PHDays Fest 2 Прохождение SEQuest

PHDays Fest 2 Прохождение SEQuest


Пролог

В этом году PHD проходил целых 4 дня с 23 по 26 мая. В качестве площадки организаторы выбрали территорию Лужников, учтя опыт предыдущего года. В результате всем было чем и где заняться, никто не толкался спинами, можно было и поговорить, и поиграть.

По традиции на PHD всегда есть конкурсы-квесты по различным тематикам, которые предлагается пройти, получив разнообразные призы в случае победы. С учетом того, что я ничего не умею, из представленных конкурсов (кстати, можно глянуть тут, что же было - https://phdays.com/contests/), увидел заинтересовавший трек SEQuest - полностью оффлайновый трек, посвященный социальной инженерии. Решил, что это может быть интересно (и в компе ковыряться не придется), запланировал поучаствовать. Для этого даже взял пару отгулов на работе аж за 3 недели до мероприятия, чтоб прям подготовиться. Но три недели пролетели быстро, за это время даже не посмотрел, что там за условия участия. При этом решил, что обязательно приду на мероприятие пораньше, всё осмотрю, примечу, подмечу, чтоб прям как шпион сразу понимать, что где и как, и дальше только бонусы собирать.

В связи с тем, что я супергерой человек-работник, моим планам было не суждено сбыться, и, несмотря на взятый отгул, пришел я не к открытию, а примерно к 12 дня, когда конкурс уже начался.

Начало

Итак, прибыв на мероприятие, осматриваясь по сторонам, пошел к главной арене, где проходила кибербитва, параллельно читая задание и условия игры. Зарегистрировался не без проблем. Новая система с POSI-коинами - главной валютой фестиваля, добывая которую можно было бы покупать себе мерч, давала сбой на сбое, в результате чего с телефона зарегаться так и не смог, пришлось таки ковыряться в компе прям сразу сходу на первом же шаге, чтобы просто принять участие. С третьего раза меня увидели в системе, после чего я наконец-то стал участником квеста.

Задания, которые предлагалось решить, представлены ниже:

1. Изготовить копию бейджа организатора фестиваля на свое имя

2. Сделать футболку/принести оригинальную футболку организатора фестиваля

3. На стойке регистрации получить настоящий бейдж стаффа/организатора фестиваля на свое имя

4. Получить доступ к громкой связи мероприятия

5. Получить уникальный стикер из штаба конференции

6. Пройти в штаб организаторов и узнать пароль от Wi-Fi

7. Получить доступ к прилавку магазина мерча фестиваля

Для себя принял решение, что все добываемые флаги буду добывать максимально незаметно, только на разговоре, без какого-либо криминала, насилия и шума. К слову, не все участники решили так же, поэтому некоторые прославились на весь фестиваль.

Посмотрев на список заданий, расположил их в следующей порядке по приоритетности выполнения:

1 или 3 - с этого необходимо было начать. Решил, что если у меня будет бейдж организатора, то дальше будет как-то проще.

2-6-5 в случае успеха первого пункта. Порядок не важен, на месте разберемся

7

4 - оставил на самый конец, т.к. пока смущала необходимость "палиться". Задание засчитывалось только при условии, что по громкой связи будет сказана ключевая фраза с идентификацией себя для конкурса.

После этого понеслась...

Выполнение заданий 1-3 (самое интересное)

Для начала решил понять две вещи:

  • Как выглядит бейдж организатора
  • Как его проверяют

Мне немного повезло - у меня был бейдж типа "Бизнес" за счет того, что билет получен от компании. Это давало право проходить в чуть большее количество зон, чем обычным участникам. Эту информацию я понял только после того, как начал ходить по местности, изучая, что и как.

В одном из мест, где стояла охрана, увидел на стене перечень бейджей:

Все виды бейджей мероприятия

Бейджи делились по цветам. На каждый наклеивалась наклейка с распечатанным именем, названием компании и QR-кодом, содержащим информацию о том, кто носитель этого бейджа.

Вот так выглядит оригинальный бейдж с наклейкой

Помимо бейджей и повышающих уровень наклеек заметил также, что у организаторов отличается ланъярды (нового слова вам в словарь):

Сверху - лента для бейджа организаторов, снизу - простых участников

Вряд ли охрана или другие организаторы как-то обращали внимание на ланъярды, но внимание к деталям позволяет вызывать меньше вопросов.

