company_banner

Кто остановил шредер или как нужно было проходить квест с уничтожением сервера

    Пару дней назад мы завершили одно из самых эмоционально-заряженных событий, которое нам повезло проводить в рамках блога — хакерскую онлайн-игру с уничтожением сервера.

    Результаты превзошли все наши ожидания: участники не просто приняли участие, а быстро организовались в слаженное коммьюнити из 620 человек в дискорде, которое буквально штурмом взяло квест за двое суток без перерыва на сон.


    И вот как это закончилось:



    Как всё начиналось и о чём вообще речь?


    Игра началась 12 августа, когда мы выложили в блоге пост с видеороликом, в котором хакер в образе черепа предлагает сыграть в игру, уничтожить сервер, устроить в комнате короткое замыкание (ну или мини-пожар) и забрать оставшиеся в шредере деньги.

    Это был онлайн-квест: мы запустили ютуб-трансляцию из комнаты, которую заполнили iot-устройствами, подкроватным сервером (который и надо было уничтожить), а над сервером закрепили аквариум и подвесили над ним гирю. Чтобы игра была более остросюжетной, мы решили сделать призовой фонд в 200 000 рублей, который загрузили в шредер и настроили его на включение каждые 60 минут. Каждый час шредер съедал по 1000 рублей — чем раньше игроки остановили бы его, тем больше денег бы выиграли.



    Строить этот квест было само по себе квестом — нам пришлось питаться одной доставкой и спать по несколько часов в сутки прямо в той же комнате. Но самым удивительным было наблюдать за полётом мысли игроков и их эмоциональной отдачей в процессе.

    Если честно, то изобретательность игроков в разгадке задачек превзошла нашу скромную задумку во много раз: каждую свободную минуту мы читали чат дискорда и в некоторых случаях буквально рыдали от смеха, узнавая, чем занимаются игроки и как они шутят в процессе.

    Над проектом не покладая рук трудились 7 человек: бекендер, специалист-хардващик, настоящий кинопродюсер, CG-дизайнер и два идейных вдохновителя-сопродюсера.

    Мы расскажем в следующих постах, как именно квест был реализован с технической точки зрения, а пока я расскажу его разгадку: как именно надо было хакать эту комнату на трансляции. Заодно вспомним хронологию событий, а также все безумные иллюминатские теории из чатика дискорда и все.

    Что было у игроков в начале игры


    Все предметы в комнате делились на три категории:

    • Простые в управлении, не игровые iot-устройства
    • Игровые устройства для прохождения квеста
    • Антураж



    Мы разместили 8 очень простых в управлении элементов: две лампы, одну гирлянду, пять букв СОКОЛ, каждой из которых можно было менять цвет. Все это можно было включать/выключать прямо с сайта и сразу видеть результат на трансляции — мы специально сделали их доступными для всех игроков, вне зависимости от уровня технической подкованности.


    Все, что просто включалось с сайта

    Из важных игровых элементов, которые нужны были для прохождения квеста, и доступ к которым, было не так просто получить:

    1. Сервер с открытой крышкой и аквариумом над ним
    2. Гиря, подвешеная так, чтобы разбить аквариум
    3. Мегатрон 3000 — мощная лазерная указка, направленная на верёвку, которая держит гирю
    4. Мощный вентилятор, который запускался при нагрузке на сервер
    5. Флипчарт, на котором были написаны логин и пароль к Мегатрону
    6. Телефон, на который можно было позвонить и увидеть свой звонок в прямом эфире
    7. Шредер, который поедал по 1000-рублевой бумажке в час

    Как именно разгадывался квест


    Скажу сразу: ларчик открывался довольно просто.

    Целью игры было остановить шредер, устроив в комнате короткое замыкание. Для этого надо было разбить аквариум, запустив в нее гирю и залить водой сервер. Гиря держалась на шнурке, на который был нацелен Мегатрон. Захватив управление Мегатроном, веревку можно было перерезать. Это делалось в 5 простых шагов:

    Шаг 1. Нагрузить сервер, стоящий в комнате


    Например, посылая пакеты командой.

    ab -r -n 10000 -c 100 -s 280 -l https://ws.ooosokol.ru/captcha

    Подсказкой была очень грузившая капча на странице Прайс-лист.


