PHD 2013の競争力インテリジェンス

みなさんこんにちは！

Positive Hack Days-2013カンファレンスの一部として開催されたCompetitive Intelligenceコンテストについてお話したいと思います。詳細については、 www.phdays.ru / program / contests / ＃16276をご覧ください。

似たような仕事の経験があり、新しい条件を楽しみにしていたので、私は「コンペティティブインテリジェンス」に2回参加しました。 この記事を書いた理由の1つは、昨年のコンテストのいくつかの質問に対する答えがまだ見つからないことです。 この議論で、今年の質問に対するすべての答えをまとめることを本当に期待しています。



競争の条件で与えられた順序ではなく、正しい答えに導いた論理的な連鎖に従って、質問に答えます。 最後に、答えが見つからなかった質問について説明します。

コンテスト終了後にこの記事を執筆しましたが、当時の開発者は既に競合サイトの一部を閉鎖していたため、一部のリンクが機能しなくなっても当惑しないでください。

また、すべての段階で正しい答えが苦しみの中で生まれたのは、壮大なブレインストーム、試行錯誤の結果であり、多くの試行された選択肢だったことにも注意してください。 そしてここで、理想に近いシナリオについて書きます。 行こう

ステップ1

今回は、ゴジラ保育園に関する16の質問に答える必要がありました。



Googleで会社の名前を探しています：



最初のリンクは、Linkedinの企業のゴジラ保育園グループwww.linkedin.com/groups/Godzilla-Nursery-Laboratory-5000097です。



マーケティングマネージャーとして働いている特定のランディクリンガーが公開しているグループのメインページのリンクを調べます。 それらはすべて、bit.lyサービスを使用して省略され、異なる関連のない記事につながります。

bit.ly/12LtZwC-wonderwall.msn.com/movies/angie-everhart-is-now-cancer-free-1752151.story

bit.ly/12txG8G-movies.msn.com/movie-guide-summer/11-things-we-love-about-original-star-trek-movies/photo-gallery/feature

bit.ly/YuDX4D-now.msn.com/angry-cats-a-photo-gallery-of-ways-to-piss-off-a-cat

bit.ly/13iaUmE-tv.msn.com/personalities-we-love-to-hate/photo-gallery/feature/?photoidx=12

しかし、ねえ、それらはすべてmsn.comにあるという事実によって統一されています。 マーケティングマネージャーに対するソーシャルエンジニアリングに使用できるのはmsn.comだと思います。

正解は「msn.com」です。

ステップ2

Linkedinのグループのニュースでは、このグループが特定の「アンバーレスター」によって作成されたことがわかります。



彼女のプロフィールを勉強します。 彼女のプロフィールは、Googleで見つけるか、更新フィードで名前のポップアップリンクをクリックしてLinkedinのページにアクセスできます。



素晴らしい、 www.linkedin.com / pub / amber-lester / 70/595 / a1というプロファイルがあります。



人事部長の名前と、一般情報に示されている興味深いサイトがあります。 www.whois.scでこれらすべてのサイトを突破します。

www.godzillanurseryfans.comおよびwww.godzillanurseryfans.ruのドメインについては、何もおもしろくありません。 また、 www.godzillanurseryfans.infoドメインでは、次のデータが表示されます。



はい、Amber Lesterのメールはmberlest@gmail.comです。

amber.lester@godzillanurserylab.comのメールと同じAmber Lesterのプロフィール「コンタクト」、 vk.com / id210561328が添付されていたため、コンテストには困難があったことに注意してください。 この偽の証跡がコンテストの作成者によって意図的に作られたのか、それともちょうど起こったのかは明らかではありません。

事実は残っています： amber.lester@godzillanurserylab.comは間違った選択肢です。

正解は「mberlest@gmail.com」です。

ステップ3

次に、Godzilla Nursery Laboratory会社​​の公式ウェブサイトwww.godzillanurserylab.comにアクセスします。 簡単に見つけることができます。これを書いている時点では、これは「Godzilla Nursery Laboratory」のGoogleの2番目と3番目のリンクです。

robots.txtを確認します。



ロボットに隠されているものは私たちにとって興味深いものです。「テスト」ディレクトリに移動します。



すべてのファイルをダウンロードします。 とりわけ、「gmailacc.rar」というパスワードでアーカイブを取得します。 他のファイルは今のところ保管しておき、後で役立つようにします。

