Há alguns dias, concluímos um dos eventos mais emocionantes que tivemos a sorte de organizar como parte do blog - um jogo de hacker online com destruição de servidor.
Os resultados superaram todas as nossas expectativas: os participantes não apenas participaram, mas rapidamente se organizaram em uma comunidade bem coordenada de 620 pessoas no Discord, que literalmente arrebatou a busca em dois dias sem interrupção para dormir.
E foi assim que terminou:
Como tudo começou e do que se trata?
O jogo começou no dia 12 de agosto quando postamos no blog com um vídeo em que um hacker em forma de caveira se oferece para jogar, destruir o servidor, causar um curto-circuito na sala (poço, ou um mini-incêndio) e levar o dinheiro restante para a trituradora.
Foi uma busca online: lançamos uma transmissão no YouTube de uma sala cheia de dispositivos iot, um servidor embaixo da cama (que teve que ser destruído), e um aquário foi fixado acima do servidor e um peso pairou sobre ele. Para tornar o jogo mais cheio de ação, decidimos fazer um fundo de prêmios de 200 rublos, que carregamos no triturador e configuramos para ligar a cada 000 minutos. A cada hora, o triturador comia 60 rublos - quanto mais cedo os jogadores parassem, mais dinheiro ganhariam.
Construir essa missão era uma missão em si - tínhamos que comer apenas comida e dormir várias horas por dia no mesmo quarto. Mas o mais incrível foi observar o pensamento dos jogadores e seu impacto emocional no processo.
Para ser sincero, a engenhosidade dos jogadores na resolução dos quebra-cabeças superou muitas vezes a nossa modesta ideia: a cada minuto livre líamos o chat do discord e em alguns casos literalmente chorávamos de tanto rir, descobrindo o que os jogadores estavam fazendo e como brincavam. o processo.
7 pessoas trabalharam incansavelmente no projeto: um backender, um especialista em hardware, um verdadeiro produtor de filmes, um designer de CG e dois coprodutores ideológicos.
Contaremos nos próximos posts exatamente como a quest foi implementada do ponto de vista técnico, mas por enquanto contarei a solução: como exatamente foi necessário hackear esta sala na transmissão. Ao mesmo tempo, vamos relembrar a cronologia dos acontecimentos, bem como todas as teorias malucas dos Illuminati do chat do discord e pronto.
O que os jogadores tinham no início do jogo?
Todos os objetos da sala foram divididos em três categorias:
- Dispositivos iot fáceis de usar e sem jogos
- Dispositivos de jogos para completar a missão
- Entourage
Colocamos 8 elementos muito fáceis de manusear: duas lâmpadas, uma guirlanda, cinco letras FALCON, cada uma delas podendo mudar de cor. Tudo isso poderia ser ligado/desligado diretamente no site e ver imediatamente o resultado na transmissão - nós os disponibilizamos especificamente para todos os jogadores, independentemente do seu nível de conhecimento técnico.
Tudo o que foi simplesmente incluído no site
Dos elementos importantes do jogo que foram necessários para completar a missão e cujo acesso não foi tão fácil de obter:
- Servidor com tampa aberta e aquário acima
- Peso suspenso para quebrar um aquário
- Megatron 3000 - um poderoso ponteiro laser apontado para a corda que segura o peso
- Um ventilador poderoso que começou quando o servidor estava sobrecarregado
- Flipchart onde estavam escritos o login e a senha do Megatron
- Um telefone para o qual você pode ligar e ver sua ligação ao vivo
- O triturador que comia notas de 1000 rublos por hora
Como exatamente a missão foi resolvida?
Direi desde já: o caixão abriu de forma bastante simples.
O objetivo do jogo era parar o triturador causando um curto-circuito na sala. Para isso, foi necessário quebrar o aquário jogando nele um peso e encher o servidor com água. O peso foi preso por uma corda que Megatron apontava. Ao assumir o controle de Megatron, a corda poderia ser cortada. Isso foi feito em 5 etapas simples:
Passo 1. Carregue o servidor na sala
Por exemplo, enviando pacotes com um comando.
ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captchaA dica foi muito carregada em .
O mesmo captcha que precisava ser atacado
Quando o servidor era carregado, sua temperatura aumentava e isso podia ser monitorado no sistema de monitoramento aberto diretamente na frente da câmera. Em seguida, o ventilador foi ligado, abrindo uma cortina de luz no flipchart. Em seguida, abriu-se o login e a senha de acesso à página do Megatron, escritos no quadro.