    Та самая капча, которую надо было атаковать



    При нагрузке сервера повышалась его температура и это можно было отследить на мониторинге, открытом прямо перед камерой. Следом включался вентилятор, который открывал легкую занавеску на флипчарте. Тогда открывался написанный на доске логин и пароль доступа к странице Мегатрона.

    А саму страницу управления Мегатроном можно было найти, проверив все сертификаты, выпущенные на домен ooosokol.ru.

    На поддомене megatron.ooosokol.ru находилась страница управления Мегатроном. Но она не открывалась, пока на Мегатрон не подадут первичное питание.

    Все эти этапы игроки прошли почти сразу в комментариях трансляции на youtube. Дальше задачки были посложнее и игроки создали дискорд-сервер RUVDS Hack Room и продолжили обсуждение там.

    Шаг 2. Подать первичное питание на Мегатрон


    Все умные устройства, управляемые с сайта (те самые светильники, которые без остановки включали или выключали игроки) имели свои идентификаторы.

    Чтобы подать первичное питание на Мегатрон и заодно подсветить его, нужно было найти и включить скрытое устройство на странице управления офисом.



    Для этого нужно было посмотреть на идентификаторы устройств и заметить, всего устройств 4, а на сайте доступно только 3.



    Страница Мегатрона при включении 4-го устройства становилась доступна и сам лазер подсвечивался. Но при этом стрелять лазером было невозможно, а на его странице висело сообщение, что лазер пока недоступен и подсказка: в офисе выбило пробки, надо звонить в управляющую компанию и просить подать питание.


    Подсказка об управляющей компании

    3. Дозвониться до управляющей компании и попросить включить питание Мегатрона


    По ЛОРу Мегатрон не мог выстрелить, потому что в офисе выбило пробки. Включить питание обратно могла только управляющая компания, до которой надо было дозвониться и пройти идентификацию, как владелец ООО.

    Найти номер управляющей компании было легко — мы вставили её прямо в футер.



    А вот пройти идентификацию было гораздо сложнее.

    При звонке на номер +74991130688, трубку поднимала девушка-оператор и скучающим голосом просила назвать ИНН компании и полное ФИО владельца. Без этого включать питание она отказывалась и объясняла это тем, что она обычная диспетчерская на аутсорсе, у них 2000 клиентов и офисов и без этой информации найти нужный просто не получается.

    Для игроков это оказалось самым сложным этапом. Правильные ИНН и ФИО владельца искали почти двое суток, а я (в лице оператора диспетчерской) за это время приняла более 400 звонков. Телефон звонил каждые 2-3 минуты.

    Ребята копали как могли. В ход шло всё: они потрошили исходники сайта, гуглили владельца сайта Соколова, пробивали по соцсетям.

    Они искали ИНН разных компаний








    В какой-то момент даже позвонили с подменой номера — будто бы звонили из офиса компании Сокол, указанной в футере.

    Тогда мы узнали, какое огромное количество компаний носит название Сокол. Практически каждой из этих компаний дозванивались игроки, но это ни шло ни в какое сравнение с тем, что пережил сайт lasermasters.ru, у которых мы действительно покупали тот самый Мегатрон около месяца назад.

    Сначала дискорд атаковал поддержку Лазерсмастерс.



    Затем смогли найти там чей-то аккаунт! В то время как поддержка Лазермастерс уже перестала скупиться на выражения.

    Осторожно, уберите детей от экрана



    В конце концов, решили Лазермастерс просто заддосить и их сайт упал. Равно как удалось положить и сайт Сокола, хотя мы его быстро подняли.



    В ходе расследования ребята из дискорда даже нашли актера, фотографию которого мы купили со стоков, чтобы он сыграл роль главного антагониста, владельца ООО Андрея Соколова. Оказалось, его зовут Юрий и он совершенно не в курсе, в какую заварушку попал.


