Дисклеймер. Сам конкурс и каждая строчка его правил были согласованы. Участникам конкурса, даже в случае их задержания охраной, ничего не грозило. Однако мы настоятельно не рекомендуем повторять подобное в обычной жизни, например на других мероприятиях!
Приветствую всех!
Это статья о SEQuest — первом квесте по социальной инженерии на городском киберфестивале PHDays Fest 2, который прошел в конце мая. Идея квеста принадлежит Антону Бочкареву, основателю и генеральному директору компании «Третья Сторона» (3side.org). Квест был проведен командой 3side, и мы хотим выразить благодарность организаторам фестиваля — компании Positive Technologies, команде зоны квестов и особенно Дмитрию Савловичу за терпение! Также мы благодарим наших прекрасных волонтеров и всех участников квеста.
Сама идея SEQuest появилась примерно за два месяца до начала фестиваля. Мы обсуждали, что на PHDays почти все конкурсы технические и имеют довольно высокий порог вхождения, поэтому многие участники, не могут в них участвовать. Особенно учитывая, что на фестиваль приходят не только технические специалисты, но и менеджеры по продажам, маркетологи, руководители и многие другие. Мы подумали, что было бы неплохо предложить организаторам конкурс по социальной инженерии в стиле управляемого взлома фестиваля.
Когда мы представили структурированную и описанную идею, мы были уверены, что нам откажут. Ведь эта идея была слишком смелой для, как нам казалось, консервативной индустрии и могла принести много проблем организаторам. Но внезапно идея настолько понравилась, что ее сразу одобрили! За несколько встреч мы обсудили список заданий, возможные решения, позиционирование, ограничения и правила.
Если говорить о сложности заданий, то мы ошиблись примерно в половине случаев. Но об этом позже.
Нулевой пробив
За день до старта фестиваля Антон решил проверить, все ли в порядке с оформлением стенда. Для этого ему был нужен бейдж организатора, который выдается только по документу, удостоверяющему личность. Но оказалось, что не всегда это правило соблюдается.
Антону, который хотел проверить, как выполняется эта инструкция, выдали бейдж по куску ламинированной бумаги с надписью «PRESS CARD». Хотя даже настоящая пресс-карта не является документом, который позволяет что-либо выдавать. На предъявленной «пресс-карте» даже дата была просрочена, потому что Антон забыл ее «продлить» в центре печати. Однако бейдж ему выдали без лишних вопросов.
После этого сотрудники зоны регистрации впервые столкнулись с «инструктажем по результатам косяка». Они и представить себе не могли, сколько подобных ситуаций их ждет впереди.
Изначально идея конкурса была очень простой — сделать своего рода публичный red teaming площадки, но с нетехнической точки зрения. Понять, насколько подготовлена охрана, насколько просто постороннему лицу попасть туда, куда ему попадать не надо, и многое другое. То есть и мы, и организаторы хотели понять, насколько вообще система уязвима. Ответ: изрядно.
А в процессе удачных решений — обучать сотрудников фестиваля, проводить работу над ошибками. Ведь вторая, не менее важная задача — научить организаторов и охрану успешно противостоять подобным атакам.
Теперь о заданиях. Их было шесть, и они различались по уровню сложности. Седьмое задание было отменено и забыто нами как страшный сон. За решение заданий участники получали баллы в конкурсе и токены PosiToken, которые можно было обменять на мерч с конференции.
Три лучших участника получили худи «Третьей Стороны» с надписью Social Engineer. Итак, что же это были за задания и, главное, как их решали?
Задания и креативные решения
1. Сделать поддельный бейдж организаторов.
Самое первое, простое и «дешевое» с точки зрения очков задание. Способов его прохождения — вагон и маленькая тележка, от печати в ближайшем центре печати до переклеивания своего ФИО на реальную заготовку, «найденную» где-то у стоек регистрации. Несмотря на то что часть бейджей мы сдавали организаторам в процессе, к последнему дню их накопилось достаточно много, вот они на фото. Были разные варианты — как приклеенные на скорую руку и распечатанные целиком, так и похожие на оригинал так, что подделку было сложно распознать, даже держа ее в руках. Благодаря конкурсу количество Алексеев Лукацких и Янов Хачатуровых на фестивале было гораздо больше одного!
2. Получить футболку организаторов.
Тут все немного интереснее. В целом, самым простым способом было прикинуться волонтером, найти склад мерча и «получить» там необходимое количество футболок. Ведь в нужных футболках ходили именно волонтеры. По слухам, можно было уговорить волонтера (или волонтерку) отдать футболку, но таких заявок мы вроде бы не получали. Кстати, красную орговскую кепку с фотографии выше мы считали за половину футболки. Но ее можно было сдать лишь взамен.
Одна «команда» буквально вынесла склад, сказав, что они орги и пресса. Обман быстро раскрылся, но донести всю эту охапку футболок до нашей стойки они смогли, так что задание мы засчитали. Другие участники действовали иначе и аккуратнее.
3. Сделать настоящий (!) бейдж организаторов на свое имя.