E a própria página de gerenciamento do Megatron pode ser encontrada verificando todos os certificados emitidos para o domínio ooosokol.ru.
Em um subdomínio havia uma página de controle Megatron. Mas não abriu até que Megatron recebesse energia primária.
Os jogadores passaram por todas essas etapas quase que imediatamente nos comentários da transmissão no YouTube. Então as tarefas ficaram mais complicadas e os jogadores criaram o servidor de discórdia RUVDS Hack Room e continuaram a discussão lá.
Etapa 2: Aplicar energia primária ao Megatron
Todos os dispositivos inteligentes controlados a partir do local (as mesmas lâmpadas que os jogadores ligavam e apagavam sem parar) tinham seus próprios identificadores.
Para fornecer energia primária ao Megatron e ao mesmo tempo iluminá-lo, foi necessário localizar e ligar um dispositivo oculto na página de gerenciamento do escritório.
Para fazer isso, foi necessário olhar os identificadores dos dispositivos e perceber que são 4 dispositivos no total, mas apenas 3 estão disponíveis no site.
Quando o 4º aparelho foi ligado, a página Megatron ficou disponível e o próprio laser foi destacado. Mas, ao mesmo tempo, era impossível disparar um laser e Havia uma mensagem de que o laser ainda não estava disponível e uma dica: havia engarrafamento no escritório, é preciso ligar para a administradora e pedir energia.
Dica sobre a empresa de gestão
3. Ligue para a administradora e peça para ligar a energia do Megatron
Segundo o otorrinolaringologista, Megatron não pôde atirar porque os engarrafamentos do escritório estavam interrompidos. Somente a administradora poderia religar a energia, que teve que ser contatada e identificada como proprietária da LLC.
Foi fácil encontrar o número da administradora - inserimos diretamente no rodapé.
Mas a identificação foi muito mais difícil.
Ao ligar para o número +74991130688, uma operadora atendeu o telefone e com voz entediada pediu o NIF da empresa e o nome completo do proprietário. Sem isso, ela se recusou a ligar a energia e explicou isso pelo fato de ser uma sala de controle terceirizada comum, eles têm 2000 clientes e escritórios, e sem essas informações é simplesmente impossível encontrar o que precisam.
Esta acabou por ser a fase mais difícil para os jogadores. Demorei quase dois dias para encontrar o NIF correto e o nome completo do proprietário, e eu (representado pela operadora da sala de controle) recebi mais de 400 ligações nesse período. O telefone tocava a cada 2-3 minutos.
Os caras cavaram o melhor que puderam. Tudo foi usado: eles destruíram o código-fonte do site, pesquisaram no Google o proprietário do site, Sokolov, e pesquisaram nas redes sociais.
Procuravam números de identificação fiscal de diferentes empresas
Esquema de pesquisa quase completo
Em algum momento, eles até ligaram com um número falsificado - como se estivessem ligando do escritório da empresa Sokol listada no rodapé.
Então aprendemos quantas empresas se chamam Sokol. Quase todas essas empresas receberam ligações de jogadores, mas isso não foi nada comparado ao que o site vivenciou. , de quem compramos o mesmo Megatron há cerca de um mês.
Primeiro, a discórdia atacou o apoio dos Lasersmasters.
Então conseguimos encontrar a conta de alguém lá! Embora o apoio da Lasermasters já tenha deixado de economizar nas expressões.
Cuidado, mantenha as crianças longe da tela
No final, a Lasermasters decidiu apenas irritá-los e seu site travou. Assim como conseguimos derrubar o site do Sokol, embora o tenhamos levantado rapidamente.
Durante a investigação, os caras do discord encontraram até um ator, cuja foto compramos em estoque, para que ele fizesse o papel do principal antagonista, o dono da LLC Andrei Sokolov. Acontece que o nome dele é Yuri e ele não tem absolutamente nenhuma ideia em que tipo de confusão se meteu.
Andrey Sokolov, personagem do jogo
Yuri, modelo
Se ele soubesse como forçou 600 pessoas a não dormir por dois dias...)
Então eles começaram a cavar especificamente para mim, como organizador da missão (que poderia muito bem ter terminado com sucesso se os caras tivessem adivinhado que iriam hackear meus canais de trabalho).
