Clever Geek Handbook

Qui a arrêté le destructeur ou comment il était nécessaire de terminer la quête avec la destruction du serveur

Il y a quelques jours, nous avons réalisé l'un des événements les plus chargés d'émotion que nous avons eu la chance de réaliser dans le cadre d'un blog - un jeu de hackers en ligne avec destruction d'un serveur.



Les résultats ont dépassé toutes nos attentes: les participants n'ont pas seulement participé, mais se sont rapidement organisés en une communauté bien coordonnée de 620 personnes en discorde, qui a littéralement pris d'assaut la quête en deux jours sans interruption de sommeil.





Et voici comment cela s'est terminé:







Comment tout cela a-t-il commencé et de quoi s'agit-il?



Le jeu a commencé le 12 Août, lorsque nous avons publié un blog post avec une vidéo dans laquelle un pirate informatique sous la forme d'un crâne suggère de jouer un jeu, détruire le serveur, court-circuiter la salle (ou un mini-feu) et ramasser l'argent dans le broyeur.



C'était une quête en ligne: nous avons lancé une émission YouTube depuis la pièce, que nous avons remplie d'appareils iot, d'un serveur de lit (qui a dû être détruit), et nous avons réparé un aquarium sur le serveur et suspendu un poids dessus. Pour rendre le jeu plus bourré d'action, nous avons décidé de créer une cagnotte de 200 000 roubles, que nous avons chargée dans le déchiqueteur et l'avons mise en marche toutes les 60 minutes. Chaque heure, le déchiqueteur mangeait 1000 roubles - plus tôt les joueurs l'arrêteraient, plus ils gagneraient d'argent.







Construire cette quête était une quête en soi - nous devions manger une livraison et dormir plusieurs heures par jour dans la même pièce. Mais le plus surprenant a été de regarder le vol des pensées des joueurs et leur impact émotionnel dans le processus.



Pour être honnête, l'ingéniosité des joueurs pour résoudre les problèmes a dépassé à plusieurs reprises notre modeste idée: à chaque minute gratuite, nous lisons le chat discord et, dans certains cas, nous pleurons littéralement de rire, apprenant ce que les joueurs faisaient et comment ils plaisantaient dans le processus.



7 personnes ont travaillé sans relâche sur le projet: un backender, un spécialiste du hardware, un vrai producteur de films, un CG designer et deux cerveaux et coproducteurs idéologiques.



Nous vous dirons dans les prochains articles comment la quête a été mise en œuvre d'un point de vue technique, mais pour l'instant je vais vous dire sa réponse: comment exactement cette salle aurait dû être piratée lors de la diffusion. En même temps, rappelons-nous la chronologie des événements, ainsi que toutes les théories folles des Illuminati de la discorde du chat et c'est tout.



Ce que les joueurs avaient au début du jeu



Tous les articles de la salle ont été divisés en trois catégories:



  • Appareils iot faciles à utiliser et non destinés aux jeux
  • Appareils de jeu pour réussir la quête
  • Entourage






Nous avons placé 8 éléments très faciles à utiliser: deux lampes, une guirlande, cinq lettres FALCON, chacune pouvant être changée en couleur. Tout cela pouvait être activé / désactivé directement depuis le site et voir immédiatement le résultat sur la diffusion - nous les avons spécialement mis à disposition pour tous les joueurs, quel que soit le niveau de connaissances techniques.





Tout ce qui était simplement inclus sur le site



Des éléments de jeu importants nécessaires pour mener à bien la quête, et l'accès auquel il n'était pas si facile d'obtenir:



  1. Serveur avec un couvercle ouvert et un aquarium au-dessus
  2. Un kettlebell suspendu pour briser l'aquarium
  3. Megatron 3000 - un puissant pointeur laser visant une corde qui tient une kettlebell
  4. Ventilateur puissant qui a démarré lorsque le serveur a été chargé
  5. Un flipchart sur lequel le login et le mot de passe de Megatron ont été écrits
  6. Un téléphone que vous pourriez appeler et voir votre appel en direct
  7. Un déchiqueteur qui a mangé un morceau de papier de 1000 roubles par heure


Comment exactement la quête a été résolue



Je dirai tout de suite: le coffre s'est ouvert tout simplement.



Le but du jeu était d'arrêter le broyeur en court-circuitant la pièce. Pour ce faire, il était nécessaire de casser l'aquarium en y passant un poids et en versant de l'eau sur le serveur. Le poids était maintenu sur une corde que Megatron visait. Prenant le contrôle de Megatron, la corde pourrait être coupée. Cela a été fait en 5 étapes simples:



Étape 1. Chargez le serveur dans la salle



Par exemple, envoyer des packages avec la commande. 



ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captcha


Le pourboire était un captcha très lourd sur la page Liste de prix .