После хождения по локации выяснил, что охрана и другой персонал обращает внимание ТОЛЬКО на вид бейджа. Информация на нем никого не интересует, QR-коды не считываются.

В целом, это стартовая информация, с которой уже можно было начинать делать пункт 1 задания. Один из вариантов, который мне показался живым - распечатать картинку и приклеить на подходящего размера картонку. Оставил этот вариант на случай невозможности получить оригинальную картонку.

Пунктов регистрации на мероприятии было три. Два стояли отдельно на улице, а про третий расскажу чуть позже.

Два видимых пункта регистрации

Первый пункт регистрации находился в отдалении, там не было очередей и большого потока народа. Походил вокруг, покрутился, параллельно думая, как бы раздобыть бейдж. Тут пришла в голову идея, навеянная недавней историей. Был я на конференции, куда пришел мой коллега, который буквально за пару месяцев до конференции уволился. Но на конференции ему выдали бейдж с названием компании, в которой он работал на момент регистрации.

Решил опробовать следующую легенду:

  • я работаю в Positive Technology (PT), которая является организатором фестиваля;
  • я пришел получать бейджик, потому что мой начальник сказал быть на фестивале;
  • бейджик должен быть бейджиком организатора, потому что начальник так сказал и точка;
  • похоже, в связи с тем, что я только пришел в PT, не успели поменять данные в базе, поэтому там старые данные, поправьте, пожалуйста.

На сайте проведения конференции среди спикеров нашел выступающих руководителей, выучил их ФИО и должности, и с этими данными пошел на стойку регистрации.

Убрал свой бейдж в рюкзак, достал паспорт, на стойке подошел к девушке и попросил распечатать бейджик, т.к. опаздываю, "надо срочно быстрее бежать к руководителю, он скоро выступает". Она начала печать, я вижу, что она собирается клеить наклейку на обычный "Бизнес". Делаю взволнованное лицо, говорю, мол, позвольте, все не то, я же в "Позитиве", а тут другая компания и тип бейджа не тот - включаю легенду в общем. На этом этапе девушка объяснила, что она не может поменять ничего в базе, кроме названия компании, но тип доступа тут не меняется, и вообще у них на этой стойке закончились бейджи организаторов. Поэтому мне стоит пойти на вторую стойку регистрации, там мне помогут.

Лично мне показалось, что девушка меня раскусила и не стала связываться, отправив к руководителю на другой стойке. Я поблагодарил её за попытку помочь, попросил отдать только что распечатанную наклейку, вдруг пригодится. Так у меня на руках появилась дополнительная наклейка с ФИО.

Иду на стойку регистрации номер 2. Она более загружена, там больше народа. Подхожу к одной из скучающих девушек, прошу помочь со сменой типа регистрации. Она сразу отправляет меня в конец стойки, где, видимо, находится руководитель. Иду туда, встаю в очередь за каким-то парнем, слушаю его диалог с организаторами за стойкой, и по диалогу понимаю, что он тоже в квесте - он пытался поменять бейдж, сказав, что по ошибке выдали не тот тип. Я понял, что сейчас прямо вот за ним идя с похожей проблемой, добьюсь примерно ничего. Тем не менее, попытался таки: нашел руководителя регистрации, узнал, как её зовут (ФИО с бейджа), объяснил ситуацию, параллельно доставая телефон, словно мне звонят, отвечая в несуществующий звонок фразами типа "Да, уже на стойке, сейчас решается вопрос" и "Сейчас сделают правильный бейдж и приду", в общем классическая схема с цейтнотом и жалостью. Однако, фокус не удался - главная за стойкой регистрации сказала, что у них регламент, она не может просто так выдать бейдж и поменять в базе тип регистрации, поэтому, если действительно беда, мой руководитель должен позвонить ей ("Телефоны все наши у всех есть") и подтвердить, что я работаю в организаторах. При этом, я все же попросил поменять название компании и распечатать бейдж хотя бы обычный "Бизнес". Так у меня на руках появился бейдж с местом работы РТ, но всё еще не организаторский.

