Tej zimy, a raczej w jeden z dni pomiędzy katolickimi Świętami Bożego Narodzenia a Nowym Rokiem, inżynierowie pomocy technicznej firmy Veeam byli zajęci nietypowymi zadaniami: polowali na grupę hakerów o nazwie „Veeamonymous”.
Opowiedział, jak sami chłopaki wymyślili i przeprowadzili w rzeczywistości prawdziwą misję w swojej pracy, z zadaniami „blisko walki” Kirill Stetsko, Inżynier eskalacji.
- Dlaczego w ogóle to zacząłeś?
- Mniej więcej w ten sam sposób, w jaki kiedyś ludzie wymyślili Linuksa - dla zabawy, dla własnej przyjemności.
Chcieliśmy ruchu, a jednocześnie chcieliśmy zrobić coś pożytecznego, coś interesującego. Poza tym trzeba było dać inżynierom odskocznię emocjonalną od codziennej pracy.
- Kto to zasugerował? Czyj to był pomysł?
— Pomysłem była nasza menadżerka Katya Egorova, a potem koncepcja i wszystkie dalsze pomysły zrodziły się dzięki wspólnym wysiłkom. Początkowo myśleliśmy o zorganizowaniu hackatonu. Ale w trakcie opracowywania koncepcji pomysł przerodził się w poszukiwanie, wszak inżynier wsparcia technicznego to inny rodzaj działalności niż programowanie.
Zadzwoniliśmy więc do przyjaciół, towarzyszy, znajomych, z koncepcją pomogli nam różni ludzie – jedna osoba z T2 (druga linia wsparcia to wyd.), jedna osoba z T3, kilka osób z zespołu SWAT (zespół szybkiego reagowania w szczególnie pilnych przypadkach - wyd.). Zebraliśmy się wszyscy, usiedliśmy i próbowaliśmy wymyślić zadania związane z naszą misją.
— Dowiedzenie się o tym wszystkim było bardzo nieoczekiwane, ponieważ z tego, co wiem, mechanika questów jest zwykle opracowywana przez wyspecjalizowanych scenarzystów, to znaczy, że nie tylko miałeś do czynienia z tak złożoną rzeczą, ale także w odniesieniu do twojej pracy , do Twojego obszaru działalności zawodowej.
— Tak, chcieliśmy, żeby to nie była tylko rozrywka, ale „podkręcenie” umiejętności technicznych inżynierów. Jednym z zadań w naszym dziale jest wymiana wiedzy i szkoleń, ale takie poszukiwanie jest doskonałą okazją, aby ludzie „dotknęli” nowych dla siebie technik.
— Jak wymyślałeś zadania?
– Przeprowadziliśmy burzę mózgów. Wiedzieliśmy, że trzeba zrobić jakieś testy techniczne, i to takie, żeby były ciekawe i jednocześnie wniosły nową wiedzę.
Na przykład pomyśleliśmy, że ludzie powinni spróbować wąchać ruch, używać edytorów szesnastkowych, robić coś dla Linuksa lub robić nieco głębsze rzeczy związane z naszymi produktami (Veeam Backup & Replication i inne).
Ważną częścią była także koncepcja. Postanowiliśmy oprzeć się na temacie hakerów, anonimowego dostępu i atmosferze tajemnicy. Z maski Guya Fawkesa zrobiono symbol, a nazwa przyszła naturalnie – Veeamonymous.
„Na początku było słowo”
Aby wzbudzić zainteresowanie, postanowiliśmy przed wydarzeniem zorganizować akcję PR o tematyce questowej: rozwiesiliśmy plakaty z ogłoszeniem w całym naszym biurze. A kilka dni później w tajemnicy przed wszystkimi pomalowali je sprayem w puszkach i założyli „kaczkę”, mówią, że niektórzy napastnicy zniszczyli plakaty, załączyli nawet zdjęcie z dowodem….
- Czyli zrobiłeś to sam, czyli ekipa organizatorów?!
