“Capture a bandeira!” – Games para Segurança de Dados

Você está achando que e-Sports envolvem apenas LoL, CoD e outros produtos AAA? Saiba, games que têm por temática a Segurança de Dados (e a falta dela), já constam na lista dos esportes eletrônicos. Duvida? Basta conferir eventos internacionais como o DEFCON e os nacionais como o RoadSec que vêm ganhando popularidade, atraindo grandes patrocinadores e olheiros de empresas de alto cacife para contratação dos campeões.

Então, vamos falar um pouco desse crescente, rentável e fascinante ramo da indústria do entretenimento digital ainda pouco explorado por game designers. Digo que é pouco explorado porque a maioria dos artigos, especialmente em português, sobre esses games têm poucos anos e enfatizam apenas aspectos tecnológicos dos campeonatos. Vez por outra mencionam o valor educacional, mas sem abrir o jogo sobre como projetar esses games.

“Quando eu digo ‘hacker’ que
imagem vem à sua mente?”

“Jogo pra ser hacker? É isso?”

Jogos sobre Segurança de Dados giram em torno de incidentes de invasão e roubo. Ora você precisa evitá-los, ora você precisa cometê-los. Nos campeonatos presenciais (porque também há modalidades de jogo à distância), equipes se alternam nos papéis de agentes invasores e de profissionais que devem impedir invasões. Tudo para ver quem mais conhece o mundo da Segurança de Dados de cima a baixo e do avesso também.

Dentre esses games destaca-se o gêneroCapture the Flag” (CtF). Assim como os homônimos em competições de robótica e brincadeiras motoras, o CtF para Segurança de Dados também gira em torno de invadir territórios inimigos, (no caso, os Sistemas das equipes adversárias), para capturar uma bandeira (dados e artefatos digitais). Ganha a equipe que mais invadir e que menos for invadida, ou que bater determinadas metas de performance primeiro.

Um campeonato de Capture the Flag rolando.

Habilidades técnicas sobre programação e sistemas de dados são centrais, mas não são tudo nesse jogo. Soft skills como liderança, criatividade e comunicação importam e muito [1].

O Game Design do CtF

Jogos de Segurança de Dados são quase todos baseados em incidentes, isto é, ocorrência de problemas de segurança em um cenário. A maioria deles explora uma dinâmica de ataque e defesa que traz conflito e uma tensa competição a esses jogos.

Segundo [2], o Game Design dos CtF envolve 7 passos.

O primeiro passo é estabelecer os objetivos do jogo, que podem ser: obter acesso a um sistema, realizar testes, identificar falhas em análises, manter acesso, escrever e usar códigos, etc. Trata-se de responder à seguinte questão: “Sobre que tipo de desafio esse jogo será?”.

A grande escolha no passo 1 é definir de qual tipo se tratará, se de um CtF do tipo Jeopardy ou Attack-Defense. O primeiro tipo, o mais simples, consistem em hackear sistemas para coletar bandeiras lá (códigos que conferem acesso a novos desafios). O segundo tipo consiste em competições de times contra times.

Os CtF contam com os seguintes tipos de desafios: 1 – Reversing – Entender e alterar código em linguagem de baixo nível, como Assembler; 2 – Crypto – Problemas de criptografia; 3 – Forensics – Recuperação de dados; 4 – Web hacking – Exploram as vulnerabilidades de sistemas web; 5 – Networking – investigar protocolos de redes; 6 – XPL – alterar programas; 7 – Coding – Resolução de problemas por meio de programação; e 8 – todos os outros não classificáveis nas 7 categorias anteriores.

Tela de um CtF Jeopardy. Nem todo game precisa de
gráficos estonteantes ou história bem roteirizada.

O segundo passo é escolher uma abordagem para o jogo: o quão agressivo e difícil será, se será apenas de ataque ou de defesa ou ambos, quantas pessoas poderão tomar parte em cada equipe, etc.

OBS: Ao concluir o segundo passo têm-se a mecânica primária do jogo estabelecida.

O terceiro passo, derivado dos outros dois, é a escolha de topologia do sistema de hardware e software que será usada no jogo, escolhida a partir dos objetivos da partida. A maior parte das publicações especializadas enfatizam este passo, como mencionado anteriormente!

OBS: Há muitas publicações surgindo sobre a geração automática dos passos 1, 2 e 3. Confira [3] e [4] nas referências.

O quarto passo envolve o storytelling do cenário. Isto é, detalhes que dão realismo ao jogo e fornecem pistas para melhores ações: quem foi enganado pelo hacker; que tipo de serviço é o da empresa-alvo; o que os hackers querem; etc.

O quinto passo é projetar um conjunto de regras. Isto é, o que pode e o que não pode ser feito, restrições de recursos, elegibilidade para as partidas e cenários, etc. Essas regras constituem a mecânica secundária que recheia a primária e traz detalhes que tornam o jogo mais empolgante. Por exemplo, se os jogadores estão achando fácil uma invasão que tal criar uma regra pela qual tenham apenas 1 minuto para concluí-la?

No S03E01 da série “Mr Robot” o protagonista, Elliot,
invade um campeonato de CtF.

O sexto passo é estabelecer métricas que serão usadas para avaliar a performance dos envolvidos: Tempo de resposta? Número de ataques bem sucedidos? A razão entre o tempo que o sistema ficou fora do ar para o que ele ficou no ar? Etc

E para fechar, o sétimo passo é um modelo de análise da performance dos jogadores em busca de feedbacks, falhas, aprendizagens, potenciais. Como as partidas acontecem durante campeonatos em que dinheiro, fama e oportunidades de carreira estão em jogo é necessário que exista esse sistema de tira-teima. E mais que isso: trata-se de avaliar as partidas também pensando no aspecto educacional de conscientização e aprendizagem de habilidades de Segurança de Dados.

O jogo mal começou!

O objetivo deste post nem de longe era esgotar o assunto de games para Segurança de Dados. Antes, era apenas apresentar o assunto e apontar possibilidades. Especialmente no que tange a aplicação de princípios de Game Design para a criação de experiências mais memoráveis, educativas e entusiasmantes para esses jogos.

Aguardem, que se vocês gostaram deste post, em breve tem mais sobre!


Referências

[1] Profiling cybersecurity competition participants: Self-efficacy, decision-making and interests predict effectiveness of competitions as a recruitment tool

[2] Guide for Designing Cyber Security Exercises

[3] Designing the Scoring Algorithm for Cyber Grand Challenge

[4] Automatic generation of virtual machine for security training

Alessandro Vieira dos Reis

Alessandro Vieira dos Reis (Redator) – É bacharel em Psicologia e mestre em Design de Interação. Atua como analista de gamification e game designer no DOT digital group em Florianópolis.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *