Игры с неведомым. Как устроены хакерские квесты и почему от них тяжело оторваться

Любопытство — это ключ к совершенству. Увлеченный человек готов прилагать усилия, чтобы снова и снова находить ответы и удовлетворять свою тягу к познанию. Один из способов задействовать силу любопытства — это хакерские квесты. Они лежат на пересечении игр в альтернативную реальность (ARG) и CTF-соревнований и манят участников атмосферой тайны, но не только развлекают, но и дают совершенно реальные навыки.

Содержание статьи

• Что такое ARG?
• В чем разница между ARG, CTF и квестами в стиле CTF?
• Квест Софии
• Подозрительный FTP и стеганография
• Подделки под «Цикаду»
• Cicada 3301
• Выводы

Что такое ARG?

На случай, если ты еще не слышал про забаву под названием Alternate Reality Game, вкратце расскажу, что это такое. Представь себе игру, которая в качестве платформы использует реальный мир. Точнее, даже не игру, а интерактивное повествование с игровыми элементами.

Скоординировав усилия (обычно через интернет), участники ARG ищут зацепки и идут по следу выдуманной авторами истории. Ключи при этом могут попадаться как на специально развернутых для этого сайтах, так и в жизни: например, на плакатах, спрятанных флешках, в записях на автоответчик и так далее.

Получается этакая гигантская многопользовательская головоломка, которая сочетает в себе ролевые и компьютерные игры, журналистские расследования, фантастику и мистику.

Влияние аудитории на исход ARG настолько велико, что сюжет может пойти по непредвиденному сценарию, завершиться раньше времени или остановиться на середине.

Сегодня в развлекательные коммерческие проекты играют несколько миллионов человек по всему миру. Основные движущие силы при решении ARG — это любопытство, любовь к головоломкам, желание изучать криптографию и проверить уровень собственной эрудиции. Ведь если ты сможешь дойти до финала, то окажешься одним из немногих счастливчиков.

Коммерческих ARG множество. Среди наиболее нашумевших: I Love Bees, которая была частью кампании вирусного маркетинга игры Halo 2, Lost Experience и Find 815, которые рекламировали сериал Lost, хорошо известная геймерам головоломка по вселенной Portal и другие.

Ну а к нашей тематике, конечно, ближе всего Cicada 3301 и ARG по сериалу Mr. Robot (мы подробно писали о ней).

В чем разница между ARG, CTF и квестами в стиле CTF?

Вокруг ARG сформировались целые интернет-сообщества, и их ряды постоянно пополняются. ИБ-тусовку это веяние тоже затронуло, и здесь случилось взаимное опыление с другим популярным жанром — соревнованиями типа Capture The Flag (подробнее о нем — в статье «CTF. Как взлом стал спортивным состязанием»). Результат иногда называют deepweb puzzle, и по исполнению они временами ничуть не уступают полноценным ARG.

От ARG такие квесты отличаются отсутствием маркетинговой составляющей, а от CTF — отсутствием четкой организации. Участвовать можно в одиночку или командой любого размера, нет ни призов, ни очков, ни даже даты завершения.

Однако отсутствие заранее собранных команд не означает, что нет командного решения задач. Чаще всего заинтересованные игроки объединяются в сообщества и помогают друг другу со сложными загадками. Происходит это на форумах, вики, сабреддитах, имиджбордах и в групповых чатах.

Например, сабреддит r/ARG посвящен сетевым головоломкам в целом. Там каждый желающий может поделиться ссылкой на неизвестный сообществу квест, внести свой вклад в решение активных заданий или набраться опыта из уже решенных ARG.

Вообще Reddit в последнее время стал площадкой по умолчанию для любителей таких активностей. Его обитатели зачастую первыми находят неприметные странички на просторах даркнета.

Российское сообщество исследователей интернета (нетсталкеров) тоже неоднократно натыкалось на очень оригинальные квесты, упоминания которых не было на Reddit. Зачастую такие вещи обнаруживаются спонтанно — когда кто-то прочесывает даркнет в поисках новых интересных ссылок.

Как только это происходит, сообщество объединяется для решения найденного куска большой онлайн-игры. Кстати, я говорю «найденного куска», потому что не всегда можно быть уверенным, окажется ли веб-страница началом, серединой или концом игры.