— Tak, w piątek około godziny 9, kiedy wszyscy już wyszli, poszliśmy i narysowaliśmy z balonów zieloną literę „V”). Wielu uczestników wyprawy nigdy nie zgadło, kto to zrobił - ludzie do nas podchodzili i zapytałem, kto zniszczył plakaty? Ktoś potraktował tę kwestię bardzo poważnie i przeprowadził całe dochodzenie na ten temat.
Na potrzeby questu napisaliśmy także pliki audio, „wyrwane” dźwięki: np. gdy inżynier loguje się do naszego systemu [produkcyjnego CRM], pojawia się robot odpowiadający, który wypowiada najróżniejsze frazy, liczby... Oto jesteśmy z tych słów, które nagrał, ułożył mniej lub bardziej sensowne frazy, no, może trochę przekręcone – na przykład mamy w pliku audio „No friends to help you”.
Na przykład przedstawiliśmy adres IP w kodzie binarnym i ponownie, używając tych liczb [wymawianych przez robota], dodaliśmy wszelkiego rodzaju przerażające dźwięki. Film sami nakręciliśmy: na nagraniu mamy mężczyznę siedzącego w czarnym kapturze i w masce Guya Fawkesa, ale w rzeczywistości jest to nie jedna osoba, ale trzy, bo dwie stoją za nim i trzymają „tło” wykonane z koca :).
- No cóż, jesteś zdezorientowany, mówiąc wprost.
- Tak, zapaliliśmy się. Ogólnie rzecz biorąc, najpierw wymyśliliśmy nasze specyfikacje techniczne, a następnie ułożyliśmy literacki i zabawny zarys na temat tego, co rzekomo się wydarzyło. Zgodnie ze scenariuszem uczestnicy polowali na grupę hakerów o nazwie „Veeamonymous”. Pomysł był też taki, żebyśmy niejako „rozbili czwartą ścianę”, czyli przenieśli wydarzenia w rzeczywistość – malowaliśmy np. z puszki ze sprayem.
W literackim opracowaniu tekstu pomógł nam jeden z native speakerów języka angielskiego z naszego wydziału.
- Czekaj, dlaczego native speaker? Czy zrobiłeś to wszystko również po angielsku?!
— Tak, zrobiliśmy to dla biur w Petersburgu i Bukareszcie, więc wszystko było po angielsku.
W przypadku pierwszego doświadczenia staraliśmy się, aby wszystko po prostu działało, więc scenariusz był liniowy i dość prosty. Dodaliśmy więcej otoczenia: tajne teksty, kody, zdjęcia.
Wykorzystaliśmy także memy: było mnóstwo obrazków na tematy związane z śledztwami, UFO, kilka popularnych horrorów - niektóre zespoły były tym rozkojarzone, próbując znaleźć w nich ukryte wiadomości, zastosować swoją wiedzę na temat steganografii i nie tylko... ale oczywiście nic takiego nie było.
O cierniach
Jednak w procesie przygotowawczym stanęliśmy także przed nieoczekiwanymi wyzwaniami.
Dużo się z nimi zmagaliśmy i rozwiązaliśmy najróżniejsze nieoczekiwane problemy, a około tydzień przed wyprawą myśleliśmy, że wszystko stracone.
Prawdopodobnie warto powiedzieć trochę o technicznych podstawach zadania.
Wszystko zostało zrobione w naszym wewnętrznym laboratorium ESXi. Mieliśmy 6 drużyn, co oznacza, że musieliśmy przydzielić 6 pul zasobów. Dlatego dla każdego zespołu wdrożyliśmy osobną pulę z niezbędnymi maszynami wirtualnymi (ten sam adres IP). Ponieważ jednak wszystko to znajdowało się na serwerach znajdujących się w tej samej sieci, bieżąca konfiguracja naszych sieci VLAN nie pozwalała nam na izolowanie maszyn w różnych pulach. I na przykład podczas uruchomienia testowego otrzymaliśmy sytuacje, w których maszyna z jednej puli łączyła się z maszyną z drugiej.