Важно, что организаторы меняли компании без какого-либо подтверждения. Видимо, это не значимая информация.

Получив поражение, пошел дальше, думая, как раздобыть номер этой женщины, чтобы позвонить ей, преставиться тем самым несуществующим руководителем и подтвердить мое участие в составе организаторов. И даже начал искать данные о ней в LinkedIN и других местах.

Но решилось всё делом случая.

Женщины с бейджами и третий пункт регистрации

Гуляя и размышляя, как преодолеть найденный барьер, увидел, что в точке Х сидят какие-то женщины-органиазаторы с кучей бейджей всех мастей, разложенных на земле (!). Делаю грустное лицо, подхожу к одной из них и прошу помочь, рассказывая легенду, добавляя, что уже все сделали, только вот "бейджи организаторов в точке регистрации закончились! Представляете? У вас нет, случайно, такого" и что если не приду сейчас к боссу, меня точно уволят, а я тут только 3 недели работаю, грустьпечальпомогите. Женщина входит в мое положение и сопровождает меня в третью точку регистрации в основной арене.

Пока мы шли, я начал продумывать, что там могут спросить, что говорить, что делать, если раскроют. Приходим на регистрацию, я снова какой-то девушке рассказываю грустную легенду, она сообщает, что это не в её полномочиях, сейчас со старшим проконсультируется. И зовет мужчину-старшего.

Повторяю всю легенду уже ему. Он смотрит, говорит, хорошо, а кто может подтвердить? Тут женщина-организатор говорит, мол, я могу, все хорошо, я организатор, а у него бейдж позитива (я же его распечатал ранее).

Так я получаю долгожданный бейдж организатора + запись в базе, что я из Positive + запись в базе, что я организатор. И выполняю 1 и 3 задание сразу.

Выполнение задания 2

Обрадовавшись, я пошел искать футболку организатора. Бейдж организатора был пропуском вообще везде. Поэтому с уверенностью заходил во все двери.

Одна проблема: я за весь день ни разу не встретил никого в футболке организатора. Как-то так повезло. Поэтому я не знал, как же она выглядит, и искал кота в мешке.

Футболка организатора

Гуляя по всем павильонам, заходя во все двери, искал, где может находится штаб организаторов. А заодно где можно раздобыть футболку. Всегда оставался вариант нарисовать её самому, но надо было найти образец.

В попытках найти штаб я прошел в основную арену, где проходили бизнес-встречи и выступления. Ходя по арене увидел место, где хранился мерч - недалеко от того места, где я получил бейдж. Снова придумал легенду, что на Standoff срочно потребовалось несколько футболок, можете дать, пожалуйста, я отнесу. Владелец склада сказала: "Да без проблем", посмотрев на мой бейдж организатора.

Так я получил футболки. Одну сдал, а одну надел на себя, продолжив квесты. В итоге я был "свой в доску" и мог ходить везде, не вызывая подозрения.

Выполнение заданий 5-6

Штаб конференции я искал три дня. К этому моменту я несколько раз менял внешность (одежда, стрижка и прическа, аксессуары) - чтоб не особо запомниться.

При том, что у меня были пропуски во все места, я не мог понять, да где же этот ваш штаб. Я подходил к другим организаторам с вопросом: "Не подскажете, где НАШ штаб находится, мне сказали туда прийти, а чет не могу найти, где он?" И ни разу никто мне не показал, где этот штаб. Одни отправили к HR, те отправили в павильон хардварщиков, там сказали, что вообще не понимают, о чем я. Никто не знал, где штаб.

Да где находится этот ваш штаб!!!!

На третий день, в субботу, я переоделся во все официальное (брюки, рубашка, ботинки) и пошел в основную арену, где, по всем признакам должен был быть этот штаб. Там же проходили деловые встречи, поэтому решил затесаться с местными организаторами, которые водили за руку людей в пиджаках в переговорные комнаты, чтоб рано или поздно найти место.

Удача повернулась лицом. Уже отчаявшись, сидя на 4м этаже здания, увидел, как несколько оргов проходили за спинами техников, обслуживающих вещание сцены.

