Musim dingin ini, atau lebih tepatnya, salah satu hari antara Natal dan Tahun Baru Katolik, para insinyur pendukung teknis Veeam sibuk dengan tugas-tugas yang tidak biasa: mereka memburu sekelompok peretas bernama Veeamonymous.

Tentang bagaimana orang-orang itu sendiri datang dengan dan melakukan pencarian nyata di tempat kerja, pada kenyataannya, dengan tugas "dekat dengan pertempuran," kata Kirill Stetsko , Escalation Engineer .

"Kenapa kamu melakukan ini?"

- Dengan cara yang sama seperti orang-orang datang dengan Linux - hanya untuk bersenang-senang, untuk kesenangan mereka sendiri.

Kami ingin pindah, dan pada saat yang sama kami ingin melakukan sesuatu yang bermanfaat, sesuatu yang menarik. Plus itu perlu untuk memberikan bantuan emosional kepada para insinyur dari pekerjaan sehari-hari mereka.

"Siapa yang menyarankan itu?" Ide siapa itu?

- Idenya adalah manajer kami Katya Egorova, dan kemudian konsep dan semua ide selanjutnya lahir bersama. Awalnya dianggap membuat hackathon. Tetapi selama pengembangan konsep, idenya berubah menjadi pencarian, setelah semua, seorang insinyur dukungan teknis adalah jenis kegiatan yang berbeda dari pemrograman.

Jadi, kami memanggil teman, kenalan, kenalan, orang yang berbeda membantu kami dengan konsep - satu orang dengan T2 (garis dukungan kedua - red. ), Satu orang dengan T3, beberapa orang dari tim SWAT (tim tanggap cepat untuk kasus-kasus yang sangat mendesak - Ed. ). Mereka semua datang bersama, duduk dan mencoba untuk datang dengan tugas untuk pencarian kami.

- Sangat tidak terduga untuk mengetahui segala sesuatu tentang itu, karena, sejauh yang saya tahu, biasanya mekanik skrip mengerjakan mekanika pencarian, yaitu, Anda tidak hanya melakukan hal yang sulit, tetapi juga dalam kaitannya dengan pekerjaan Anda, dengan bidang aktivitas profesional Anda.

- Ya, kami ingin tidak hanya hiburan, tetapi untuk "memompa" keterampilan teknis para insinyur. Salah satu tugas di departemen kami adalah pertukaran pengetahuan dan pelatihan, tetapi pencarian seperti itu adalah peluang besar untuk membiarkan orang "menyentuh" beberapa teknik langsung baru.

- Bagaimana Anda membuat tugas?

- Memiliki sesi brainstorming. Kami memiliki pemahaman bahwa kami harus melakukan beberapa tes teknis, sehingga mereka menarik dan pada saat yang sama membawa pengetahuan baru.
Sebagai contoh, kami berpikir bahwa orang harus diberi kesempatan untuk mencoba mengendus lalu lintas, menggunakan hex editor, melakukan sesuatu untuk Linux, dan beberapa hal yang sedikit lebih dalam terkait dengan produk kami (Veeam Backup & Replication dan lain-lain).

Juga bagian yang penting adalah konsep. Kami memutuskan untuk membangun topik tentang peretas, akses anonim dan suasana kerahasiaan. Topeng Guy Fawkes dijadikan simbol, dan namanya datang dengan sendirinya - Veeamonymous.

"Pada mulanya adalah kata"

Untuk membangkitkan minat, kami memutuskan sebelum dimulainya acara untuk mengatur perusahaan PR dalam tema pencarian: mereka menggantung poster dengan pengumuman di kantor kami. Dan beberapa hari kemudian, diam-diam dari semua orang, mereka melukisnya dengan kaleng semprotan dan meluncurkan "bebek", kata mereka, beberapa penyerang merusak poster, bahkan menempelkan foto dengan bukti ...

- Jadi Anda melakukannya sendiri, yaitu, tim penyelenggara ?!

