Elemento #: SCP-ES-078
Classe dell'Oggetto: Euclid
Procedure Speciali di Contenimento: Tutta la rete deve essere monitorata in cerca di copie di SCP-ES-078. Qualunque pagina che offra un download diretto di SCP-ES-078 deve essere chiusa, e l'amministratore della stessa, localizzato e interrogato. Tutti i possessori di una copia di SCP-ES-078 verranno interrogati e verranno loro somministrati amnestici di Classe-A, dopo aver eliminato il programma dal sistema.
La Fondazione deve custodire almeno una copia di SCP-ES-078, i cui esperimenti devono essere approvati da un membro del personale di livello 2 4 (Vedi Esperimento 078-1-F).
Descrizione: SCP-ES-078 è un software progettato per scopi di hacking. Consiste in un solo file chiamato "hackit.exe.", pesante 6,27 KB. Decompilare il file menzionato per vedere il codice sorgente ha mostrato una stringa di testo che recita [sic] "Bravo, amico. Vedo che sappiamo come decompilare, ma sei ancora lontano dall'essere grande quanto me. Stronzo, non saprai mai come funziona il mio programma! Con amore, Maximus." seguito da un immagine oscena costituita di caratteri ASCII. Se si eseguono alcune azioni con SCP-ES-078, i messaggi di avviso visualizzati verranno visti con lo stesso tono di informalità e arroganza.
Non è stata trovata alcuna informazione su un hacker che, con questo pseudonimo, programma questo tipo di applicazioni. Sospetti con pseudonimi simili sono stati interrogati sulla paternità di SCP-ES-078, ma nessuno ha ammesso di riconoscere il programma in questione.
Quando SCP-ES-078 viene eseguito, si apre una finestra nominata "Hack It Pro v1.04" e una serie di schede, chiamate Login, Web, BDD, Network, Wireless, Games e Attacks.
La prima scheda, Login (impostata come predefinita), visualizza un campo di testo contrassegnato da "Indirizzo", un menù a discesa denominato "Nome utente" e un altro campo di testo denominato come "Password". Quando nel primo campo viene inserito l'indirizzo di una pagina di autenticazione (che sia l'indirizzo o l'IP), il menù a discesa visualizza un elenco di nomi utente. Se uno qualsiasi di essi è selezionato, l'ultimo campo di testo mostra la rispettiva password chiaramente leggibile.
Esperimento 078-1-A
Indirizzo: www.google.com
Nome utente selezionato: N/A
Password: N/A
Poiché non era una pagina di autenticazione, l'elenco degli utenti era vuoto.
Esperimento 078-1-B
Indirizzo: mail.google.com (gmail)
Nome utente selezionato: ████████@gmail.com
Password: 123456
Le credenziali sono state testate, l'accesso a questo account di posta elettronica è stato effettuato con successo.
Esperimento 078-1-C
Indirizzo: www.hotmail.com
Nome utente selezionato: staff@hotmail.com
Password: █████████████████████████████
Esperimento 078-1-D
Indirizzo: 31.13.83.36 (www.facebook.com)
Nome utente selezionato: +34 681██████
Password: teQuiero_12
Esperimento 078-1-E
Indirizzo: ███.██.███.█ (Indirizzo privato all'interno della rete della Fondazione)
Nome utente selezionato: █████████ (Nome utente del Dr. ███████)
Password: [DATI CANCELLATI]
Esperimento 078-1-F
Indirizzo: ███.███.██.██ (Indirizzo pubblico protetto, di proprietà della Fondazione)
Nome utente selezionato: ███████ (Nome utente di O5-█)
Password: [DATI CANCELLATI]
I sistemi di sicurezza non hanno rilevato alcuna anomalia e l'accesso è stato acconsentito. Alla luce di ciò, per evitare l'accesso alle informazioni riservate, le Procedure Speciali di Contenimento saranno lievemente modificate.
Esperimento 078-1-G
Indirizzo: www.bbva.es (Indirizzo della banca BBVA, ente spagnolo)
Nome utente selezionato: ES ██ ████ ████ ██ ██████████
Password: 5541
Esperimento 078-1-H
Indirizzo: www.██████.gov (Indirizzo di proprietà del governo ██████)
Nome utente selezionato: admin
Password: █████
Al termine della scrittura dell'indirizzo, si è aperta una finestra con il seguente messaggio di avviso:
"Amico, che fai? L'eroe? Se fossi in te non mi metterei a fot██re i governi. Credimi, non proseguire o ti spareranno se ti prendono. Comunque, fai quello che vuoi. Ho creato io il coltello, sai se lo usi per tagliare il prosciutto o infilzare qualcuno. Maximus."
