Цитата 3301 ловушка для хакера

Обновлено: 22.12.2024

Описание сюжета фильма Цикада 3301: Квест для хакера: Бармен Конор Блэк как-то напоролся на жадного и обнаглевшего посетителя, который обматерил официантку, затем оскорбил самого героя, а об оставлении чаевых даже не думал. Задетый сотрудник заведения решает поквитаться с хамом. И через некоторое время взламывает его счета. Пользуясь однажды даркнетом, он обращает внимание на папку с запоминающимся названием «Цикада 3301». Мужчина понимает, что эта секретная структура рекрутирует только лучших хакеров, а отборочный процесс похож на квест с охотой за сокровищами. Вместе с привлекательной подругой Ави и экспертом по искусству и просто умной девушкой Глен бармен попытается пройти игру от «Цикады 3301». Ранее два детектива поймали его, посади в микроавтобус и настоятельно рекомендовали поработать под прикрытием на копов, чтобы внедриться в «Цикаду» и помочь закрыть её. Сможет ли Конор пополнить ряды могущественной организации? Что она собой представляет – безумный культ или мощное и влиятельное движение? Куда его заведёт хакерская деятельность? Ведь все, кто участвовал в игре таинственной даркнетовской организации – исчезли. Поговаривают, что в игре нет моральных ограничений, и крови во время прохождения квеста льётся немало.

Категория: Зарубежные фильмы

Жанр: Боевик, Триллер, Комедия

Год: 2021

Страна: США

Режиссер: Алан Ричсон

В ролях: Алан Ричсон, Кристен Холден-Рид, Конор Лесли, Джесс Салгейру, Джек Кеси, Рон Фанчес, Ава Блэкуэлл, Хеннеки Талбот, Андреас Апергис, Бенжамин Сазерленд

Сервис Canarytokens

Картинка

Классическая картинка размером 1x1 пиксель, известна всем, кто занимается отслеживанием интернет-рекламы. Триггер сработает, если был загружен файл с картинкой. Такой пиксель можно вставить на любую html-страницу или в письмо. Его удобно вызывать из JS-скриптов на странице, если сработало нужное условие. Стандартный пиксель можно также заменить на собственное изображение.

Следующая цитата

Первое послание

Финальное послание

После этого уверенность в том, что за проектом 3301 скрываются спецслужбы, хакеры или теневое мировое правительство, только росла. Вторую и третью серию головоломок от «Цикады» в следующие два года воспринимали уже куда серьезнее. Но пока о первой, которая появилась 5 января 2012 года. Это была долгая череда зацепок и задачек, которая отсылала к древним рунам, требовала познаний в криптографии и стеганографии и в конечном счете привела избранных к «цикадам».

Это просто приманка

Это была прямая отсылка к шифру Цезаря — самому известному и простому методу шифрования. Гай Юлий Цезарь использовал его для секретной переписки со своими военачальниками. Принцип шифрования прост: каждый символ изначального текста заменяется символом, который стоит на постоянном числе позиций правее или левее в алфавите.

Расшифровка послания не заняла много времени. Это оказалась ссылка на изображение на хостинге Imgur. Но нашедшие это изображение столкнулись лишь с издевательской надписью: «Упс, здесь только приманка».

Пропустив изображение утки через OutGuess, кандидаты обнаружили ссылку на сервис Pastebin — онлайн-хранилище текста и исходных кодов. По ссылке из утки искатели наткнулись на 83 строки с очередным книжным кодом, ссылкой на поиск книги на Reddit и пожеланиями удачи от группы 3301.

URL триггер


В этом случае достаточно чтобы по ссылке был выполнен GET, POST или HEAD запрос. Это вызовет срабатывание триггера. Помимо обычного применения, можно использовать в скриптах и для проверки парсеров, которые переходят по ссылкам для отображения превью содержимого. Так делают, например, мессенджеры: достаточно написать ссылку в поле ввода, что по ней был выполнен переход с серверов мессенджера.

