Clever Geek Handbook

Quién detuvo la trituradora o cómo fue necesario completar la misión con la destrucción del servidor

Hace un par de días completamos uno de los eventos más cargados de emoción que tuvimos la suerte de llevar a cabo en el marco de un blog: un juego de hackers en línea con la destrucción de un servidor.



Los resultados superaron todas nuestras expectativas: los participantes no solo participaron, sino que se organizaron rápidamente en una comunidad bien coordinada de 620 personas en discordia, que literalmente tomó la búsqueda por asalto en dos días sin descanso para dormir.





Y así terminó:







¿Cómo empezó todo y de qué se trata?



El juego comenzó el 12 de agosto, cuando hemos publicado un blog de post con un vídeo en el que un pirata informático en la forma de un cráneo sugiere que juega un juego, destruyendo el servidor, un cortocircuito en la habitación (o un mini-fuego) y tomando el dinero que queda en la trituradora.



Fue una búsqueda en línea: lanzamos una transmisión de YouTube desde la habitación, que llenamos con dispositivos iot, un servidor de cama (que tuvo que ser destruido), y colocamos un acuario sobre el servidor y colgamos un peso sobre él. Para que el juego estuviera más lleno de acción, decidimos crear un premio acumulado de 200.000 rublos, que cargamos en la trituradora y lo configuramos para que se encienda cada 60 minutos. Cada hora, la trituradora se comía 1.000 rublos; cuanto antes lo detuvieran los jugadores, más dinero ganarían.







Construir esta búsqueda fue una búsqueda en sí misma: tuvimos que hacer una entrega y dormir varias horas al día en la misma habitación. Pero lo más sorprendente fue ver el vuelo de los pensamientos de los jugadores y su impacto emocional en el proceso.



Para ser honesto, el ingenio de los jugadores para resolver los problemas superó muchas veces nuestra modesta idea: cada minuto libre leemos el chat de discordia y, en algunos casos, literalmente sollozamos de risa, aprendiendo qué estaban haciendo los jugadores y cómo bromeaban en el proceso.



7 personas trabajaron incansablemente en el proyecto: un backender, un especialista en hardware, un productor de cine real, un diseñador CG y dos inspiradores ideológicos y coproductores.



Te contaremos en las próximas publicaciones exactamente cómo se implementó la búsqueda desde un punto de vista técnico, pero por ahora te diré su respuesta: cómo exactamente esta sala debería haber sido pirateada durante la transmisión. Al mismo tiempo, recordemos la cronología de los eventos, así como todas las locas teorías Illuminati de la discordia del chat y eso es todo.



Lo que tenían los jugadores al comienzo del juego.



Todos los elementos de la sala se dividieron en tres categorías:



  • Dispositivos iot fáciles de operar que no son para juegos
  • Dispositivos de juego para pasar la misión
  • Séquito






Colocamos 8 elementos muy fáciles de usar: dos lámparas, una guirnalda, cinco letras FALCON, cada una de las cuales podía cambiarse de color. Todo esto podía activarse / desactivarse directamente desde el sitio y ver inmediatamente el resultado en la transmisión; lo pusimos especialmente disponible para todos los jugadores, independientemente del nivel de conocimiento técnico.





Todo lo que simplemente se incluyó desde el sitio



De los elementos importantes del juego que se necesitaban para completar la misión, y el acceso a los cuales, no fue tan fácil de conseguir:



  1. Servidor con tapa abierta y un acuario encima.
  2. Una pesa rusa suspendida para romper el acuario.
  3. Megatron 3000: un poderoso puntero láser dirigido a una cuerda que sostiene una pesa rusa
  4. Potente ventilador que arranca cuando se carga el servidor
  5. Rotafolio en el que se escribieron el nombre de usuario y la contraseña de Megatron
  6. Un teléfono al que podrías llamar y ver tu llamada en vivo
  7. Una trituradora que se comió una hoja de papel de 1.000 rublos por hora


Cómo se resolvió exactamente la misión



Diré de inmediato: el cofre se abrió de manera bastante simple.



El objetivo del juego era detener la trituradora provocando un cortocircuito en la habitación. Para hacer esto, fue necesario romper el acuario colocando un peso en él y vertiendo agua sobre el servidor. El peso estaba sujeto a una cuerda a la que apuntaba Megatron. Tomando el control de Megatron, la cuerda podría cortarse. Esto se hizo en 5 sencillos pasos:



Paso 1. Cargue el servidor en la sala



Por ejemplo, enviar paquetes con el comando. 



ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captcha


La sugerencia fue un captcha muy pesado en la página de lista de precios .





