Сообщество - Информационная безопасность IT
Добавить пост

Информационная безопасность IT

1 354 поста 24 872 подписчика

Популярные теги в сообществе:

17

Какие документы должны быть на сайте вашего бизнеса?

Какие документы должны быть на сайте вашего бизнеса? Право, Информационная безопасность, Юристы, Сайт, Длиннопост

Какие документы должны быть на сайте вашего бизнеса?Вы создали сайт для вашего бизнеса: потрясающий дизайн, продающие тексты, метрика. Но чего-то не хватает… Сегодня разберем 5 юридических документов, которые должны быть у вас на сайте.


1. Политика обработки персональных данных.

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД.

ст. 18.1 ФЗ "О персональных данных"

Политика в отношении обработки ПД - это документ, который описывает, с какой целью, как и какие именно данные собирает сайт. Вы также, могли видеть этот документ под названиями “политика конфиденциальности” или “пользовательское соглашение”.

На вашем сайте должен быть этот документ, если вы любым способом собираете данные о посетителях сайта. В том числе если вы это делаете с помощью Яндекс.Метрики или Google.Аналитики.


А что будет, если я не выложу Политику обработки ПО на сайте?

По российскому законодательству п. 3 ст. 13.11. КоАП - штраф для юридических лиц от 30 000 до 60 000 руб.

По законодательству ЕС (GDPR - Общий регламент по защите данных). Нарушение норм GDPR влечет наложение штрафа до 20 000 000 евро или до 2% от его общего полученного годового оборота по всему миру за предыдущий финансовый год.

По законодательству США (CCPA - закон о защите персональных данных). Размеры штрафа общие за все нарушения Закона: 2500 долларов США за непреднамеренное нарушение и 7500 долларов США за преднамеренное или от 100 до 750 долларов США за каждого потребителя за инцидент или фактический ущерб (по частным искам).


2. Согласие на обработку персональных данных.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

ст. 9 ФЗ "О персональных данных"

Да-да, эта та самая галочка “Согласен”, которую вы ставите при регистрации на сайте. Юридически этот документ вместе с кликом на галочку является акцептом офферты Политики обработки персональных данных.

Также, таким согласием будет являться согласие на сбор файлов cookie.

Российское и европейское законодательство обязывают получать согласие субъекта на сбор персональных данных. А вот амеиканский CCPA не требует предварительного согласия на обработку ПД, за исключением несовершеннолетних и только перед продажей их данных.

Если я не закреплю на сайте Согласие на обработку ПО, то…?

В РФ - п. 1 ст. 13.11. КоАП - штраф для юридических лиц от 60 000 до 100 000 руб (за каждое лицо, согласие которого было не подтверждено)

В ЕС каждая страна выбирает размер штрафа самостоятельно. Установлена лишь верхняя граница - до 20 000 000 евро или до 2% от его общего полученного годового оборота по всему миру за предыдущий финансовый год.


3. Сookie notice.

Наверняка вы видели подобные уведомления.

Но зачем они нужны?

Для начала разберемся, что такое файлы cookie. Cookie - это небольшие текстовые файлы со служебной информацией от сайтов, которые посещал пользователь.

Вот примеры того, что хранится в куки:

личные данные для авторизации (например, логин, имя, email, пароль);пользовательские настройки сайта (язык и геоданные);тип устройства, с которого пользователь зашёл на сайт;товары в корзине и в избранном (если пользователь не авторизовался).

Файлы Cookie - это персональные данные, собирать которые можно только с согласия пользователя. Отдельное уведомление для них необходимо, так как сайт начинает собирать cookie, как только пользователь зашел на сайт, то есть ДО того, как получил согласие пользователя. Соответственно сбор cookie без получения согласия - это нарушение законодательства о персональных данных.

Отсутствие согласия на сбор cookie и других ПД может повлечь не только крупный штраф, но и полную блокировку сайта. Например, LinkedIn заблокировали в 2016 году, так как LinkedIn использовали и передавали данные о местоположении и поведении пользователей на сайте без их согласия.


4. Согласие на получение рекламы.

Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено.