– Jak udało Ci się naprawić sytuację?
— Na początku długo myśleliśmy, testowaliśmy różne opcje z uprawnieniami, oddzielne sieci VLAN dla maszyn. W rezultacie tak zrobili – każdy zespół widzi tylko serwer Veeam Backup, przez który toczą się wszelkie dalsze prace, ale nie widzi ukrytej podpuli, która zawiera:
- kilka komputerów z systemem Windows
- Podstawowy serwer Windows
- Maszyna z Linuksem
- para VTL (wirtualna biblioteka taśmowa)
Do wszystkich pul przypisana jest osobna grupa portów na przełączniku vDS i własna prywatna sieć VLAN. Ta podwójna izolacja jest dokładnie tym, czego potrzeba, aby całkowicie wyeliminować możliwość interakcji sieciowej.
O odważnych
— Czy ktoś mógłby wziąć udział w wyprawie? Jak powstały zespoły?
— Było to nasze pierwsze doświadczenie w organizacji tego typu wydarzenia, a możliwości naszego laboratorium ograniczały się do 6 zespołów.
Najpierw, jak już mówiłem, przeprowadziliśmy kampanię PR: za pomocą plakatów i mailingów ogłosiliśmy, że odbędzie się wyprawa. Mieliśmy nawet pewne wskazówki – na samych plakatach frazy były zaszyfrowane w kodzie binarnym. W ten sposób zainteresowaliśmy ludzi, a ludzie już doszli do porozumienia między sobą, ze znajomymi, ze znajomymi i współpracowali. W rezultacie odpowiedziało więcej osób, niż mieliśmy pul, więc musieliśmy przeprowadzić selekcję: wymyśliliśmy proste zadanie testowe i wysłaliśmy je do wszystkich, którzy odpowiedzieli. Był to problem logiczny, który należało szybko rozwiązać.
Zespół mógł liczyć maksymalnie 5 osób. Kapitan nie był potrzebny, ideą była współpraca, komunikacja między sobą. Ktoś jest mocny np. w Linuksie, ktoś jest mocny w taśmach (kopie zapasowe na taśmy) i każdy, widząc zadanie, mógłby zainwestować swoje wysiłki w całościowe rozwiązanie. Wszyscy porozumiewali się ze sobą i znaleźli rozwiązanie.
– W którym momencie zaczęło się to wydarzenie? Czy miałeś jakąś „godzinę X”?
— Tak, mieliśmy ściśle wyznaczony dzień, tak go wybraliśmy, żeby było mniej pracy w dziale. Oczywiście liderzy drużyn zostali z wyprzedzeniem powiadomieni, że do udziału w wyprawie zaproszono takie a takie zespoły i należało im tego dnia zapewnić pewną ulgę [w sprawie załadunku]. Wyglądało na to, że powinien to być koniec roku, 28 grudnia, piątek. Spodziewaliśmy się, że zajmie to około 5 godzin, ale wszystkie drużyny ukończyły go szybciej.
— Czy wszyscy byli na równych prawach, czy wszyscy mieli te same zadania oparte na rzeczywistych przypadkach?
— Cóż, tak, każdy z kompilatorów zaczerpnął kilka historii z własnego doświadczenia. Wiedzieliśmy, że coś takiego może wydarzyć się w rzeczywistości i byłoby interesujące, gdyby ktoś to „poczuł”, popatrzył i odgadł. Zajęli się także bardziej konkretnymi sprawami – na przykład odzyskiwaniem danych z uszkodzonych taśm. Niektórzy z podpowiedziami, ale większość zespołów zrobiła to samodzielnie.
Albo trzeba było skorzystać z magii szybkich skryptów – np. mieliśmy historię, że jakaś „bomba logiczna” „rozdarła” wielotomowe archiwum na losowe foldery wzdłuż drzewa i trzeba było zebrać dane. Możesz to zrobić ręcznie - znajdź i skopiuj [pliki] jeden po drugim, lub możesz napisać skrypt za pomocą maski.