El mismo captcha que tuvo que ser atacado.Cuando







se cargó el servidor, su temperatura aumentó y esto se pudo rastrear en el monitoreo abierto justo en frente de la cámara. Luego vino el ventilador, que abrió una cortina de luz en el rotafolio. Luego se abrieron el nombre de usuario y la contraseña para acceder a la página de Megatron, escritos en la pizarra.



Y la página de administración de Megatron se puede encontrar al verificar todos los certificados emitidos para el dominio ooosokol.ru. La página de administración de Megatron estaba ubicada



en el subdominio megatron.ooosokol.ru . Pero no se abrió hasta que se suministró la energía primaria a Megatron.



Los jugadores pasaron por todas estas etapas casi de inmediato en los comentarios de la transmisión en youtube. Otras tareas fueron más difíciles y los jugadores crearon el servidor de discordia RUVDS Hack Room y continuaron la discusión allí.



Paso 2. Aplicar energía primaria a Megatron



Todos los dispositivos inteligentes controlados desde el sitio (las mismas luces que encendían o apagaban a los jugadores sin detenerse) tenían sus propios identificadores.



Para proporcionar energía primaria al Megatron y al mismo tiempo resaltarlo, era necesario encontrar y encender el dispositivo oculto en la página de administración de la oficina.







Para hacer esto, fue necesario mirar los identificadores de dispositivos y notar que hay 4 dispositivos en total, y solo 3. están disponibles en el sitio.







La página de Megatron estuvo disponible cuando se encendió el cuarto dispositivo y se resaltó el láser. Pero al mismo tiempo, era imposible disparar con un láser, y en su página había un mensaje de que el láser aún no estaba disponible y una pista: se eliminaron los atascos en la oficina, había que llamar a la empresa de gestión y pedir energía.





Un consejo sobre la empresa gestora



3. Llame a la compañía de administración y pida encender el poder de Megatron



Megatron no pudo disparar al ENT, porque los atascos de tráfico se eliminaron en la oficina. Solo la sociedad gestora pudo volver a conectar la energía, a lo que fue necesario llamar y pasar por la identificación como propietario de la LLC.



Encontrar el número de la empresa de administración fue fácil: lo insertamos directamente en el pie de página.







Pero la identificación fue mucho más difícil.



Al llamar al número +74991130688, una operadora tomó el teléfono y con voz aburrida pidió el nombre del TIN de la empresa y el nombre completo del propietario. Sin esto, se negó a encender la electricidad y lo explicó por el hecho de que era una oficina de despacho ordinaria en subcontratación, tenían 2000 clientes y oficinas, y sin esta información era simplemente imposible encontrar la correcta.



Esta resultó ser la etapa más difícil para los jugadores. Buscamos el TIN correcto y el nombre completo del propietario durante casi dos días, y yo (representado por el operador de la sala de control) recibí más de 400 llamadas durante este tiempo. El teléfono sonaba cada 2-3 minutos.



Los muchachos cavaron lo mejor que pudieron. Todo entró en acción: destruyeron el código fuente del sitio, buscaron en Google al propietario del sitio, Sokolov, y lo empujaron a través de las redes sociales.



Buscaron TIN de distintas empresas
















- — , .



, . , , lasermasters.ru, .



.







- ! .



,






, . , .







, , , . , , .





,





,



, 600 ...)



, ( , ).







, . , , .



,






.







, , .



, ? -. .





""

























.







, .















— , .







3301 — , .











. , , , , . , , - , , , , .









.





































. -, . , , .



. — , 25- , .



25- , .













4. -



, . .





25 , , 10 10/255



1 , .



, , .



,


,




,























, -



4. , : gist ,



— 100% 3 . 2 , , , .



: , , . , gist, .





, 42



(« », ).



, , 42.







, 2 , Lost, 16- .



( ) , .



25 . , . .



5.









. , « », :



  • iot-


, , , . : , , , , , . .











— . , .



, , :







?



, — , , .



: , . , 2 — , :







?



, — , , - ( - ).



?



- — 134 000 .



.



, ?



, . -- . , .


?



, , .


, ?



, (.. ). .


, ?



( , )), . - , — , , ..


, ?



, , , , .



. secret . , ; , .



, , , . ( 4 : 1 3 /) 42 ( , — , ).



, , ( ), .



app.js-. a9 , power: true . — , , .



, unknown device. , chsokolow@gmail.com, -, lasermasters, . , , - ( , 99% , + ).



. , . , — , , . , - ( ) power: true 9- , . , , ( ). , , + + .



- , , , , . 5, — , . , , — . 58 449a776938f7ce4cf19f8603045dca0f , . .



« , ». , , , , — , . 10-20, .



, , , . , — + , . , , .




, , . — , stay tuned .





More articles:


All Articles