Até fiquei um pouco preocupado quando citaram meu patronímico e até meu CPF. Mas fiquei aliviado quando, enquanto o telefone danificado funcionava, de repente tive um irmão mais velho, que de repente se tornou o diretor técnico da Habr.
Meu querido irmão, que também sofreu
Enquanto isso, as suposições tornaram-se cada vez mais incríveis
E chegou às teorias dos Illuminati.
As teorias da conspiração mais interessantes diziam respeito a Bob Esponja, Harry Potter e ao piscar da guirlanda de diodos chinesa que colocamos dentro da unidade do sistema.
De onde são Bob Esponja e Harry Potter, você diz? Colocamos seus endereços na página de contato do Sokol e isso gerou muita especulação na comunidade do Discord. Embora quiséssemos apenas homenagear nossas obras favoritas de infância.
A mesma referência na página ""
E como resultado
Acontece que realmente existem documentos do Bob Esponja na série. Eles foram chamados de TIN
Uma das teorias mais complexas era que a guirlanda chinesa piscante continha uma mensagem em código Morse.
A oscilação foi gravada e tentada ser decifrada
Uma teoria mais simples é que os caras tentaram descobrir se a pista estava escondida nas cartas.
Ao longo do caminho fomos comparados — uma classificação imerecidamente alta, mas ainda assim agradável.
Os jogadores tentaram a engenharia social com todas as suas forças. Eles me ligaram disfarçados de FSB, bombeiros, o próprio Sokolov, sua ex-mulher e o segurança que supostamente está sentado no andar de baixo. Disseram que um incêndio havia começado, alguém estava preso no elevador, e a história mais comovente era que o cachorro de quem ligou estava supostamente sentado no escritório, envolto em fogo.
Também houve tentativas de suborno
Aos poucos, meus próprios memes começaram a aparecer no chat.
Aqui estão alguns
Enquanto isso, as fábricas ficaram paradas
Sugestão
Havia cada vez menos dinheiro na trituradora. Para que o vencedor ganhe pelo menos alguma coisa, resolvemos dar uma dica. Ao mesmo tempo, seguindo as regras do design do jogo, aumente a tensão logo antes do final.
Separado Postamos um vídeo no blog. No início, foi inserida uma peça do Clube da Luta como referência a Tyler Durden, que pensava em inserir o 25º quadro em filmes enquanto trabalhava em cinemas.
Decidimos aplicar a mesma mecânica e inserimos uma dica no 25º quadro sobre como NIF correto e nome completo do proprietário.
Depois disso os caras descobriram muito rapidamente
Passo 4. Disparar um laser em modo sem combate
Quando a energia foi fornecida pela empresa gestora e depois que os plugues foram ligados, o Megatron ligou e pôde disparar em modo de teste. Um token para uma foto de teste já foi inserido no formulário de entrada.
A cada 25 segundos um novo token era gerado, este poderia ser usado para ligar o laser por 10 segundos na potência 10/255
Em seguida, o laser esfriou por 1 minuto e durante esse minuto ficou indisponível e não aceitou novas solicitações de disparo.
Este poder era completamente insuficiente para queimar a corda, mas qualquer jogador poderia disparar do Megatron e ver o raio laser em ação.
A reação da comunidade foi mais do que vigorosa
Mas todos rapidamente se acalmaram e perceberam que o jogo não era o fim.
Então a comunidade começou a descobrir como iniciar o modo de combate
chuva de ideias
Existem falsificações no discord
Não sabíamos que havia algo escrito na perna da mesa na transmissão
A comunidade chegou ao passo 4. Entenda como os tokens são gerados: encontre a essência e gere um token que liga o laser no modo de combate
O modo de combate do Megatron é 100% da potência do laser a 3 watts. Isso é suficiente para 2 minutos queimar a corda que segurava o peso, quebrar o aquário e inundar o servidor com água.
Deixamos algumas dicas : nomeadamente o código de geração de tokens, a partir do qual se pode entender que os tokens de teste e combate são gerados com base no mesmo indicador de contador. No caso de uma ficha de combate, além do valor do contador, também é utilizado um sal, que fica quase totalmente na história da mudança dessa essência, com exceção dos dois últimos caracteres.
Como todos rapidamente adivinharam, eram 42
Nos comentários da essência havia uma correspondência entre Andrey Sokolov e o desenvolvedor (“desenvolvedor sábio”, como o chamavam os caras do discord).