    Андрей Соколов, персонаж игры


    Юрий, модель

    Если бы он знал, как заставил 600 человек не спать двое суток...)

    Потом копать уже начали конкретно под меня, как под организатора квеста (что вполне могло бы закончиться успехом, если бы ребята догадались взломать мои рабочие каналы).



    Я даже немного забеспокоилась, когда они назвали моё отчество и даже ИНН. Но отлегло, когда в процессе работы испорченного телефона у меня вдруг появился старший брат, который внезапно оказался техническим директором Хабра.

    Мой дорогой родной брат, которому тоже перепало

    Тем временем догадки становились всё невероятнее и невероятнее


    И дошло до иллюминатских теорий.



    Самые сочные теории заговора касались Спанч Боба, Гарри Поттера и мигания китайской диодной гирлянды, которую мы положили внутрь системного блока.

    Откуда Спанч Боб и Гарри Поттер, скажете вы? Мы засунули их адреса в страницу контактов Сокола и это породило массу догадок в дискорд-сообществе. Хотя мы просто хотели отдать дань своим любимым произведениям детства.


    Та самая отсылка на странице "Контакты"

    И в результате










    Оказалось в сериале действительно есть документы Губки Боба. Их называли как ИНН



    Одна из самых сложных теорий была о том, что в мигании китайской гирлянды зашито сообщение азбукой морзе.

    Мерцание записывали и пытались расшифровать






    Из теорий попроще — ребята пытались понять, не зашита ли подсказка в картах.



    По дороге нас сравнивали с Цикадой 3301 — незаслуженно высокая оценка, но всё равно приятная.





    Игроки вовсю пробовали социальную инженерию. Мне звонили под видом ФСБ, пожарных, самого Соколова, его бывшей жены и охранника, который якобы сидит у нас внизу. Говорили, что начался пожар, кто-то застрял в лифте, а самая душераздирающая история была о том, что в офисе, охваченном огнём, якобы сидит песик звонившего.


    Попытки подкупа тоже были

    Потихоньку в чате стали появляться собственные мемы.

    Вот парочка






    А заводы тем временем простаивали










    Подсказка


    Денег в шредере становилось всё меньше. Чтобы победителю досталось хоть что-то, мы решили сделать подсказку. Заодно, последовав правилам геймдизайна, прямо перед финалом поднять напряжение.

    Отдельным постом в блоге мы выложили ролик. В начале был вставлен кусочек из Бойцовского Клуба — как отсылку к Тайлеру Дердену, который помышлял вставкой 25-го кадра в фильмы, пока работал в кинотеатрах.

    Мы решили применить эту же механику и вставили 25-м кадром подсказку, как загуглить верный ИНН и ФИО владельца.




    После этого ребята разобрались очень быстро

    Шаг 4. Пострелять лазером в не-боевом режиме


    При подаче питания управляющей компанией и после включения пробок, Мегатрон включался и мог стрелять в тестовом режиме. В форму для ввода уже был подставлен токен для тестового выстрела.


    Каждые 25 секунд генерировался новый токен, его можно было использовать, чтобы включить лазер на 10 секунд на мощности 10/255

    Затем лазер охлаждался 1 минуту и в эту минуту был недоступен, не принимал новые запросы на выстрел.

    Этой мощности совершенно не хватало для того, чтобы пережечь верёвку, но любой игрок мог пульнуть из Мегатрона и увидеть лазерный луч в действии.

    Реакция сообщества была более, чем бурной

    Но все быстро успокоились и поняли, что это еще не конец игры


    Дальше сообщество начало разбираться, как запустить боевой режим

    Брейншторм







    В дискорде появились фейки


    Мы не знали, что на ножке стола на трансляции что-то написано

    Сообщество подошло к шагу 4. Разобраться, как генерируются токены: найти gist и сгенерировать токен, который включает лазер в боевом режиме


    Боевой режим Мегатрона — это 100% мощность лазера в 3 Вт. Этого вполне достаточно на 2 минуты, чтобы пережечь верёвку, которая держала гирю, разбить аквариум и залить сервер водой.