Poiché SCP-ES-078 non ha mostrato avvertimenti simili negli esperimenti 078-1-E e 078-1-E e 078-1-F, è stato teorizzato che "Maximus" sia completamente all'oscuro dell'esistenza della Fondazione.
La seconda scheda, Web, visualizza anch'essa un campo di testo per inserire un Indirizzo web e un piccolo spazio con delle directory. Quando si inserisce un indirizzo, la struttura dei PATHs della pagina viene mostrata nella sua interezza (file e cartelle), così come la possibilità di aprire e modificare i file.
Esperimento 078-2-A
Indirizzo: www.███████.org (La pagina di uno studio legale spagnolo)
Risultato: Vari file e cartelle .html con fogli di stile e immagini.
Modifica: Il file index.html è stato aperto da SCP-ES-078 e leggermente modificato, eliminando una C dalla parola "jurisdicción".
Quando la pagina principale è stata ricaricata dal browser, si poteva vedere la parola "jurisdicción" scritta con una sola C. In seguito, SCP-ES-078 è stato usato di nuovo per annullare questa modifica.
Esperimento 078-2-B
Indirizzo: █████.net (Una pagina per contrarre i servizi di un'azienda di pozzi d'acqua)
Risultato: Una struttura di cartelle con file .php e .css, tra gli altri. La cartella "www" viene visualizzata accanto alle altre.
Modifica: Il file main.css è stato aperto da SCP-ES-078 e ha cambiato i valori RGB del colore di sfondo in un tono leggermente più scuro per evitare la notorietà. Dopodiché, il codice del modulo di contatto è stato modificato in modo che i dati del cliente andassero all'indirizzo e-mail ████████@gmail.com (monitorato dal Dr. B██████).
Quando la pagina principale è stata ricaricata dal browser, il colore dello sfondo era l'RGB impostato pecedentemente. Il Dr. G██████ compilò il modulo di contatto, scrivendo dati personali falsi e un numero di telefono inventato. Il Dr. B██████ ha comunicato di aver ricevuto i dati all'indirizzo email che ha creato. Alla fine dell'esperimento, SCP-ES-078 è stato utilizzato per far tornare la pagina com'era in precedenza.
Esperimento 078-2-C
Indirizzo: . (Radice Directory)
Risultato: Il programma non risponde e si chiude
Esperimento 078-2-D
Indirizzo: .com
RIsultato: il programa non mostra nessuna struttura, non risponde e si chiude.
La terza scheda, BDD, è simile alla seconda. Ma invece che mostrare la struttura dei file, mostra la struttura del database in modo intelligibile per utenti senza conoscenze SQL (ogni entità viene visualizzata in tabelle, i cui dati possono essere modificati dall'interfaccia a discrezione dell'utente).
Esperimento 078-3-A
Indirizzo: www.twitter.com
Risultato: Una lista di tavole chiaramente identificate.
Modifica: È stata aggiunta una riga nella tabella utenti, compilando i dati di ogni colonna, per creare un utente di nome @████████.
Nella pagina di autenticazione sono stati inseriti il nome utente e la password specificati. La schermata di benvenuto è stata visualizzata correttamente.
Con questo non è più necessario effettuare iniezioni SQL. - Dr. B██████.
Esperimento 078-3-B
Indirizzo: 192.168.1.12 (È stata creata una rete privata tramite il server MySQL con dati di esempio)
Risultato: Una lista di tavole e relazioni.
Modifica: È stata eliminata una fila di una tabella che aveva una relazione a chiave estera con altre due entità.
Una query SQL ha rivelato l'assenza di quei dati nella tabella manipolata, così come negli altri due.
Beh, almeno non si possono creare errori di integrità referenziale.. - Dr. B██████.
Esperimento 078-3-C
Indirizzo: 192.168.1.12
Risultato: Lo stesso del test precedente.
Modifica: È stata modificata la colonna "ID" (restrizione a chiave esterna, autonoma, solo numeri interi) in due registri. In entrambi è stato scritto "Ciao".
Anche se questo ha violato l'unica restrizione sui dati (Evitando di ripetere) e il tipo di dati (caratteri invece di numeri), Le modifiche sono state eseguite in modo soddisfacente.
