Bezpieczeństwo informacji

Sytuacja gry interesuje mnie już od dłuższego czasu, gdyż próbuję wykorzystać cechy gry (możliwości symulacyjne, zdolność do wywołania wrażenia immersji uczestnika gry) w stworzeniu narzędzia badawczego, które mogłoby być wykorzystane w procesie profilowania hakerów czy też w badaniu skłonności do prowadzenia działalności hakerskiej.

Przedmiotem opisu są gry, które kiedyś, w języku mojego pokolenia, określono by jako takie, które „uczą, bawiąc”, czyli nie są li tylko zwykłą zabawą, ale niosą ze sobą coś więcej: możliwość poznania, nauczenia się jakiejś nowej umiejętności.

Badacze gier, czyli ludolodzy używają w odniesieniu do nich określenia „gry poważne”. Termin „gry poważne” (serious games) spopularyzował Clark Abt, publikując w 1970 roku pod takim tytułem książkę, w której omawiał drzemiące w grach możliwości wspierania edukacji. Abt odnosił się głównie do gier planszowych i karcianych, natomiast dzisiaj za takie gry uważa się gry komputerowe, których cel przekracza czystą rozrywkę. W trakcie tego typu gier rozwiązuje się rzeczywiste problemy, np. z zakresu planowania przestrzennego, zdrowia, zarządzania, rehabilitacji, zarządzania kryzysowego. Do gier poważnych należą też symulatory szkoleniowe.

Klasyfikuje się je nie na podstawie mechaniki rozgrywki, ale na podstawie treści. Co prawda nie ma jeszcze oficjalnego podziału gier tego typu, ale można spotkać w sieci klasyfikację opracowaną przez badaczy Laboratorium Gier Rozrywkowych i Edukacyjnych (Games for Entertainment and Learning Lab) Uniwersytetu Stanowego w Michigan. Wygląda ona następująco:

gry_1

Na własne potrzeby, opierając się na własnych doświadczeniach, stworzyłem typologię gier, które można wykorzystać w działaniach zapewniających bezpieczeństwo informacji. Oto ona:

Gry dla programistów

Mówiąc o grach dla programistów, trzeba przenieść się do 1983 roku. Był to rok bardzo istotny z punktu widzenia tego tekstu, gdyż wtedy niemalże jednocześnie w Polsce na ekranach kin pojawił się film w reżyserii Johna Badhama p od t ytułem nomen omen Gry wojenne (War Games), a w Kanadzie w tym samym czasie zaczęły się rozwijać „wojny rdzeniowe” (Core War). Film był pierwszym tekstem kultury w Polsce, który ukazywał hakerów, natomiast na pierwsze w naszym kraju informacje o „wojnach rdzeniowych” trzeba było zaczekać do roku 1987, do wrześniowego numeru miesięcznika „Komputer”. Starsi czytelnicy Magazynu z pewnością pamiętają czasopismo „Enter”. Na jego łamach publikowany był cykl artykułów
o „wojnach rdzeniowych”. Pierwszy z cyklu tekstów, zatytułowany „Kowboj, Ferret i inni wojownicy” ukazał się w lutym 4 Magazyn Informatyki Śledczej i Bezpieczeństwa IT | www.magazyn.mediarecovery.pl NR 33 | MARZEC 2017

1992 roku (dzięki Łukaszowi Grabuniowi można je znaleźć na stronie grabun.pl). Zabawę w tworzenie tego typu programów rozpoczął na Uniwersytecie Western Ontario w Kanadzie matematyk dr Dewdney tworząc narzędzie dla studentów. Grając, mieli oni zrozumieć zasady działania programów w pamięci komputera.

Programy były tworzone w specjalnym języku zwanym Redcode. Był to język zbliżony do Asemblera i składał się z dziesięciu instrukcji. Każda służyła do specyficznych operacji na pamięci komputera. Język dysponował też instrukcjami warunkowymi. Gdy programy były gotowe, rozpoczynała się walka, którą nadzorował arbiter w formie programu o nazwie MARS (Memory Array Redcode Simulator). Umieszczał on programy w losowych miejscach pamięci, a następnie wykonywał po jednej instrukcji każdego z nich. O losach pojedynku decydowała inwencja autorów programu, którzy pisząc go musieli rozwiązywać typowe dylematy programistyczne.

Prawdziwa popularność „wojen rdzeniowych” zaczęła się w 1984 roku, kiedy w marcu na łamach miesięcznika „Scientific American” ukazał się artykuł zatytułowany
„Core War Guidelines” autorstwa A.K. Dewdney i Davida Jonesa. Od tego czasu „wojny rdzeniowe” stały się bardzo popularne, powstało „International Core War Society”. Jedna z klasycznych stron poświęconych „wojnom rdzeniowym” dostępna jest pod adresem: http://www.koth.org . Można spotkać opinie, że „wojny rdzeniowe” zapoczątkowały rozwój wirusów. W każdym razie w tym samym roku Fred Cohen zaprezentował koncepcję wirusa,
którą rozwinął w wydanej w 1986 roku pracy doktorskiej. Definicja wirusa według Cohena jest aktualna do dziś.