- Ya, pada hari Jumat, jam 9:00, ketika semua orang sudah pergi, kami pergi dan mengambil huruf "V" hijau dari balon.) Banyak peserta dalam pencarian tidak menebak siapa yang melakukannya - orang-orang mendatangi kami dan bertanya siapa yang merusak poster-poster itu. ? Seseorang menangani masalah ini dengan sangat serius dan meluncurkan seluruh penyelidikan tentang masalah ini.

Untuk pencarian, kami menulis dan file audio, suara "merobek": misalnya, ketika seorang insinyur login ke sistem [produksi CRM] kami, maka ada mesin penjawab robot yang mengatakan semua jenis frase, angka ... Di sini kita dari kata-kata yang dia miliki direkam, tersusun frase kurang lebih bermakna, yah, mungkin sedikit kurva - misalnya, kami mendapat "Tidak ada teman untuk membantu Anda" dalam file audio.

Sebagai contoh, kami mewakili alamat IP dalam kode biner, semuanya, sekali lagi, dengan bantuan angka-angka ini [diucapkan oleh robot], semua jenis suara yang menakutkan ditambahkan. Mereka merekam video itu sendiri: di video itu ada seorang lelaki duduk di tudung hitam dan mengenakan topeng Guy Fawkes, tetapi sebenarnya tidak ada satu orang, tetapi tiga, karena dua berdiri di belakangnya dan memegang "latar belakang" dari selimut :).

- Yah, Anda bingung, jujur saja.

- Ya, kami terbakar. Secara umum, kami pertama kali datang dengan spesifikasi teknis kami, dan kemudian menyusun kanvas sastra dan permainan tentang topik apa yang diduga terjadi. Menurut naskah, para peserta memburu sekelompok peretas yang disebut "Veeamonymous". Idenya adalah bahwa kita sedang “memecahkan dinding ke-4”, yaitu, kita mentransfer peristiwa menjadi kenyataan - misalnya, kita melukis dari kaleng semprotan.

Dengan pemrosesan teks sastra, kami dibantu oleh salah satu penutur asli bahasa Inggris dari departemen kami.

"Tunggu, mengapa penutur asli?" Anda juga melakukan semuanya dalam bahasa Inggris ?!

- Ya, kami melakukannya untuk kantor St. Petersburg dan Bucharest, jadi semuanya dalam bahasa Inggris.

Untuk percobaan pertama, kami mencoba membuat semuanya berfungsi, jadi skripnya linear dan cukup sederhana. Menambahkan lebih banyak lingkungan: teks rahasia, sandi, gambar.

Kami juga menggunakan meme: ada banyak gambar tentang topik penyelidikan, UFO, beberapa cerita horor populer - beberapa tim terganggu olehnya, mencoba menemukan beberapa pesan tersembunyi di sana, menerapkan pengetahuan mereka tentang steganografi dan hal-hal lain ... tetapi, tentu saja, tidak ada yang seperti itu adalah.

Tentang duri

Namun, dalam proses persiapan, kami dihadapkan pada tugas-tugas yang tidak terduga untuk diri kami sendiri.

Mereka banyak bertengkar tentang mereka dan menyelesaikan segala macam pertanyaan yang muncul tiba-tiba, tetapi sekitar seminggu sebelum pencarian, mereka umumnya berpikir bahwa semuanya sudah hilang.

Mungkin patut dibicarakan sedikit tentang dasar teknis dari pencarian.

Semuanya dilakukan di lab ESXi internal kami. Kami memiliki 6 tim, yang berarti kami harus mengalokasikan 6 kumpulan sumber daya. Jadi, untuk setiap tim kami mengerahkan kumpulan terpisah dengan mesin virtual yang diperlukan (IP yang sama). Tetapi karena semua ini ada di server yang berada di jaringan yang sama, konfigurasi VLAN kami saat ini tidak memungkinkan mesin isolasi di kumpulan yang berbeda. Dan, misalnya, selama uji coba, kami menerima situasi ketika mesin dari satu kolam terhubung ke mesin dari yang lain.

