Estratégias de jogos Aplicadas a Segurança Computacional

O estudo aqui relatado trata de um Serious Game que tem como objectivo propor desafios relacionados com a segurança computacional, em que o jogador terá que utilizar a lógica para solucioná-los. Esse jogo tem como intuito final ensinar a utilização de estratégias de jogos aplicada à segurança, para solucionar problemas de segurança actuais.

Palavras-Chaves: Jogos; Segurança; Aprendizagem.

Introdução

A segurança computacional constitui uma parte bastante importante e crescente nos dias actuais dentro da tecnologia moderna. Ela é responsável pela protecção de dados e equipamentos com o intuito final de preservar o seu valor para um indivíduo, empresa ou organização.

Devido à importância da segurança para a sociedade nos últimos anos vem sendo desenvolvidos diversos estudos a fim tornar a segurança de códigos, dados e aparelhos electrónicos cada vez mais seguros. Geralmente esses estudos são iniciados e elaborados por empresas e organizações. Porém nos dias atuais também existem diversos investigadores de faculdades e universidades que se centram nesse tema à procura de solucionar problemas ou até mesmo evitá-los.

Entretanto, devido ao grande avanço tecnológico pelo qual passamos, diversos problemas vêm sendo expostos, problemas consideráveis graves relacionados a falhas cometidas por profissionais responsáveis pela segurança ou até mesmo por programadores que se preocuparam apenas com o produto final e não com a segurança que o mesmo iria oferecer. Muitas dessas falhas dão-se devido a pressão psicológica e a curtos prazos que são dados a esses profissionais para a finalização de um determinado projeto.

Outro motivo de preocupação são algumas técnicas e práticas de segurança que estão a tornar-se ultrapassadas devido ao avanço tecnológico, pois assim como há pessoas bem intencionadas que investigam a respeito de segurança também existem pessoas mal intencionadas com intuito de roubar e destruir.

Motivado por esse grande desafio e também pelo objetivo de expor aqui ideias inovadoras que possam auxiliar a solucionar os problemas aqui expostos, utilizarei o desenvolvimento de um Serious Game que ensine o uso de estratégias de jogos na aplicação de segurança a determinadas situações. Mais especificamente será desenvolvido um jogo como se fosse um ambiente virtual, que faça a interação entre o jogo, o jogador e o computador.

O trabalho aqui apresentado irá propor ao utilizador usar a lógica para solucionar problemas, o que será realizado no próprio computador do jogador, no qual o jogo será o responsável por fazer a interação entre o utilizador, o problema e o computador.

Trabalhos relacionados

O uso de técnicas e teorias de jogos aplicados à segurança tem vindo a tornar-se um ponto inicial para diversos tipos de investigação relacionadas com a segurança computacional,esse tem vindo a tornar-se um tema bastante explorado por esses investigadores. Em [1], [3], [14], [15], [17] e [23], os autores destacam a importância do uso dessas estratégias, pois as mesmas permitiram que pudéssemos entender o que o suposto invasor queria encontrar e como e por onde o mesmo conseguiu passar.

Outras investigações relacionadas com a segurança computacional que vêm sendo desenvolvidas são a respeito das redes sociais. Esses estudos têm como objetivo passar ao utilizador confiança para poder utilizar o sistema oferecido com menores riscos possíveis. Em [2] e [9], são apresentados quais os riscos que existem nos dias atuais e alguns meios de proteção contra possíveis ataques.

Um dos estudos encontrado que faz parte também desse trabalho é uma pesquisa sobre o uso da teoria de segurança multi-instância que tem por base a criptografia baseada em senha. Em [4], o autor defende que essa teoria aplicada poderia tornar a segurança de criptografia mais forte do que a das oferecidas atualmente. O mesmo também afirma que o uso dessas teorias será de grande valor para criptografia de chaves públicas.

Existem também muitos outros estudos que fazem parte desse conjunto que estuda a segurança computacional através da melhoria e fortalecimento. Em [5] o autor procura expor quais as funcionalidades que são oferecidas pela criptografia atual e também quais os desafios que são encontrados na sua aplicação.

Outro estudo que vem sendo desenvolvido aborda o uso de algoritmos e curvas elípticas que toma como base o teorema de Weierstrass aplicado na segurança de 128 bits, para tornar a segurança das cifras mais rápidas e eficientes, como pode ser visto em [6]. Também estão realizados diversos trabalhos para solucionar problemas referentes a falhas encontradas nos serviços de cloud. Essas falhas bem como algumas soluções propostas são relatadas em [7], [10], [13], [18], [21], [24].

Outro campo de investigação também muito importante é o do campo de aparelhos móveis, que mesmo com todo o avanço tecnológico acaba deixando a desejar quando falamos de segurança de dados. Em [11], [12] e [16], são apresentadas algumas das soluções possíveis para esses problemas existentes. Uma das maiores preocupações também relatadas nos dias atuais é a segurança de uma base de dados. Por esse motivo, em [21] é apresentado como a segurança dessa tecnologia pode ser melhorada de forma a evitar riscos e perdas.

Um dos estudos dentre os vários investigados fala do uso da OpenFlow,  um padrão inovador que permite a dinâmica através das políticas de controle de fluxo, assim como pode ser comprovado em [20]. Outro estudo inovador aborda o uso de segurança de redes de sensores sem fios. Em [8] o autor afirma que as redes de sensores são bastante vulneráveis ao ataque de hackers e por isso o estudo resolveu abordar as questões de como tornar essa rede confiável, íntegra e autêntica.

Por último e não menos importante, em [19] temos um estudo responsável por fazer a apresentação de um software atualmente conhecido como Amnésia. Esse software tem como objetivo proteger qualquer disco montado numa máquina, pois nos últimos anos foi descoberto um novo tipo de ataque que se servia de um canal de ataque, ataques esses que preocupavam muitos profissionais de segurança.

Descrição da Solução

Devido à grande expansão e evolução de novas tecnologias como Sistemas ERP, Networks, Mobiles, serviços Cloud dentre muitas outras existentes nos dias atuais, viu-se a necessidade de se realizarem estudos a fim de auxiliar estudantes e profissionais atuantes da área na busca de técnicas para solucionar problemas relacionados com a segurança dessas tecnologias.

Tendo em vista essa preocupação, decidiram então elaborar um projeto que tivesse como objetivo principal expor as dificuldades relacionadas com a segurança computacional e tratá-las de forma interativa e que de certa forma também tivesse uma certa aprendizagem. A solução aqui encontrada foi a criação de um Serious Game.

O projeto que está a ser desenvolvido trata-se de um Serious Game que foi chamado de World Hacker com tradução Mundo Hacker, projeto esse que utiliza técnicas e estratégias de jogos na aplicação de segurança de um determinado sistema. Esse jogo não ensinará ninguém a tornar um sistema seguro, mas sim incentivará a capacidade de pensar e agir do jogador em determinados momentos.

O jogo World Hacker será dividido em módulos, ou seja, em etapas. Cada etapa será caracterizada por missões, missões essas onde pretendo fazer com que o jogador seja forçado a utilizar o máximo da lógica para solucionar os problema proposto e passar assim de etapa.

O design final do jogo será feito inspirado no MS-DOS da Microsoft®, modelo escolhido para dar mais autenticidade ao projeto. Assim que o utilizador iniciar a aplicação, terá já como etapa inicial o desafio de iniciar o jogo. O utilizador terá que descobrir como fazer para dar início à partida. Como já citado acima, tudo nesse jogo se trata de lógica.

Para o desenvolvimento desse jogo será utilizada a linguagem de programação C, com algumas utilidades da biblioteca Allegro. Foi escolhida essa linguagem pelo fato de ela já ter um histórico positivo relacionado à criação de jogos e também por ser maleável em relação a tipos de dispositivos em que o jogo irá ser executado. O objetivo final desse jogo é fazer com que o jogador seja capaz de receber e avaliar a situação no mundo real e propor uma estratégia de contra-ataque com as informações obtidas.

Conclusão

Durante a elaboração deste projeto, foi possível perceber que a segurança computacional é uma área crescente e bastante importante paras as tecnologias oferecidas nos dias atuais e que todo o processo desenvolvido irá auxiliar profissionais a resolver alguns problemas encontrados utilizando estratégias e teorias de jogos.

Para projetos futuros pretende-se concluir o desenvolvimento do jogo e aplicar as suas funcionalidades em formações e quem sabe, em cursos de graduação, podendo assim oferecer aos alunos uma aprendizagem mais dinâmica nas disciplinas que abordem o tema de segurança computacional, sendo assim possível visualizar qual seria o comportamento do aluno face a uma situação próxima à do mundo real.

Referências

  1. An, B. Pita, J. et al. Guards and protect: Next generation applications of security games. In ACM SIGecom Exchanges, 10 (1), pp. 31–34, 2011.
  2. Backes, M.;Maffei, M.;Pecina, K. A Security API for Distributed Social NetworksNDSS, 11, pp. 35–51, 2011.
  3. Basilico, N.;Gatti, N. Automated Abstractions for Patrolling Security Games. In AAAI, 2011.
  4. Bellare, M.;Ristenpart, T.;Tessaro, S. Multi-instance security and its application to password-based cryptography. In Advances in Cryptology –CRYPTO 2012, pp. 312–329, 2012.
  5. Boneh, D. Sahai, A.; Waters, B. Functional encryption: Definitions and challenges. In Theory of Cryptography, pp. 253–273, 2011.
  6. Bos, J. W.; Costello, C.; Longa, P.; Naehrig, M. Selecting Elliptic Curves for Cryptography: An Efficiency and Security Analysis. In IACR Cryptology ePrint Archive, 2014.
  7. Buckley, I. A.; Wu, F. Security Policies for Securing Cloud Databases. In International Journal of Advanced Computer Science and Applications (IJACSA), 5 (6), 2014.
  8. Burgner, D. E.; Wahsheh, L. A. Security of wireless sensor networks. In Information Technology: New Generations (ITNG), 2011 Eighth International Conference on, pp. 315–320, 2011.
  9. Cetto, A. et al. Friend Inspector: A Serious Game to Enhance Privacy Awareness in Social Networks. arXiv preprint arXiv:1402.5878, 2014.
  10. Chen, D.; Zhao, H. Data security and privacy protection issues in cloud computing. In Computer Science and Electronics Engineering (ICCSEE), International Conference on, pp. 647–651, 2012.
  11. Di Cerbo, F. et al. Detection of malicious applications on android os. In Computational Forensics, pp. 138–149, 2011.
  12. Felt, A. P. et al. A survey of mobile malware in the wild. In Proceedings of the 1st ACM workshop on Security and privacy in smartphones and mobile devices, pp. 3–14, 2011.
  13. Hamlen, K. et al. Security issues for cloud computing. In International Journal of Information Security and Privacy (IJISP), 4 (2), pp. 36–48, 2010.
  14. Jain, M.; Leyton-Brown, K.; Tambe, M. The deployment-to-saturation ratio in security games. In Target, 1 (5), 2012.
  15. Manshaei, M. H. et al. Game theory meets network security and privacy. In ACM Computing Surveys (CSUR), 45 (3), 2013.
  16. Markelj, B.;Bernik, I. Mobile devices and corporate data security. In International Journal of Education and Information Technologies, 6 (1), pp. 97–104, 2012.
  17. Pita, J. et al. GUARDS: game theoretic security allocation on a national scale. In The 10th International Conference on Autonomous Agents and Multiagent Systems-Volume 1, pp. 37–44, 2011.
  18. Ramgovind, S.; Eloff, M. M.; Smith, E. The management of security in cloud computing. In Information Security for South Africa (ISSA), pp. 1–7, 2010.
  19. Simmons, P. Security through amnesia: a software-based solution to the cold boot attack on disk encryption. In Proceedings of the 27th Annual Computer Security Applications Conference, pp. 73–82, 2011.
  20. Son, S. et al. Model checking invariant security properties in OpenFlow. In Communications (ICC), IEEE International Conference on, pp. 1974–1979), 2013.
  21. Shaikh, F. B.;Haider, S. Security threats in cloud computing. In Internet technology and secured transactions (ICITST), 2011 international conference for, pp. 214–219, 2011.
  22. Shmueli, E. et al. Database encryption: an overview of contemporary challenges and design considerations. In ACM SIGMOD Record, 38 (3), pp. 29–34, 2010.
  23. Tambe, M. et AL. Game theory for security: Key algorithmic principles, deployed systems, lessons learned. In Communication, Control, and Computing (Allerton), 50th Annual Allerton Conference on, pp. 1822–1829, 2012.
  24. Wang, C. et al. Privacy-preserving public auditing for data storage security in cloud computing. In INFOCOM, Proceedings IEEE, pp. 1–9), 2010.
  25. Zhang, C. et al. Privacy and security for online social networks: challenges and opportunities. In Network, IEEE, 24 (4), pp. 13–18, 2010.

Publicado na edição 48 (PDF) da Revista PROGRAMAR.