    Мы оставили несколько подсказок на гитхабе проекта: а именно код генерации токена, по которому можно было понять, что тестовый и боевой токены генерируются на основе одного показателя счётчика. В случае боевого токена помимо значения счётчика ещё используется соль, которую почти полностью оставили в истории изменении этого gist, за исключением двух последних символов.


    Как все быстро догадались, это было 42

    В комментариях гиста была переписка Андрея Соколова с разработчиком («мудрый разраб», как назвали его ребята из дискорда).

    В переписке Андрей присылал один из боевых токенов, а разраб ответил, что этот токен был иницииализирован при значении счетчика 42.



    Зная эти данные, можно было перебрать 2 последних символа соли и фактически выяснить, что для нее использовались числа из Lost, переведенные в 16-ичную систему.

    Дальше игрокам оставалось поймать значение счётчика (проанализировав тестовый токен) и сгенерировать боевой токен, используя следующее значение счётчика и подобранную на прошлом шаге соль.

    Счётчик просто инкрементировался при каждом тестовом выстреле и каждые 25 секунд. Об этом мы нигде не писали, это должно было быть небольшой игровой неожиданностью. Ребята с этим очень быстро разобрались и запустили мегатрон в боевом режиме.

    Шаг 5. Пережечь лазером верёвку



    Как это было

    Здесь уже всё просто. Отправка боевого токена включала лазер в боевой режим, а комната менялась и приходила в «режим катастрофы», как мы это называли в общем сценарии:

    • Выключался весь свет в комнате
    • Кнопки iot-девайсов на сайте становились недоступны
    • Включалась мигалка и звук сирены
    • Красная гиря подсвечивалась
    • На экране телевизора начинался обратный отсчёт до запуска лазера в боевой режим

    Мы дали на обратный отсчёт полтора часа, чтобы все, кто играл, успели включить трансляцию и увидеть финал. И не зря: пока я с замиранием сердца ждала звука удара и разбивающегося стекла из соседней комнаты, вся команда, строившая квест, не сговариваясь, начали выезжать на базу, чтобы увидеть финал своими глазами. Они просто забегали в комнату и начинали обниматься.

    Тем временем в дискорде




    После окончания обратного отсчёта лазер включился в боевой и за две минуты пережёг веревку — гиря полетела прямо в аквариум. Перед ударом на экране заорала безумная капибара, в панике подняв маленькие лапки.

    Раз уж вся команда собралась там, мы сняли небольшое обращение всем, кто двое суток боролся за финал с дискорде и пошли открывать шампанское:



    Как мы просчитали время запуска рекламных видеороликов и полёт гири?


    После десятка тестов пережигания верёвки лазером мы поняли, что это очень ненадёжная конструкция — полупрожённая верёвка становится тоньше, под весом гири натягивалась, меняла расположение и лазер уже не мог прорезать её до конца.

    Поэтому мы пошли другим путём: задублировали пережигание, обмотав верёвку нихромовой нитью. Через нить пускали ток, она накалялась докрасна и пережигала верёвку приблизительно за 2 секунды — это давало нам точные понимание когда включать орущую капибару, останавливать таймер запуска и запускать рекламный ролик:



    Что у нас не получилось?


    В финале из системного блока должен был пойти густой дым, как при пожаре — мы приготовили дымовые шашки, запаливали их аналогичным образом, но они почему-то не сработали (вероятнно из-за воды).

    Кто же победитель?


    Победителем вышел Аркадий Алексеев из Санкт-Петербурга — именно он первым сгенерировал тестовый токен и выиграл оставшиеся в шредере деньги в размере 134 000 рублей.

    Небольшое интервью с Аркадием.

    Расскажи о себе, чем занимаешься на работе?