- Bagaimana Anda bisa memperbaiki situasi?

- Awalnya kami berpikir untuk waktu yang lama, menguji segala macam opsi dengan izin, vLAN terpisah untuk mesin. Sebagai hasilnya, kami melakukan ini - setiap tim hanya melihat server Veeam Backup yang melaluinya semua pekerjaan lebih lanjut berlangsung, tetapi tidak melihat sub-pool tersembunyi, di mana terdapat:

beberapa mesin windows
Server inti Windows
Mesin Linux
Pasangan VTL (Perpustakaan Tape Virtual)

Semua kumpulan diberi kelompok port yang terpisah pada sakelar vDS dan VLAN Pribadi mereka. Isolasi ganda semacam itu hanya diperlukan untuk sepenuhnya menghilangkan kemungkinan interaksi jaringan.

Tentang pemberani

- Adakah yang bisa ikut serta dalam pencarian? Bagaimana tim dibentuk?

- Ini adalah pengalaman pertama kami dalam mengadakan acara seperti itu, dan kemampuan laboratorium kami terbatas pada 6 tim.

Pertama, kami, seperti yang saya katakan, memegang perusahaan PR: menggunakan poster dan buletin, kami memberi tahu bahwa pencarian akan dilakukan. Kami bahkan memiliki beberapa petunjuk - frasa dalam kode biner dienkripsi pada poster itu sendiri. Dengan demikian, kami tertarik orang, dan orang sudah sepakat di antara mereka sendiri dengan teman, dengan teman, dan bekerja sama. Akibatnya, lebih banyak sukarelawan merespons daripada yang kami miliki, jadi kami harus melakukan seleksi: kami datang dengan tugas tes sederhana dan mengirimkannya kepada semua orang yang merespons. Itu adalah tugas yang logis, harus diselesaikan untuk kecepatan.

Tim diperbolehkan hingga 5 orang. Kapten tidak diperlukan di sana, idenya bekerja sama, dalam komunikasi satu sama lain. Seseorang yang kuat, misalnya, di Linux, seseorang kuat dalam hal menggoda (backup pada kaset), dan semua orang, melihat tugasnya, dapat menempatkan upayanya ke dalam solusi umum. Semua orang berbicara satu sama lain, menemukan solusi.

- Dan pada titik mana acara ini dimulai? Apakah Anda memiliki semacam "jam X"?

- Ya, kami memiliki hari yang dijadwalkan secara ketat, kami memilihnya sehingga ada lebih sedikit beban di departemen. Secara alami, para pemimpin tim diberitahu sebelumnya bahwa tim ini dan itu diundang untuk berpartisipasi dalam pencarian, dan mereka perlu diberi bantuan [mengenai muatan] hari itu. Tampaknya itu harus menjadi akhir tahun, 28 Desember, Jumat. Diperkirakan akan memakan waktu sekitar 5 jam, tetapi semua tim mengatasinya lebih cepat.

- Semua orang memiliki kedudukan yang sama, apakah setiap orang memiliki tugas yang sama berdasarkan kasus nyata?

- Ya, masing-masing penyusun mengambil beberapa kisah pribadi dari pengalaman pribadi. Kami tahu tentang sesuatu yang bisa terjadi dalam kenyataan, dan akan menarik bagi seseorang untuk "merasakan", melihat, mencari tahu. Mereka mengambil beberapa hal yang lebih spesifik, misalnya, pemulihan data dari kaset yang rusak. Seseorang dengan tip, tetapi sebagian besar tim mengatasi sendiri.

Atau perlu untuk menerapkan keajaiban skrip cepat - misalnya, kami punya cerita bahwa "bom logis" tertentu "merobek" arsip multi-volume ke folder acak di pohon, dan perlu untuk mengumpulkan data. Anda dapat melakukan ini secara manual - temukan dan salin [file] satu per satu, atau Anda dapat menulis skrip dengan mask.

