Po drátě 5: Řešení úlohy č. 6
Odkaz ze zadání vedl na fórum v zapadlém koutě internetu, kde se jeden uživatel chvástal, že prolomil heslo k mailboxu Niela Ambrože jen s použitím myši a googlu. To už celkem jasně naznačovalo, že heslo je takzvaně "uhodnutelné" a že úkolem bude ho "uhodnout".
Po zadání výrazu "Niel Ambrož" do dostatečně pokročilého internetového vyhledávače se hledači-hadači dostává do ruky řada zajímavých údajů ze sociálního webu: Niel má profil na LinkedIn a Facebooku, nějaké fotky na Flickru, pár checkinů na Foursquare a celkem obsáhlou historii na Twitteru.
V tu chvíli už stačí klikat a skládat si indicie:
- Twitter napoví, že se Nielovi nepovedlo změnit si heslo na podrátí mail - tušíme, že tím pádem tam zůstalo nastavené heslo podle "pitomého schématu"
- podle Facebooku zjistíme, že má Niel rád prvočísla, ZOO Praha a skupinu "když jsem byl malý, měl jsem jako heslo mojejméno123"
- posledně jmenovanou skupinu musíme prozkoumat detailněji - na její
"zdi" se totiž Niel celkem otevřeně svěřuje, že zamlada používal heslo
<oblíbené zvíře>+<oblíbené číslo>.
Tady byl asi jediný zádrhel: kdo není zběhlý s Facebookem, mohl snadno přehlédnout překlikávátko, kterým se dají zobrazit příspěvky ostatních uživatelů. Ty, kdo se na Facebook zaregistrovali a prohlédli si Nielův profil zevnitř, neomlouvá nic - jedna z prvních zmínek v jeho newsfeedu je o tom, že této skupině nechal na zdi vzkaz. - všude se mluví o "zajímavé zastávce" - na Flickru (a pro zaregistrované i na FB) je její fotka a na Foursquare poloha. Je to zastávka Smíchovské nádraží pro autobusové linky 129, 241, 243, 314, 318, 338, 360 a 391. Zajímavá je tím, že z těch linek je prvočíselná jenom jedna, číslo 241. Že by to bylo to Nielovo oblíbené číslo?
- na Foursquare zase Niel doporučuje návštěvu Afrického pavilonu v pražské zoo, na Flickru má několik fotek žiraf, na Twitteru sleduje uživatele "zirafka" (která mimochodem nemá s Po drátě nic společného) a na profilové fotce je poměrně zřetelně viditelná plyšová žirafa. Uhodnout Nielovo oblíbené zvíře tedy nebude těžké.
Heslo tedy pravděpodobně zní "zirafa241". Z příspěvku na počátečním fóru známe adresu mailserveru i login, stačí se tedy přihlásit a přečíst si mail od roztomilého robůtka, ve kterém Nielovi připomíná heslo k sedmé úloze.
Zajímavosti
V zadání jsme jasně uvedli, že bruteforcovat heslo k mailserveru by se nemělo. Někteří se o to ale stejně pokusili. Těm, kdo od nás nedostali mail v průběhu soutěže, nyní vzkazujeme: vůbec se nám tento postup nelíbí. Příště budou brute force útoky zakázány rovnou v pravidlech.
Nejaktivnějším útočníkem ale nakonec byl anonymní Brazilec, který se podrátu pravděpodobně ani neúčastnil - zjevně neměl potuchy o existenci nějakého Niela a zkoušel prostě náhodné kombinace běžných loginů a hesel.
Mailbox byl samozřejmě nastražený - pro úlohu jsme použili upravený
POP server, který podporoval pouze čtení a všechny pokusy o modifikaci
obsahu mailu zahazoval.
Obsah si můžete prohlédnout
zde.
To ale neznamená, že Nielovi žádná pošta nepřišla. Až se vrátí z dovolené, asi z té záplavy prázdných mailů se subjectem "heslo" nebude dvakrát nadšen.
Jediný nám známý "dostatečně pokročilý vyhledávač" je Google. Všechny ostatní, které jsme zkoušeli, nedokázaly za více než půl roku jejich existence zaindexovat ani jeden Nielův sociální profil.
Nielova profilová fotka je skutečná fotografie z jeho dětství.
Autorem úlohy je matejcik, POP server ohackoval Martin Mareš
(Toto byla narážka na jejich slavnou píseň Africa.)
> si tam Niel dal kapelu Gorillaz, která ale zase odváděla pozornost od žiraf.
> (Toto byla narážka na jejich slavnou píseň Africa.)
U tehle ulohy byla bohuzel slusna sance, ze se neco takoveho stane. Vedlejsi
ulohu jsme tam nepridali prave proto, aby hraci nemuseli prolezat cely web, ale
mozna jsem jim to mohli taky rict. Pardon.
> Helejte, a co mělo znamenat to „Niel likes Toto (Musician)“ na
> Facebooku, které vedlo nastránku skupiny Toto, jejíž web je
> toto99.com? Zase náhoda, jak ta s láskou a pivem?
A nejen to, jeden z jejich hitů se dokonce jmenuje 99 (podle toho je
nejspíš pojmenovaná ta doména). Takže jsem se na tom taky docela dlouho
zasekl.
echo -e 'USER niel\nPASS $1\n' | nc pop.podrate.cz 110
... je důvod proč vám asi přišlo hodně hesel "$1" a proč já to tady vzdal i když jsem zirafa241 zkoušel několikrát.
Jinak tahle uloha se podle me moc nepovedla a indicii bylo az moc. Navic v dobe, kdy v zoo byl krest zirafky "Joel". Na zastavce jsem identifikoval prvocislo, ale to mi neprislo natolik specialni, aby zrovna tahle zastavka byla az tak vyjimecna. Z indicie se spis zdalo, ze pujde o matematiku s danymi cisly (navic ve dvou barvach). Takze nasledoval rozklad vsech cisel autobusu na prvocisla a podobne.
> Aha. Věci, co má který uživatel rád zásadně ignoruju. Evidentně
> automaticky.
Já na tom byl hůř, tyhle weby ignoruju jako celek, u Facebooku ještě
matně tuším, o co jde, ale u zbytku ani to. Některé servery Facebooku
mám dokonce v blacklistu AdBlocku kvůli těm otravným tlačítkům, co jimi
zamořují web. Takže jsem to musel řešit v Opeře, mimo jiné i proto, že
používám Firefox bez flashe a se značně zpacifikovaným JavaScriptem...