To zimo, oziroma na enega od dni med katoliškim božičem in novim letom, so bili inženirji tehnične podpore Veeam zaposleni z nenavadnimi nalogami: lovili so skupino hekerjev, imenovano "Veeamonymous".
Povedal je, kako so si fantje sami izmislili in izvedli pravo nalogo v resnici pri svojem delu z nalogami, "blizu boja". Kiril Stečko, Inženir za stopnjevanje.
- Zakaj si sploh začel s tem?
- Približno na enak način, kot so si ljudje nekoč izmislili Linux - samo za zabavo, za lastno veselje.
Želeli smo si gibanja, hkrati pa smo želeli narediti nekaj koristnega, zanimivega. Poleg tega je bilo potrebno inženirje nekoliko čustveno razbremeniti njihovega vsakdanjega dela.
- Kdo je to predlagal? Čigava je bila ideja?
— Ideja je bila naša vodja Katya Egorova, nato pa so se s skupnimi močmi porodili koncept in vse nadaljnje ideje. Sprva smo razmišljali o izvedbi hackathona. Toda med razvojem koncepta je ideja prerasla v iskanje, saj je inženir tehnične podpore nekaj drugega kot programiranje.
Tako smo poklicali prijatelje, tovariše, znance, različne ljudi so nam pomagali pri konceptu - ena oseba iz T2 (druga linija podpore je opomba urednika), ena oseba s T3, nekaj ljudi iz SWAT (hitra odzivna ekipa za posebej nujne primere - opomba urednika). Vsi smo se zbrali, se usedli in si poskušali izmisliti naloge za naše iskanje.
— Bilo je zelo nepričakovano izvedeti za vse to, saj, kolikor vem, mehaniko iskanja običajno razvijajo specializirani scenaristi, to pomeni, da se niste ukvarjali le s tako zapleteno stvarjo, ampak tudi v povezavi s svojim delom , na vaše poklicno področje delovanja.
— Da, želeli smo narediti ne le zabavo, ampak "napihniti" tehnične sposobnosti inženirjev. Ena izmed nalog v našem oddelku je izmenjava znanja in usposabljanje, vendar pa je takšno iskanje odlična priložnost, da se ljudje »otipajo« nekaterih zanje novih tehnik v živo.
— Kako ste prišli do nalog?
— Imeli smo nevihto možganov. Imeli smo razumevanje, da moramo narediti nekaj tehničnih testov, in to takšnih, da bodo zanimivi in hkrati prinesli nova znanja.
Mislili smo na primer, da bi morali ljudje poskusiti vohati po prometu, uporabljati hex urejevalnike, narediti nekaj za Linux, nekaj nekoliko globljih stvari, povezanih z našimi izdelki (Veeam Backup & Replication in drugi).
Pomemben del je bil tudi koncept. Odločili smo se graditi na temi hekerjev, anonimnega dostopa in atmosfere skrivnosti. Maska Guya Fawkesa je postala simbol in ime je prišlo samo po sebi - Veeamonymous.
"V začetku je bila beseda"
Da bi zbudili zanimanje, smo se odločili, da pred dogodkom organiziramo PR akcijo na temo iskanja: po naši pisarni smo izobesili plakate z obvestilom. In čez nekaj dni so jih na skrivaj od vseh pobarvali s spreji in zagnali “raco”, pravijo, da so nekateri napadalci uničili plakate, priložili so celo fotografijo z dokazom….
- Torej ste to naredili sami, torej ekipa organizatorjev?!
— Da, v petek, okoli 9. ure, ko so vsi že odšli, smo šli in iz balonov narisali črko "V" v zeleni barvi.) Mnogi udeleženci iskanja nikoli niso uganili, kdo je to storil - ljudje so prišli do nas in vprašal kdo je uničil plakate? Nekdo je to vprašanje vzel zelo resno in izvedel celotno preiskavo na to temo.
Za nalogo smo napisali tudi zvočne datoteke, "iztrgali" zvoke: na primer, ko se inženir prijavi v naš [produkcijski CRM] sistem, je tam robot za odzivnike, ki govori vse mogoče fraze, številke ... Tukaj smo iz teh besed, ki jih je posnel, je sestavil bolj ali manj pomenljive fraze, no, morda malo ukrivljene - na primer, v zvočni datoteki smo dobili "No friend to help you".