Квест Софии

Настало время познакомить тебя с некоторыми квестами в стиле CTF, которые заинтересовали наше сообщество своей сложностью, оригинальностью и красотой исполнения. По одному из них пройдемся от начала до конца, то есть до получения заветного флага. Квест недлинный, но по нему в целом понятно, с чем приходится сталкиваться при прохождении. А по дороге соберем небольшую подборку утилит, которые помогают искать решение.

Часть 1

Начинается все как обычно — кто-то находит веб-страничку. Она принадлежит Sophie, и мимо этого ресурса вряд ли пройдешь не заинтересовавшись.

На главной расположен hex-код, под ним висит картинка с инь-ян, в самом низу страницы — бинарный код, а на фоне играет странная мелодия под названием whiterabbit.

Первое, что должно приходить на ум исследователю подобного рода ресурсов, — незамедлительно глянуть HTML-код страницы, не обращая внимания на то, что, казалось бы, очевидно для глаз. Обычно именно в коде скрываются либо подсказки, либо бессмысленные комментарии разработчиков, а иногда и сами ссылки на следующий уровень.

В нашем случае в консоли разработчика прячется ссылка на профиль автора на сайте blackhatworld.

Также можно заметить маленькую подсказку: Does only webpages have meta data? Очевидно, что внимание необходимо будет направить на поиск метаданных в картинке.

Что мы и сделаем с помощью ресурса Exif Regex. Получаем EXIF (данные камеры) и метаданные (XMP). Также для чтения метаданных можно использовать Metadata2go.

Теперь мы можем узнать кое-что об изображении. Например, как на скриншоте выше. Становится ясно, что создателя зовут Sophie, проживает она в Иркутске, но больше всего удивляет строчка Source из метаданных: «Комитет государственной безопасности (КГБ)». Кажется, это намек на слухи о том, что спецслужбы используют ARG для вербовки самых способных игроков.
Не обращаем на это внимания и переходим к расшифровке hex-кода. Ищем любой подходящий декодер hex to text и расшифровываем. На выходе получаем полностью читаемый текст.

Однако до сих пор нам не удалось найти действительно полезной информации. Опытные игроки, которые уже участвовали в решении квестов, знают, что у загадки иногда бывают разные решения, некоторые из них нарочно ведут в тупики. Это как раз такой случай.

Воспользуемся утилитой DirBuster со списком директорий для сервера Apache. Она перебирает популярные названия директорий и файлов веб-приложений, пытаясь найти скрытые каталоги и сайты. После сканирования обнаруживаем скрытую директорию /server-status. Заходим в нее и видим ссылку.

Часть 2

На другом ресурсе видим только фото, без каких-либо объяснений. Вообще про объяснения в квестах стоит забыть: организаторы предпочитают хранить завесу тайны и лишнего слова не проронят — все ради того, чтобы подогреть твой интерес. Собственно, обстановка таинственности — это главная причина, почему такие квесты часто располагаются в .onion.

Открываем консоль в браузере, не обнаруживаем в коде страницы ничего интересного, поэтому будем работать с фотографией. Скачиваем картинку с Наполеоном и смотрим в текстовом представлении (можно в hex-редакторе или обычном блокноте). Сразу видим в самом низу документа несколько текстовых строчек.

Ключ — recital. Поскрипев мозгами, понимаем, что — это кусок ссылки. Пробуем подставить в качестве названия файла .html и получаем рабочую ссылку на следующий этап.

Часть 3

На последней странице проекта расположились часы и непонятный шифр.

Что с ним делать? Смотреть внимательно в код. Видим, что часы кликабельны, и получаем еще одну подсказку.

Сразу сопоставляем две картинки и получаем конечный шифр: LQCRJGLNPG.

Для получения конечного результата загоняем шифр в утилиту dCode и методом замен получаем конечный ответ: wonderland.

Этот квест давно пройден и завершен, но сайты все еще активны. Ходят слухи, что квест был создан ради пиара форума BlackHatWorld.

