Clever Geek Handbook

Wer hat den Aktenvernichter gestoppt oder wie war es notwendig, die Quest mit der Zerstörung des Servers abzuschließen?

Vor ein paar Tagen haben wir eines der emotional aufgeladensten Ereignisse abgeschlossen, das wir im Rahmen des Blogs durchführen durften - ein Online-Hacker-Spiel mit der Zerstörung des Servers.



Die Ergebnisse übertrafen alle unsere Erwartungen: Die Teilnehmer nahmen nicht nur teil, sondern organisierten sich schnell zu einer gut koordinierten Gemeinschaft von 620 Menschen in Zwietracht, die die Suche buchstäblich in zwei Tagen ohne Schlafpause im Sturm eroberten.





Und so endete es:







Wie hat alles angefangen und worum geht es?



Das Spiel begann am 12. August, als wir einen Blog- Beitrag mit einem Video veröffentlichten, in dem ein Hacker in Form eines Schädels vorschlägt, ein Spiel zu spielen, den Server zu zerstören, den Raum (oder ein Mini-Feuer) kurzzuschließen und das im Aktenvernichter verbleibende Geld zu nehmen.



Es war eine Online-Suche: Wir starteten eine YouTube-Sendung aus dem Raum, die wir mit iot-Geräten, einem Bettserver (der zerstört werden musste) füllten, und wir befestigten ein Aquarium über dem Server und hängten ein Gewicht darüber. Um das Spiel aktionsreicher zu gestalten, haben wir beschlossen, einen Preispool von 200.000 Rubel zu erstellen, den wir in den Shredder geladen und alle 60 Minuten eingeschaltet haben. Jede Stunde aß der Shredder 1.000 Rubel - je früher die Spieler ihn stoppten, desto mehr Geld würden sie gewinnen.







Diese Quest aufzubauen war eine Quest für sich - wir mussten eine Lieferung essen und mehrere Stunden am Tag direkt im selben Raum schlafen. Das Überraschendste war jedoch, den Flug der Gedanken der Spieler und ihre emotionalen Auswirkungen zu beobachten.



Um ehrlich zu sein, übertraf der Einfallsreichtum der Spieler bei der Lösung der Probleme unsere bescheidene Idee um ein Vielfaches: Jede freie Minute lasen wir den Zwietracht-Chat und weinten in einigen Fällen buchstäblich vor Lachen, um zu erfahren, was die Spieler taten und wie sie dabei scherzten.



7 Personen arbeiteten unermüdlich an dem Projekt: ein Backender, ein Hardware-Spezialist, ein echter Filmproduzent, ein CG-Designer und zwei ideologische Masterminds und Co-Produzenten.



Wir werden in den nächsten Beiträgen genau sagen, wie die Quest aus technischer Sicht umgesetzt wurde, aber im Moment werde ich Ihnen die Antwort sagen: Wie genau dieser Raum während der Sendung hätte gehackt werden sollen. Erinnern wir uns gleichzeitig an die Chronologie der Ereignisse sowie an alle verrückten Illuminati-Theorien aus der Chat-Zwietracht, und das war's.



Was die Spieler zu Beginn des Spiels hatten



Alle Gegenstände im Raum wurden in drei Kategorien unterteilt:



  • Einfach zu bedienende Geräte ohne Spiele
  • Spielgeräte zum Bestehen der Quest
  • Gefolge






Wir haben 8 sehr einfach zu bedienende Elemente platziert: zwei Lampen, eine Girlande, fünf FALCON-Buchstaben, von denen jeder in der Farbe geändert werden kann. All dies kann direkt von der Website aus ein- und ausgeschaltet werden und das Ergebnis sofort in der Sendung sehen - wir haben sie speziell allen Spielern zur Verfügung gestellt, unabhängig vom technischen Kenntnisstand.





Alles, was einfach von der Website aufgenommen wurde



Von den wichtigen Spielelementen, die für den Abschluss der Quest benötigt wurden und auf die zugegriffen werden konnte, war es nicht so einfach:



  1. Server mit offenem Deckel und einem Aquarium darüber
  2. Eine Kettlebell wurde aufgehängt, um das Aquarium aufzubrechen
  3. Megatron 3000 - ein leistungsstarker Laserpointer, der auf ein Seil gerichtet ist, das eine Kettlebell hält
  4. Leistungsstarker Lüfter, der beim Laden des Servers gestartet wurde
  5. Flipchart, auf dem der Login und das Passwort für Megatron geschrieben wurden
  6. Ein Telefon, mit dem Sie anrufen und Ihren Anruf live verfolgen können
  7. Ein Aktenvernichter, der pro Stunde ein Stück Papier mit 1.000 Rubel aß


Wie genau die Quest gelöst wurde



Ich werde gleich sagen: Die Truhe öffnete sich ganz einfach.



Das Ziel des Spiels war es, den Aktenvernichter zu stoppen, indem der Raum kurzgeschlossen wurde. Dazu musste das Aquarium zerbrochen werden, indem ein Gewicht hineingelegt und Wasser über den Server gegossen wurde. Das Gewicht wurde an einer Schnur gehalten, auf die Megatron zielte. Das Seil übernahm die Kontrolle über Megatron und konnte durchtrennt werden. Dies wurde in 5 einfachen Schritten durchgeführt:



Schritt 1. Laden Sie den Server in den Raum



Zum Beispiel das Senden von Paketen mit dem Befehl. 



ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captcha


Der Tipp war ein sehr schweres Captcha auf der Preislistenseite .