п.1. ст. 18 ФЗ "О рекламе"

За рассылку рекламных сообщений без согласия получателя штраф для юридических лиц составляет: - от 100 000 до 500 000 руб, поэтому не забудьте составить этот документ, если собираетесь осуществлять рекламную рассылку, а также, проверьте, действительно ли номер телефона или электронный адрес, принадлежит тому лицу, которое его оставило.


5. Пользовательское соглашение.

По сути - это правила пользования вашим сайтом. Штрафа за отсутствие пользовательского соглашение не предусмотрено, но не стоит пренебрегать этим документом - он позволит выстроить юридически ясные отношения с пользователем и защитить владельца сайта в случае спора.

Показать полностью
12

Citrix и криптопро

Не хватает моих умений переставлять галочки в настройках, поэтому прошу помощи.

Дано: мощный комп, win10 21h2, лицензия, чистая система, проводной интернет 100мбит, соединение до роутера 1гбит, установлен свежий Citrix workspace. Для удалённой работы используется крипто про ngate для запуска vpn, далее на портал, запускаем citrix, в нём стартует удаленный рабочий стол к офисному компу.

Проблема как будто в медленном соединении, графика на РДП очень тормозит, в статистике Ngate не видел скоростей больше 100кбит/с. При этом спидтест и на офисном компе, и на домашнем показывает вполне адекватные цифры.
Завел в hyper-v виртуалку, такая же винда, тот же Citrix и ngate. Тормозит так же.

Есть рабочий ноут, новый блестящий леново. На него установлена astra linux. Там тот же ngate и Citrix. На ноуте удаленке работает отлично! Но по ряду причин пользоваться им нет никакого желания, абсолютно.

Завести в виртуалку астра линукс могу, наверное, но дистрибутив ngate мне не дают, т.к. для ноутов его поставляют уже в готовом виде как-то централизовано и естественно на флешку мне его никто не запишет, и без корпоративных админских паролей не получится это дело поднять. Но в этом направлении я ещё Поработаю, может получится как-то решить.

В обоих вин10 пробовал отключать брандмауэр и защиту от вирусов и вообще всю защиту винды, до которой смог дотянуться. Эффекта нет.

Админ говорит, что иногда смена интернет-провайдера помогает. Ок. Переключался на мобильный хотспот, 4g. Эффекта нет.

В настройках Citrix workspace не нашёл ничего интересного. Настроек ngate вообще не нашёл, только крипто про csp , но там только про одни лишь сертификаты.

Виртуальный ethernet, рождённый в ngate , показывает соединение на 100мбит.

Где ещё искать и как это можно победить? Согласен на небесплатную консультацию и помощь ради реального эффекта.

Показать полностью
27

Информационная безопасность

Добрый день, господа и дамы.
Если в двух словах, сегодня я стал ответственным за информационную безопасность (профильного образования нет), но директор посчитал что раз я айтишник, а безопасность информационная, то я и должен ею заниматься.
Подскажите с чего начать?
Может кто поделится литературой или может у кого есть записи каких либо курсов по данной тематике?
За ранее спасибо.

11

Дайджест значимых событий в сфере ИБ за прошлую неделю

Дайджест значимых событий в сфере ИБ за прошлую неделю Cisco, Mcafee, Securitylab, Длиннопост

NordPass опубликовал список самых распространенных паролей 2022 года

Дайджест значимых событий в сфере ИБ за прошлую неделю Cisco, Mcafee, Securitylab, Длиннопост

Большинство из них представляют собой просто повторения одного символа, последовательности легко угадываемых чисел, прямой набор букв или простые комбинации, такие как «pass@123».


NordPass отметил , что такие пароли можно взломать за менее чем 1 секунду, а также рассказал, что в пароли, содержащие слова «oscars», «batman», «euphoria», «encanto» (названия популярных фильмов и сериалов), наиболее часто использовались в этом году.


Cisco предупреждает об опасности в шлюзе электронной почты

Cisco опубликовала отчет , в котором предупреждает, что сканирующие механизмы Sophos и McAfee в Cisco Secure Email Gateway могут позволить удаленному неавторизованному злоумышленнику обойти инструменты защиты.