Подозрительный FTP и стеганография

Однажды, исследуя закоулки Onion, я наткнулся на FTP-сервер, на котором лежал WAV-файл. Меня, как любителя квестов, это заинтриговало, и я принялся искать скрытую информацию.

Так я и познакомился с редактором Audacity. Открываем файл в нем и смотрим на спектрограмму.

На скриншоте выше видно, что в файле скрыты непонятные символы: USI. Честно говоря, я до сих пор не знаю, что они значат, хотя натыкался на них еще несколько раз.

К примеру, 1 декабря в Tor был найден еще один похожий FTP-сервер, на котором также лежали три картинки.

Сами файлы внешне представляют собой нечто необычное: на всех трех картинках на фоне видно цифры 1999, на одном из таких изображений отчетливо заметны уже знакомые символы USI.

Мне было любопытно, поскольку я с таким столкнулся впервые. Поэтому я перебирал все возможные варианты подхода к решению. Но чем больше утилит было использовано, тем понятнее становилось, что это ни к чему не приведет. Все очевидные и простые пути решения не помогли.
Здесь мы плавно переходим к утилитам для поиска скрытых данных в изображениях. Например, есть Stegsolve — она проста и легка в использовании, поэтому подойдет для начального анализа. Эта же утилита помогает находить отличающиеся пиксели в двух изображениях. Увы, в нашем случае ничего явно она не показала.

Еще я воспользовался Steghide. Она помогает как зашифровать любой текст внутри изображения, так и понять, есть ли внутри графических файлов что-нибудь интересное. Для дешифровки нужна фраза-пароль, и тут вариантов не очень много. У нас есть строки 1999 и USI, остается попробовать разные их сочетания.

Ура! Вариант 1999USI подошел, извлекаем из каждой картинки по текстовому файлу. Каждый зашифрован другим алгоритмом.

Не буду останавливаться на том, как я определял шифры, скажу лишь, что слева текст закодирован при помощи AER-256. По центру, как несложно догадаться из перевернутого два раза слова Polybius, шифр Полибия (он же квадрат Полибия). А справа — Base36.

Зная алгоритмы, нетрудно расшифровать и текст. Для AER-256 используем ресурс с огромным выбором алгоритмов. Квадрат Полибия — одна из самых древних систем кодирования. Здесь используется простая замена, и никаких сложностей тут не возникло — достаточно указать Polybius-square decrypt. Base36 декодируем уже с помощью знакомого нам ресурса dCode.

Теперь мы можем собрать воедино три обрывка адреса сайта в .onion. Переходим по нему и оказываемся на странице с еще одной картинкой и странным текстом.

Стеганография, похоже, бессильна перед третьим изображением. На Reddit, к слову, есть обсуждение, где изображения с символами USI были выложены в пост с двадцатью другими, которые, на мой взгляд, к делу никак не относятся. Все они были найдены перебором списка хидденсервисов на бесплатном даркнет-хостинге Daniel’s Hosting. Соответственно, никакой информации об их связи или тем более порядке следования у нас нет.

INFO

Daniel’s Hosting был крупнейшим бесплатным хостинг-сервисом в даркнете. Почему был? 25 марта 2020 года проект окончательно закрылся.

Это дает ответы на возможные вопросы о несовпадении ссылок на моем канале про нетсталкинг «Горизонт Событий» и в статье, а также на вопрос, почему недоступна та или иная ссылка. Я был вынужден поднять скинутые Даниэлем архивы на другом хостинг-сервисе, чтобы к ним был хоть какой-то доступ после закрытия хостинга. К сожалению, из-за нестабильности работы хостинг-сервисов в Tor ресурсы доступны не всегда.

Кажется, что на этом все и заканчивается, так и не поведав нам о сакральном смысле 1999USI. Но в этот же день случайным образом мне попался на глаза еще один FTP-сервер с шестью аудиозаписями.

Спектрограмма всех WAV-файлов показывает очень интересные вещи.

Не буду приводить все изображения, подробности можешь посмотреть в моем канале.

Вот и цифры 1999 всплыли! Но что произошло 4 июля 1999 года? Что вообще это значит? У меня, к сожалению, нет мнения на этот счет. Вот, например, на сайте министерства иностранных дел Индии есть занимательный текст, в котором упомянута эта дата.

