Også i år arrangerte kode24 kodekrim - i år sponsa av Computas, og med Tom i hovedrollen som direktør i hans ferske konsulentselskap Tomsconsult.
Deres første oppdrag var å lage systemene til Porsgrunns kraftselskap Kraft & Kraft Kraft, drevet av far og sønn Kraft. Men en av konsulentene hadde hacka systemene, og skrudd ned de rekordhøye strømprisen til et rekordlavt nivå.
Kodekrimmen 2022 - hvem av Tomsconsults konsulenter hacka strømselskapet?
For å finne ut hvilken konsulent som var den skyldige, måtte du knekke hver konsulents passord for å lese deres hemmelige DOS-kartotek-fil.
Her har du svaret på både hvordan alle passordene kunne knekkes, og hvilken av konsulentene som stod bak angrepet på strømselskapet.
#1: Tommy Berger Zachariassen (TZ)
"Jeg satt her utpå natta, og surfa litt på Tor.
Da slo det meg i hodet, noen velvalgte ord.
Så jeg mekka ei litta rebus, og la den ut på nett.
Løser du den får du passord, rett og retti slett."
Selve rebusen til penetrasjonstester Tommy Berger Zachariassen var skjult, men lot seg finne ved å inspisere nettsida hans.
Løsningsordene på rebusen var Gevers, Mitnick, Aharoni, Elliot, Brain, Hacknet, Fortnite, Blue og Marcus.
Og satt inn i rebusen fikk man så passordet "strontium".
#2: Bitten Stordalen (BITTENLITEN)
"Semantisk er jeg kanskje ikke helt på topp?
For taggene de gjentar seg, det er blitt en skikkelig flopp.
Så da tok jeg denne tabba, som kanskje er litt skjult.
Og brukte den som passord, vakke det ganske lurt?"
Nettsida til krystallpedagog og utvikler Bitten Stordalen har en klassisk HTML-feil: Flere H1-tagger.
Én av dem er dog skjult, og kan fortelle at passordet hennes er "kykkeliky".
#3: Jannicke Kassetten (FARGER-OG-FANTASIER)
"DATA-jannicke kaller dem meg på jobb, rett og slett.
Fordi jeg elsker POST, PUT og til og med GET!
Så fan er jeg, at jeg lagde en request.
Så ta en titt på den, så finneru passordet lett."
Podcast-produsent og tidligere sangartist Jannicke Kassetten har en litt spesiell side: Undersøker du forespørslene, ser du at du kan kalle på en tomsconsult.no/api/jannicke-kassetten-passord, også.
Prøver du en vanlig GET-forespørsel hit, får du beskjed om at "send heller en POST hit, med dataen {brukernavn: jannickesbrukernavn}".
Og gjør du det, for eksempel med Curl og brukernavnet "brukernavn:farger-og-fantasier", får du tilbake passordet "hare".
#4: Vrangbar Sveiden (VRANGIS)
"En kryptomann og ekte narsisist,
derfor la jeg passordet mitt bak navnet mitt på vinduobjektet,
det skal være snickers og tvist!
Så kall litt på navnet mitt, og sleng med ordet jeg liker å beskrive meg som.
Du finner det nok om du titter deg om."
"Funksjonen Vrangis() er klar til å motta ordet, sir!" får du opp i konsollen på sida til KlosettSkript-skaperen Vrangbar Sveiden.
Denne funksjonen skal altså mates med "ordet jeg liker å beskrive meg som", som viser til det som står på capsen hans på bildet: Genius.
Kjører du Vrangis("Genius") i konsollen, får du tilbake passordet "esel".
#5: Patty Fjell (PATTIES)
"Bildet mitt, det er noe for seg sjæl.
Så jeg gjemte en skreddersydd egenskap der, ikke noe ræl!
Så ta en titt og finn mitt spisested nummer 1,
så tar vi ei matbit, ikke vær sen!"