Проблема связана с неправильной идентификацией потенциально вредоносных электронных писем или вложений. Киберпреступник может воспользоваться этой проблемой, отправив с уязвимого устройства вредоносное электронное письмо с искаженными заголовками Content-Type (MIME-тип).


Эксплойт может позволить хакеру обойти стандартные системы обнаружения вредоносных программ Sophos и McAfee и успешно доставить вредоносные сообщения конечным клиентам.


Proofpoint: Nighthawk может стать следующим Cobalt Strike


Исследователи Proofpoint предупреждают , что инструмент для пентеста Nighthawk становится все более популярным у злоумышленников и скоро заменит Cobalt Strike.

Nighthawk был обнаружен экспертами Proofpoint в сентябре этого года и описан как «коммерчески распространяемый RAT-троян, похожий на другие фреймворки, такие как Brute Ratel и Cobalt Strike». Так же, как и они, Nighthawk может быстро стать популярным у злоумышленников.


По словам Proofpoint, Nighthawk не был замечен в использовании киберпреступниками, но эксперты ожидают, что рано или поздно Nighthawk станет популярным оружием хакеров.

Разработчиком Nighthawk является европейская компания MDSec, которая предлагает клиентам инструменты и услуги для моделирования поведения злоумышленников и тестирования на проникновение.


MDSec тщательно проверяет всех покупателей лицензий Nighthawk и продает свой продукт только в определенные страны (Евросоюз, Австралия, Канада, Япония, Новая Зеландия, Норвегия, Швейцария и США). Также Nighthawk не распространяется в виде пробной версии, так как это уже приводило к злоупотреблению другими похожими продуктами.

Подробнее

Показать полностью 2
97

Ответ q000p в «Wi-Fi и соседи»

Так, с меня обратное руководство, для тех, кто не желает, чтобы его вай-фай был взломан. В этом ответе речь пойдёт о пунктах, которые можно будет совершить любому пользователю, умеющему хотя бы включать компьютер.
1.) Ставьте уровень защиты не ниже WPA2-PSK - сейчас это самая защищённая из доступных протоколов защиты. Есть конечно и протокол WPA3, но слишком мало роутеров его поддерживают, поэтому рассматривать этот стандарт бессмысленно.
2.) Ставим очень длинный пароль (символов на 30-40 будет достаточно), который будет содержать все доступные символы. Так мы сможем затруднить подбор пароля как с помощью брутфорса (подбора), так и через программы.
3.) Отключаем систему WPS, так как это огромнейшая дыра в безопасности роутера. Да и пользуются ею лишь в мелких конторах да в глуши.
4.) Ставим MAC-фильтр, чтобы к роутеру смогли подключаться исключительно устройства из определённого вами списка (для выяснения MAC-адреса устройства вам придётся залезть в его настройки). Но этот вариант не сработает, если ваше устройство не имеет статичного адреса (включён перебор).
По сути, ни один из доступных вариантов не способен обеспечить полную защиту вашей сети от взлома, ну кроме регулярного мониторинга подключений, хотя даже он не сильно помогает. Единственное, что способны сделать эти меры защиты - усложнить жизнь и хакеру, и вам. У меня как говорится, всё.

90

Ответ ntsable в «Wi-Fi и соседи»

Сразу дисклеймер: пост не является руководством к действию, просто мысли вслух.
Если есть желание и прямые руки то подключение к интернету через соседский вайфай - вопрос времени.
Допустим мы живём в многоквартирном доме. Тогда будет ловиться плюс-минус 10 вайфай сетей. Дальше переходим к классификации:
1. Сети без пароля - тут и так всё понятно.
2. Сети с WPS. Устаревшая технология с цифровым паролем, который зачастую может быть определён по мак-адресу или вендору. В остальных случаях вопрос решается методом перебора.
3. Сети с WEP. Тоже устаревшая версия, пароли ломаются очень быстро.
4. Сети с WPA или WPA2. Здесь уже посложнее, но решаемо. Первый этап - рыбалка хендшейков. Оставляется комп/ноут с включённой прогой на день. В результате у тебя есть хендшейк, который можно загрузить на платный сервис и через некоторое время получить пароль. Учитывая что большинство людей устанавливает простые и короткие пароли процесс подбора занимает несколько часов, а стоимость расшифровки дешевле месячной абонплаты.