Место, которое еще не проверяд

Спокойно и уверено прохожу за спинами, иду мимо вип-трибун. Дохожу до охраны, и, чтоб не вызывать подозрение, делаю пару фоток поля, а потом прошу охрану сфоткать меня на фоне поля :) После этого спокойно и медленно захожу в штаб. Там сидят какие-то люди, чаёк, бутерброды... Достаю ноут, мол, очень важно именно сейчас что-то проверить, оглядываюсь - нахожу листок с паролями для WiFi. Задание 6 выполнено. Теперь найти стикеры. Встаю, разминаюсь, не менее спокойно и с задумчивым видом хожу по штабу (а он довольно большой!), осматриваясь. Достаю телефон, делаю вид, что звоню кому-то (ведь к звонящему как-то неудобно подходить и спрашивать, что он тут забыл). Пока ходил так, увидел стеллаж, на котором лежали стикеры квеста.

Пойди найди их еще. Помещение было большим. До этих стеллажей нужно было догадаться дойти, да еще и не привлекая внимания.

Честно говоря, было не совсем понятно - оно ли это. Ведь нужно было из штаба принести некие уникальные стикеры. Но, во-первых, других не было, а, во-вторых, на стикерах квеста с обратной стороны были рисунки карандашом. Решил, что это оно - взял с собой один. Задание 5 тоже выполнено.

Выполнение задания 7

Попасть за прилавок мерча я пытался трижды. И да, тут тоже возникла неопределенность. На фестивале было 2 места с продажей мерча. Один - официальный магазин мерча фестиваля. Второй - в том же здании, что и квест и кибербитва - магазин футболок-кружек-всяких штук с эмблемами фестиваля. В конечном итоге разобрались, что нужен именно первый магазин. Хотя кто-то попадал и во второй.

Первый раз я пытался попасть за прилавок просто зайдя и померив рюкзак. Был выгнан в зону примерки.

Второй раз, одевшись строго, начал из далека фотографировать павильон, заготовил легенду, что я из маркетингового отдела, и меня попросили сфотать, что тут и как, и также сфотать меня за прилавком - для отчета. Но это был уже третий день, девушки за прилавкам уже знали, что к чему. Поэтому я был выгнан даже из зоны примерки.

Стражи мерча. Слева первая дверь - вход в примерочную зону, оттуда можно попасть за прилавок. Справа - склад, туда можно попасть только через прилавок, ну либо пробравшись через крышу

Понаблюдав издалека за прилавком увидел, что там происходит периодическая смена продавцов. Подождав до вечера, когда народ схлынет, а люди за прилавком устанут, переоделся в оставшуюся у меня футболку организатора, и, уличив момент, когда одна будет занята обслуживанием покупателя, а двое других пойдут на склад, осторожно зашел за прилавок и сделал пару фотографий себя за ним. Так же аккуратно вышел, оставшись незамеченным, переоделся обратно и был таков. 7е задание выполнено.

Итоги

Квест был необычным и интересным. До конца осталось непонятно, насколько проинформированным был персонал. Возможно, на первых порах его только предупреждали, а уже во время проведения конкурса персонал был дополнительно уведомлен о том, что конкурс идет и нужно быть бдительными. По крайней мере девушки в палатке мерча 100% знали, что их пытаются заредтимить.

Не обошлось и без курьезов - 4е задание в итоге сняли, т.к. кто-то пролез гораздо дальше, чем следовало, и охрана всерьез взбунтовалась против этого.

Сам квест показывает, насколько сложно обеспечить безопасность подобного мероприятия. Также квест показал уязвимость самой системы с цветовой дифференциацией без проверки дополнительных параметров. Например, с учетом того, что я получил несколько бейджей (два бизнеса и один организатора), я делился ими с коллегами, т.к. они забывали их или имели не тот уровень допуска. В результате по территории мероприятия ходило минимум два "Иванова Ивана" с уровнем доступа Бизнес, но работающих в разных компаниях, при этом один из них был "Петей Сидоровым". Но это не было и не будет раскрыто, т.к. охрана смотрела исключительно на цвет-тип бейджа.

По итогам квеста я забрал второе место и получил классный подарок от организаторов квеста. Но самое главное - опыт социальной инженерии, который получилось отработать на практике.

Подписывайтесь на канал автора https://t.me/it_notgood

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org