По сути, единственным способом прохождения задания было внесение ФИО участника в базу данных организаторов в качестве орга. Принципиально было два способа: или каким-то образом попасть за компьютер орга, или убедить сотрудника регистрации с нужным доступом в том, что тебе срочно нужен орговский бейдж. Оба варианта были реализованы, причем второй — при помощи удивительного сочетания харизмы, драйва и уверенности в себе.
Примеры решений: один из участников первоначально зашел не в ту дверь и попал на склад волонтеров компании-подрядчика. Когда его спросили, кто он, он сказал, что его вызвали на смену сегодня (вместо завтрашнего дня) и поэтому он опоздал, а бейдж участника у него с собой, так как сегодня он хотел просто участвовать в фестивале. А работать хотел завтра. В базе его увидели как участника, он «пояснил», что, возможно, это из-за купленного им билета. В итоге ему поверили, занесли в базу стаффа и выдали полный набор: бейдж, футболку и кепку!
Одна команда внесла себя в базу самостоятельно, отвлекая внимание волонтеров и сотрудников и забалтывая их. К тому моменту они уже знали имена самых важных в иерархии организаторов и использовали их в качестве аргумента — классный и красивый пример социальной инженерии.
Но самым изящным было решение другого участника: фактически он согласовал выдачу бейджа на свое имя между разными организаторами, апеллируя в разговоре с каждым из них к другому (такая челночная дипломатия в стиле Киссинджера). Одному он сказал, что только что устроился в PT и ему очень нужен бейдж, иначе начальник его убьет. Сработало!
4. Достать стикер из штаба организаторов.
В теории это было одно из самых сложных заданий, причем сложность его заключалась в том, что штаб оргов еще надо было найти, а расположение его было весьма нетривиальным. Способов его найти было два:
Уговорить организатора рассказать, где он. Многие, к слову, сами не знали, а часть просто не говорили, заподозрив что-то.
Проследить за организаторами! Было заметно, что временами организаторы уходят куда-то в сторону от основных активностей, где, казалось бы, ничего нет. Пойдя за ними, можно было найти штаб.
Ну и отдельным рубежом обороны штаба был охранник на входе, пройти которого не составило многим участникам труда. Первые участники зашли туда, изобразив, что снимают интервью с организаторами.
5. Получить пароль от Wi-Fi штаба организаторов.
Задание, которое часто выполняли в связке с предыдущим. В целом, ничего радикально сложного: если удалось зайти в штаб, то найти пароль, который был на видном месте у картины, не составляло труда.
Забавно, но до начала мероприятия мы не знали, какое количество Wi-Fi-сетей есть на площадке. По ощущениям, нам принесли около 10 разных вариантов других сетей.
6. Сфотографироваться за прилавком мерч-шопа.
До начала мероприятия мы считали это задание одним из самых сложных. Ведь это мерч — то, что действительно могут украсть. Но на деле мерч-шоп превратился в проходной двор, где буквально стояло две очереди. Одна — за мерчем, вторая — сфотографироваться для квеста. Периодически гайки закручивались, но ситуация быстро возвращалась на круги своя при пересменке. Кстати, именно пересменку многие участники использовали как упрощение.
Нарушения
К сожалению, в ходе квеста был допущен ряд грубых нарушений правил:
Один из участников сорвал бейдж с организатора.
Другой пытался разблокировать компьютер на регистрации с помощью технических средств.
Девушка сделала ложное заявление о пропаже ребенка, что спровоцировало реакцию специальных служб — это обязательно на любых публичных мероприятиях.
Результаты
Конкурс удался, мы получили шикарную обратную связь от участников и организаторов. Ведь наш конкурс стал самым заметным и популярным на фестивале!
Теперь немного статистики:
Всего в квесте было зарегистрировано 202 человека, из которых 33 выполнили хотя бы одно задание.
Первое задание выполнили 30 участников.
Второе задание (считая и футболки, и кепки) выполнили 9 участников.
Третье задание выполнили 6 участников (двое — в одиночку, еще четверо получили штраф за коллективное прохождение).
Стикер из штаба добыли 11 человек.
Wi-Fi из штаба узнали 17 человек.
За прилавком магазина мерча сфотографировались 18 человек.
В будущем мы планируем значительно доработать правила, добавить и немного изменить существующие задания. Сделать больший упор на скрытность, не уменьшив при всем этом градус драйва и веселья.
Сейчас работаем над тем, чтобы конкурс был одобрен и на следующий год, а то и вовсе стал ежегодным!
Виктория Алексеева
Генеральный продюсер Positive Hack Days и директор по маркетинговым проектам Positive Technologies:
Positive Technologies, как лидер в области результативной кибербезопасности, придерживается этого подхода во всем: уже много лет мы проверяем на киберучениях собственную инфраструктуру, защищенность наших продуктов проверяют на багбанути. И безопасность наших мероприятий, тем более флагманского и открытого для всех PHDays Fest, также не остается в стороне. Социальная инженерия входит в топ методов хакеров по всему миру. Благодаря конкурсу SEQuest, мы узнали о весьма неочевидных уязвимостях, которые есть у любого публичного мероприятия. И просто не можем этим не поделиться, так как безопасность — главная цель нашей компании. В следующем году узнаем, смогут ли белые хакеры повторить свой успех.