    По образованию я безопасник, закончил БИТ в ИТМО. Работаю фулстэк-веб-разработчиком на аутсорсе. В школе был олимпиадником, в том числе по программированию и математике.

    Как узнал про игру?


    Зашел на Хабр просто почитать, увидел статью, заинтересовался.

    Сколько часов играл, когда присоединился?


    Присоединился вечером того дня, когда выложили статью (т.е. за сутки до конца). Посидел вечер и немалую часть следующего дня.

    Что понравилось, что нет?


    В целом понравилось всё (еще бы, я ж выиграл)), но немного напряг момент со звонками. Ну типа звонить и проверять каждую версию как-то не оченнь, как минимум неловко было — я же понимал, что там таких еще несколько десятков звонит, половина шуткует и пытается в соц.инженерию.

    Как ты понял, как найти боевой токен к мегатрону?


    Когда я зашел, уже поспамили сервер, потыкали лампочки, нашли пароль от админки лазера, всякие поддомены и странички.

    Еще легко было найти профиль на гитхабе и гист с комментами. Оттуда очевиден процесс генерации токена и secret для него же. В таких квестах не нужно шибко изобретать имхо, так как можно утонуть в куче вариантов развития событий; и соответственно надо следовать туда, куда тебя толкает создатель квеста.

    С учётом остальных поддоменов и тестового сайта на тильде, было ясно, что после подачи питания на лазер, надо будет подобрать токен. Соответственно ещё в тот же вечер я набросал примерный запрос на включение лазера (на основании 4х доступных форм: 1 на рабочем сайте и 3 на тестовом/старом) и попытался побрутить рабочими токенами начиная с 42 (ну так, на дурака — вдруг там уже всё включено, а страничку с отправкой токена просто откроют после ИНН и ФИО).

    Не уверен, что запрос был верный, так как проверять не было времени (ведь проверить можно было только включения лазера), но к перебору токена я готовился заранее.

    Ещё там была очевидная логика с вебсокетами и управлением устройств в app.js-файле. Там был жирный намёк на a9 устройство, при отправке power: true на которое сокет крашился. Я попытался всякое на него поотправлять — мало ли, там могло быть дополнительное устройство для разгадки ИНН, но без успехов.

    Потом я ещё побрутил остальные айдишники рядом с теми десятью, но везде было unknown device. Ещё попытался погуглить всякое, залезть на chsokolow@gmail.com, поотправлял всякое в форме на странице прайс-листа, покопался с lasermasters, но всё без успехов. На следующий день сидел в чате, гуглил всякое, потом всплыла стего-тема и я посоветовался с человеком стегсолв для картинок и гифок (но умом понимал, что 99% там ничего нет, так как это было бы слишком + противоречие с основной линией квеста).

    Но в итоге тоже пару часов сидел и копался во всех пикчах и гифках. Еще пару раз звонил с различными вариантами ИНН, но мимо. Потом уже решил подзабить, но там подсказку выложили — и стало ясно, что в ближайшее время ИНН найдут, что и случилось. Потом то ли я, то ли кто-то ещё (там не очевидно) отправил power: true на а9-устройство и лазер заработал, хотя может быть тут связи нет и он заработал просто после ИНН. В общем, зашёл в админку лазера и немало удивился, так как сервер сам присылал токен (а я то уже готовился брутить). Стало очевидно, что токен тестовый, так как трансляция + здравый смысл + я его проверил.

    В коде была логика отправки рабочего токена куда-то нотификацией, но, видимо, либо это был неверный код, либо это было нужно для других частей системы. Я набросал скрипт для получения текущего рабочего токена из текущего тестового и стал сидеть на ф5, пытаясь их отправить — с этим были проблемы, так как все постоянно тыкали кнопку отправки по возможности тем самым изменяя токен. Потом еще сайт упал, счетчик сбросился, но уже не суть — через некоторое время я отправил рабочий токен. По идее счетчик был 58 и токен был 449a776938f7ce4cf19f8603045dca0f на момент активации, если не ошибаюсь. Собственно всё.