Secara umum, kami mencoba untuk berpegang pada sudut pandang bahwa satu masalah dapat diselesaikan dengan cara yang berbeda. Misalnya, jika Anda sedikit lebih berpengalaman atau ingin "bingung," maka Anda dapat menyelesaikannya lebih cepat, tetapi ada cara langsung untuk menyelesaikannya "dahi" - tetapi pada saat yang sama Anda akan menghabiskan lebih banyak waktu untuk tugas itu. Artinya, hampir setiap tugas memiliki beberapa solusi, dan menarik jalur mana yang akan dipilih tim. Jadi nonlinier justru dalam pilihan opsi solusi.

Ngomong-ngomong, masalah Linux ternyata yang paling sulit - hanya satu tim yang menyelesaikannya secara mandiri, tanpa diminta.

"Bisakah kamu mengambil petunjuknya?" Bagaimana pencarian ini ??

- Ya, itu mungkin untuk diambil, karena kami memahami bahwa orang berbeda, dan mereka yang kurang pengetahuan bisa jatuh ke dalam tim yang sama, sehingga kami tidak akan kehilangan jalur dan minat kompetitif, kami memutuskan bahwa kami akan petunjuk Untuk ini, setiap tim diawasi oleh seseorang dari panitia. Ya, kami memastikan tidak ada yang selingkuh.

Tentang bintang-bintang

- Dan ada hadiah untuk para pemenang?

- Ya, kami mencoba membuat hadiah yang paling menyenangkan baik untuk semua peserta dan untuk pemenang: pemenang menerima kaus desainer dengan logo Veeam dan frasa yang dienkripsi dalam kode heksadesimal, hitam). Semua peserta menerima topeng Guy Fawkes dan tas perusahaan dengan logo dan kode yang sama.

- Artinya, Anda memiliki segalanya seperti dalam pencarian nyata!

- Ya, kami ingin melakukan hal yang keren dan dewasa, dan menurut saya kami melakukannya.

- Benar! Dan apa reaksi dari mereka yang berpartisipasi dalam pencarian ini? Apakah Anda mencapai sasaran?

- Ya, banyak kemudian muncul, mengatakan bahwa mereka jelas melihat kelemahan mereka dan ingin menariknya. Seseorang tidak lagi takut pada teknologi tertentu - misalnya, membuang balok dari jagoan dan mencoba mendapatkan sesuatu di luar sana ... Seseorang menyadari bahwa dia perlu mengencangkan Linux, dan sebagainya. Kami mencoba memberikan berbagai tugas yang cukup luas, tetapi tidak sepenuhnya sepele.

Tim pemenang

"Dia yang ingin akan berhasil!"

- Apakah mereka yang menyiapkan pencarian membutuhkan banyak usaha?

- Umumnya ya. Tetapi ini kemungkinan besar disebabkan oleh fakta bahwa kami tidak memiliki pengalaman dalam mempersiapkan pencarian seperti itu, infrastruktur seperti itu. (Kami akan membuat reservasi bahwa ini bukan infrastruktur kami yang sebenarnya - itu hanya harus melakukan semacam fungsi game.)

Itu adalah pengalaman yang sangat menarik bagi kami. Awalnya saya skeptis, karena ide itu terlihat terlalu keren bagi saya, saya pikir itu sangat sulit untuk diterapkan. Tetapi mereka mulai melakukannya, mereka mulai membajak, mereka semua mulai terbakar, dan pada akhirnya kami melakukannya. Dan bahkan hampir tidak ada hamparan.

Secara umum, kami menghabiskan 3 bulan. Sebagian besar, kami datang dengan konsep, membahas apa yang bisa kami terapkan. Dalam prosesnya, tentu saja, sesuatu berubah, karena kami mengerti bahwa karena alasan tertentu kami tidak memiliki kemampuan teknis untuk melakukan ini. Di perjalanan, saya harus mengulang sesuatu, tetapi agar seluruh kanvas, sejarah, dan logika tidak pecah. Kami mencoba tidak hanya untuk memberikan daftar tugas teknis, tetapi untuk membuatnya sesuai dengan sejarah, agar koheren dan logis. Sebagian besar pekerjaan bulan lalu, yaitu, 3-4 minggu sebelum hari X.