ブルートを入れます： "gmailacc.rar"。 * * .rarアーカイブは* .zipアーカイブよりもはるかに遅く収集されますが、3分後に非常に複雑なパスワードになります。



アーカイブにはファイル「gmailacc.PNG」が含まれています。 最も重要な部分は次のとおりです。



メールアドレス： greg.cru@godzillanurserylab.comはこの仲間に属しているようです。これはwww.godzillanurserylab.com/contacts.htmで見つけることができます：



彼のメールアドレスとパスワード "cru1crua27"を使用してGmailにアクセスしますが、競合が終了した後に記事を書いたため、開発者はなんとか隠しました。 会社の名前を直接見つけられませんでしたが、正しい答えを覚えていませんでした。



しかし、このステップから彼の保険会社を決定するまで、あなたは数秒離れています。

正解：ハッキングされたアーカイブがそれにつながります。

ステップ4

リンク： www.godzillanurserylab.com/contacts.htmには、CEOがいます：



彼はLinkedin、 www.linkedin.com / pub / maximiliann-ozillov / 70/460 / 54bにいます ：



うわー、彼に関するデータはたくさんあります！ 次のデータは、競技の2日目にのみヒントとして表示され、1日目には表示されなかったことに注意してください。



彼がICQを愛しているという事実に取り組んでいます。 ICQでの検索：



見つかった、チェック、多分それは同じ名前だ。 「プロファイル」をクリックします。 はい、これは私たちのオブジェクトです：



正解：コンコード。

ステップ5

CEOページwww.linkedin.com/pub/maximiliann-ozillov/70/460/54bのLinkedinに再び目を向けると、彼の同僚の多くが見えます。



ここでは、友好的な会社のほぼ全体が、今では「Inessa Golubova」、「Biological Engineering」に興味があります。 私たちは彼女のページに行きます。



「My World」に移動し、メールで検索し、プロファイルを見つけます。www.my.mail.ru / mail / gineska81 / info ：



彼女の写真には、必要な写真があります。



写真の左上隅にある重要な詳細に注意してください。会社のメールのWebバージョンのアドレスの下部（ www.email.godzillanurserylab.com）が表示されています。 この事実はさらに役立つでしょう。

正解は「GNL \ Igolubova」です。

ステップ6

ステップ5で、メールのWebバージョンのアドレスwww.email.godzillanurserylab.comを見つけました。 そこに行くと、次のフォームが表示されます。



私たちがCEOであり、メールパスワードを忘れたとしましょう。 「パスワードをお忘れですか？」をクリックして、メールを入力します： ceo@godzillanurserylab.com 。



素晴らしい、そのようなメールが存在します。 秘密の質問があります。



ああ、これはステップ4からすでにわかっています。「Concord」と入力して、新しいパスワードを取得します。



メールログインフォームwww.email.godzillanurserylab.comに戻り 、 ceo @ godzillanurserylab.comとパスワードを入力して、メールの「デバッグモード」に入ります。 そこには小さな絵の入った一通の手紙があります：



Googleの画像検索に画像を打ち込んでみると、すぐに「St James Park」であることがわかります。

正解：「セントジェームズパーク」。

ステップ7

LinkedinのSEO CEO同僚のリストをさらに詳しく見てみましょう。 現在、特定の「Ivanes Inclam」に興味があります。



Googleに問い合わせて、3つのリンクを一度に取得してください：



Ivanes Inclamは、3つのフォーラムでファイアウォールのフィルタリング設定に関するヘルプを一度に求めています。







正解は「Kaspersky Security for Internet Gateway Russian Edition」です。

ステップ8

次に、2番目の暗号化されたアーカイブ「Investigation_Report.zip」について思い出してください。 ここでもっと面白いです。 アーカイブは暗号化されていますが、その内容を表示できます：



その中に「Investigation Report.pdf」と「sil-male.png」の2つのファイルがあります。 この暗号化されたアーカイブの横に、さらに2つのファイルが開いていることは注目に値します。



