Půlhodinová běhačka dvou družstev - uživatelů počítačů, kteří se snaží záplatovat své počítače a hackerů, kteří se snaží zneužívat bezpečnostních děr. Z edice LiveOnLine
Cíle aktivity
- Pochopit princip věčného souboje mezi hackery, kteří se snaží odhalit bezpečnostní díry systémů a aplikací a jejich tvůrců, kteří se je snaží včas záplatovat.
- Rozhýbat ztuhlá těla po sedavých aktivitách.
Motivace
Podle nálady účastníků můžete zařadit scénku o útoku hackerů na bezpečnostní díru a pak strukturovaně vysvětlit pravidla.
Popis
Jsou dva týmy - hackeři a uživatelé. Hackeři se snaží zneužít bezpečnostních děr, které se postupně objevují v 3-4 různých programech: Explorer, Acrobat, Windows a Word.
Cílem uživatelů je uchránit své programy před útokem hackerů. Poměr členů týmu Hackeři vs. Uživatelé je zhruba 1:2, rozhodně ve prospěch uživatelů. Pro identifikaci uživatelů mákaždý své jednoznačné písmeno.
Ve hře je jedno centrální stanoviště ("centrála") a pak jedno stanoviště pro každý napadnutelný SW ("program"). Programy od sebe nemusí být příliš vzdálené, důležitá je dobře nastavená vzdálenost mezi centrálou a programem. Na každém stanovišti programu je jeden organizátor, který má před sebou tabulku všech uživatelů označené písmenem, které identifikuje uživatele.
Podle předem daného scénáře, který hráči neznají, se v předem dohodnutý moment objevují bezpečnostní díry v programech (v příloze). Všichni organizátoři mají na papíře napsané přesné časy, ve kterých se jednotlivé díry objevují (musí tedy mít velmi dobře sychronizované časy, například tak, že jeden z organizátorů pravidelně každou minutu zapíská).
Pravidla pro Organizátory:
Jakmile se objeví díra, oznámí to hlavní organizátor a zapíše čas objevení díry na seznam děr na centrále. Zároveň organizátor, který zodpovídá za program, ve kterém se objevila díra, udělá na karty všech uživatelů jedno prázdné kolečko symbolizující nezáplatovanou díru (díry, které se objevily na jiných programech, může ignorovat).
Na centrále jsou kromě seznamu všech bezpečnostních děr také dvě kartičky („klíč“) pro každého uživatele. Na kartičce je písmeno uživatele. Jednu kartičku navíc (svého písmene) má každý uživatel na začátku hry u sebe.
Hra trvá přesně 30 minut.
Pravidla pro Hackery:
Hacker se nejprve musí zmocnit klíče uživatele, kterého chce napadnout tím, že ho doběhne a dotkne se ho (při vysvětlování pravidel zdůrazníme bezpečnost). Uživatel je povinen vydat mu klíč, pokud ho má. Potom doběhne na místo zvoleného programu, organizátorovi na stanovišti ukáže klíč uživatele. Organizátor vydá tolik „bodů“, kolik nezáplatovaných děr daný uživatel má. Zároveň do tabulky onoho uživatele napíše stejný počet „trestných bodů“.
Hacker se po každém útoku musí vrátit na centrálu, kde musí vrátit klíč. Na stanovištích a nejméně 5 metrů kolem centrály je ochranná zóna, kde hackeři nesmí útočit na uživatele.
Pravidla pro Uživatele:
Uživatel vyběhne z centrály ke zvolenému programu, který chce záplatovat a snaží se, aby ho po cestě nedoběhl hacker. Pokud ho doběhne hacker, musí mu vydat svůj klíč a vrátit se do centrály pro nový (pokud tam už žádný není, čeká, až se nějaký vrátí). Jakmile doběhne se svým klíčem na místo stanoviště, přeškrtne organizátor všechny díry, které má daný uživatel nezáplatované - tím je zazáplatoval.
Uživatel se po každém záplatování musí vrátit na centrálu.
Konec hry:
Z hackerů vyhrává ten, kdo má nejvíc bodů.
Z uživatelů vyhrává ten, kdo má nejméně trestných bodů.
Hra má tedy dva vítěze.
Naše zkušenosti:
Pravidla, ač nejsou složitá, vyžadují strukturované a pečlivé vysvětlení, aby bylo zřejmé, že všichni je před aktivitou chápou. Měli jsme poměrně velkou potíž vysvětlit princip klíčů - kdy je nutné je odevzdat, kde vzít nové a podobně. U samotné hry jsme dodatečně zjistili, že pravidlo o ochranné zóně (nejméně 5 metrů) je zcela kritické, jeho nezavedení disbalancuje hru (hackeři prostě čekají u centrály, až se někdo vrátí). Doporučujeme proto zavést ochrannou zónu výrazně větší, aby uživatelé měli možnost přes "blokádu" hackerů do centrály proběhnout.
====================
Hra byla vytvořená v rámci projektu
LiveOnLine, který byl podpořen Nadací Vodafone a FSV UK