- Jadi, selain aktivitas utama Anda, apakah Anda meluangkan waktu untuk mempersiapkan?

- Ini kami lakukan secara paralel dengan pekerjaan utama, ya.

"Apakah kamu diminta untuk melakukan ini lagi?"

- Ya, kami memiliki banyak permintaan untuk diulang.

- apa kamu

- Kami memiliki ide-ide baru, konsep-konsep baru, kami ingin menarik lebih banyak orang dan mengembangkannya dalam waktu - baik proses seleksi maupun proses permainan itu sendiri. Secara umum, kami terinspirasi oleh proyek Cicada, bisa google - ini adalah topik IT yang sangat keren, di sana orang-orang dari seluruh dunia berkumpul, memulai cabang di forum reddit, mereka menggunakan terjemahan sandi di sana, dan memecahkan teka-teki, dan semua itu.

- Idenya hebat, hanya menghormati ide dan implementasi, karena itu sangat berharga. Saya dengan tulus berharap Anda tidak kehilangan inspirasi ini, sehingga semua proyek baru Anda juga akan berhasil. Terima kasih

- Ya, tetapi Anda dapat melihat contoh tugas yang pasti tidak akan Anda gunakan kembali?

- Saya menduga bahwa kami tidak akan menggunakan kembali. Karena itu, saya dapat memberi tahu Anda tentang perjalanan seluruh pencarian.

Track bonus

Pada awalnya, para pemain memiliki nama mesin virtual dan kredensial dari vCenter. Masuk ke dalamnya, mereka melihat mobil ini, tetapi tidak dimulai. Di sini Anda harus menebak bahwa ada sesuatu yang salah dengan file .vmx. Setelah mengunduhnya, mereka melihat permintaan yang diperlukan untuk langkah kedua. Bahkan, dikatakan bahwa database yang digunakan oleh Veeam Backup & Replication dienkripsi.
Setelah menghapus petunjuk, setelah mengunduh kembali file .vmx dan setelah berhasil menghidupkan mesin, mereka melihat bahwa pada salah satu disk benar-benar ada base64 yang dienkripsi base64. Dengan demikian, tugasnya adalah mendekripsi dan mendapatkan server Veeam yang berfungsi penuh.

Sedikit tentang mesin virtual tempat semua ini terjadi. Seperti yang kita ingat, dalam cerita karakter utama dari pencarian adalah orang yang agak gelap dan terlibat dalam sesuatu yang jelas tidak terlalu legal. Oleh karena itu, komputernya yang bekerja harus memiliki penampilan yang cukup hacker, yang harus kami buat, meskipun itu adalah Windows. Hal pertama yang ditambahkan adalah banyak alat peraga seperti informasi tentang peretasan besar, serangan DDoS dan sejenisnya. Kemudian mereka menginstal semua perangkat lunak khas dan meletakkan di mana-mana kesedihan yang berbeda, file dengan hash, dll. Semuanya seperti di film. Di antara hal-hal lain, ada folder yang diberi nama berdasarkan prinsip kasus-tertutup *** dan kasus-terbuka ***
Untuk melangkah lebih jauh, pemain perlu mengembalikan tooltips dari file dalam cadangan.

Di sini saya harus mengatakan bahwa pada awalnya para pemain diberikan sedikit informasi, dan sebagian besar data (seperti IP, login, dan kata sandi) yang mereka terima selama pencarian, menemukan petunjuk dalam cadangan atau file yang tersebar di mesin. Awalnya, file cadangan terletak di repositori Linux, tetapi folder di server itu sendiri sudah terpasang dengan flag noexec , sehingga agen yang bertanggung jawab untuk mengembalikan file tidak dapat memulai.

Setelah memperbaiki repositori, peserta mendapatkan akses ke semua konten dan akhirnya dapat mengembalikan informasi apa pun. Masih memahami yang mana. Dan untuk ini, mereka hanya perlu mempelajari file yang tersimpan di mesin ini, menentukan yang mana dari mereka yang "rusak" dan apa yang sebenarnya perlu dipulihkan.