Как итог: если на вашем интернет-подключении никто не сидит это значит что:
- У вас честные/ленивые соседи.
- У вас есть сосед с ещё менее защищённым роутером.
Собственно поэтому гарантий что к вам не придут с вопросами, мол через ваше интернет-соединение совершались противоправные действия, нет никаких.

14

Пентестеры, SOC, DevOps-ы  и прочие разные из сферы ИБ, нужен ваш совет

Привет ребят, хотел спросить ваше мнение, думаю тут есть ИБ-ики. такая ситуация, учусь на 4-ом курсе бакалавра. Направление с it не связано, как так вышло сам до конца не понимаю 🙃. Но душа тянет к ИБ и пентесту, еще в классе 10-ом изучил все типы уязвимостей, посматривал видосики на английском с профильных конф, оч все нравилось, базово знаю python, js и верстать умею. Учавстовал в паре баг баунти программ, закрыл две мини дыры на хакерван (Даже уязвимостью сложно назвать, но баг баунти выплатили). Хотел поднять уровень скиллов и пойти работать в SOC или pentest, но кому я там с сильно непрофильным education?( Однако по счастливой случайности, я сейчас на 4-ом курсе и есть варик пойти в магистратуру по ИБ. Как думаете маги для работодателя хватит? Как я понимаю скиллов там не особо дают, да я и сам все выучу, в этом проблем не возникнет

18

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал)

Это было сложно!.. Вот что можно сказать по итогу квеста от NoobGameDev. Нам удалось его пройти лишь спустя почти 3 недели. Механизм остановлен - кот спасён. А теперь поподробнее.


Это третий пост по данному квесту, поэтому сразу порекомендую ознакомиться с предыдущими: Часть 1, Часть 2. А так же с оригинальной новостью от автора.


В прошлой части мы остановились на том, что нашли в видео сообщение, зашифрованное азбукой Морзе, которое привело нас к странице с Коржиком из Улицы Сезам, который говорил "OMMM NOM NOM NOM".

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Мы так же нашли на странице форму ввода и куку "Monster" со значением: 0DF5B38B2D4B4BBEA13D626CA7C6D4A3366EB07F3C594C9179BE0D34F8832B36

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Спустя какое-то время, благодаря огромной подсказке на маркерной доске, мы поняли, что в куки находится сообщение в HEX формате, зашифрованное при помощи AES алгоритма, а фраза "OMMM NOM NOM NOM" оказалась 128-мибитным ключом.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

При дешифровке получалась строка в стандарте Base64: "dmVyeSBnb29kIGNvbXJhZGU=", которая, в свою очередь, при декодировании превратилась в строку "very good comrade". Именно эту фразу необходимо было ввести в поле ввода. После этого Коржик поздравлял нас и просил дать ему пятюню.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

После этого нас перенаправило на очередной сайт, с казалось бы просто чёрным фоном. И поначалу мы даже подумали, что что-то не подгрузилось или произошёл какой-то сбой. Но после того как мы забрались в код страницы, то поняли, что фоновое изображение залито не всплошную, а имеет вырезанные участки.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Если помните из предыдущей части мы восстановили обрезанный участок изображения с барбером и нашли страницу, очень сильно похожую на звёздное небо, поэтому решение этой задачи не заставило долго ждать - мы просто наложили вытащенный фон на карту неба и у нас остались лишь два созвездия: орла и льва. И после недолгих раздумий был подобран верный пароль - Грифон.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

После ввода пароля, на короткий промежуток времени появлялось очередное "именование" и... ничего не происходило. Но подождав какое-то время, проявлялось знаменитое изображение с Морихэем Уэсиба (создателем айкидо, которого ошибочно называют Конфуцием).