Na primer, naslov IP smo predstavili v binarni kodi in spet smo z uporabo teh številk [izgovarja jih robot] dodali vse vrste zastrašujočih zvokov. Posnetek smo posneli sami: v videu imamo moškega, ki sedi v črni kapuci in nosi masko Guya Fawkesa, v resnici pa ni ena oseba, ampak trije, saj dva stojita za njim in držita narejeno “kuliso” od odejice :).
- No, zmeden si, odkrito povedano.
- Da, zagoreli smo. V glavnem, najprej smo se domislili svojih tehničnih specifikacij, nato pa sestavili literarni in igrivi oris na temo, kaj naj bi se zgodilo. Po scenariju so udeleženci lovili skupino hekerjev, imenovano "Veeamonymous". Ideja je bila tudi, da bi tako rekoč »razbili 4. zid«, se pravi, da bi dogajanje prenesli v realnost - slikali smo na primer iz spreja.
Pri literarni obdelavi besedila nam je pomagal eden od maternih govorcev angleščine z našega oddelka.
- Čakaj, zakaj naravni govorec? Ste vse naredili tudi v angleščini?!
— Da, naredili smo to za pisarne v Sankt Peterburgu in Bukarešti, tako da je bilo vse v angleščini.
Za prvo izkušnjo smo se trudili, da bi vse delovalo, tako da je bil scenarij linearen in precej preprost. Dodali smo več okolice: tajna besedila, kode, slike.
Uporabili smo tudi meme: bilo je kup slik na temo preiskav, NLP-jev, nekaj priljubljenih grozljivk – nekatere ekipe so se s tem zamotile, da so tam poskušale najti neka skrita sporočila, uporabiti svoje znanje steganografije in drugo ... ampak seveda ni bilo nič takega.
O trnih
Toda v procesu priprav smo se soočili tudi z nepričakovanimi izzivi.
Veliko smo se mučili z njimi in reševali najrazličnejše nepričakovane težave, kakšen teden pred iskanjem pa smo mislili, da je vse izgubljeno.
Verjetno je vredno povedati nekaj o tehnični podlagi iskanja.
Vse je bilo narejeno v našem internem laboratoriju ESXi. Imeli smo 6 ekip, kar pomeni, da smo morali dodeliti 6 virov. Tako smo za vsako ekipo namestili ločen bazen s potrebnimi virtualnimi stroji (isti IP). Ker pa se je vse to nahajalo na strežnikih, ki so v istem omrežju, nam trenutna konfiguracija naših omrežij VLAN ni omogočala izolacije strojev v različnih bazenih. In na primer, med preskusnim zagonom smo prejeli situacije, ko se je stroj iz enega bazena povezal s strojem iz drugega.
— Kako ste lahko popravili situacijo?
— Sprva smo dolgo razmišljali, preizkusili vse vrste možnosti z dovoljenji, ločenimi vLAN-i za stroje. Posledično so to storili - vsaka ekipa vidi samo strežnik Veeam Backup, prek katerega poteka vse nadaljnje delo, ne vidi pa skritega podskupine, ki vsebuje:
- več računalnikov Windows
- Jedrni strežnik Windows
- Linux stroj
- par VTL (Virtual Tape Library)
Vsem bazenom je dodeljena ločena skupina vrat na stikalu vDS in lasten zasebni VLAN. Ta dvojna izolacija je točno tisto, kar je potrebno za popolno odpravo možnosti omrežne interakcije.
O pogumnih
— Ali lahko kdo sodeluje v nalogi? Kako so se oblikovale ekipe?
— To je bila naša prva izkušnja s tovrstnim dogodkom, zmogljivosti našega laboratorija pa so bile omejene na 6 ekip.
Najprej smo, kot sem že rekel, izvedli PR akcijo: s plakati in mailingi smo napovedali, da bo misija potekala. Imeli smo celo nekaj namigov – fraze so bile na samih plakatih šifrirane v binarno kodo. Na ta način smo ljudi zainteresirali in ljudje so se že dogovorili med seboj, s prijatelji, s prijatelji in sodelovali. Posledično se je odzvalo več ljudi, kot smo imeli bazenov, zato smo morali narediti selekcijo: pripravili smo preprosto testno nalogo in jo poslali vsem, ki so se odzvali. To je bil logični problem, ki ga je bilo treba hitro rešiti.