Le même captcha qui a dû être attaqué.Lorsque







le serveur a été chargé, sa température a augmenté et cela a pu être suivi sur le moniteur ouvert juste devant la caméra. Vint ensuite le ventilateur, qui ouvrit un rideau lumineux sur le tableau de conférence. Ensuite, le login et le mot de passe pour accéder à la page de Megatron, écrits sur le tableau, ont été ouverts.



Et la page de gestion Megatron elle-même pouvait être trouvée en vérifiant tous les certificats émis pour le domaine ooosokol.ru.



Sur le sous-domaine megatron.ooosokol.ru se trouvait la page de gestion de Megatron. Mais il ne s'est ouvert que lorsque l'alimentation principale a été fournie à Megatron.



Les joueurs sont passés par toutes ces étapes presque immédiatement dans les commentaires de la diffusion sur youtube. D'autres tâches étaient plus difficiles et les joueurs ont créé le serveur discord RUVDS Hack Room et ont continué la discussion là-bas.



Étape 2. Appliquer l'alimentation principale au Megatron



Tous les appareils intelligents contrôlés depuis le site (les mêmes lampes que les joueurs allumaient ou éteignaient sans s'arrêter) avaient leurs propres identifiants.



Pour fournir une alimentation principale au Megatron et en même temps le mettre en évidence, il était nécessaire de trouver et d'allumer l'appareil caché sur la page de gestion du bureau.







Pour ce faire, il a fallu regarder les identifiants des appareils et remarquer qu'il y a 4 appareils au total, et seulement 3 sont disponibles sur le site.







La page de Megatron, lorsque le 4e appareil a été allumé, est devenue disponible et le laser lui-même a été mis en évidence. Mais en même temps, il était impossible de tirer avec un laser, et sur sa page, il y avait un message indiquant que le laser n'était pas encore disponible et un indice: des embouteillages étaient éliminés au bureau, vous deviez appeler la société de gestion et demander de l'électricité.





Un conseil sur la société de gestion



3. Appelez la société de gestion et demandez à mettre sous tension Megatron



Megatron n'a pas pu tirer sur l'ENT, car des embouteillages ont été éliminés dans le bureau. Seule la société de gestion pouvait remettre le courant, auquel il était nécessaire d'appeler et de passer par l'identification en tant que propriétaire de la LLC.



Trouver le numéro de la société de gestion était facile - nous l'avons inséré directement dans le pied de page.







Mais l'identification était beaucoup plus difficile.



Lors de l'appel au numéro +74991130688, une opératrice a décroché le téléphone et d'une voix ennuyée a demandé de nommer le NIF de l'entreprise et le nom complet du propriétaire. Sans cela, elle a refusé de mettre le courant et l'a expliqué par le fait qu'elle était un bureau de répartition ordinaire en sous-traitance, ils avaient 2000 clients et bureaux, et sans cette information, il était tout simplement impossible de trouver le bon.



Cela s'est avéré être l'étape la plus difficile pour les joueurs. Nous avons recherché le TIN correct et le nom complet du propriétaire pendant près de deux jours, et moi (représenté par l'opérateur de la salle de contrôle) j'ai reçu plus de 400 appels pendant cette période. Le téléphone a sonné toutes les 2-3 minutes.



Les gars ont creusé du mieux qu'ils pouvaient. Tout est entré en action: ils ont vidé le code source du site, googlé le propriétaire du site Sokolov, et pilonné à travers les réseaux sociaux.



Ils ont recherché des NIF de différentes sociétés
















- — , .



, . , , lasermasters.ru, .



.







- ! .



,






, . , .







, , , . , , .





,





,



, 600 ...)



, ( , ).







, . , , .



,






.







, , .



, ? -. .





""

























.







, .















— , .







3301 — , .











. , , , , . , , - , , , , .









.





































. -, . , , .



. — , 25- , .



25- , .













4. -



, . .





25 , , 10 10/255



1 , .



, , .



,


,




,























, -



4. , : gist ,



— 100% 3 . 2 , , , .



: , , . , gist, .





, 42



(« », ).



, , 42.







, 2 , Lost, 16- .



( ) , .



25 . , . .



5.









. , « », :



  • iot-


, , , . : , , , , , . .











— . , .



, , :







?



, — , , .



: , . , 2 — , :







?



, — , , - ( - ).



?



- — 134 000 .



.



, ?



, . -- . , .


?



, , .


, ?



, (.. ). .


, ?



( , )), . - , — , , ..


, ?



, , , , .



. secret . , ; , .



, , , . ( 4 : 1 3 /) 42 ( , — , ).



, , ( ), .



app.js-. a9 , power: true . — , , .



, unknown device. , chsokolow@gmail.com, -, lasermasters, . , , - ( , 99% , + ).



. , . , — , , . , - ( ) power: true 9- , . , , ( ). , , + + .



- , , , , . 5, — , . , , — . 58 449a776938f7ce4cf19f8603045dca0f , . .



« , ». , , , , — , . 10-20, .



, , , . , — + , . , , .




, , . — , stay tuned .





More articles:


All Articles