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Через пару минут нам удалось распознать и перевести текст, в котором упоминались: подсказки кудрявого и городского героя, а так же алгоритм и ключ, который можно спросить у лиса Клайда.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Кудрявыми подсказчиками были либо Шерлок, либо Цукерберг, городской герой - отрывок из мультфильма "Город героев", а вот с лисом Клайда был ступор. В добавок ко всему у русского языка есть удивительная способность к толкованию вне контекста... Поэтому мы пытались понять, кто именно нам нужен: Клайд у которого есть лис, либо лис по имени Клайд. В итоге каким-то чудом нам удалось узнать, что Клайд - это имя логотипа Дискорда, а перейдя на основной сервер организатора, мы нашли и лиса - Juniper Bot. И, спустя некоторое время перебора префиксов и команды, введя в канал сообщение "?key", мы получили ключ. При этом бот удалял верную команду и на пару секунд показывал нужный нам ключ.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Ключ был очередным набором цифр - 97294172474890016071804703


К этому времени на доске детектива уже становилось понятно, что вордовский документ - это не только штрих-код, и что непонятные наборы цифр в нём мы должны расшифровать используя другой непонятный набор цифр - ключ, который выдал бот.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Для решения этой загадки нам недоставало лишь алгоритма. Но к этому времени, один из участников сложил несколько фактов и у нас родилась новая версия. В показанном отрывке из фильма "Социальная сеть" говорилось о том, что алгоритм записан на окне спальни. И приглядевшись к изображению окна в сцене с котом мы обнаружили нечто похожее на записи.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

После этого возникла мысль покопаться в файлах игровой сцены. Не знаю почему мы не подумали об этом раньше. Необходимый файл с данными игры мы обнаружили в консоли https://noobgamedev.xyz/quest/Build/SaveCatGzip.data, и при помощи программы AssetStudioGUI извлекли ассеты из игры. Мы искали окно из скриншота, чтобы получше его рассмотреть, но при этом нашли и ключ, который, видимо, необходим для сейфа, потому что замочная скважина на нём требует загрузки изображения.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Но мы так же нашли и окно, на котором был нарисован алгоритм и написан сам метод (на C#), при помощи которого было зашифровано сообщение.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Один из участников довольно быстро в этом разобрался и написал метод декодирования. Однако при вставке всего текста или отдельной строки возникала ошибка. Но так как был реализован и метод кодирования, то мы обратили внимание на то, что между символами в определённом порядке расставляются "-": в начале строки после первых 2-х символов, а дальше через каждые 4 символа.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Немного преобразовав строки удалось получить вменяемый результат - каждая отдельная строка в расшифрованном виде представляла из себя один символ. И в итоге получилась ссылка: https://ngdquest.ru/xp7cpbxyqae026sf3ta3seaix4qn54h3k7wupc6xstxpac


При переходе по ней происходил редирект к изображению на Google Диске. И так как с изображениями в предыдущих частях мы уже сталкивались, то сперва проверили картинку в программе Stegsolve и обнаружили скрытую надпись "Silent Eye" - это программа для сокрытия данных в изображениях (с ней в квесте мы уже "работали"- она оставляет на картинке видные под фильтрами точки).

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Текст на картинке, в переводе с японского, означает "С днём рождения, самурай". После перевода этой фразы сомнения по поводу азбуки Морзе отпали автоматически - мы поняли, что это формат ввода даты для доступа к скрытой информации. Источник есть, программа есть, оставалось только выяснить дату, и так как на этот момент мы уже раздобыли намёк на Амидамару (духа самурая из аниме Shaman King), то мы узнали дату его рождения - 06.01.1385 г. Она и оказалась ключом.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

В результате мы получили сообщение "A2GD5DAW", которое напоминало все те "имена", которые мы находили ранее (поэтому мы записали и само "имя" и место, где его нашли).


К этому моменту, опираясь на доску детектива мы прошли уже все ветки - оставались только сейф и механизм.


В прошлой части я говорил, что мы нашли коды для Энигмы, которыми было зашифровано сообщение в первом дисплее механизма. Код менялся каждый день, и каждый день нам приходилось брутфорсить зашифрованные фразы (благо это были пословицы или поговорки на английском), потому что нам удавалось расшифровывать только первое слово в сообщении. Но мы продолжали изучать Энигму и в Википедии обнаружили пару абзацев, согласно которым, продолжительный период во время Войны, для повышения уровня безопасности, использовался следующий алгоритм: оператор брал установки на день из известного всем шифровальщикам списка, после этого выбирал любой код, который ему хотелось, прописывал его и менял положение роторов в соответствии с тремя первыми буквами введённого им слова, и основное сообщение зашифровывал уже по своему коду. В итоге получалось 2 слоя шифровки. Узнав этот факт, мы попробовали первые три буквы расшифрованных имён в качестве стартовой позиции роторов и таким образом научились расшифровывать и вторую часть сообщений. Но это всего лишь упростило ситуацию с первым дисплеем, но в целом ничего нового не принесло - по прежнему оставалось ещё 3 дисплея.