Sikkerhets- og GDPR-entusiasten Patty Fjell hinter om å ha gjemt noe i bildet sitt, og det har hun såvisst.
Inspiserer du bildet av henne finner du en CSS-variabel kalt "--passordet-er:", etterfulgt av "bergbys".
#6: Kristian O.G Oterelv (KRISSDOGGOG)
"Folk sier at rappen har gått meg til hue,
og at klesstilen min er et underlig skue.
Men da sier jeg at jeg liker det sånn,
og stappa passordet i huet, vi siere sånn.
For Krissern bør bli en del av webhue-standarden!
Og ikke med x- foran heller, for real min venn."
Hiphop-fantasten Kristian O.G. Oterelv sier han har gjemt noe i hodet, men kanskje ikke i det hodet du først tenker på.
Svaret ligger i response-hodet, hvor du ved å snuse på trafikken kan finne punktet "kristian-the-og: passordet er skjær". Men dette stemmer strengt tatt ikke: Om du googler "æ" finner du raskt ut at dette erstatter Æ steder hvor bokstaven ikke støttes - som i nettopp respons-headere.
Så passordet er altså: skjær.
#7: Connie Sollitangen (BORDERCONNIE)
"Jeg likær ei emoji eller to, når jeg sitter med mobilen på do.
Så jeg putta inn en hel haug gitt, nedover i intervjuet mitt.
Sjekk ut hva alle heter på smilefjesenes leksikon,
så får du et ord ut av denne flotte dokumentasjon."
Bikkjeelskeren og sokkelleilighetsbeboeren Connie Sollitangen har en haug emojier nedover teksten sin. De passer sjeldent spesielt godt til konteksten, men de er langt fra tilfeldig utvalgt.
Sjekker du hva de ulike emojiene heter på "smilefjesenes leksikon", Emojipedia, og setter dem i samme rekkefølge som de dukker opp i teksten, får du denne rekka:
- 🥣 Bowl with Spoon
- ⛸️ Ice Skate
- 😗 Kissing Face
- 🦘 Kangaroo
- 🕹️ Joystick
- 💶 Euro Banknote
- 🎵 Musical Note
- 💢 Anger Symbol
- 🐫 Two-Hump Camel
Tar du alle forbokstavene nedover, finner du da passordet "bikkjemat".
Hvilken konsulent hacka Kraft & Kraft Kraft?
Så til sjølve kodekrim-mysteriet: Hvem av konsulentene var det som hacka Kraft & Kraft Kraft og satt ned strømprisen?
Alle hadde motiver, som enten kom fram i den offentlige teksten eller i personalmappa inne i DOS-kartoteket. For eksempel kunne du lese i mappa til Vrangbar at han sleit med å betale strømregninga for all Porscoin-uthakkinga, at Pattie lada elbilen sin i Porsgrunn hver dag hun pendla og at Connie sliter med å betale strømregninga til landlordinnen sin.
Ingen hadde strengt tatt alibier, så her er alle fritt vilt, og kan testes ved å bruke brukernavnet deres og noe du tror de elsker som passord på kraftkraftkraft.no.
Personalmappene kan avsløre at Connies landlordinne er Bitten - de har nemlig samme adresse. Og alle henvisningene til bikkja Bitten elsker er altså Floppy, bikkja til Connie som bor i underetasjen. Bitten elsker dyr, spesielt Floppy, og er livredd for at Connie og Floppy må flytte ut på grunn av de høye strømregningene.
Så om du prøver å logge deg inn på kraftkraftkraft.no med brukernavnet BITTENLITEN og passordet FLOPPY, finner du fort ut at jommen - her får du logga inn.
Med andre ord: Bitten Stordalen er hackeren! På tide å maile Tom.
På vegne av Tom og hele Tomsconsult - tusen takk for at du ble med på årets kodekrim, sponsa av Computas, og tusen takk for at du fikk stoppa Bitten! 🐣