Generalnie staraliśmy się trzymać punktu widzenia, że jeden problem można rozwiązać na różne sposoby. Na przykład, jeśli jesteś trochę bardziej doświadczony lub chcesz się pogubić, możesz rozwiązać problem szybciej, ale istnieje bezpośredni sposób, aby rozwiązać go bezpośrednio - ale jednocześnie poświęcisz więcej czasu na problem. Oznacza to, że prawie każde zadanie miało kilka rozwiązań i ciekawe, jakie ścieżki wybiorą zespoły. Zatem nieliniowość polegała właśnie na wyborze opcji rozwiązania.
Swoją drogą najtrudniejszy okazał się problem z Linuksem - tylko jeden zespół rozwiązał go samodzielnie, bez żadnych podpowiedzi.
– Czy mógłbyś skorzystać z podpowiedzi? Jak w prawdziwym zadaniu?
— Tak, było to możliwe, bo zrozumieliśmy, że ludzie są różni, a ci, którym brakuje wiedzy, mogą trafić do jednego zespołu, więc aby nie opóźniać przejścia i nie stracić zainteresowania konkurencyjnością, zdecydowaliśmy, że wskazówki. W tym celu każdy zespół był obserwowany przez osobę z organizatorów. No cóż, zadbaliśmy o to, żeby nikt nie oszukał.
O gwiazdach
— Czy dla zwycięzców przewidziano nagrody?
— Tak, staraliśmy się zapewnić jak najprzyjemniejsze nagrody zarówno dla wszystkich uczestników, jak i zwycięzców: zwycięzcy otrzymali markowe bluzy z logo Veeam i frazą zaszyfrowaną w kodzie szesnastkowym, kolor czarny). Wszyscy uczestnicy otrzymali maseczkę Guya Fawkesa oraz markową torbę z logo i tym samym kodem.
- To znaczy, wszystko było jak w prawdziwej wyprawie!
„Cóż, chcieliśmy zrobić fajną, dorosłą rzecz i myślę, że nam się to udało”.
- To prawda! Jaka była ostateczna reakcja osób, które brały udział w tym zadaniu? Czy osiągnąłeś swój cel?
- Tak, wielu przyszło później i stwierdziło, że wyraźnie widziało swoje słabe punkty i chciało je poprawić. Ktoś przestał bać się pewnych technologii - na przykład zrzucania bloków z taśm i próbowania czegoś tam złapać... Ktoś zdał sobie sprawę, że trzeba ulepszyć Linuksa i tak dalej. Staraliśmy się dać dość szeroki zakres zadań, ale nie całkiem banalnych.
Zwycięska drużyna
„Kto chce, ten to osiągnie!”
— Czy wymagało to dużego wysiłku od tych, którzy przygotowywali to zadanie?
- Właściwie tak. Ale najprawdopodobniej wynikało to z faktu, że nie mieliśmy doświadczenia w przygotowywaniu takich zadań, tego rodzaju infrastruktury. (Zastrzegajmy, że to nie jest nasza prawdziwa infrastruktura – miała ona po prostu pełnić pewne funkcje gry.)
Było to dla nas bardzo ciekawe przeżycie. Na początku byłem sceptyczny, bo pomysł wydał mi się zbyt fajny, myślałem, że będzie bardzo trudny do zrealizowania. Ale zaczęliśmy to robić, zaczęliśmy orać, wszystko zaczęło się palić i w końcu się udało. I praktycznie nie było żadnych nakładek.
W sumie spędziliśmy 3 miesiące. W większości wymyśliliśmy koncepcję i omówiliśmy, co możemy wdrożyć. W trakcie oczywiście pewne rzeczy się zmieniły, ponieważ zdaliśmy sobie sprawę, że nie mamy technicznych możliwości, aby coś zrobić. Trzeba było coś po drodze przerobić, ale w taki sposób, żeby nie zepsuł się cały zarys, historia i logika. Staraliśmy się nie tylko podać listę zadań technicznych, ale dopasować ją do historii, tak aby była spójna i logiczna. Główna praca trwała przez ostatni miesiąc, czyli 3-4 tygodnie przed dniem X.