Pada titik ini, skrip bergeser dari pengetahuan IT umum ke fitur Veeam tertentu.

Dalam contoh khusus ini (ketika Anda tahu nama file tetapi tidak tahu di mana mencarinya), Anda perlu menggunakan fungsi pencarian di Enterprise Manager, dan seterusnya. Akibatnya, setelah memulihkan seluruh rantai logis, para pemain memiliki satu lagi login / kata sandi dan output nmap. Ini menuntun mereka ke server Windows Core, dan oleh RDP (sehingga kehidupan tidak tampak seperti madu).

Fitur utama dari server ini: dengan bantuan skrip sederhana dan beberapa kamus, struktur folder dan file yang sama sekali tidak berarti terbentuk di sana. Dan ketika Anda login, Anda menerima pesan selamat datang dari formulir "Bom logis meledak di sini, jadi Anda harus mengumpulkan tips untuk langkah selanjutnya dalam potongan-potongan."

Petunjuk berikut ini dibagi menjadi arsip multi-volume (potongan 40-50) dan disusun secara acak di folder ini. Ide kami adalah bahwa pemain harus menunjukkan bakat mereka dalam menulis skrip PowerShell sederhana untuk mengumpulkan arsip multi-volume dan mendapatkan data yang diperlukan menggunakan topeng terkenal. (Tapi ternyata seperti dalam lelucon itu - beberapa subjek mengalami perkembangan fisik yang tidak biasa.)

Arsip tersebut berisi foto kaset (dengan tulisan "Perjamuan Terakhir - Momen Terbaik"), yang mengisyaratkan penggunaan perpustakaan kaset yang terhubung, di mana ada kaset dengan nama yang mirip. Di sini hanya ada satu masalah - ternyata tidak bisa dioperasi sehingga tidak didaftarkan. Di sini mungkin bagian paling sulit dari pencarian dimulai. Kami menghapus judul kaset, jadi untuk memulihkan data dari itu, Anda hanya perlu membuang blok "mentah" dan melihatnya di hex editor untuk menemukan penanda awal file.
Kami menemukan penanda, lihat offset, gandakan blok dengan ukurannya, tambahkan offset dan gunakan alat internal untuk mengembalikan file dari blok tertentu. Jika semuanya dilakukan dengan benar dan matematika disatukan, maka para pemain memiliki file .wav di tangan mereka.

Di dalamnya, menggunakan generator suara, antara lain, kode biner ditentukan, yang diungkapkan dalam IP lain.

Ini, ternyata, adalah server Windows baru, di mana semuanya mengisyaratkan perlunya menggunakan Wireshark, tetapi tidak ada di sana. Fokus utama adalah bahwa ada dua sistem yang diinstal pada mesin ini - hanya disk dari yang kedua terputus offline melalui manajer perangkat, dan rantai logis mengarah pada kebutuhan untuk reboot. Setelah itu ternyata secara default sistem yang sama sekali berbeda harus dimuat di mana Wireshark diinstal. Dan selama ini kami berada di OS sekunder.

Tidak ada yang istimewa untuk dilakukan di sini, cukup nyalakan tangkapan pada satu antarmuka. Dengan pertimbangan dump yang relatif hati-hati, paket yang ditinggalkan jelas dikirim dari mesin bantu secara berkala, di mana ada tautan ke video youtube, di mana para pemain diminta untuk memanggil nomor tertentu. Penelepon pertama mendengarkan ucapan selamat di tempat pertama, sisanya - undangan untuk HR (lelucon)).

Omong-omong, kami memiliki lowongan terbuka untuk insinyur dukungan teknis dan untuk pekerja magang. Selamat datang di tim!

Pencarian dunia maya dari tim dukungan teknis Veeam

"Pada mulanya adalah kata"

Tentang duri

Tentang pemberani

Tentang bintang-bintang

"Dia yang ingin akan berhasil!"

More articles: