Hacking

Mein Vorschlag für Hacking-Hausregeln

Ein Hack ist in mehrere Schritte unterteilt. Man muss sich erst einmal Zugang zum System verschaffen (login), dann finden, was man sucht (locate) und schließlich tun, was zu tun ist (modify, delete, copy, …) um sich schließlich, ohne Spuren zu hinterlassen, wieder zu verdrücken (logout). In Großen Netzwerken muss man sich oft auch erst durch mehrere Systeme hangeln, bevor man sein Zielsystem erreicht.

Die möglichen Aktionen sind:

• Login: Einloggen in ein System ohne Zugangsberechtigung
• Locate: Auffinden der gesuchten Funktion oder Information im System. Muss eventuell mehr als einmal ausgeführt werden.
• Copy, Delete, Modify: Kopieren, Löschen oder Verändern von Daten.
• De-, Encrypt: Ent- und Verschlüsseln von Daten. Muss vor und nach jedem Modify und vor jedem Copy ausgeführt werden, wenn die Daten verschlüsselt sind.
• Access: Greift auf eine Funktion zu. Beispiel: Entriegeln einer Tür.
• Filter: Verändert eine Funktion. Beispiel: Kamera zeigt immer selbes Bild an oder schaltet zu einer bestimmten Zeit aus.
• Shutdown: Deaktiviert eine Funktion oder das komplette System. Anschließend hat man nur einen Versuch für den Logout.
• Logout: Löschen sämtlicher Spuren und Trennen der Verbindung

Jede einzelne Aktion verlangen einen Wurf auf Int + Computer (Hacking) gegen einen variablen Schwierigkeitsgrad. Je nach Sicherheitsstufe des Systems, in dem man sich befindet, ist die Probe leicht (Lagerverwaltung eines Blumenladens 4) oder schwer (Hauptserver im Pentagon 12). Die Sicherheitsstufe legt der SL fest.

Die Zahl der nötigen Erfolge hängt von der Art der Aktion ab: Je auffälliger oder riskanter eine Aktion ist, desto mehr Erfolge sind nötig, um seine Spuren zu verwischen und für Ablenkung zu sorgen.

• Trivial: Häufige Vorgänge, die jeden Tag von hunderten legaler Benutzer ausgeführt werden, fallen kaum auf. Selbst, wenn der Administrator etwas bemerkt, wird er sich wahrscheinlich nichts dabei denken. Hier reicht ein einziger Erfolg bereits aus, um kein Aufsehen zu erregen. Beispiele: Login, download normaler Datensätze, logout, …
• Auffällig: Unübliche Aktionen, die im normalen Betrieb nur äußerst selten vor kommen oder Aktionen, die vom normalen Prozedere abweichen, erregen schnell die Aufmerksamkeit des Systems. Man braucht zwei bis drei Erfolge, um keine Spuren zu hinterlassen. Beispiele: Zugriff auf besonders geschützte Daten, Login mit hohen Rechten, deaktivieren von wichtigen Systemen, …
• Illegal: Vorgänge, die im normalen Betrieb eigentlich nicht möglich sein sollten, lösen oft automatisch Alarmzustände aus und benötigen vier oder mehr Erfolge, um nicht aufzufallen. Bespiele: Shutdown des Hauptservers, löschen von Archiv-Datensätzen, Manipulieren von read-only Daten, Sperren von Admin-Accounts, Öffnen des Tresors unabhängig vom Zeitschloss …

Das Ergebnis der Probe wirkt wie folgt:

• Erfolg: Die Aktion gelingt. Es kann weiter gehen.
• Fehlschlag: Die Aktion schlägt fehl und jede weitere Aktion im selben System ist um 1 erschwert. Probier es erneut.
• Katastrophaler Fehlschlag: Der Hacker fliegt auf und muss das System sofort verlassen. Sehr wahrscheinlich hat er Spuren hinterlassen, da er keine Chance für einen sauberen Logout hatte. Außerdem erhöht sich die Sicherheitsstufe des Systems automatisch um eins.

Hinweis: Steigt der Schwierigkeitsgrad über 10, erhöht sich damit nicht länger der Mindestwurf. Stattdessen werden Erfolge abgezogen. Beispiel: Eine Probe gegen 12 entspricht einer Probe gegen 10, nur das bis zu 2 Erfolge entfernt werden. Damit steigt auch die Botsch-Wahrscheinlichkeit drastisch.

Hacken ist nach den oben genannten Regeln sehr schwer. Selbst das simple abrufen einer Mail benötigt vier Proben (login, locate, copy, logout) von denen möglichst keine schief gehen und auf keinen Fall eine patzen sollte. Beim Blumenladen um die Ecke mag das möglich sein, aber im Pentagon ist ein Patzer nahezu vorprogrammiert und hat auch entsprechende Konsequenzen. Da kommt es auf gute Vorbereitung an!

Ein Hacker kann im Voraus durch das sammeln von Informationen, platzieren von Trojanern, ausspähen von Mitarbeitern und anderer Vorbereitung einen „Insider Pool“ ansammeln, um einen unmöglichen Hack möglich zu machen. Dieser Pool muss nicht unbedingt vom Hacker selbst, sondern kann vom ganzen Team angesammelt und unterstützt werden. Je nach Ideenreichtum und Zeit des Teams kann der Pool sehr groß werden. Bei spontanen Hacks fällt dieser Pool natürlich weitgehend flach.

Hier ein paar Vorschläge:

• Informationen über die Zielsysteme: Bestechung, Erpressung oder Ausspionieren von Insidern kann wertvolle Informationen zu Tage fördern. Es kann sich auch lohnen, mal den Papiermüll der Firma zu durchforsten.
• Vorbereitete Ablenkungsmanöver in der realen Welt: Die wenigsten Administratoren bleiben ruhig auf ihrem Stuhl sitzen, wenn der Feueralarm los geht oder Rauch aus dem im Serverraum quillt.
• Ablenkungsmanöver im Netz: Gut synchronisierte Angriffe anderer Hacker können auch gut für Ablenkung sorgen.
• Gute Ausrüstung: Ein eigener Rechencluster zum Passwort-Knacken kann nie schaden.
• Gute Anbindung: Wenn ein Client raus fliegt, nimmt man halt den nächsten.

Jede vorbereitete Aktion wird in Stichworten notiert und kann während des Hacks nur einmal genutzt werden. Ausnahmen bestimmt der SL. Manche Aktionen brauchen auch Unterstützung vor Ort (Rauch im Serverraum) oder andere Handlungen in der realen Welt und müssen gut koordiniert werden. Entscheidet sich der Hacker für den Einsatz einer Aktion, kann er aus den folgenden Vorteilen wählen:

• Ein Fehlschlag darf erneut gewürfelt werden.
• Ein Katastrophaler Fehlschlag wird zu einem normalen.
• Der Schwierigkeitsgrad sinkt für eine Probe um einen Punkt. (drei mal stapelbar)

Ein Administrator, der das System aktiv verteidigt, kann den Hacker in unregelmäßigen Abständen (meist direkt nach einer Aktion) zu einem vergleichenden Wurf herausfordern. Für beide gilt der gleiche Schwierigkeitsgrad (6). Siegt der Admin, kann folgendes passieren:

• Der Schwierigkeitsgrad aller folgenden Aktionen für den Hacker steigt um eins, genau wie bei einer fehlgeschlagenen Aktion.
• Der Hacker muss sofort einen weiteren Login versuchen oder fliegt (ohne sauberen Logout) aus dem System. Siehe Nach dem Hack

Siegt der Hacker, hat er für jeden überschüssigen Erfolg eine Aktion lang Ruhe vor diesem Admin.

Die Sicherheitsstufe eines Systems gilt unabhängig für jeden Hacker, der sich daran versucht. Erschwernisse, die durch Fehlschläge angehäuft werden, sind aber an den entsprechenden Hacker gebunden, der die Aktion auch vermasselt hat. Arbeiten mehrere Hacker im Team, können sie ihre Aktionen aufteilen, um jeweils weniger Erschwernisse anzuhäufen. Hat einer zu viele Erschwernisse angehäuft, kann der Andere komplett für ihn übernehmen. Es gelten dabei folgende Regeln:

• Jeder Hacker muss sich separat einloggen und ausloggen. Ansonsten können sie ihr Wissen teilen und sich mit den Aktionen beliebig abwechseln.
• Erschwernisse durch Fehlschläge gelten immer nur für den Hacker, der den Fehlschlag auch verzapft hat.
• Botscht ein Hacker und fliegt raus, steigt die Sicherheitsstufe des Systems (und damit der Schwierigkeitsgrad für jeden Hacker) um eins.
• Angriffe eines Administrators können von jedem eingeloggten Hacker abgefangen werden, um das ursprüngliche Angriffsziel zu schützen.

Nach einem sauberen Logout hat man recht wenig zu befürchten. Die angesammelten Erschwernisse sinken um etwa einen Punkt pro Tag und sobald sie auf Null gefallen sind, ist man praktisch nicht mehr zurück zu verfolgen.

Sollte der Hack allerdings aus irgendwelchen Gründen bekannt werden, muss der Hacker jeden verbleibenden Tag einen weiteren Logout schaffen, bis die Erschwernis abgebaut ist. Schlägt der Wurf nur ein einziges mal fehl, ist der Hacker aufgeflogen.

Wird man ohne sauberen Logout aus dem System geworfen (z.B. wegen einem Botsch oder einem Shutdown) bleibt die Erschwernis bestehen und baut sich NICHT ab. Solange niemand einen Hack vermutet, ist das zwar in Ordnung, aber spätestens bei der nächsten regelmäßigen Sicherheitsprüfung hat man ein Problem. Es ist also mehr als ratsam, einen zweiten Hack (login, logout) zu versuchen, um seine Spuren zu verwischen und den Abbau der Erschwernis zu starten.