— Zatem poza głównymi zajęciami przeznaczyłeś czas na przygotowania?
— Tak, robiliśmy to równolegle z naszą główną pracą.
- Czy zostałeś poproszony o zrobienie tego jeszcze raz?
- Tak, mamy wiele próśb o powtórzenie.
- A ty?
- Mamy nowe pomysły, nowe koncepcje, chcemy przyciągnąć więcej ludzi i rozciągnąć to w czasie - zarówno proces selekcji, jak i sam proces gry. Generalnie inspiruje nas projekt „Cykada”, można to wygooglować – to bardzo fajny temat IT, ludzie z całego świata się tam jednoczą, zakładają wątki na Reddicie, na forach, korzystają z tłumaczeń kodów, rozwiązują zagadki , i to wszystko.
— Pomysł był świetny, tylko szacunek za pomysł i realizację, bo naprawdę jest wiele wart. Życzę Wam szczerze, abyście nie stracili tej inspiracji i aby wszystkie Wasze nowe projekty również zakończyły się sukcesem. Dziękuję!
— Tak, czy możesz spojrzeć na przykład zadania, którego na pewno nie wykorzystasz ponownie?
„Podejrzewam, że nie wykorzystamy żadnego z nich ponownie”. Dzięki temu mogę Ci opowiedzieć o postępie całego questu.
Dodatkowy utwórGracze na samym początku mają do dyspozycji nazwę maszyny wirtualnej oraz dane uwierzytelniające z vCenter. Po zalogowaniu się widzą tę maszynę, ale ona się nie uruchamia. Tutaj musisz zgadnąć, że coś jest nie tak z plikiem .vmx. Po pobraniu wyświetli się monit niezbędny do wykonania drugiego kroku. Zasadniczo mówi, że baza danych używana przez rozwiązanie Veeam Backup & Replication jest szyfrowana.
Po usunięciu monitu, ponownym pobraniu pliku .vmx i pomyślnym włączeniu komputera okazuje się, że jeden z dysków faktycznie zawiera bazę danych zaszyfrowaną base64. W związku z tym zadaniem jest jego odszyfrowanie i uzyskanie w pełni funkcjonalnego serwera Veeam.
Trochę o maszynie wirtualnej, na której to wszystko się dzieje. Jak pamiętamy, zgodnie z fabułą, główny bohater zadania jest raczej mroczną osobą i robi coś wyraźnie niezbyt legalnego. Dlatego jego komputer służbowy powinien mieć wygląd całkowicie hakerski, który musieliśmy stworzyć, mimo że jest to Windows. Pierwszą rzeczą, którą zrobiliśmy, było dodanie wielu rekwizytów, takich jak informacje o głównych hackach, atakach DDoS i tym podobnych. Następnie zainstalowali całe typowe oprogramowanie i wszędzie umieścili różne zrzuty, pliki z skrótami itp. Wszystko jest jak w filmach. Były tam między innymi foldery o nazwach zamknięte*** i otwarte***
Aby osiągnąć dalszy postęp, gracze muszą przywrócić wskazówki z plików kopii zapasowych.
Tutaj trzeba powiedzieć, że na początku gracze otrzymali całkiem sporo informacji, a większość danych (takich jak adres IP, loginy i hasła) otrzymali w trakcie wykonywania zadania, odnajdując wskazówki w kopiach zapasowych lub plikach rozrzuconych na maszynach . Początkowo pliki kopii zapasowych znajdują się w repozytorium Linuksa, ale sam folder na serwerze jest montowany z flagą noexec, więc agent odpowiedzialny za odzyskiwanie plików nie może zostać uruchomiony.
Naprawiając repozytorium, uczestnicy uzyskują dostęp do całej zawartości i mogą w końcu przywrócić dowolne informacje. Pozostaje zrozumieć, który to jest. Aby to zrobić, wystarczy przestudiować pliki przechowywane na tym komputerze, określić, które z nich są „zepsute”, a co dokładnie należy przywrócić.