К сожалению, квест не пройден и скорее всего утерян вместе с Daniel’s Hosting. Кроме поста на Reddit, он не упоминается нигде в клирнете.

И это тоже показательно: не все загадки, которые ты найдешь в интернете, получится разгадать.

Подделки под «Цикаду»

Ты наверняка слышал про Cicada 3301 — знаменитый и широкомасштабный хакерский квест, организаторы которого так и остались неизвестными (если не слышал — смотри врезку ниже). Популярность и загадочность «Цикады» сделала ее привлекательной мишенью для имитации.

Cicada 3301

Белые буквы на черном фоне гласили: «Мы ищем очень умных людей. Чтобы найти их, мы разработали тест. В этой картинке спрятано сообщение. Найди его, и оно укажет дорогу, ведущую к нам. Мы будем рады встретить тех немногих, что дойдут до конца. Удачи!» В конце стоит подпись: 3301.

Оригинал этого сообщения появился в январе 2012 года на анонимном форуме 4chan и сумел привлечь к себе большое внимание. Как и задумывали его неведомые авторы, по следу немедля пустились те самые умные люди. Кто-то из них дошел до цели и, предположительно, присоединился к группе, именуемой Cicada 3301. Но что это за группа и чем она занимается, пока что остается тайной. Все, что мы знаем, — это рассказы тех, кто сбился с пути и не прошел задание до конца.

Подробности этой истории ты можешь найти в статье «Загадка Цикады», опубликованной в 184-м номере «Хакера» за май 2014 года. С тех пор «Цикада» себя не проявляла... по крайней мере, настолько заметно.

21 марта неизвестный юзер прислал в телеграм-чат secinfosec несколько сообщений, написанных азбукой Морзе, и изображение с QR-кодами.

Вскоре сообщения были удалены, но это не помешало их изучить (спасибо привычке пересылать в избранное). По своей сути код Морзе здесь — расшифрованные QR-коды с приложенного изображения, это можно понять, отсканировав их любым сканером. Расшифруем морзянку с помощью переводчика в обычный текст и получим невнятную строку.

APKWJJWTZQJYJMYYUX://AFUU.HTR.000BJGMTXY

По символам двоеточия и обратного слеша становится понятно, что это ссылка. Поэтому строку необходимо расшифровать еще раз, но применяя уже шифр Цезаря. На выходе получаем другую строчку.

VKFREEROULETEHTTPS://VAPP.COM.000WEBHOST

Возможно, дальше что-то и можно сделать, но зачем? Реклама, скрытая в двух шифрах, не представляет никакого интереса для исследователя, а использовать чужое любопытство в корыстных целях некрасиво. Хотя не исключено, что это чья-то сфабрикованная от большого безделья шутка. Этот пример показывает, насколько все-таки тематика ARG прижилась в обществе. Не ловись на очередную «цикаду»!

Выводы

Вот мы и познакомились с парой-тройкой квестов-пазлов и приемами, которые помогают их проходить. Cicada 3301 начала эту интересную моду, и встретить нерешенные задачки сейчас вполне реально. Кстати, и создавать свои квесты тоже не менее увлекательно, чем проходить их!

INFO

Решившись делать что-то свое, подумай над концовкой. Прежде всего ответь на вопрос «Что я могу дать сообществу?». Так ты сэкономишь время людей, которые им дорожат.

И создатель, и игрок в итоге оттачивают свои скиллы в криптографии, стеганографии и в других, иногда самых неожиданных областях. И это уже не говоря о том, что по увлекательности с такими играми редко что сравнится. Лично для меня было совершенно бесценно увидеть на спектрограмме случайного звукового файла значок биологической угрозы.

Что до полезных утилит, то владение ими, бесспорно, помогает при решении, но иногда они абсолютно бесполезны. Так, я какое-то время сканировал на скрытые директории чуть ли не каждый попавшийся ресурс в даркнете. При решении ARG или квестов в стиле ARG гораздо ценнее эрудированность и нешаблонное мышление.

Источник: xakep.ru

привет, я Марк - мой личный блог, будни злого кардера-алкоголика. Спасибо за внимание!