    Потом у меня еще несколько подгорело от комментов а ля «да это все тривиально, да повезло прост». Ну, если зайти на страницу, подумать минутку, написать скрипт за пару минут, проверить его — то да, тривиально. Но я сделал это секунд за 10-20, и потом просто несколько минут не мог отправить токен.

    Конечно, можно было попробовать написать логику для подхвата и отправки автоматом, но это уже дольше и большой риск, плюс наверно клауд начал бы ругаться. Вот с чем мне действительно повезло, так это с самим последним этапом — немного алгоритмов на скорость + скорость реакции, это прям моё. Если бы там было задание непосредственно из пентеста, я бы не стал первым, скорее всего.

    Но это ещё не конец


    Мне совершенно не терпится рассказать вам о всей замечательной команде, которая строила этот квест и всех инженерных решениях, которые она находила. Но этот пост и так получился слишком огромным — поэтому об этом будут отдельные статьи, так что stay tuned и подписывайтесь на наш блог на Хабре.

    RUVDS.com
    VDS/VPS-хостинг. Скидка 10% по коду HABR

    Комментарии 55

      +8
      Часть с гуглингом сокола конечно была самая сомнительная, потому что было невозможно понять какую именно компанию вы загадали.
        0
        Надо было последовательно все тестить. Эта часть — на упорство. К тому же мы проверили на 10 разных устройствах — этот ИНН выпадал одним первой 5-ке, если гуглить «ООО Сокол».

        Надо было просто догадаться, что он не на себя регал компанию
          +16
          В РФ зарегистрировано 3265 ООО «Сокол», из них 703 в Москве. Тут надо очень упорным быть…
        +1
        Ну несправедливо получается вышло.
        Потом то ли я, то ли кто-то ещё (там не очевидно) отправил power: true на а9-устройство и лазер заработал, хотя может быть тут связи нет и он заработал просто после ИНН.

        просто на готовое пришел))
          +4
          Участвовал, но не победил — ничего страшного :) Но всё равно было круто, думаю, во многом за счёт интерактивной оффлайн-составляющей — делайте ещё!
            0
            Спасибо! Сами с удовольствием сыграем еще
              0
              зато опыт какой получен
            +3
            Не совсем верно у вас описана последовательность действий игроков. Уже в первый вечер нашли http://ooosokol.tilda.ws/megatron-active и выяснили что будет после угадывания ИНН. Чуть позже гист нашли и ночью всю логику генерации токена описали в дискорде и вроде в роадмапе тоже. Весь второй день занимались только поиском ИНН.
              –1
              Вполне возможно, я придерживалась официальной версии, пока писала пост
              +14
              Простите, но я не понял, что нужно было гуглить, чтобы найти ИНН и ФИО.
              По данным сайта «зачестныйбизнес», существует около 500 действующих ООО «Сокол» (точное совпадение, с неточным — более 4700).
              upd: понял, нужно загуглить «Сокол ООО sbis» (дословно и только в этой последовательности).
              Похоже, квест был для тех людей, которые в Гугле ищут Яндекс, а в Яндексе — почту Мэйлру.
                –3

                А деньги настоящие уничтожали? Вроде порча билетов банка России приравнивается к порче учебников...

                  0
                  Пришёл в дискорд, когда всё уже нашли, кроме инн (то есть за два дня до конца). Квест очень понравился, побольше бы таких в рунэте) Спасибо организаторам за такую интересную возможность провести время)
                    0
                    спасибо! мы и сами получили большое удовольствие, будем делать еще
                    +16
                    Люблю такие вот мероприятия, но блин не одобряю призовую систему типа «кто последний тот и папа». Это как нанести боссу 999 единиц урона, а залетный игрок наносит последний удар и фраг с опытом достается ему.
                    Тут так же. решение квеста результат двухдневного штурма группой людей, но все почести получает тот, кто первый сгенерировал боевой токен, даже если он начал участие за пол часа до окончания на всё готовое (грубо говоря)
                    Но и понимаю в то же время, что все две сотни участников не наградишь…
                    В любом случае статья огонь))) интересно и весело было читать )))
                      +3
                      Cпасибо :) бы лучше продумаем всю систему в будущих квестах.
                        0
                        Ну так а кто заставлял участников объединяться? Сидели бы каждый сам по себе, тогда не было бы вопросов.
                        Условия выдачи приза были обозначены изначально.
                          +1
                          Тогда и от приза ничего бы не осталось, потому что индивидуальное решение отняло бы на порядок больше времени. Шредер бы всё сожрал)
                            +2
                            Ну во первых нет: Очевидно что орги не заинтересованы в фейле и вытянули бы победу.
                            Во-вторых: это другой вопрос.
                            +1
                            Повезло просто победителю.