Gry karciane

Gry karciane to gry, które używają kart, planszy lub wirtualnych odpowiedników kart do symulacji rzeczywistego ataku. Moim zdaniem tego rodzaju gry są stosunkowo mało znane i dlatego pozwalam sobie podać kilka przykładów tego typu produktów. Przykładem gry, którą można wykorzystać w ćwiczeniach związanych z modelowaniem zagrożeń jest „Elevation of Privilege” opracowana przez firmę Microsoft. Dokładny opis oraz wzory kart można pobrać ze strony producenta. Osoby zainteresowane powinny sięgnąć do tekstu „Elevation of Privilege: Drawing Developers into Threat Modeling” napisanego przez Adama Shostack’a. Dodatkowym w alorem t ej p ublikacji j est b ardzo obszerna bibliografia prac związanych z grami poważnymi. Innym ciekawym przykładem jest KIPS (Kaspersky Industrial Protection Simulation) opracowana przez Kaspersky Lab. Jest to gra RPG, w której drużyny konkurują w zarządzaniu organizacją. Doświadcza ona serii ataków, które mają n i e o c z e k i w a n y wpływ na jej działalność i gracze muszą stosować odpowiednie strategie: finansowe, IT i związane z bezpieczeństwem, aby zminimalizować straty i utrzymać zyski. Uczestnicy muszą analizować dane i podejmować decyzje bez pełnej wiedzy i przy ograniczonych zasobach. Jak widać, scenariusz gry stara się naśladować sytuacje rzeczywiste.

Trzecim przykładem, o którym również warto wspomnieć, jest „Game of Threats”. Opracowana przez PwC gra symulacyjna jest skierowana do wyższej kadry zarządzającej firm. Pozwala odczuć rzeczywiste skutki występowania cyberataku. Gracze na bieżąco podejmują spontaniczne decyzje i śledzą skutki swoich działań.

Platformy symulacyjne

Propozycją dedykowanej platformy dla ćwiczeń zespołów (Red i Blue Team) jest CDEx Cyber Defence eXercise Platform http://www.vectorsynergy.com. Treningi odbywają się w czasie rzeczywistym.

Platforma oferuje różne warianty treningów: np. zespół obrońców przeciwko zespołowi atakującemu, czy symulację zagrożeń APT: zespół obrońców musi znaleźć i unieszkodliwić atakujących.

Gry edukacyjne

Przez gry edukacyjne rozumiem gry w rodzaju crackme, hackme, które są rozwiązywane indywidualnie, i raczej związane z bezpieczeństwem, łamaniem systemów oraz z przełamywaniem zabezpieczeń.

Według mojego podziału gry programistyczne (punkt 1) nastawione są bardziej na inne cele i bardziej skoncentrowane na nauce programowania.

Gry zespołowe

W tej grupie umieściłem rozgrywki zespołowe, w odróżnieniu od pozostałych grup, które obejmują gry dla pojedynczych graczy. Najbardziej znanym przykładem tego typu gier są rozgrywki CTF (Capture The Flag), które wykorzystują jako element składowy gry typu crackme i h ackme. S ądzę, ż e tego t ypu r ozgrywki są czytelnikom Magazynu doskonale znane. Więcej można poczytać w „Zrozumieć oprogramowanie”, gdzie Gynvael Coldwind zamieścił mini rozdział o programowaniu dla zabawy. Warto go przeczytać, i poznać jeszcze inne – nie będące grami – zabawki dla programistów

Gra jako element procesu zapewnienia bezpieczeństwa

Podsumowując, chciałbym wyraźnie zaznaczyć, że podałem tylko subiektywnie dobrane przykłady rozwiązań. Jest ich na rynku dużo więcej i warto ich samemu poszukać, czerpiąc satysfakcję z udanych poszukiwań. Podana typologia gier, które można wykorzystać w zapewnieniu cyberbezpieczeństwa, jest umowna, robocza i może być, na pewno będzie zmodyfikowana.

Osobiście wydaje mi się, że temat gier poważnych w zakresie bezpieczeństwa informacji jest bardzo ciekawy i warto mu poświęcić głębsze badania. Głównym jednak celem tego tekstu było zwrócenie uwagi na gry jako element, który można zastosować w procesie zapewnienia
b e z p i e c z e ń s t w a przetwarzanym informacjom. Każdy z Czytelników powinien rozważyć, czy potrzebuje rozwiązań opartych na mechanizmach gry i czy chce je wdrożyć. Jeśli odpowiedź będzie pozytywna, to warto rozważyć pomysł przygotowania własnych rozwiązań opartych o oryginalne scenariusze. Należy pamiętać, że gra i grywalizacja to na pozór sprawy podobne, w rzeczywistości
jednak różne. W kreowaniu kultury bezpieczeństwa informacji można, a nawet należy wykorzystać obie te możliwości.

Artykuł Macieja Gajewskiego, naszego specjalisty ds. ochrony informacji ukazał się w najnowszym wydaniu Magazynu Informatyki Śledczej i Bezpieczeństwa IT.

Całość dostępna: https://magazyn.mediarecovery.pl/wszystkie-wydania/