Не усложняйте

По ссылке был сабреддит под странным названием «a2e7j6ic78h0j». В нем было создано 188 тем с полнейшей белибердой в названии, а пользователям было запрещено публиковать новые темы. Помимо кучи непонятного текста, в этих темах обнаружили два изображения: коврик Welcome и пожеванную картинку Problems?

И действительно, ключ к следующей загадке оказался перед глазами: прямо в заголовке сабреддита находится последовательность точек и горизонтальных линий. Это оказалась система записи цифр народа майя: «10 2 14 7 19 6 18 12 7 8 17 0 9». Эти цифры совпадали с наименованием сабреддита, вот только оно было длиннее: 23 символа в названии против 13 цифр майя. Но, заметив эту закономерность, можно было конвертировать название в цифры и получить полный код.

Его впоследствии трансформировали в буквенный, взяв за основу шифра алфавит, в котором A=0. Получился вот такой набор: «kcohtgsmhirathotnabca». Благодаря первому и второму ключам удалось трансформировать 188 постов белиберды в сабреддите в строчки из цикла валлийских повестей «Мабиногион» о Короле Артуре.

Книга была найдена, и можно было вернуться к коду, который предусмотрительно оставили на Pastebin. Первая цифра — строка, цифра после двоеточия — положение искомого символа в этой строке с учетом пробелов.

Триггер на открытие папки в Windows


Наверняка многие видели скрытый файл desktop.ini, который есть в каждой папке Windows. Оказывается, он не так прост. В нем можно указать адрес иконки на удаленном сервере, использую UNC-пути (это те, что используются для сетевых дисков и начинаются с \\), при этом Windows выполнит DNS resolve домена указанного в ссылке на иконку и активирует триггер. Файл desktop.ini можно запаковать вместе с другими файлами в архив, и он сработает, если архив распакуют.

Позвони мне и прогуляйся

Таинственные составители головоломок предложили перестать «залипать» у компьютера и прогуляться в поисках символа цикады и QR-кода, прикрепленного к ним. Правда, гулять пришлось бы довольно долго: первые координаты привели к столбу возле варшавского отделения Европейской академии дипломатии, вторые и третьи — к стройплощадке в Париже. Еще три места оказались в Сиэтле, два — в пригороде Сеула, далее — захолустный город в штате Арканзас, пригород Лос-Анджелеса, Новый Орлеан, Майами, Гавайские острова и Сидней.

Благодаря расшифровке книг кандидаты получили ссылку на сайт в сети Tor (да, без затхлых уголков даркнета не обошлось). Там «цикады» попросили добравшегося до финала завести новый ящик электронной почты и послать его адрес через форму на сайте. Они обещали, что отправят уникальный цифирный код, с помощью которого избранник и пройдет через врата в таинственный мир «цикад». Правда, за этими вратами скрывался еще ряд загадок, в том числе с расшифровкой midi-композиций.

Финал отборочных

В сети спустя какое-то время было «слито» письмо, которое якобы является финальным при приеме в «Цикаду». «Сливший» его человек утверждает, что намеренно избавился от пунктуации и поменял структуру предложений, так как уверен, что каждый избранный получает свое уникальное письмо с определенными пометками по тексту, что позволит «цикадам» обнаружить источник утечки.

В письме заявлялось, что «Цикада 3301» — это международная группа, у которой нет сайта и которая не рекламирует себя. Она выступает против тирании, угнетения и цензуры, за тайну приватности как неотъемлемое право. «Цикады» открестились от связей с хакерами или интернет-пиратами: «Мы разрабатываем техники, которые помогают нам продвигать идеи свободы, приватности и безопасности. Несомненно, вы слышали о некоторых наших проектах».

Западные журналисты, которые пытались разобраться в истоках «Цикады», получали сотни фейковых писем, где их собеседники представлялись агентами спецслужб и заверяли, что 3301 — это группа террористов, пришельцев и даже сам Барак Обама.

В письме для избранных организация просила ответить на последние вопросы: верит ли кандидат в принципы свободы информации и недопустимости цензуры?

Зачем это нужно?