На листке, прикреплённом к механизму, подсказкой ко второму дисплею было слово "Congratuletions" (Поздравления), и так как мы совсем недавно поздравляли Амидамару с ДР, то догадались, что код, полученный из изображения торта ("A2GD5DAW"), являлся ключом для второго дисплея.


А вот подсказкой к третьему дисплею было "Сейф..." . Поэтому все остатки своих сил мы бросили на открытие сейфа, который без неожиданного упрощения, мы бы скорей всего до сих пор пытались бы открыть. Как я уже говорил в предыдущей части, основной сложностью сейфа являлся ввод сразу трёх ключей. И это при том, что мы не были уверены в каждом из них.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

В итоге автор, видимо, решил, что квест пора заканчивать и на маркерной доске появилось сообщение, согласно которому, преступник понизил уровень безопасности сейфа, для того чтобы перераспределить потребление мощности, в результате чего механизм начал работать быстрее. После этого сообщения мы обнаружили, что теперь с сейфом есть обратная связь - мы стали получать ответ на отправленные ключи в формате "0 no/yes no/yes no/yes". Это очень сильно упрощало нам задачу, вместо подбора сразу трёх верных ключей, мы могли сосредоточиться на каком-то одном и по по очереди подобрать все три. Этим мы и занялись.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Картинка ключа, которую мы достали из файлов игры сражу же дала нам один "yes" из трёх.


Следующим нам покорился лимбовый замок. По телевизору в сцене с котом очень часто проигрывался эпизод из фильма "Ограбление по итальянски", в котором героиня Шарлиз Терон взламывала как раз-таки сейф с подобным замком. Особо отважные участники квеста посмотрели фильм полностью и нашли данный фрагмент. Попытка монтажёра сделать из довольно скучной сцены динамичную вызывала проблемы с пониманием последовательности введённых чисел. Но на маркерной доске появилась ещё одна подсказка. Спустя время мы поняли что DUD - это Down Up Down, т.е. направление вращения колеса мышки. И, собрав в кучу все эти обрывки информации, спустя множество попыток подбора, нам удалось получить второй "yes" от сейфа. 7-17-51, такова верная комбинация для лимбового замка (до 7 по часовой, до 17 против часовой, и до 51 по часовой).

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Последним оставался цифровой кодовый замок. У нас уже была последовательность добытая в честном бою в реплике Flappy Bird, к тому же она отображалась на доске детектива: "3-8-9-6-4-1-2-7-5-6-4-9-0-0-7-5-2-2-4-9-1-7-5-9-0-4-6-1-7-5-2-1-0-4-9-3-8". В видео-подсказке Стетхем говорил о большом длинном числе с тройками, восьмёрками, семёрками и пятёрками, а так же о том, что данное "число" является шифром от сейфа. Поэтому сомнений, что это связано с цифровым замком практически не было. Однако, ввести было необходимо 5 групп цифр по 7 символов в каждой группе (35 цифр). В нашей же последовательности было 37 цифр. Сначала мы откинули "3 и 8" с начала, потом "3 и 8" с конца... В итоге, последовательность становилась верной, если откинуть от неё 3-ку с начала и 8-ку с конца: 8964127 - 5649007 - 5224917 - 5904617 - 5210493.


После ввода трёх верных ключей происходит переход на страницу с открытым сейфом, и если вы открыли сейф впервые, то появится форма ввода никнейма, который будет записан на дверце сейфа. Так же для всех тех, кто открыл сейф не первым, будет показана записка с ником участника, открывшим сейф первым.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Однако, у открывшего сейф первым, записка была немного другая (спасибо @NoobGameDev, за предоставленное изображение)

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Как видно, в сейфе был спрятан бумажный биткоин-кошелёк с, цитирую: "небольшим, но приятным вознаграждением".