La quarta scheda, Network, mostra un diagramma grafico della rete LAN a cui è collegata l'apparecchiatura. Ogni hardware collegato alla LAN (incluso hub, switch, router, ecc.) apparirà come indirizzo IP privato e, tra parentesi, che tipo di hardware è. Questi indirizzi sono collegati con linee rette verso altri indirizzi, seguendo fedelmente la struttura della rete. Quando arriva al router connesso a Internet, mostra due indirizzi IP insieme (privato e pubblico) uniti da una linea gialla al disegno di una nuvola.
Esperimento 078-4-A
Dispositivo: Un computer senza connessione.
Risultato: Una stringa di testo recitante "127.0.0.1 (PC) (Tu)".
Esperimento 078-4-B
Dispositivo: Un computer collegato ad un altro computer tramite un cavo crossover (doppino intrecciato 5e UTP non schermato, con croci 1-3 e 2-6).
Risultato: Due stringhe di testo recitanti "192.168.0.1 (PC) (Tu)" e "192.168.0.2 (PC)", unite da una linea retta.
Esperimento 078-4-C
Dispositivo: Un computer collegato ad uno switch, che a sua volta aveva due computer e una stampante collegati.
Risultato: Una stringa di testo per ogni componente. Il computer con SCP-ES-078 è stato identificato come "192.168.0.4 (PC) (Tu)". Le stringhe dei computer recitavano il loro indirizzo IP corretto e una specifica come PC. La stampante è stata contrassegnata nel diagramma come "192.168.0.0.7 (Stampante)". I quattro indirizzi sono stati collegati con linee diagonali ad un quinto indirizzo, "192.168.0.0.1 (Switch)".
Esperimento 078-4-D
Dispositivo: Un computer collegato, previa autorizzazione, alla rete della Fondazione.
Risultato: Tutte le apparecchiature accese in quel momento sono state visualizzate. Sia gli indirizzi IP che le topologie coincidevano con la realtà. Sono state inoltre mostrate sezioni nascoste, zone demilitarizzate, reti sandbox e server proxy.
La quinta scheda, Wireless, non mostra alcun contenuto funziona solo se l'apparecchiatura è scollegata da qualsiasi rete e dispone degli elementi necessari per ricevere un segnale wireless. Verrà visualizzato solo un elenco a discesa con le reti wireless rilevate. Quando si seleziona uno di essi, di seguito vengono visualizzati dettagli come la password e la crittografia. Va notato che i dati appaiono quasi immediatamente, senza che i sistemi di sicurezza rilevino intrusioni o attacchi di forza bruta. Tuttavia, misure come la blacklist (specificando quale IP è vietato connettersi) o la whitelist (specificando quale IP è consentito connettersi) sono efficaci nel prevenire connessioni indesiderate.
La sesta scheda, Games, mostra un'enorme griglia di icone, tutte da pagine o software per il tempo libero. Se in quel momento il computer è autenticato ad uno di questi servizi, l'icona sarà circondata da un cerchio verde. Cliccandoci sopra si aprirà una finestra con una tabella che nella prima colonna avrà i nomi delle variabili (profanamente descritte) e nella seconda i valori.
Esperimento 078-6-A
Servizio: FarmVille (Gioco flash di Facebook).
Dati Manipolati: Punti energia, denaro, tempo rimanente dei raccolti e denaro contante (moneta di gioco, acquistabile con denaro reale).
Nessuna modifica ha dato errore di sincronizzazione, i record del database sono stati modificati senza che venisse rilevata alcun'intrusione.
Esperimento 078-6-B
Servizio: Bitefight (Browser game).
Dati Manipolati: Punti esperienza, denaro, livello, caratteristiche, punti vita e le pietre demoniache (moneta di gioco, acquistabile con denaro reale).
Le modifiche sono state mostrate quando la pagina è stata aggiornata. Anche in questo caso, non c'è stato un errore di sincronizzazione e i dati sono stati modificati senza alcuna registrazione. Il denaro è stato usato per migliorare la casa del personaggio fino al massimo livello.
Esperimento 078-6-C
Servizio: World of Warcraft (Gioco eseguibile con connessione).
Dati Manipolati: Punti vita, punti mana e punti esperienza, caratteristiche, denaro, punti onore e punti arena (premi per aver ucciso altri giocatori o vinto eventi).
Senza che la Blizzard Entertainment Corporation rilevasse anomalie, è stato creato un personaggio con il livello massimo, 9999 punti forza (nonostante la mancanza di armatura e armi) e un milione di monete d'oro.
Esperimento 078-6-D
Servizio: Habbo (Browser game online).