Das gleiche Captcha, das angegriffen werden musste.







Als der Server geladen wurde, stieg seine Temperatur an und dies konnte auf der Überwachung verfolgt werden, die direkt vor der Kamera geöffnet wurde. Als nächstes kam der Ventilator, der einen Lichtvorhang auf dem Flipchart öffnete. Dann wurden der Login und das Passwort für den Zugriff auf Megatrons Seite, die an die Tafel geschrieben waren, geöffnet.



Die Megatron-Verwaltungsseite selbst kann durch Überprüfen aller für die Domain ooosokol.ru ausgestellten Zertifikate gefunden werden.



Auf der Subdomain megatron.ooosokol.ru befand sich die Megatron-Verwaltungsseite. Es öffnete sich jedoch erst, als Megatron mit Primärstrom versorgt wurde.



Die Spieler haben all diese Phasen fast sofort in den Kommentaren der Sendung auf Youtube durchlaufen. Weitere Aufgaben waren schwieriger und die Spieler erstellten den RUVDS Hack Room Discord Server und setzten die Diskussion dort fort.



Schritt 2. Schalten Sie Megatron primär ein



Alle von der Site aus gesteuerten Smart-Geräte (dieselben Lampen, die die Player ein- oder ausschalteten, ohne anzuhalten) hatten ihre eigenen Kennungen.



Um den Megatron mit Primärstrom zu versorgen und gleichzeitig hervorzuheben, musste das versteckte Gerät auf der Office-Verwaltungsseite gefunden und aktiviert werden.







Zu diesem Zweck mussten die Gerätekennungen überprüft und festgestellt werden, dass insgesamt 4 Geräte vorhanden sind und nur 3 auf der Website verfügbar sind.







Die Seite von Megatron wurde verfügbar, als das 4. Gerät eingeschaltet und der Laser selbst hervorgehoben wurde. Gleichzeitig war es unmöglich, mit einem Laser zu schießen, und auf seiner Seite stand die Meldung, dass der Laser noch nicht verfügbar war, und ein Hinweis: Staus wurden im Büro ausgeknockt, man musste die Verwaltungsgesellschaft anrufen und um Strom bitten.





Ein Tipp zur Verwaltungsgesellschaft



3. Rufen Sie die Verwaltungsgesellschaft an und bitten Sie sie, die Stromversorgung von Megatron einzuschalten



Megatron konnte nicht auf den HNO schießen, da im Büro Staus ausgeschlagen wurden. Nur die Verwaltungsgesellschaft konnte die Stromversorgung wieder einschalten, zu der die Identifizierung als Eigentümer der LLC erforderlich war.



Die Nummer der Verwaltungsgesellschaft zu finden war einfach - wir haben sie direkt in die Fußzeile eingefügt.







Die Identifizierung war jedoch viel schwieriger.



Beim Anrufen der Nummer +74991130688 nahm eine Mitarbeiterin den Hörer ab und fragte mit gelangweilter Stimme nach der TIN des Unternehmens und dem vollständigen Namen des Eigentümers. Ohne dies weigerte sie sich, den Strom einzuschalten und erklärte dies durch die Tatsache, dass sie ein gewöhnliches Versandbüro für Outsourcing war, 2000 Kunden und Büros hatte und es ohne diese Informationen einfach unmöglich war, das richtige zu finden.



Dies stellte sich als die schwierigste Etappe für die Spieler heraus. Wir haben fast zwei Tage lang nach der richtigen TIN und dem vollständigen Namen des Eigentümers gesucht, und ich (vertreten durch den Betreiber des Kontrollraums) habe in dieser Zeit mehr als 400 Anrufe erhalten. Das Telefon klingelte alle 2-3 Minuten.



Die Jungs gruben so gut sie konnten. Alles ging in Aktion: Sie haben den Quellcode der Site entkernt, den Site-Besitzer Sokolov gegoogelt und soziale Netzwerke durchgeschoben.



Sie suchten nach TINs verschiedener Unternehmen
















- — , .



, . , , lasermasters.ru, .



.







- ! .



,






, . , .







, , , . , , .





,





,



, 600 ...)



, ( , ).







, . , , .



,






.







, , .



, ? -. .





""

























.







, .















— , .







3301 — , .











. , , , , . , , - , , , , .









.





































. -, . , , .



. — , 25- , .



25- , .













4. -



, . .





25 , , 10 10/255



1 , .



, , .



,


,




,























, -



4. , : gist ,



— 100% 3 . 2 , , , .



: , , . , gist, .





, 42



(« », ).



, , 42.







, 2 , Lost, 16- .



( ) , .



25 . , . .



5.









. , « », :



  • iot-


, , , . : , , , , , . .











— . , .



, , :







?



, — , , .



: , . , 2 — , :







?



, — , , - ( - ).



?



- — 134 000 .



.



, ?



, . -- . , .


?



, , .


, ?



, (.. ). .


, ?



( , )), . - , — , , ..


, ?



, , , , .



. secret . , ; , .



, , , . ( 4 : 1 3 /) 42 ( , — , ).



, , ( ), .



app.js-. a9 , power: true . — , , .



, unknown device. , chsokolow@gmail.com, -, lasermasters, . , , - ( , 99% , + ).



. , . , — , , . , - ( ) power: true 9- , . , , ( ). , , + + .



- , , , , . 5, — , . , , — . 58 449a776938f7ce4cf19f8603045dca0f , . .



« , ». , , , , — , . 10-20, .



, , , . , — + , . , , .




, , . — , stay tuned .





More articles:


All Articles