Clever Geek Handbook

Quem parou o shredder ou como foi necessário completar a missão com a destruição do servidor

Há alguns dias, concluímos um dos eventos mais carregados de emoção que tivemos a sorte de realizar no âmbito do blog - um jogo de hacker online com a destruição do servidor.



Os resultados superaram todas as nossas expectativas: os participantes nĂŁo apenas participaram, mas rapidamente se organizaram em uma comunidade bem coordenada de 620 pessoas em discĂłrdia, que literalmente invadiram a jornada em dois dias sem pausa para dormir.





E assim acabou:







Como tudo começou e do que se trata?



O jogo começou em 12 de agosto, quando postamos uma postagem no blog com um vídeo no qual um hacker na forma de uma caveira sugere jogar um jogo, destruindo o servidor, causando um curto-circuito na sala (ou um minifogo) e recolhendo o dinheiro deixado no triturador.



Foi uma busca online: lançamos uma transmissão do YouTube da sala, que enchemos de iot dispositivos, um servidor de cama (que teve de ser destruído), e fixamos um aquário sobre o servidor e penduramos um peso sobre ele. Para tornar o jogo mais cheio de ação, decidimos fazer um prêmio de 200.000 rublos, que carregamos no triturador e o configuramos para ligar a cada 60 minutos. A cada hora, o triturador comia 1.000 rublos - quanto mais cedo os jogadores o parassem, mais dinheiro ganhariam.







Construir essa missão era uma missão em si - tínhamos que comer uma entrega e dormir várias horas por dia no mesmo quarto. Mas o mais incrível foi observar a fuga dos pensamentos dos jogadores e seu impacto emocional no processo.



Para ser honesto, a engenhosidade dos jogadores em resolver os problemas superou muitas vezes nossa modesta ideia: a cada minuto livre lemos o bate-papo da discórdia e, em alguns casos, literalmente soluçamos de tanto rir, aprendendo o que os jogadores estavam fazendo e como brincavam no processo.



7 pessoas trabalharam incansavelmente no projeto: um backender, um especialista em hardware, um produtor de filmes de verdade, um designer de CG e dois gĂŞnios ideolĂłgicos e co-produtores.



Contaremos nos próximos posts exatamente como a quest foi implementada do ponto de vista técnico, mas por agora direi a você a resposta: como exatamente esta sala deveria ter sido hackeada durante a transmissão. Ao mesmo tempo, vamos relembrar a cronologia dos eventos, bem como todas as teorias malucas dos Illuminati da discórdia do bate-papo e é isso.



O que os jogadores tinham no inĂ­cio do jogo



Todos os itens da sala foram divididos em trĂŞs categorias:



  • Dispositivos iot fáceis de operar, sem jogos
  • Dispositivos de jogo para passar na missĂŁo
  • Comitiva






Colocamos 8 elementos muito fáceis de usar: duas lâmpadas, uma guirlanda, cinco letras FALCON, cada uma podendo ser alterada de cor. Tudo isso podia ser ligado / desligado diretamente do site e ver imediatamente o resultado na transmissão - disponibilizamos especialmente para todos os jogadores, independente do nível de conhecimento técnico.





Tudo o que foi simplesmente incluĂ­do no site



Dos elementos importantes do jogo que eram necessários para completar a missão e o acesso aos quais não era tão fácil de obter:



  1. Servidor com tampa aberta e um aquário acima
  2. Um kettlebell suspenso para quebrar o aquário
  3. Megatron 3000 - um poderoso apontador laser apontado para uma corda que segura um kettlebell
  4. Ventilador poderoso que começou quando o servidor foi carregado
  5. Flipchart no qual o login e a senha do Megatron foram escritos
  6. Um telefone para o qual você pode ligar e ver sua ligação ao vivo
  7. Um triturador que comia um pedaço de papel de 1.000 rublos por hora


Como exatamente a missĂŁo foi resolvida



Direi de imediato: o baĂş abriu-se de forma simples.



O objetivo do jogo era parar o triturador, causando um curto-circuito na sala. Para isso, foi necessário quebrar o aquário colocando um peso nele e despejando água sobre o servidor. O peso foi sustentado por uma corda que Megatron tinha como alvo. Assumindo o controle de Megatron, a corda pode ser cortada. Isso foi feito em 5 etapas simples:



Etapa 1. Carregue o servidor na sala



Por exemplo, enviar pacotes com o comando. 



ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captcha


A dica era um captcha muito pesado na página da lista de preços .