Ekipi je bilo dovoljeno največ 5 oseb. Ni bilo potrebe po kapetanu, ideja je bila sodelovanje, komunikacija med seboj. Nekdo je močan na primer v Linuxu, nekdo je močan v trakovih (varnostne kopije na trakove) in vsi bi lahko, ko bi videli nalogo, vložili svoj trud v celotno rešitev. Vsi so med seboj komunicirali in našli rešitev.
— Kdaj se je ta dogodek začel? Ste imeli kakšno "uro X"?
— Da, imeli smo strogo določen dan, izbrali smo ga tako, da je bilo na oddelku manj obremenitev. Seveda so bili vodje ekip vnaprej obveščeni, da so bile takšne in drugačne ekipe povabljene k sodelovanju v iskanju, in jim je bilo treba ta dan dati nekaj olajšav [glede nakladanja]. Kazalo je, da bo konec leta, 28. december, petek. Pričakovali smo, da bo trajalo približno 5 ur, vendar so vse ekipe opravile hitreje.
— Ali so bili vsi enakopravni, so imeli vsi enake naloge na podlagi resničnih primerov?
— No, ja, vsak od sestavljavcev je vzel nekaj zgodb iz osebnih izkušenj. Za nekaj smo vedeli, da se to lahko zgodi v resnici, in bi bilo zanimivo, da bi človek to »potipal«, pogledal in ugotovil. Lotili so se tudi nekaj bolj specifičnih stvari - na primer obnovitve podatkov s poškodovanih trakov. Nekateri z namigi, večina ekip pa je to opravila sama.
Ali pa je bilo treba uporabiti čarobnost hitrih skriptov - na primer, imeli smo zgodbo, da je neka "logična bomba" "raztrgala" arhiv z več zvezki v naključne mape vzdolž drevesa in je bilo treba zbrati podatke. To lahko storite ročno - poiščite in kopirajte [datoteke] eno za drugo ali pa napišete skript z uporabo maske.
Na splošno smo se poskušali držati stališča, da je en problem mogoče rešiti na različne načine. Na primer, če ste malo bolj izkušeni ali se želite zmešati, potem lahko to rešite hitreje, vendar obstaja neposredna pot, da jo rešite neposredno - vendar boste hkrati porabili več časa za težavo. Se pravi, skoraj vsaka naloga je imela več rešitev in zanimivo je bilo, katere poti bodo izbrale ekipe. Torej je bila nelinearnost ravno pri izbiri rešitve.
Mimogrede, težava z Linuxom se je izkazala za najtežjo - samo ena ekipa jo je rešila neodvisno, brez kakršnih koli namigov.
— Lahko sprejmeš namige? Kot v pravem iskanju??
— Da, bilo ga je mogoče sprejeti, ker smo razumeli, da smo ljudje različni in tisti, ki jim primanjkuje znanja, bi lahko prišli v isto ekipo, zato, da ne bi odložili prehoda in ne izgubili konkurenčnega interesa, smo se odločili, da bi nasvete. Da bi to naredili, je vsako ekipo opazovala oseba iz organizatorja. Pa smo poskrbeli, da nihče ni goljufal.
O zvezdah
— Ali so bile nagrade za zmagovalce?
— Da, potrudili smo se, da smo poskrbeli za najbolj prijetne nagrade tako za vse udeležence kot za zmagovalce: zmagovalci so prejeli dizajnerske puloverje z logotipom Veeam in frazo, šifrirano v šestnajstiški kodi, črna). Vsi udeleženci so prejeli masko Guya Fawkesa in blagovno znamko z logotipom in isto kodo.
- Se pravi, vse je bilo kot v pravem iskanju!
"No, želeli smo narediti kul, odraslo stvar in mislim, da nam je uspelo."
- To je resnica! Kakšna je bila končna reakcija tistih, ki so sodelovali v tej nalogi? Ste dosegli svoj cilj?
- Da, mnogi so se pozneje oglasili in rekli, da so jasno videli svoje šibke točke in jih želeli izboljšati. Nekdo se je nehal bati določenih tehnologij - na primer odlagati bloke s trakov in tam poskušati nekaj zgrabiti ... Nekdo je ugotovil, da mora izboljšati Linux itd. Poskušali smo dati precej širok spekter nalog, vendar ne povsem trivialnih.