Dati Manipolati: Crediti (monete di gioco) e i giorni rimanenti di Habbo Club (servizio Premium).
Non c'è stato alcun problema nel creare un avatar con 1000 crediti e 365 giorni di Habbo Club.
Esperimento 078-6-E
Servizio: Steam (Piattaforma della Valve per la compra-vendita e l'utilizzo di giochi). Anche se Steam non è un gioco, è stato elencato in SCP-ES-078.
Dati Manipolati: Livello utente e soldi assegnati.
Un account appena creato potrebbe essere aggiornato al livello 12 e avere $100 per l'acquisto di giochi (cosa che non è stata fatta, per evitare attività fraudolente nel servizio).
Per evitare di essere rilevati da aziende proprietarie, tutti i valori modificati sono stati riportati a 0 (o al loro valore di default) alla fine di ogni esperimento.
La settima e ultima scheda, Attacks, mostra una serie di pulsanti, la maggior parte dei quali non sono disponibili. Ogni pulsante descrive il tipo di attacco che eseguirà nella direzione successivamente specificata. Opzioni come "DoS" (Denial of Services.) o "PoD"(Ping of Death) funzionano correttamente, mentre altri pulsanti come "███" o "████" non fanno nulla quando premuti. Nell'angolo in basso a destra è possibile leggere: "Di più nella prossima versione!"
Esperimento 078-7-A
Attacco: DDoS.
Destinatario: 172.16.0.1 (server sandbox isolato).
Risultato: Anche se il computer che ha attaccato non ha mostrato guadagni di prestazioni o un maggiore consumo di CPU o RAM, il server attaccato ha ricevuto un elevato numero di richieste e ha reagito normalmente a un attacco DDoS.
Esperimento 078-7-B
Attacco: ████.
Destinatario: 127.0.0.1.
Risultato: L'attacco non è stato eseguito. SCP-ES-078 ha mostrato sullo schermo un messaggio che diceva: "Ma sei stupido? Perché vuoi attaccarti da solo? Metti il computer nel microonde che fai prima."
Esperimento 078-7-C
Attacco: Sniff.
Destinatario: 172.16.28.15 (dispositivo sandbox).
Risultato: Il dispositivo vittima ha usato un'applicazione per mandare un messaggio ad un altro computer della rete. SCP-ES-078 ha catturato il traffico e l'ha decifrato, rivelando il contenuto del messaggio.
Esperimento 078-7-D
Attacco: "Good Night" (sconosciuto, ma è quello che diceva l'etichetta.).
Destintario: 172.16.150.21 (dispositivo sandbox).
Risultato: Dopo aver scritto l'IP e premuto il pulsante, il dispositivo vittima ha subito un'inaspettata sovratensione all'alimentazione, al microprocessore e a tutte le periferiche collegate. Questo ha provocato il cortocircuito dei componenti, causandone l'arresto. L'attrezzatura è stata accantonata per la riparazione.
Esperimento 078-7-E
Attacco: Controllo Remoto.
Destinatario: 172.16.129.84 (dispositivo sandbox).
Risultato: È apparsa una finestra che mostrava l'attività grafica del computer della vittima. L'aggressore poteva anche accedere ai movimenti del mouse e della tastiera. Il notepad.exe del programma è stato aperto da remoto ed è stato digitata la scritta "This is a test". L'antivirus non ha visualizzato alcun avviso.
Esperimento 078-7-F
Attacco: "Ka-boom"
Destinatario: 172.16.29.84.
Risultato: [DATI CANCELLATI] L'esplosione ha danneggiato anche una parte del tavolo. Il Dr. T██████ ha spento l'incendio, usando l'estintore nella stanza. I frammenti dei componenti non riflettevano proprietà anomale.
Esperimento 078-7-G
Attacco: Spionaggio
Destino: 172.16.95.148 (un altro dspositivo sandbox).
Risultato: Si è aperta una seconda finestra, che visualizzava il video della webcam e riproduceva l'audio del microfono del computer vittima, in tempo reale.
Questo esperimento è stato ripetuto altre tre volte. Uno estraendo la webcam dal computer, un altro scollegando il microfono e un altro rimuovendo entrambe le cose. I risultati sono stati i seguenti:
- La finestra aperta era nera, ma si sentiva il suono.
- La finestra aperta mostrava le immagini, ma non si sentiva nulla.
- La finestra aperta era nera e non si sentiva niente.