Na correspondência, Andrey enviou um dos tokens de combate, e o desenvolvedor respondeu que esse token foi inicializado com um valor de contador de 42.
Conhecendo esses dados, foi possível ordenar os 2 últimos símbolos do sal e realmente descobrir que para isso foram utilizados os números de Lost, convertidos para o sistema hexadecimal.
Em seguida, os jogadores tiveram que capturar o valor do contador (analisando o token de teste) e gerar um token de combate usando o próximo valor do contador e o sal selecionado na etapa anterior.
O contador simplesmente aumentava a cada disparo de teste e a cada 25 segundos. Não escrevemos sobre isso em lugar nenhum, era para ser uma pequena surpresa de jogo. Os caras descobriram muito rapidamente e lançaram o megatron em modo de combate.
Etapa 5. Queime a corda com laser
Como foi
Tudo é simples aqui. Enviar um token de combate colocaria o laser em modo de combate, e a sala mudaria e entraria em “modo desastre”, como chamamos no cenário geral:
- Todas as luzes da sala se apagaram
- Botões para dispositivos iot no site ficaram indisponíveis
- Luzes piscantes e som de sirene
- O peso vermelho estava iluminado
- Uma contagem regressiva começou na tela da TV até que o laser fosse lançado em modo de combate.
Demos uma hora e meia à contagem regressiva para que todos que jogaram tivessem tempo de ligar a transmissão e ver a final. E por um bom motivo: enquanto eu esperava ansiosamente pelo som de impacto e vidro quebrando na sala ao lado, toda a equipe que construiu a missão, sem dizer uma palavra, começou a ir até a base para ver o final com seus próprios olhos. Eles simplesmente correram para a sala e começaram a se abraçar.
Enquanto isso no discord
Terminada a contagem regressiva, o laser entrou em ação e em dois minutos queimou a corda - o peso voou direto para o aquário. Antes do impacto, uma capivara enlouquecida gritou na tela, erguendo as patinhas em pânico.
Como toda a equipe estava ali reunida, mandamos uma pequena mensagem para todos que lutaram pela final durante dois dias no discord e foram abrir a champanhe:
Como calculamos o momento do lançamento dos vídeos publicitários e da fuga do peso?
Depois de uma dúzia de testes de queima de corda com laser, percebemos que esse é um projeto pouco confiável - a corda meio queimada fica mais fina, sob o peso do peso ela se estica, muda de localização e o laser não consegue mais cortar completamente.
Portanto, tomamos um caminho diferente: duplicamos o desgaste enrolando a corda com fio de nicromo. Uma corrente passou pelo fio, ficou incandescente e queimou a corda em cerca de 2 segundos - isso nos deu uma compreensão precisa de quando ligar a capivara gritante, parar o cronômetro e iniciar o comercial:
O que não deu certo para nós?
No final, deveria sair uma fumaça espessa da unidade do sistema, como em um incêndio - preparamos bombas de fumaça, acendemos da mesma forma, mas por algum motivo não funcionaram (provavelmente por causa da água).
Quem é o vencedor?
Saiu o vencedor Arkady Alekseev de São Petersburgo - ele foi o primeiro a gerar um token de teste e ganhou o dinheiro restante no triturador no valor de 134 rublos.
Uma breve entrevista com Arkady.
Conte-nos sobre você, o que você faz no trabalho?
Sou especialista em segurança por formação, formado pela BIT na ITMO. Trabalho como desenvolvedor web terceirizado full stack. Na escola participei de competições, inclusive de programação e matemática.
Como você conheceu o jogo?
Fui a Habr só para ler, vi o artigo e me interessei.
Quantas horas você jogou quando entrou?
Entrei na noite do dia em que o artigo foi publicado (ou seja, um dia antes do final). Passei a noite e boa parte do dia seguinte.
O que você gostou e o que não gostou?
No geral gostei de tudo (claro que ganhei)), mas fiquei um pouco nervoso com as ligações. Bem, ligar e verificar cada versão de alguma forma não foi muito bom, pelo menos foi estranho - eu entendi que ainda havia várias dezenas deles ligando, metade deles estava brincando e tentando fazer engenharia social.
Como você descobriu como encontrar o token de batalha para Megatron?
Quando entrei, eles já haviam enviado spam ao servidor, cutucado lâmpadas, encontrado a senha do painel de administração do laser, todos os tipos de subdomínios e páginas.