Немного погрустив, мы продолжили) На дверце сейфа была запись "for stopped expiremen - stopplaesestopyes". Это, очевидно, и был тот самый ключ для третьего дисплея, но только его пришлось написать заглавными буквами и на русском, т.е. "СТОППОЖАЛУЙСТАСТОПДА". Довольно иронично.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

После этого мы вышли на "финишную прямую" - оставался всего один дисплей механизма. И подсказкой к нему была матрица чисел, а на доске детектива была запись "Вернуться в начало?". Мы догадались, что это намёк на изображение с 15-ю картинками в стартовом видео. У нас были все необходимые имена, но, видимо, из-за усталости мы довольно долго пыхтели над порядком этих частей фразы.

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

В итоге всё оказалось проще, чем мы думали. И порядок частей оказался следующим:


1. Наушники - 2CQ5BP6 - имя файла из страницы в даркнете.

2. Книга - QWDIYDU - описание файла в свойствах архива с книгой Гарри Поттера.

3. Медведи - FY2CY5B - появляющийся код на странице со созвездиями.

4. GPS - PRA2CZND - имя файла в котором координаты указывали на решение.

5. Тег - AOQWXIL - один из тегов .mp3 файла из ВК.

6. Штрих-код - YIGQW7ILA - название вордовского документа.

7. Змея - IGRQLIL4LB - код выдавался в Змейке тому, кто займёт первое место.

8. Амидамару - A2GD5DAW - часть, паролем к которой была дата рождения Амидамару.

9. Ножницы - QXYQNBP6 - имя изображения с барбером.

10. Печенье - QX3IYHU - часть, в комментариях страницы с зашифрованными cookie.

11. Матрёшка - MH2CYN - имя файла изображения с матрёшками.

12. Птица - DAORQLIL - часть, в комментариях веб-страницы с Flappy Bird.

13. Шелдон - FUF62CZN - часть ссылки в ветке начатой с сообщения на клингонском.

14. Лук - BMGQXPIL - заголовок веб-страницы в даркнете.

15. YouTube - QII= - надпись над монитором в видео на YouTube.


Т.е. финальная фраза оказалась следующей: 2CQ5BP6QWDIYDUFY2CY5BPRA2CZNDAOQWXILYIGQW7ILAIGRQLIL4LBA2GD5DAWQXYQNBP6QX3IYHUMH2CYNDAORQLILFUF62CZNBMGQXPILQII=


Это оказалась запись в Base32, а после расшифровки получилось "Спасибо всем, за то, что поучаствовали!".

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Это и был ключ для 4-го дисплея и ко всему механизму. После этого механизм был остановлен, а кот покинул клетку. Но как позже выяснилось сделать это он мог и без нашего вмешательства. А всё это был эксперимент по испытанию новой модели мультиварки. Такие дела)

Сложный ARG квест для IT-шников, в котором ты не участвовал. (Часть 3 — финал) Игры, Загадка, Головоломка, Информационная безопасность, Arg, Ctf, IT, Шифр, Криптография, Стеганография, Web-программирование, Web, Логика, Ребус, Квест, Шифрование, Гифка, Длиннопост

Заключение


Огромная работа, классные воспоминания и эмоции, интересные и сложные загадки... Многие участники отмечали, что узнали что-то новое о методах сокрытия и шифровки информации, кто-то изучил Энигму и посмотрел за время квеста несколько фильмов, которые бы никогда и не подумал смотреть, а кто-то даже вспомнил, что на небе существуют звёзды и ловил какие-то приятные детские эмоции.


Лично от себя могу сказать, что я благодарен NoobGameDev, за то, что целых 3 недели в такое не простое время, мои мысли были только в квесте, и я почти не думал ни о чём другом. А когда всё закончилось, то я даже испытал приятное облегчение и чувство, что все мои мысли испарились, а разум как будто бы на мгновение очистился.


Считаю, что мы должны поддерживать подобные познавательные и затягивающие проекты, поэтому оставлю ссылку на ютуб-канал и на дискорд-сервер автора квеста. А так же огромное спасибо всем вам за прочтение и хорошие оценки данных статей. Удачи)

Показать полностью 24
Отличная работа, все прочитано!