                            Мало кто рассчитывал на победу, у многих интерес был спортивный, не ради выигрыша, лишь бы разгадать.
                            Хотя лишние 100+ тысяч никому не лишние…

                            Comunity в дискорде (лучше не читать!)
                            Я присоединился 13 августа поздно вечером.

                            На следующий день понабежало школьников чуть младше меня (a.k.a Мамкин Хацкир) и началось…
                            Было много сообщений вообще не по теме, много кто писал в канал «инфа_какая_есть-не-засорять» сообщения вида «как играть?» «я победю!» и т.д.
                            Кол-во участников до 600+, никого не выгоняли.

                            Некоторые, включая меня перебежали в Telegram-группу.
                            0
                            Если не делиться информацией, то босса не добьют, зато малой группе может дамага не хватить. Выложить в паблик, потом страдать — это нелогично, пословица про неубитого мишку напрашивается. После публикации информации, шансы сгенерировать токен у всех равные, просто кто-то успел быстрее на последнем этапе.
                            +2
                            Рыбку жалко:(
                              +1

                              А там реально живая рыба была?

                                0
                                Да не было там никакой рыбы!
                                Ютуб бы забанил за жестокое отношение к животным...
                                  0
                                  Да вряд ли, рыбы это еще мельче и тупее чем крысы, а на ютубе полно роликов где ловушки убивают очень много крыс.
                              +2

                              Вы ахренеть какие крутые, если бы не работа, то с удовольствием поучаствовал бы в квесте, если бы не работа. Завидую как создателям, так и участникам. Вы крутые!

                              +3
                              Подсказкой была очень грузившая капча на странице Прайс-лист.

                              CRT-монитор на странице прайс-листа просто обязывает иметь в офисе факс с автоответчиком, а не банальный офисный телефон.


                              У факсов от Panasonic была фича «мне очень надо», они автоматически включали приём факсов после 15-го гудка. Плюс автоответчиком можно было управлять удалённо, при помощи бипера. Мог получиться дополнительный квест с поиском живого факс-модема и посланиями от участников.

                                +2

                                К сожалею непонятно как в данном случае защититься от недопустимых для игры сообщений от игроков. А с добавлением какой бы то ни было фильтрации контента система получалась бы излишне сложной. Да и с автоответчиком второй опасный момент — можно было нарваться на защиту авторских прав YouTube если бы кто нибудь включил музыку. Если бы не это можно было бы добавить ещё какой нибудь голосовой помощник в офисе который бы реагировал на фразы игроков

                                  0

                                  Есть онлайн сервисы по отправке факсов, даже бесплатно, если разово.

                                  +1
                                  Для игроков это оказалось самым сложным этапом. Правильные ИНН и ФИО владельца искали почти двое суток, а я (в лице оператора диспетчерской) за это время приняла более 400 звонков. Телефон звонил каждые 2-3 минуты

                                  Как-то не в духе квеста) Почему не IVR со вводом всего этого через клавиатуру?)
                                    0

                                    дозвон через модем и отправка АТ команд.

                                      0
                                      remote1!remote2!example.tar.gz example.tar.gz
                                      +5
                                      Мы хотели добавить социнжиниринга и личное общение)
                                      Получилось круто, люди такие повороты придумывали.