Também foi fácil encontrar um perfil no Github e uma essência com comentários. A partir daí, o processo de geração de um token e um segredo para ele é óbvio. Nessas missões não há necessidade de inventar muito, IMHO, já que você pode se afogar em um monte de opções para o desenvolvimento de eventos; e, portanto, você precisa seguir para onde o criador da missão o empurra.
Levando em consideração os demais subdomínios e o local de teste no til, ficou claro que após alimentar o laser seria necessário selecionar um token. Assim, naquela mesma noite esbocei um pedido aproximado para ligar o laser (com base em 4 formulários disponíveis: 1 no local de trabalho e 3 no local de teste/antigo) e tentei atacar com fichas de trabalho a partir de 42 (bem, para o tolo - de repente já está tudo habilitado, e a página com envio do token será simplesmente aberta após o TIN e nome completo).
Não tenho certeza se a solicitação estava correta, pois não houve tempo para verificar (afinal só foi possível verificar se o laser estava ligado), mas me preparei com antecedência para a busca pelo token.
Também havia uma lógica óbvia com websockets e gerenciamento de dispositivos no arquivo app.js. Havia uma sugestão ousada de um dispositivo a9, ao enviar energia: fiel ao qual o soquete travou. Tentei mandar tudo para ele - nunca se sabe, pode haver um dispositivo adicional para resolver o NIF, mas sem sucesso.
Então procurei o restante dos arquivos de identificação próximos a esses dez, mas havia um dispositivo desconhecido em todos os lugares. Eu também tentei pesquisar todo tipo de coisa no Google, subir [email protegido], enviei tudo no formulário da página da lista de preços, fiz algumas pesquisas com lasermasters, mas tudo sem sucesso. No dia seguinte eu estava sentado no chat, pesquisando todo tipo de coisa no Google, então surgiu o tópico do stego e consultei a pessoa do stegosolve para fotos e gifs (mas entendi mentalmente que 99% das vezes não havia nada lá, já que isso seria demais + uma contradição com a linha de missão principal).
Mas no final, eu também sentei e vasculhei todas as fotos e gifs por algumas horas. Liguei mais algumas vezes com diferentes opções de TIN, mas não funcionou. Aí resolvi desistir, mas postaram uma dica ali - e ficou claro que o Número de Identificação Fiscal (NIF) seria encontrado em um futuro próximo, e foi o que aconteceu. Então eu ou outra pessoa (não é óbvio) enviamos energia: fiel ao dispositivo a9 e o laser começou a funcionar, embora talvez não houvesse conexão e só começou a funcionar após o TIN. No geral entrei no painel de administração do laser e fiquei bastante surpreso, pois o próprio servidor enviou o token (e já estava me preparando para o bruto). Ficou óbvio que o token era de teste, já que a transmissão + bom senso + eu verifiquei.
O código continha a lógica de enviar um token funcional para algum lugar como uma notificação, mas aparentemente era o código errado ou era necessário para outras partes do sistema. Elaborei um script para obter o token de trabalho atual do teste atual e comecei a sentar em f5, tentando enviá-los - houve problemas com isso, já que todos estavam constantemente apertando o botão enviar, alterando assim o token, se possível. Então o site travou, o contador foi zerado, mas esse não é o ponto - depois de um tempo, enviei um token funcional. Em teoria o contador era 58 e токен был 449a776938f7ce4cf19f8603045dca0f no momento da ativação, se não me engano. Isso é tudo.
Então fiquei um pouco esgotado com comentários como “sim, tudo isso é trivial, mas tive sorte”. Bem, se você for até a página, pensar por um minuto, escrever um script em alguns minutos, verificar - então sim, é trivial. Mas fiz isso em 10 a 20 segundos e não consegui enviar o token por vários minutos.
Claro, você poderia tentar escrever uma lógica para captá-lo e enviá-lo automaticamente, mas isso levaria mais tempo e seria um grande risco, além de a nuvem provavelmente começar a xingar. O que tive muita sorte foi no último estágio - alguns algoritmos para velocidade + velocidade de reação, isso é só meu. Se houvesse uma tarefa diretamente do pentest, provavelmente eu não teria me tornado o primeiro.
Mas ainda não acabou
Mal posso esperar para contar a vocês sobre a equipe incrível que construiu esta sala de fuga e todas as soluções de engenharia que eles criaram. Mas este post já ficou muito grande - então haverá artigos separados sobre isso, então fique ligado e assine nosso blog no Habré.
Fonte: habr.com