Ed è per questo motivo che dico a mio figlio di coprire la webcam con il nastro adesivo quando non la usa. - Dr. ██████
Esperimento 078-7-H
Attacco: Trasferimenti
Destinatario: 172.16.95.148
Risultato: Si è aperta una finestra del browser, intitolata "\\172.16.95.95.148", che mostra le directory di ogni periferica di archiviazione del computer della vittima (in questo caso, i dischi rigidi C: e D:, l'unità DVD designata come E: e una pen-drive collegata all'USB in quel momento, etichettata F:). Oltre a visualizzare e scaricare tutti i file e le directory, è stato possibile (ad eccezione dell'unità E: drive) modificarli e caricare file dal computer dell'aggressore. Un documento TXT e un'immagine BMP vuota sono stati caricati con successo sul desktop della vittima e sulla pen-drive collegata.
Addendum-01: Recupero di SCP-ES-078:
SCP-ES-078 è stato originariamente trovato nel post di un forum dedicato all'informatica e all'hacking, chiamato ████████.net. Il post (attualmente eliminato) recitava:
We, raga, vi piacerà un botto questo. Un mio amico ha fatto un programma stra figo con il quale potete hackerare tutto. Ieri ho cambiato i miei voti e stamattina ho stalkerato la mia vicina dalla sua webcam. :D
Scaricate questo, funziona. Ha ancora dei bug, ma dice che farà nuove versioni.
Clicca qui per scaricare l'archivio.
L'unità di criminalità telematica di ███████, █████, riuscì a procurarsi una copia di SCP-ES-078 (successivamente anche in versione 1.02) prima di rimuovere il sito e rintracciare la posizione dell'utente. È stato trovato al quinto piano di un edificio situato a ████, ███████. Quando i poliziotti sono entrati nella stanza, hanno trovato una scrivania vuota con dei cavi di un computer portatile, collegati alla rete elettrica. Il sospetto è stato trovato sgattagliolare via, lungo il cornicione, con il suo portatile sotto braccio. Si cercò di raggiungere il soggetto, ma perse l'equilibrio e cadde nel vuoto. Non è sopravvissuto alla caduta, e il computer è stato, di conseguenza, danneggiato dall'impatto ed il disco rigido è diventato completamente inaccessibile.
Tutti gli utenti Internet che hanno scaricato SCP-ES-078 (versione 1.02) sono stati monitorati e arrestati per le loro attività criminali. Non è stato rilevato alcun nuovo download di SCP-ES-078 fino all'anno successivo, quando uno studente di scuola superiore è entrato nell'archivio del sito ██████.org (un sito web della Fondazione creato dopo l'incidente 41192-1998 e il suo rapporto con il COG) e ha avuto accesso a informazioni classificate, di cui ha poi parlato sui social network. Gli agenti della Fondazione hanno rintracciato e trovato il soggetto, che ha dichiarato di aver [DATI CANCELLATI] per trovare SCP-ES-078 (versione 1.04, al momento della scrittura) e scaricarlo. Una copia del programma è stata conservata, mentre il personale della Fondazione ha preso le misure appropriate per rimuovere le informazioni classificate che sono trapelate nella rete.
Addendum-02: Operazione ████████:
Prese le precauzioni necessarie (un computer formattato e attraverso una macchina virtuale con collegamento ad una rete pubblica), il Dr. W██████ █████████ ha usato una copia di SCP-ES-078 per informarsi su informazioni rilevanti riguardanti l'Insorgenza del Caos. Per prima cosa, [DATI CANCELLATI] scoprendo così il luogo in cui avrebbero agito secondo il piano.
[DATI CANCELLATI]
[DATI CANCELLATI] nascosto in soffitta, sotto i cadaveri di coloro che erano fuggiti. È stato arrestato e interrogato. Dopo aver rivelato dove aveva seppellito la scatola, nonché una totale ignoranza di informazioni aggiuntive, è stato scortato a [DATI CANCELLATI] e successivamente terminato.
Nonostante la meritata promozione del Dr. W██████ █████████ grazie alla sua idea, SCP-ES-078 non dovrebbe più essere utilizzato come attrezzatura regolamentare della Fondazione. Il Dr. W██████ █████████ ha preso delle precauzioni, ma non possiamo esporci al personale che utilizza quotidianamente software che potrebbero essere infettati da Trojan non rilevabili. Riuscite a capire che tutti i computer dell'Intelligence invierebbero copie dei nostri dati ad un certo "Maximus"? È un rischio che non possiamo permetterci. Preghiamo che quell'individuo non sappia nulla dell'Operazione ████████, della Fondazione e dei Gruppi d'Interesse. - O5-5