                                      При этом часть игроков гасилась, услышав женский голос в трубке — но потом они собирались со стеснением, перезванивали и со мной уже говорил голосовой помощник, который наговаривал их сообщение))
                                        +1
                                        Со звонками это крутая часть квеста. Нужна подборка забавных цитат и диалогов со звонков :D
                                      +6

                                      Сам квест пропустил, но читал отчёт как отличный детектив.

                                        +1
                                        Вы не представляете в какой синтепон превратились мои мозги, пока целиком перечитывала дискорд, вытаскивая все повороты сюжета)

                                        И то половину пришлось вырезать, чтобы не перегружать
                                        +2
                                        Идея с квестом замечательная, только вот немного напрягало что для его решения надо было действовать практически на гране нарушения закона:)
                                          0
                                          Отличная идея. Жаль, что поздно узнал и пришел только под самый конец. Но и читать лог чата тоже было интересно)
                                            +3
                                            Ну вот, а про ложный след и покупку домена sokol9966.ru ни слова.
                                            photo-2020-08-13-14-42-51

                                            galimova_ruvds и я по прежнему жду информацию по дизайну. Говорили что будут имена, у кого можно заказать подобный «ламповый» сайт.
                                              +1
                                              Привет, дизайн сайта делал я, как и весь видео-продакшен :)
                                              0

                                              Челлендж ок
                                              Но стилер получил году

                                                +6

                                                Квест был суперский, хочу еще :)) На у теперь немного критики :)
                                                1) Идея с управлением устройствами с сайта была крутая, но фактически у большинства игроков даже времени не было ткнуть на кнопку, а часть игроков и вовсе имела возможность полностью перехватить контроль над всеми кнопками.
                                                2) Тут присоединюсь к остальным: идея с поиском ИНН в гугле не очень, даже если в результате небольшого тестирования нужный результат был на первой странице так как это могло в любой момент измениться.
                                                А теперь предложения, если когда будет еще квест:
                                                1) Дать всем игоркам пройти весь путь до конца, первому приз, остальным — поощрительные презенты (в текущей игре тот, кто нашел верный ответ на одну из задач сразу блокировал ее решение другими)
                                                2) Сделать так, чтобы помощь других игроков упростила задачу, но не решала ее полностью, чтобы человек, который пришел под конец не могу чисто случайно забрать приз. Как пример, можно взять тот же токен, его чужими руками в теории подобрать не получится

                                                  +1
                                                  Самый сок этого квеста был в том, что комната реальная, а если давать каждому пройти от начала и до конца, то придется для каждого игрока делать свою комнату(те делать просто обычную игру)
                                                  +3
                                                  Огромная просьба, анонсировать ВОЗМОЖНОСТЬ таких квестов в будущем, заранее. )
                                                  Например сообщить, котятки, на новогодних праздниках будет сюрпрайз.
                                                  Чтобы можно было взять отпуск или отгула.
                                                  P.S. Не стал тратить много времени, так как пострадала бы работа.
                                                  Но все было очень интересно! )
                                                  Так держать!
                                                    0
                                                    Спасибо!) разве сюрпризы не приятнее?
                                                      +2
                                                      штрафные санкции на работе приятнее))
                                                    +1

                                                    Спасибо организаторам. Было хорошо!

                                                      0
                                                      Вам спасибо!
                                                      0

                                                      Про Цикаду 3310 смешно.

                                                      0
                                                      Но это же был кричащий суслик… >_<
                                                        0
                                                        Есть еще одно странное название: «Орущий бобер!» (ссылка)

                                                        Так суслик, капибара или бобер?
                                                          0
                                                          Ну в старом ролике вроде даже сурок. Да и в оригинале тоже. Так что я тоже не прав.
                                                        0
                                                        Супер.
                                                        А что, не уж то правда шредер резал реальные бумажки?
                                                        Можно было бы обойтись «реальными» (с виду), а выигрыш уже отдать реальными.
                                                          0

                                                          Пусть это останется тайной

                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                        Самое читаемое