'erano problemi con questo, poiché tutti premevano costantemente il pulsante di invio, modificando così il token se possibile. Poi il sito si è bloccato, il contatore è stato azzerato, ma non è questo il punto: dopo un po' ho inviato un token funzionante. In teoria il contatore era 58 e токен был 449a776938f7ce4cf19f8603045dca0f al momento dell'attivazione, se non sbaglio. È tutto.
Poi mi sono stancato un po’ di commenti del tipo “sì, è tutto banale, ma sono stato solo fortunato”. Bene, se vai alla pagina, pensa per un minuto, scrivi una sceneggiatura in un paio di minuti, controllala, allora sì, è banale. Ma l'ho fatto in 10-20 secondi e poi non sono riuscito a inviare il token per diversi minuti.
Naturalmente, potresti provare a scrivere la logica per raccoglierlo e inviarlo automaticamente, ma ciò richiederebbe più tempo e rappresenterebbe un grosso rischio, inoltre il cloud probabilmente inizierebbe a imprecare. Ciò in cui sono stato davvero fortunato è stata l'ultima fase: alcuni algoritmi per la velocità + velocità di reazione, questo è solo mio. Se ci fosse stato un compito direttamente dal pentest, molto probabilmente non sarei diventato il primo.
Ma non è ancora finita
Non vedo l'ora di parlarvi dello straordinario team che ha costruito questa stanza di fuga e di tutte le soluzioni ingegneristiche che hanno escogitato. Ma questo post si è già rivelato troppo lungo, quindi ci saranno articoli separati a riguardo, quindi resta sintonizzato e iscriviti al nostro blog su Habré.
Fonte: habr.com