合計 私たちが持っています：

-暗号化されたアーカイブ「Investigation_Report.zip」、必要なPDFファイルに加えて、ファイル「sil-male.png」

-1つのファイル「sil-male.png」のみを含むアーカイブ「src.zip」を開く

-ファイル自体、「sil-male.png」：



うーん、これは平文攻撃のヒントです。 その可能性は、プレーンテキストと対応する暗号文がある場合に発生します。 詳細はこちら：

www.en.wikipedia.org/wiki/Known-plaintext_attack

www.ru.wikipedia.org/wiki/Attack_of_open_text

この攻撃を実行できるプログラムはいくつかあると思いますが、Elcomsoft Advanced Archive Password Recoveryアプリケーションを使用しました。 同じファイルを含む暗号化されたオープンアーカイブと同様に、攻撃タイプ：「プレーンテキスト」をパラメーターとして指定して、攻撃を開始しました。



20秒、パスワードのないオープンアーカイブがあります;この場合、パスワードは見つかりません。



アーカイブには、特定の「ロバートクラフト」に関するデータが含まれています。



はい、それは私たちのCIOであることが判明しました。

正解：「ロバートクラフト」。

ステップ9

Carlos BechtolのプロフィールもLinkedinにありますが、興味深いことは何もありません。 彼のVKontakteプロファイル： vk.com/id210334624を見つけました。



ここでもう1つ難点を指摘します。

写真では、主催者の最初のプロンプトの後に彼の電話が見えます。 このプロンプトが表示される前は、彼の番号は「+7916 *** 13 **」のように見えました。

ヒントの前に、Google +で特定の「Carlos Bechtol」のプロファイルを見つけました。 しかし、ページにはデータがありませんでした。 次に、彼のメール「 carlos.bechtol@gmail.com 」を手動で受け取りました。

次に、メール「 carlos.bechtol@gmail.com 」によるパスワード復旧フォーム「 Vkontakte 」が必要なページを明確に指し示していることを確認しました。



このGoogleメールのパスワード復旧フォームを使用して、電話の最後の2桁を見つけました。



「+7916 *** 1374」という数字の5桁目、6桁目、7桁目を見つける方法についての質問が残っていました。 そして、ここで再び問題に直面しています。 他のソーシャルネットワークにはプロファイルが見つかりませんでした。 また、このプロファイルへの関心が高まっているパスワード復旧フォーム「In Contact」は、次のメッセージを発行しました。

「許可された試行回数を超えました。 後でもう一度やり直してください。」

実際に見つかった電話のポイントを見逃すのは残念だった。 数十回パスワードをリセットしようと試みた後、コンテストの開発者はヒントを与えました。その後、電話はすでに「791660413 **」のように見えました。



だから、私が思うに、なぜプロンプトが表示されたのか。 すべてが面白いことが判明しました。 2013年5月21日、ソーシャルネットワークに登録されている人の電話番号をパンチすることに関するDmitry Evteevの投稿を書いている時点： www.devteev.blogspot.ru/2013/05/blog-post_21.html 、パスワードのリセットを要求するときのVkontakteサービス数字の最初の7桁全体を公開し、5月24日、競技の2日目に、最初の3桁（演算子コード）と最後の2桁のみが発行されました。 Vkontakteのスタッフはこの脆弱性をすぐに修正しました。

正解は「+79166041374」です。

ステップ10

CEOページは、CEOが以前に次のように働いたことを示しています。



リンクをたどると、写真が表示されます。



アドレス54.245.97.120を増やして読み取ります。また、最後のオクテット「120」の後に明示的なコロンがあることもわかります。これは、特定のポートが入力されたことを意味します。 サイト自体は不親切でした：



nmapを使用してポートを認識します：「nmap -p 1-65535 -v 54.245.97.120」



合計4つの開いているポートがあります。 22番目のSSHポートは何も提供しません。そこでアカウンティングが必要です。 ブルータスは、アカウントとパスワードの両方がありがたい仕事です。 53番目のDNSポートも興味深いものを提供しません。

80番目のポートを取得し、「admin」、「test」、「doc」、「upload」、「download」、「images」など、最も一般的なディレクトリのTOP-10を手動でソートします。

ポート8080を使用して、同じTOP-10リストを反復処理します。 出来上がり：



そのため、Genom Lab DepartmnetにはCEOとCROの2人の従業員しかいません。 CEOのメール： ceo@godzillanurserylab.comを知っています。CROのメールはwww.godzillanurserylab.com/contacts.htmにあります。