Взломщик, попав в новую систему, начинает осматриваться вокруг, как вор, проникнув в квартиру, начинает открывать все ящики в поисках драгоценностей. Атакующий заранее не знает, какие именно данные представляют ценность, но с большой вероятностью он проверит все возможные варианты. Поэтому важно, чтобы ловушки выглядели как реальные данные и были максимально привлекательны для атакующего. Чем раньше владелец заметит срабатывание ловушки, тем быстрее поймет, что был взломан и сможет отреагировать.

Триггер по email-адресу


Если на сгенерированный почтовый ящик придет любое письмо, триггер сработает. Удобно использовать для мониторинга утечки баз данных email-адресов, контакт-листов и т. д.

Например, можно добавить этот адрес в список своих контактов и узнать, когда ваша записная книжка на телефоне будет слита каким-либо приложением, запрашивающим доступ к списку контактов. А также можно всем сотрудникам добавить в записные книжки на компьютере, телефоне, email-клиенте разные триггерные адреса и следить, откуда утекают контакты.

Адрес электронной почты специально генерируется не угадываемый, поэтому исключается вероятность подбора и случайного срабатывания триггера.

«Слив» от инсайдера

Загадки «Цикады» Tekknolagi искал в компании с друзьями и знакомыми по интернету. Всего 12 человек, каждый из которых вложился в частичное решение головоломок. Часть из них, в том числе Маркус Уоррен, получили свое приглашение.

Маркус Уоннер. Фото: Jeremy M. Lange

Что же скрывается за занавесом «Цикады»? Tekknolagi утверждает, что получил логин и пароль для сайта в сети Tor, который состоял из доски объявлений, списка тем, перечня текущих целей и проектов «Цикады». Они касались вопросов криптографии. Tekknolagi заметил, что некоторые из организаторов «Цикады» имеют связи с компьютерным журналом Wired и правительственными учреждениями. «Из общения в чате мне показалось, что некоторые участники пытались создать впечатление, будто они работают в серьезных госструктурах», — подчеркнул Tekknolagi, но заметил, что у Агентства национальной безопасности есть лучшие способы рекрутинга.

Инсайдер отмечает, что это было больше похоже на тайное общество специалистов из различных организаций и сфер. И среди принципов их деятельности были повышение уровня приватности и безопасности в цифровом веке и обеспечение свободы информации. Немного взаимоисключающие параграфы. «Там никогда не обсуждались атаки, создание вируса или еще что-то такое же разрушительное», — отмечает инсайдер. По его словам, чаще речь шла о ПО с открытым исходным кодом.

Никакого просвещения Tekknolagi не приобрел, кто стоит за организацией «Цикада 3301» так и не узнал и покинул чат спустя несколько недель: «Мне стало скучно».

Триггер при открытии файла DOC и PDF


Он сработает, если документ был открыт программой для просмотра. Я использую этот трюк очень часто. На каждом компьютере и флешке у меня лежат документы с привлекательными названиями вроде Пароли.pdf или Биткоины.doc. Обожаю наблюдать, как бухгалтеры с любопытством исследуют все файлы на переданной им флешке.

Считаю этот триггер наиболее действенным и полезным для всех категорий пользователей, от профессионалов информационной безопасности до новичков. Почти никто не знает, что PDF-просмотрщик может передавать владельцу документа факт открытия файла. На это попадаются все.

Существует несколько способов поймать факт открытия документа. Canarytokens использует зашитый в документ собственный URL для проверки отозванных SSL-сертификатов (Certificate Revocation List). В итоге программа идет по этому адресу и срабатывает триггер.

Заключение

Такие ловушки действительно эффективны. В моем случае особенно помогают триггеры с файлами PDF-документов. Сервис будет полезен как обычным пользователям, так и опытным пентестерам. Даже искушенный атакующий, знающий про существование ханипотов и ханитокенов, не сможет устоять перед соблазном хотя бы отрезолвить найденный в документации поддомен. Если аккуратно и с умом использовать ловушки, можно обнаружить взломщика на раннем этапе.

Эти методики можно использовать на сервера, десктопных компьютерах, файловых хранилищах и даже на телефонах.