W tym momencie scenariusz odchodzi od ogólnej wiedzy informatycznej na rzecz specyficznych funkcji Veeam.
W tym konkretnym przykładzie (gdy znasz nazwę pliku, ale nie wiesz, gdzie go szukać) musisz skorzystać z funkcji wyszukiwania w Enterprise Managerze i tak dalej. W rezultacie po przywróceniu całego łańcucha logicznego gracze mają inny login/hasło i wyjście nmap. To przenosi je na serwer Windows Core i przez RDP (dzięki czemu życie nie wydaje się miodem).
Główna cecha tego serwera: za pomocą prostego skryptu i kilku słowników utworzono absolutnie pozbawioną znaczenia strukturę folderów i plików. A kiedy się zalogujesz, otrzymasz wiadomość powitalną w stylu: „Wybuchła tu bomba logiczna, więc będziesz musiał poskładać wskazówki dotyczące dalszych kroków”.
Poniższą wskazówkę podzielono na wielotomowe archiwum (40-50 sztuk) i losowo rozdzielono pomiędzy te teczki. Nasz pomysł był taki, że gracze powinni wykazać się talentem w pisaniu prostych skryptów PowerShell, aby za pomocą dobrze znanej maski złożyć wielotomowe archiwum i uzyskać potrzebne dane. (Ale okazało się, jak w tym dowcipie – niektórzy badani okazali się niezwykle rozwinięci fizycznie.)
W archiwum znajdowało się zdjęcie kasety (z napisem „Ostatnia wieczerza – najlepsze momenty”), co dawało wskazówkę dotyczącą korzystania z podłączonej biblioteki taśm, w której znajdowała się kaseta o podobnej nazwie. Był tylko jeden problem – okazał się tak niesprawny, że nawet nie został skatalogowany. To tutaj rozpoczęła się prawdopodobnie najbardziej hardkorowa część zadania. Usunęliśmy nagłówek z kasety, więc aby odzyskać z niego dane, wystarczy zrzucić „surowe” bloki i przejrzeć je w edytorze szesnastkowym, aby znaleźć znaczniki początku pliku.
Znajdujemy znacznik, patrzymy na przesunięcie, mnożymy blok przez jego rozmiar, dodajemy przesunięcie i za pomocą wewnętrznego narzędzia staramy się odzyskać plik z konkretnego bloku. Jeśli wszystko zostanie wykonane poprawnie i matematyka się zgodzi, to gracze będą mieli w rękach plik .wav.
W nim za pomocą generatora głosu m.in. dyktowany jest kod binarny, który jest rozwijany na kolejne IP.
Okazuje się, że jest to nowy serwer Windows, na którym wszystko wskazuje na potrzebę użycia Wireshark, ale go tam nie ma. Główną sztuczką jest to, że na tym komputerze są zainstalowane dwa systemy - tylko dysk z drugiego jest odłączany przez menedżera urządzeń w trybie offline, a łańcuch logiczny prowadzi do konieczności ponownego uruchomienia. Następnie okazuje się, że domyślnie powinien uruchomić się zupełnie inny system, na którym zainstalowany jest Wireshark. I przez cały ten czas byliśmy na dodatkowym systemie operacyjnym.
Nie trzeba tu robić nic specjalnego, po prostu włącz przechwytywanie w jednym interfejsie. Stosunkowo dokładne badanie zrzutu ujawnia wyraźnie leworęczny pakiet wysyłany z maszyny pomocniczej w regularnych odstępach czasu, zawierający link do filmu na YouTube, w którym gracze proszeni są o zadzwonienie pod określony numer. Pierwsza osoba usłyszy gratulacje za pierwsze miejsce, reszta otrzyma zaproszenie do HR (żart)).
Przy okazji, jesteśmy otwarci dla inżynierów wsparcia technicznego i stażystów. Witaj w drużynie!
Źródło: www.habr.com