Кейс того, как мы собрали под четыре сотни русских «безопасников» на конкурс по ИБ
Это очень седая история из далёкого 2013 года, но у нас только кончился NDA, поэтому я бы хотел её рассказать. Итак, нужно было помочь Кроку организовать крупнейший ИБ-конкурс в России — Cyber Challenge. Это когда собирается тёплая компания специалистов по информационной безопасности и ломает нафиг симулятор инфраструктуры крупной компании. Всё как в реальном мире, только никто не сядет, а победителю надо показать паспорт, чтобы получить приз.
Проблема была только в одном: где взять безопасников, которые будут участвовать явно в корпоративной теме?
Мы решали эту историю контент-маркетингом. Конкретно — постами на Хабре про то, как делают ИБ в реальном мире, и какие там реальные проблемы. Каждый пост давал по 20-50 регистраций. Но самый крутой был с RAR-квестом. Он дал больше сотни регистраций на первый тур.
Собственно, вот пост:
Спикер — Дина Бурханшина — человек, который прямо отвечал за организацию турнира в России. Пост, как можно увидеть, набрал 48,9 тысяч просмотров, причём за первые полчаса — 3500 просмотров. Это очень, очень, очень редкий результат для Хабра 2013 года: пожалуй, всего пара постов за год могут таким похвастаться только на органике.
RAR-квест — это архив, в котором лежит архив, в котором лежит архив и так далее — у нас было 12 таких «матрёшек». Эти архивы запаролены, и чтобы пройти глубже, надо сделать какую-то задачу, которая лежит на вашем уровне.
На Хабре уже было много подобных «архивных» квестов, но популярности они не получали. Как видите, наш был в 20-50 раз лучше примеров из выдачи по охвату:
Почему так?
Во-первых, у нас были не задачи, а крутой сюжет. Вы «играли» за хакера, который получил заказ. И этот сюжет учитывал весь фольклор ИТ-среды, поскольку был написан с очень глубоким пониманием того, как происходит процесс.
Во-вторых, первые уровни проходились за считанные минуты и давали ощущение того, что вы уже глубоко в сюжете. Вашей первичной целью был «дуб» из охраны, и было банально интересно его взломать.
Вот примеры распаковки:
В-третьих, тут много локального юмора. Например, тогда была распространена мода подписывать письма «берегите природу, не печатайте это письмо». Вот следующий уровень квеста:
Здесь всё уже намного интереснее. Конечно же, вам легко удаётся стащить мешок с мусором, который Джон выставил на улицу. Там вы находите три расстрелянных в «альфу» бумажных мишени, обёртку от гамбургера, пустую пачку фасоли «Криспи» и слегка помятый номер Плейбоя. Плюс письмо, распечатанное на принтере, которым был заложен журнал. «Джон, нет, я не советую тебе оставлять тот же пароль, чёрт подери. Придумай что-нибудь длиннее 4 цифр, хотя бы восемь, ты же руководитель подразделения БЕЗОПАСНОСТИ. P.S. Пожалуйста, береги окружающую среду и не печатай это письмо.»
Дата — позавчера. То есть Джон наверняка уже сменил пароль.
И так далее.
Ещё у нас были пустые шаги и ветки: это нехарактерное развитие архивного квеста. То есть можно было не просто проваливаться на уровни глубже, а где-то это было почти мгновенно (воспринимается как небольшая награда), а где-то архивы вложены сразу по несколько штук, и какие-то могут закончиться просто тупиком и обломом. Это реалистичность, в процессе так и бывает. Ещё одна важная штука — мы иногда использовали данные, которые были несколько шагов назад, но ещё не пригодились. Они могли быть полезны ниже, что не для всех было очевидно.
В-четвёртых, для ответов на 80% задач не надо обладать специальными навыками: достаточно здравого смысла и немного математики. Мы делаем очень, очень лёгкий вход. И благодаря тому, что многие пароли «знаковые» для сообщества, сообщество начинает вместе проходить игру, делясь в комментариях своими версиями, что делать дальше.
Это позволило набрать охват как снежный ком. Надо сказать, на такое мы не рассчитывали.
В-пятых, последние уровни реально сложные. Они-то нам и нужны, чтобы получить тех, кто способен пройти их быстро. То есть желанных гостей на конкурсе.
Квест заканчивается сюжетно. То есть по сюжету игры вы получаете приглашение в конце. Более того, всё считается, потому что последнее задание — отправка письма на реальную почту, это конец короткой любовной линии:
Если вы хотите остаться с EDC, отправьте письмо на почту edcchoice+love@gmail.com. Если вы хотите предупредить Александру, то отправьте пустое письмо на edcchoice+money@gmail.com. Перед тем как принять решение, вы хотите заскочить домой и проверить почту (ведь вы не брали с собой ни один личный девайс на дело). Вы делаете пару кругов по городу, избавляетесь от телефона и симки, кладёте на всякий случай ТВ-тюнер и другое железо в ящик для вещей в супермаркете и только после этого едете к себе. Первое, что вас удивляет — сообщения на телефоне. Это информация о существенном увеличении банковского счёта и пара неотвеченных от ваших друзей из IT, которых вы не видели уже пару лет. После проверки почты ситуация проясняется: EDC по каким-то причинам решила закрыть контракт со своей стороны и прислала вам благодарность за работу. Плюс пригласила встретиться с их специалистом для обсуждения следующего контракта в июле.
Кажется, июль будет более чем удачным. Теперь у вас есть несколько часов, чтобы предупредить Александру. Если, конечно, вы захотите. Новые контракты можно посмотреть здесь.
Победители получали вот такие письма:
Привет!
Вы прошли этот простой тест одним из первых, поздравляем!
Если вы захотите участвовать в Symantec Cyber Readiness Challenge – первом в России индивидуальном хакерском турнире, – то мы сделаем для вас приоритетную регистрацию. Это значит, что сколько бы людей не было зарегистрировано на турнир, вы (или ваш знакомый, чей логин вы пришлёте) сможете гарантированно принять участие как в online-части.
Ну что, готовы поучаствовать в противостоянии двух гигантов космической отрасли – корпораций EDC и RKI? Online-игра состоится уже совсем скоро, 15-19 июля. Регистрация доступна по ссылке http://www.croc.ru/c2/ Если вы хотите воспользоваться приоритетной регистрацией, просто пришлите свой логин на DBurkhanshina@croc.ru.
И, конечно, нам было очень интересно, что вы выберете на последнем шаге :)
Квест ещё доступен — https://habr.com/ru/company/croc/blog/184742/
Сюжет (кратчайшая ветка) вот: https://habr.com/ru/company/croc/blog/184742/#comment_6431236
Этот пост сделал ещё одну важную вещь: спикер получил право говорить про ИБ в сообществе. И дальше была успешная серия, например, вот второй пост к мероприятию: https://habr.com/ru/company/croc/blog/185370/
Всё почему? Потому что хотелось сделать крутую штуку «для своих», которая ценная сама по себе как развлечение.
Результат — 450 писем через 48 часов после выкладывания квеста (дальше мы считали его засполерённым полностью, и половина полученных прошла где-то по 8 часам). Из них около 400 реальные участники, из них около 100 зарегистрировалось на турнир. Всего на турнире по результатам полной кампании (включая продвижение в соцсетях КРОК) было около 400 участников в первом туре.