O mesmo captcha que teve que ser atacado.Quando







o servidor foi carregado, sua temperatura aumentou e isso pôde ser rastreado no monitoramento aberto bem na frente da câmera. Em seguida veio o leque, que abriu uma cortina de luz no flipchart. Em seguida, foram abertos o login e a senha de acesso à página da Megatron, gravados no quadro.



E a própria página de gerenciamento do Megatron pode ser encontrada verificando todos os certificados emitidos para o domínio ooosokol.ru. A página de gerenciamento da Megatron estava localizada



no subdomínio megatron.ooosokol.ru . Mas ele não abriu até que a energia primária fosse fornecida à Megatron.



Os jogadores passaram por todas essas etapas quase que imediatamente nos comentários da transmissão no youtube. Outras tarefas foram mais difíceis e os jogadores criaram o servidor de discórdia RUVDS Hack Room e continuaram a discussão lá.



Etapa 2. Aplique alimentação primária ao Megatron



Todos os dispositivos inteligentes controlados do site (as mesmas lâmpadas que os jogadores acendem ou apagam sem parar) tinham seus próprios identificadores.



Para fornecer energia primária ao Megatron e ao mesmo tempo destacá-lo, era necessário localizar e ligar o dispositivo oculto na página de gerenciamento do escritório.







Para isso, foi necessário olhar os identificadores dos aparelhos e perceber que são 4 aparelhos no total, e apenas 3 estão disponíveis no







site.A página do Megatron, quando o 4º aparelho foi ligado, ficou disponível e o próprio laser foi destacado. Mas, ao mesmo tempo, era impossível atirar com um laser e em sua página havia uma mensagem de que o laser ainda não estava disponível e uma dica: engarrafamentos foram interrompidos no escritório, era preciso ligar para a administradora e pedir energia.





Uma dica sobre a administradora



3. Ligue para a empresa de gestão e peça para ligar o Megatron



Megatron não conseguiu atirar no ENT, porque os engarrafamentos foram interrompidos no escritório. Somente a administradora poderia religar a energia, para a qual foi necessário passar e passar pela identificação como proprietária da LLC.



Encontrar o número da empresa de gerenciamento foi fácil - nós o inserimos diretamente no rodapé.







Mas a identificação era muito mais difícil.



Ao ligar para o número +74991130688, uma operadora atendeu o telefone e, com uma voz entediada, pediu o nome do NIF da empresa e o nome completo do proprietário. Sem isso, ela se recusou a ligar e explicou pelo fato de ser uma despachante comum de terceirização, eles tinham 2.000 clientes e escritórios e sem essa informação era simplesmente impossível encontrar o certo.



Esta acabou por ser a fase mais difícil para os jogadores. Buscamos o NIF correto e o nome completo do proprietário por quase dois dias, e eu (representado pela operadora da sala de controle) recebi mais de 400 ligações durante esse tempo. O telefone tocou a cada 2-3 minutos.



Os caras cavaram o melhor que puderam. Tudo entrou em ação: eles destruíram o código-fonte do site, pesquisaram no Google o dono do site Sokolov, empurraram nas redes sociais.



Eles pesquisaram TINs de diferentes empresas
















- — , .



, . , , lasermasters.ru, .



.







- ! .



,






, . , .







, , , . , , .





,





,



, 600 ...)



, ( , ).







, . , , .



,






.







, , .



, ? -. .





""

























.







, .















— , .







3301 — , .











. , , , , . , , - , , , , .









.





































. -, . , , .



. — , 25- , .



25- , .













4. -



, . .





25 , , 10 10/255



1 , .



, , .



,


,




,























, -



4. , : gist ,



— 100% 3 . 2 , , , .



: , , . , gist, .





, 42



(« », ).



, , 42.







, 2 , Lost, 16- .



( ) , .



25 . , . .



5.









. , « », :



  • iot-


, , , . : , , , , , . .











— . , .



, , :







?



, — , , .



: , . , 2 — , :







?



, — , , - ( - ).



?



- — 134 000 .



.



, ?



, . -- . , .


?



, , .


, ?



, (.. ). .


, ?



( , )), . - , — , , ..


, ?



, , , , .



. secret . , ; , .



, , , . ( 4 : 1 3 /) 42 ( , — , ).



, , ( ), .



app.js-. a9 , power: true . — , , .



, unknown device. , chsokolow@gmail.com, -, lasermasters, . , , - ( , 99% , + ).



. , . , — , , . , - ( ) power: true 9- , . , , ( ). , , + + .



- , , , , . 5, — , . , , — . 58 449a776938f7ce4cf19f8603045dca0f , . .



« , ». , , , , — , . 10-20, .



, , , . , — + , . , , .




, , . — , stay tuned .





More articles:


All Articles