Výborná příležitost – banka, kterou chceme vykrást, se dnes stěhuje do nových prostor. Navíc k našemu štěstí zkoušejí alarmy, a to až do 16 hodin, takže nebude nápadné, když ho omylem spustíme. Je pootevřené okno v patře, které chrání jediné čidlo. Naše krysa uvnitř z řad zaměstnanců položila IP kameru do komory s čidly, takže vidíme, jestli čidlo, které se snažíme nabourat, je ve stavu OK nebo řve alarmem. IP kamera streamuje záběr na YouTube, žel se zpožděním. Problém je, že čidlo komunikuje pomocí radiových vln: každých 15 až 30 vteřin pípne dioda a přístroj vyšle signál. Odposloucháváme, snažíme se napodobit a až si budeme jisti, čidlo vypneme a místo něj pustíme naši napodobeninu, kterou jsme postavili. Ještě vymodelovat trochu staniolu mezi anténky, tak… poplašňák čidla houká! Zacpat si uši a za půl minuty znovu.
Český soutěžní stůl
… Takhle nějak vypadal děj první hardwarové úlohy, kterou řešili delegáti českých zemí, poprvé zavítavše na celoevropské finále European Cyber Security Challenge. Finále, která se pořádají od roku 2014, letos hostila španělská Malaga. Český tým sestával ze sedmi kluků starších 18 let, dvou 17letých a patnáctiletého, který byl z nás všech největší. Tvořilo jej deset vítězů prvního ročníku středoškolské Kybersoutěže, k jejímž významným sponzorům patří sdružení CZ.NIC a jíž se zúčastnilo na 1 100 studentů ze 162 různých škol. Ti poměřovali své schopnosti s dalšími 14 národy od Norska po Kypr v prostředí přímořského slunečného městečka v několika disciplínách – první z nich byla zmíněná hardwarové úloha, kterou jsme si opravdu vychutnali (nebo si ona vychutnala nás?). Jeden příběh za všechny. Konfigurace naší antény zapřičinila rušení signálu všech ostatních týmů… za několik okamžiků vyšel technik a zručnou triangulací zaměřil, že zdroj pochází od našeho stolu. V tu chvíli naštěstí hráči anténu vypnuli a technikovi sami nahlásili, že došlo k potížím.
Dostupné úlohy ale byly napínavé a nápadité. Například k šifrovací úloze dostali hráči jenom jediný soubor plný slova Pikachu. Přemýšleli, co je to za šifru, zkoušeli získat heslo z metadat souboru… až nakonec přišli na to, že se jedná o zdrojový kód v esoterickém programovacím jazyku Pikalang; z něj pak získali zdrojový kód v jazyku Brainfuck z roku 1993, který možná jako zástupce žertovného programování znáte spíš. Po provedení Brainfucku získali řádek podobný zápisu v /etc/shadow … a pro heslo stačilo už jen lousknout sha512.
Utkání v plném proudu
Jiná úloha procvičila hráče ve zneužívání SQL injection – s jednou třešničkou. Login formulář obsahoval totiž proprietární Captchu, kterou nebylo snadné obelstít. V HTML kódu stránky však našli poznámku a stačilo pak jenom uhodnout, na jakém URL běží mobilní verze, která Captchu nepodporovala.
Organizátorům můžeme poděkovat i za to, jak se o nás starali v době odpočinku. Ubytováním a úrovní stravování nám vskutku dali pocítit, že finále je za odměnu – soutěžící byli ubytování v blízkosti katedrály v hotelu, z jehož střechy se jevilo město jako na dlani, a každý večer nás zavezli na večeři, při níž jsme si mohli „do sytosti“ popovídat s kolegy z ostatních týmů.
Všichni si domů odvezli klávesnici Dell, výherci pak 3D tiskárny, drony nebo Arduina. Jisté potíže vyvstaly během přepravy – při přebalování zavazadel nám totiž došlo, že jen máloco může být na letišti méně podezřelé než hardware s klubkem drátů, připevněných na sejfovou klávesnici a bzučák. Umístit tuto podezřelost do palubního zavazadla, nebo dolů? Paní u skeneru se však jenom smála. Až později nám došlo, že zřejmě týž přístroj transportovala ten den před námi desítka týmů jiných národností, takže si personál letiště zřejmě zvykl.
Arduino s klávesnicí
Blogpost skoro uzavřu upřímnou výpovědí jednoho účastníka, kterou jsem vyposlechl v autobuse: „Na to, že jsem s Arduinem dělal poprvé v životě, si ho chci pořídit a dělat s ním doma. Zjistil jsem, že céčko není taková prasárna, ve které se píšou jenom herní enginy, jak jsem si vždycky myslel.“
Jinak druhý ročník Kybersoutěže již odstartoval, přihlásilo se dokonce 3 061 studentů – mezi nimi postoupili i někteří z letošních finalistů. Jestli zvítězí a pojedou reprezentovat Českou republiku i podruhé (což by se týmu hodilo – kluci budou moci přispět zkušenostmi), budeme vědět na jaře. Držím palce také všem dívkám, které se druhého ročníku účastní – něžné pohlaví mezi hackery zastupovala doposud jen Dánka, Britka a Rumunka; při představování byly poctěny náležitým potleskem. Tak je to správně, tak to má být!
Na úplný závěr ještě nesmím zapomenout, že za tenhle zážitek vděčím také projektu Safer Internet, který je spolufinancovaný Evropskou komisí.