Zmagovalna ekipa
"Kdor hoče, bo dosegel!"
— Ali je od tistih, ki so pripravljali misijo, zahtevalo veliko truda?
- Pravzaprav ja. Ampak to je bilo najverjetneje posledica dejstva, da nismo imeli izkušenj s pripravo takšnih gostov, tovrstne infrastrukture. (Naredimo pridržek, da to ni naša prava infrastruktura - preprosto naj bi opravljala nekatere funkcije igre.)
To je bila za nas zelo zanimiva izkušnja. Sprva sem bil skeptičen, saj se mi je ideja zdela preveč kul, mislil sem, da bo zelo težko izvedljiva. Pa smo se lotili, začeli smo orati, vse je začelo gori, na koncu nam je uspelo. In skoraj ni bilo nobenih prekrivanj.
Skupno smo porabili 3 mesece. Večinoma smo pripravili koncept in se pogovarjali, kaj bi lahko uresničili. V tem procesu so se seveda nekatere stvari spremenile, saj smo ugotovili, da nimamo tehnične možnosti, da bi nekaj naredili. Na poti smo morali nekaj ponoviti, a tako, da se celoten oris, zgodovina in logika niso zlomili. Poskušali smo ne samo podati seznama tehničnih nalog, ampak ga uskladiti z zgodbo, tako da je bila koherentna in logična. Glavno delo je potekalo zadnji mesec, to je 3-4 tedne pred dnevom X.
— Torej ste poleg svoje glavne dejavnosti namenili čas za pripravo?
— To smo delali vzporedno z našim glavnim delom, ja.
- Te prosijo, da to storiš še enkrat?
- Da, imamo veliko prošenj za ponovitev.
- In ti?
- Imamo nove ideje, nove koncepte, želimo pritegniti več ljudi in to raztegniti skozi čas - tako selekcijski proces kot sam proces igre. Na splošno nas navdihuje projekt Cicada, lahko ga poguglate - to je zelo kul IT tema, ljudje z vsega sveta se združujejo tam, začenjajo teme na Redditu, na forumih, uporabljajo prevode kod, rešujejo uganke , in vse to.
— Ideja je bila super, samo spoštovanje do ideje in izvedbe, saj je res veliko vredno. Iskreno vam želim, da vam ta navdih ne mine in da bi bili tudi vsi vaši novi projekti uspešni. Hvala vam!
— Da, ali si lahko ogledate primer naloge, ki je zagotovo ne boste ponovno uporabili?
"Sumim, da nobenega od njih ne bomo ponovno uporabili." Zato vam lahko povem o napredku celotne naloge.
Dodatna skladbaNa samem začetku imajo igralci ime virtualnega stroja in poverilnice iz vCenter. Ko se prijavijo vanj, vidijo ta stroj, vendar se ne zažene. Tukaj morate uganiti, da je z datoteko .vmx nekaj narobe. Ko ga prenesejo, vidijo poziv, potreben za drugi korak. V bistvu piše, da je baza podatkov, ki jo uporablja Veeam Backup & Replication, šifrirana.
Po odstranitvi poziva, prenosu datoteke .vmx nazaj in uspešnem vklopu stroja vidijo, da eden od diskov dejansko vsebuje šifrirano bazo podatkov base64. V skladu s tem je naloga dešifrirati in dobiti popolnoma delujoč strežnik Veeam.
Malo o virtualnem stroju, na katerem se vse to zgodi. Kot se spomnimo, je po zapletu glavni junak iskanja precej temna oseba in počne nekaj, kar očitno ni zelo zakonito. Zato bi moral biti njegov službeni računalnik povsem hekerskega videza, ki smo ga kljub temu, da gre za Windows, morali ustvariti mi. Najprej smo dodali veliko rekvizitov, kot so informacije o večjih vdorih, napadih DDoS in podobno. Nato so namestili vso tipično programsko opremo in povsod postavili razne dump-e, datoteke z hashi itd. Vse je kot v filmih. Med drugim sta bili mapi z imenom Closed-case*** in Open-case***
Za nadaljnji napredek morajo igralci obnoviti namige iz varnostnih kopij datotek.
Tukaj je treba povedati, da so igralci na začetku dobili kar nekaj informacij, večino podatkov (kot so IP, prijave in gesla) pa so prejeli med potekom iskanja, pri iskanju namigov v varnostnih kopijah ali datotekah, raztresenih po strojih. . Na začetku so varnostne kopije v repozitoriju Linuxa, vendar je sama mapa na strežniku nameščena z zastavico noexec, zato se agent, odgovoren za obnovitev datotek, ne more zagnati.
S popravkom repozitorija udeleženci pridobijo dostop do vse vsebine in lahko končno obnovijo morebitne informacije. Še vedno je treba razumeti, kateri je. Da bi to naredili, morajo samo preučiti datoteke, shranjene na tem računalniku, ugotoviti, katere od njih so "pokvarjene" in kaj točno je treba obnoviti.
Na tej točki se scenarij premakne stran od splošnega IT znanja k Veeamovim specifičnim funkcijam.
V tem konkretnem primeru (ko poznate ime datoteke, vendar ne veste, kje jo iskati), morate uporabiti funkcijo iskanja v Enterprise Managerju itd. Kot rezultat, po obnovitvi celotne logične verige, imajo igralci še eno prijavo/geslo in izhod nmap. To jih pripelje do strežnika Windows Core in prek RDP (da se življenje ne zdi kot med).
Glavna značilnost tega strežnika: s pomočjo preprostega skripta in več slovarjev je bila oblikovana popolnoma nesmiselna struktura map in datotek. In ko se prijavite, prejmete pozdravno sporočilo, kot je "Tukaj je eksplodirala logična bomba, zato boste morali sestaviti namige za nadaljnje korake."
Naslednji namig je bil razdeljen v arhiv z več zvezki (40-50 kosov) in naključno porazdeljen med te mape. Naša ideja je bila, da bi morali igralci pokazati svoje talente pri pisanju preprostih skriptov PowerShell, da bi sestavili arhiv z več volumni z uporabo dobro znane maske in pridobili zahtevane podatke. (A izkazalo se je kot v tisti šali - nekateri subjekti so se izkazali za nenavadno fizično razvite.)
V arhivu je bila fotografija kasete (z napisom »Zadnja večerja - najboljši trenutki«), ki je dala slutiti uporabo povezane tračne knjižnice, v kateri je bila kaseta s podobnim imenom. Bil je samo en problem - izkazalo se je, da je tako neuporaben, da ga sploh niso popisali. Tu se je začel verjetno najtežji del iskanja. Izbrisali smo glavo iz kasete, tako da morate za obnovitev podatkov iz nje preprosto odstraniti »surove« bloke in jih pregledati v hex urejevalniku, da najdete oznake za začetek datoteke.
Poiščemo marker, pogledamo odmik, pomnožimo blok z njegovo velikostjo, dodamo odmik in s pomočjo notranjega orodja poskusimo obnoviti datoteko iz določenega bloka. Če je vse opravljeno pravilno in se matematika strinja, bodo imeli igralci v rokah datoteko .wav.
V njem se z uporabo glasovnega generatorja med drugim narekuje binarna koda, ki se razširi v drug IP.
Izkazalo se je, da je to nov strežnik Windows, kjer vse namiguje na potrebo po uporabi Wiresharka, vendar ga ni. Glavni trik je, da sta na tem stroju nameščena dva sistema - samo disk iz drugega je odklopljen prek upravitelja naprav brez povezave, logična veriga pa vodi do potrebe po ponovnem zagonu. Potem se izkaže, da bi se moral privzeto zagnati popolnoma drug sistem, kjer je nameščen Wireshark. In ves ta čas smo bili na sekundarnem OS.
Tukaj ni treba storiti ničesar posebnega, samo omogočite zajem v enem vmesniku. Razmeroma natančen pregled odlagališča razkrije očitno levičarski paket, ki ga pomožna naprava pošilja v rednih intervalih in vsebuje povezavo do videoposnetka v YouTubu, kjer se od igralcev zahteva, da pokličejo določeno številko. Prvi klicatelj bo slišal čestitke za prvo mesto, ostali bodo prejeli vabilo v kadrovsko službo (šala)).
Mimogrede, odprti smo za inženirje tehnične podpore in pripravnike. Dobrodošli v ekipi!
Vir: www.habr.com