Если вы хотите развернуть в собственный инстанс canarytokens в Docker, на наших виртуальных машинах Docker устанавливается в один клик из маркетплейса. Дополнительно мы дарим скидку 15% на все серверы по промокоду DONTPANIC.

«Держитесь подальше!»

Но если Tekknolagi сдался, то его друг Маркус продолжил работать в «Цикаде». Он пришел к выводу, что организация состоит из многих независимых друг от друга ячеек. Появившиеся в 2012 году новобранцы попали в «выводок» Brood b.0h.

Он занимался разработкой ПО для защиты информаторов наподобие Брэдли Мэннинга, который передал большой объем секретных документов организации Wikileaks. Программа под названием CAKES должна была автоматически опубликовать конфиденциальные документы информатора в том случае, если с ним что-то случится — например, смерть или тюремное заключение. Но из-за скудного числа активных участников «выводка» программа осталась недоделанной.

В годовщину первой головоломки от «цикад» на IRC-канале, где в ожидании новой загадки собрались искатели приключений, появился аноним. Он заявил, что 10 лет был частью «Цикады 3301»: «Я здесь, чтобы предупредить вас: держитесь подальше!»

Мужчина представился офицером страны, в которой не говорят по-английски. Конечно, слова любого анонима в сети нужно воспринимать с изрядной долей скепсиса. Но этот военный заявил, что на протяжении года к нему присматривались, а затем один из участников «Цикады» пригласил его в группу. Он подтвердил, что во главу угла своей деятельности группа ставит благо человечества. Но предупредил, что верхушкой движет «благоговейная вера в „Глобальный мозг” как альтернативный вид бога». По его словам, «Цикада» — это не что иное, как «религия, замаскированная под прогрессивную научную организацию».

Как бы то ни было, отбор завершился. Но Маркус не узнал, в какой «выводок» попали избранные. Спустя некоторое время он получил уведомление от коллеги-«цикады»: «Нас уволили», — попытка залогиниться на сайте в сети Tor закончилась неудачей.

Рон Патрик, который руководит в ЦРУ подбором персонала, открещивается от подобных методов найма сотрудников в любую из спецслужб США. «Я лишь надеюсь, что это не группировка хакеров, которая разыскивает таланты, чтобы использовать их против нас».

Побывавшие там кандидаты оказались не более чем муравьями в гнезде, окинуть взглядом которое не получилось. Стоит за «цикадами» что-то большее либо же это все-таки умелая мистификация, так и остается неизвестным. В любом случае все это могло быть лишь одним большим развлечением для «ботаников».

Следующая цитата

Вот уже на протяжении трех лет таинственная сетевая организация ставит перед любителями головоломок непростые задачки по взлому шифров. Что же такое Cicada 3301 — просто онлайновая игра, приглашение в ряды подпольных хакерских групп или отбор талантливых кандидатов в спецслужбы?

Посетители этого анонимного имиджборда, на котором обычно выкладываются хулиганские и полупорнографические картинки, принялись активно обсуждать необычное изображение, и многие пришли к выводу, что, возможно, так АНБ ищет потенциальных сотрудников. Действительно, способ не нов: спецслужбы отслеживают хакерские мероприятия и форумы с целью привлечь на госслужбу талантливую молодёжь. А во время Второй мировой войны британские спецслужбы отыскивали перспективных сотрудников при помощи кроссвордов в газете Daily Telegraph. Так или иначе, картинка привлекла внимание, её перепостили на других форумах — и энтузиасты взялись за расшифровку.

Цифры майя были ключом к расшифровке строчек: здесь снова использовался код Цезаря, и в результате перед глазами представал отрывок из поэмы о короле Артуре, входящей в состав средневекового валлийского сборника повестей «Мабиногион». Применив к расшифрованным строчкам «книжный код», дававшийся ранее (первое число — номер строки, второе — порядковый номер буквы), можно было получить такой текст: «Call us at us tele phone numBer two one four three nine oh nine six oh eight», то есть «Позвоните нам по телефонному номеру 2143909608».