正解は「ceo@godzillanurserylab.com cro@godzillanurserylab.com」です。

手順11

メインサイトwww.godzillanurserylab.com/contacts.htmの連絡先には、必要な人が表示されます。



Linkedinで彼を探しています：



あります。 彼の自宅の住所を取得します。



Googleマップで住所を探しています。家が見えます：



そして、茂みの後ろの右側に、車があります。車を近づけます。



ホンダのようです。

正解はホンダです。

手順12

Linkedin CEOページ： www.linkedin.com/pub/maximiliann-ozillov/70/460/54bから、一般情報に戻ります。



* .onionサイトが表示されます。つまり、Torが必要です。 興味のある方はこちらをご覧ください： www.en.wikipedia.org/wiki/.onion Torブラウザバンドルをダウンロードしてサイトにアクセスするか、 6uzhxjor2tfsdwzf.tor2web.orgなどのTorゲートウェイを使用して、1つの画像のみを表示します。



CEOからの幅広いファンタジー。 明らかに、この写真は「フェチ」という言葉に関連しています。 EXIFの写真を調べます。 詳細はこちら-www.ru.wikipedia.org/wiki/EXIF または、16進エディタで開きます。 最初に利用可能なオンラインビューアーEXIFを使用します： www.regex.info/exif.cgi 。 写真をロードすると、「場所」フィールドに必要な単語が表示されます。



または、16進エディターでも同じことがわかります。



正解：「Zillaphilya」。

手順13

この質問に対する答えは見つかりませんでしたが、手がかりがあります。 特に、Linkedinには、「コールセンターオペレーター」の地位にある人がいます： www.linkedin.com/pub/janice-harrison/70/a06/846 ：



しかし、それを検索しても成功には至りませんでした。

nmapがステップ10で前述したリソースをスキャンしたときに不明な署名も見つかりました：54.245.97.120。



オプション：「Cisco」および「Sisco」は適合しませんでした。 これは今では「SISCO TELECOM VOIP」を試す必要があったと思います。

正解：一緒に見つけます。

ステップ14

手がかりは、ファイル「dbo.report.log」にあります。このファイルは、手順4で暗号化されたアーカイブと共に受信しました。このファイルには、とりわけ「N：/ DBO ***。GODZILLANURSERYFANS.INFO/www/favicon」という形式の行があります.ico»

「dbo ***。Godzillanurseryfans.com」およびその他のサイトで見つかったさまざまなマスクのディレクトリのBrutusは結果を出しませんでした。

正解：一緒に見つけます。

手順15

手がかりがなければ、この答えは見つかりませんでした。

正解：一緒に見つけます。

手順16

また、手がかりがなければ、この答えは見つかりませんでした。

正解：一緒に見つけます。

おわりに

記事の最後で、今年、競合他社のインテリジェンスコンペティションがより「技術的」になり、たとえばアーカイブのハッキングを同じように行っていることに注目します。 戦略を選択する際に、非常に恥ずかしいこともありました。

人事部長からの2通のメールのような矛盾もありました。

もう少し注目を集めたもう1つの特徴は、競争の開発者がネットワークの「ロシア語」セグメント（「VK」、「マイワールド」など）と「より西向き」の方向（「Linkedin」、オブジェクトの多くの場所およびアドレス）海外にいた）。 西洋のソーシャルネットワークで人を探すのに十分な時間が無駄になりました。

競争が終わった後に記事を書いたので、どこかで間違いを犯した可能性があります。たとえば、ステップ3の終わりに、誰かがしみを見つけたら、書きます。それを修正します。

コンテストで一緒に戦った「シーシャ」に感謝します。 よくできました！ メダルはあまりありませんでした。 しかし、それは重要な経験でした。 「azrael」、「topol」、「Det0」というニックネームで最初の3か所を獲得した人たちに感謝します。これは受賞後の答えの一部です。

そして、このコンペティションの主催者と会議全体のおかげで、情報セキュリティの素晴らしい祝賀会でした！ 頑張って！



更新 ：2013年6月24日にコンテストのデベロッパーが公式の文章を公開しました 。 こちらをご覧ください 。