С чем столкнулись те, кого искали организаторы этого «путешествия», достоверно неизвестно. Некоторым зашедшим по адресу сайта в сети TOR предложили зарегистрировать анонимный почтовый ящик Hotmail, на который было прислано очередное задание. Впрочем, поскольку желающих поделиться своими успехами в Сети не нашлось, что было дальше, так и остаётся тайной.

Прогнав картинку через уже хорошо знакомую программу OutGuess, заинтересовавшиеся получали очередной «книжный шифр», который указывал на «Книгу закона», написанную в начале XX века известным британским оккультистом Алистером Кроули, и после расшифровки приводил к 130-мегабайтному архиву на Dropbox. В архиве хранился образ загрузочного диска Linux, который после загрузки выводил на экран последовательность простых чисел.

Дальше следовало ещё несколько заданий, в игру вступали mp3-файлы, аккаунт на «Твиттере», англо-саксонские руны, гематрия, новые GPS-координаты по всему свету от Москвы до Окинавы и снова onion-адреса в сети TOR. Успешно прошедшим «общедоступные» тесты было вновь предложено создать совершенно новый анонимный почтовый ящик и PGP-ключ и загрузить эти данные на сервер организаторов. На этот адрес победители должны были получить персонализированные задания. Всем же остальным ответом была тишина.

Как и в предыдущие годы, ключ содержится в тексте, написанном белыми буквами на черном фоне. В этот раз текст содержит следующее послание: «Hello. Epiphany is upon you. Your pilgrimage has begun. Enlightenment awaits. Good luck. 3301.», что можно перевести как «Здравствуйте. Узрите Богоявление. Ваше паломничество началось. Просвещение ждет. Удачи. 3301.»

Вполне правомочно и предположение, что Cicada 3301 — это проект спецслужб по привлечению к сотрудничеству талантливой молодёжи. В пользу этой версии говорят масштабы игры, отметившейся почти на всех континентах, — хотя, с другой стороны, настоящим энтузиастам под силу и не такие штучки.

Пока так и не удалось достоверно установить, что же такое Cicada 3301. При этом у «игры» есть стойкие поклонники, ведущие подробнейшую 76-страничную онлайновую энциклопедию, из которой можно подробно узнать обо всём связанном с Cicada 3301, включая всевозможные слухи и догадки. Они же регулярно общаются и на отдельном IRC-канале Freenode, так что все заинтригованные этой загадкой могут смело к ним присоединяться.

Триггер через DNS resolve


Это очень интересный триггер, польза от которого неочевидна сразу. Он сработает в случае, если кто-либо запросит IP-адрес сгенерированного поддомена, который генерируется специально таким, чтобы его нельзя было угадать случайно или сбрутить. Таким образом, исключаются случайные срабатывания. Этот триггер использует для многих методик, описанных дальше, в том числе для обнаружения факта открытия папки и как триггер в базе данных MS SQL. На деле вариантов использования этого триггера множество.

Следующая цитата

Honey Tokens (англ. — «медовые приметы/признаки/идентификаторы») одна из разновидностей идеи Honeypot, приманки для злоумышленников, позволяющей обнаружить факт взлома или опознать его источник. Когда атакующий уже проник в систему, он, скорее всего, выполнит действия, несвойственные обычному пользователю. Это можно использовать как способ обнаружения взлома. В статье мы рассмотрим, как легко сделать собственные триггеры для обнаружения взлома на раннем этапе. Такие ловушки полезно использовать системному администратору и даже обычному пользователю, переживающему о приватности своих данных.


До изобретения газоанализаторов шахтеры брали c собой в шахту канарейку. Из-за маленького организма и быстрого обмена веществ, птицы намного раньше реагировали на опасные газы в воздухе и предупреждали шахтеров.

Триггер на клонирование сайта

Простой скрипт для веб-страниц, срабатывающий если страница открыта не с вашего домена. Может быть полезно для детектирования фишинга.


Для отправки почты я рекомендую использовать сервис Mailgun, потому что Sendgrid работает нестабильно.

Читайте также: