Contramedidas de intrusión
Si un hacker falla al penetrar las defensas de un sistema (pej.: es Detectado o Bloqueado), el sistema entra en alerta y activa ciertas defensas. La naturaleza de las contramedidas aplicadas depende de las capacidades del sistema, las habilidades de sus defensores y la política de sus propietarios/administradores. Mientras que algunos nodos simplemente buscarán expulsar al intruso y mantener el sistema cerrado, otros contraatacarán activamente, buscando detectar y perseguir al intruso y potencialmente hackearle la propia red personal.
ALERTAS DE SEGURIDAD
Las alertas de seguridad pueden ser de dos tipos: activas y pasivas.
Alertas pasivas
Las alertas pasivas se disparan cuando un intruso adquiere el estado Detectado. El sistema inmediatamente muestra una alarma visual o acústica a cualquiera que monitorice activamente y posiblemente al propietario o los administradores. Lanza inmediatamente una o más contramedidas pasivas (ver más adelante). Dependiendo del sistema, más miembros de seguridad o IA’s pueden ser llamados para ayudar a investigar. Si el intruso no es encontrado de nuevo o localizado en un cierto período de tiempo (normalmente alrededor de 10 minutos), la alarma es desacivada y el evento se loga como una anomalía.
Dependiendo del nivel de seguridad del sistema, puede que alguien analice los logs en algún momento para tratar de discernir qué ha pasado (y prevenir que vuelva a pasar).
Todos los intrusos sufren un modificador de -10 a las Pruebas que involucren a un sistema que esté en alerta pasiva.
Alerta activa
Una alerta activa se dispara cuando un intruso adquiere el estado Bloqueado. El sistema inmediatamente alerta a los propietarios, administradores y a los agentes de seguridad y monitorización. Recursos de seguridad adicionales (IA’s u otros hackers que trabajen en el sistema) pueden ser reclutados. El sistema también lanza contramedidas activas contra el intruso (ver más adelante). Las alertas activas son mantenidas mientras el intruso está presente y a veces durante períodos más prolongados por si el hacker regresa.
CONTRAMEDIDAS PASIVAS
Las contramedidas pasivas se lanzan como precaución en cuanto un intruso adquiere el estado Descubierto.
Localizar al intruso
Un agente de seguridad o IA que monitorice el sistema, puede intentar encontrar la fuente de la alerta pasiva. Ver Fijar, más atrás.
Reautenticar
Cuando una alerta pasiva se dispara, un firewall puede ser fijado para reautenticar a todos los usuarios activos, empezando por el más reciente. Al principio del siguiente Turno de Acción, todo el mundo en el sistema debe tomar una acción para volver a logarse. Para un intruso esto significa hacer una Prueba de Infosec, modificada en -10 por la alerta pasiva, para satisfacer la petición del sistema como un usuario legítimo más.
Reducir privilegios
Como medida de protección, algunos sistemas inmediatamente reducirán los privilegios de acceso disponibles para los usuarios estándar y a veces para los usuarios de seguridad también. Una táctica común es proteger todos los logs, respaldándolos con una copia y asegurándose de que nadie tiene derechos para borrarlos.
CONTRAMEDIDAS ACTIVAS
Las contramedidas activas solo pueden ser lanzadas si un intruso ha adquirido el estado Bloqueado.
Contraintrusión
Una IA guardián o agente de seguridad puede defender proactivamente un sistema atacando la fuente de intrusión. Para que esto ocurra, el intruso debe ser primeramente localizado con éxito. Una vez esto sucede, las fuerzas de seguridad pueden lanzar su propia intrusión en el hogar/ecto/injertos de malla/red personal del hacker.
Expulsión
Un sistema que ha bloqueado a un intruso puede también intentar expulsarlo. La expulsión es un intento de eliminar la cuenta comprometida, cortar la conexión y echar al hacker del sistema.
La expulsión debe ser iniciada por alguien con privilegios de seguridad o administración. Se lleva a cabo una Prueba Enfrentada de Infosec con el intruso sufriendo un modificador de -20 por estar Bloqueado. Si el personaje defendiendo el sistema tiene éxito, el intruso es inmediatamente rechazado por el sistema y la cuenta que ha usado puesta en cuarentena o borrada. Esa cuenta no podrá ser usada de nuevo hasta que una auditoría de seguridad lo apruebe y reemplace la autenticación. Cualquier intento de acceder al sistema desde la misma ID de malla que la del intruso falla automáticamente.
Reinicio/Apagado
Puede que la opción más drástica para lidiar con un intruso sea simplemente apagar el sistema. En este caso, el sistema cierra todas las conexiones, desloga a todos los usuarios, termina todos los procesos y se apaga (expulsando así al intruso por tanto). La desventaja, por supuesto, es que el sistema debe interrumpir sus actividades.
Por ejemplo, apagar tus injertos de malla o ecto significa perder toda comunicación con tus compañeros, los accesos a RA y el control de los dispositivos enlazados/esclavos.
Iniciar un reinicio/apagado es sólo una Acción Compleja, pero el proceso completo de apagado tarda cualquier cantidad de tiempo desde un Turno de Acción (dispositivos personales) hasta un minuto (grandes redes cableadas con múltiples usuarios), determinado por el DJ. Rebotar un sistema lleva la misma cantidad de tiempo que apagarlo para encenderlo de nuevo (por lo que el proceso conlleva el doble más o menos).
Trazado
En los sistemas de alta seguridad, una contramedida popular es trazar de vuelta la localización física del infiltrado vía ID de malla (ver Seguimiento Físico). En la mayoría de los casos, la seguridad del hábitat es alertada e informada de la posición para que se haga cargo del criminal.
Terminación inalámbrica
Una alternativa al apagado o al reinicio es simplemente cortar todas las conexiones inalámbricas apagando las capacidades wifi del sistema. El sitema perderá todas las conexiones activas, pero todos los intrusos serán expulsados. Iniciar la terminación inalámbrica requiere una Acción Compleja y se completa al final del Turno de Acción. Reiniciar la conectividad requiere 1 Turno de Acción.
BARRA LATERAL: Coyuntura hackeo/seguridad
El hackeo a veces involucra equipos de atacantes y/o equipos de defensores. Un hacker puede estar respaldado por su musa u otro miembro de su equipo con una habilidad de Infosec moderada. Las redes más seguras está a menudo defendidas y monitorizadas por equipos de IA’s y hackers de seguridad altamente cualificados. Al infiltrarse o defender un sistema de computador, los operadores deben decidir si actúan individualmente o en grupo.
Cada acercamiento tiene sus puntos fuertes y débiles. Un equipo que decide irrumpir o mantener la seguridad de un sistema, debe elegir un personaje como actor principal (normalmente el miembro del grupo con la habilidad de Infosec más alta).
Cada personaje adicional o musa añade un modificador de +10 para cada Prueba (hasta un máximo de +30) pero no puede invertir tiempo en otras acciones salvo las que lleva a cabo el líder del grupo. Cuando actúan en conjunto, los equipos pueden cambiar de líder en cualquier momento, en caso de que los miembros estén especializados en ciertas tareas.
Alternativamente, ambos equipos, tanto intrusos como defensores, pueden decidir actuar individualmente pero en pro de un objetivo común. Cada hacker debe realizar la intrusión por su cuenta, con repercusiones individuales para la detección y la contraintrusión, lo que aumenta el riesgo de afectar a todos los intrusos si alguno es Descubierto o Bloqueado. Por otra parte, un equipo de intrusos puede llevar a cabo múltiples acciones simultáneamente de manera coordinara y abrumar temporalmente a la seguridad disponible. Lo mismo es cierto para los defensores del sistema, que pueden conseguir más dividiendo sus acciones, dejando a alguien para monitorizar mientras otros lanzan ataques de contraintrusión y otras contramedidas.
ALERTAS DE SEGURIDAD
Las alertas de seguridad pueden ser de dos tipos: activas y pasivas.
Alertas pasivas
Las alertas pasivas se disparan cuando un intruso adquiere el estado Detectado. El sistema inmediatamente muestra una alarma visual o acústica a cualquiera que monitorice activamente y posiblemente al propietario o los administradores. Lanza inmediatamente una o más contramedidas pasivas (ver más adelante). Dependiendo del sistema, más miembros de seguridad o IA’s pueden ser llamados para ayudar a investigar. Si el intruso no es encontrado de nuevo o localizado en un cierto período de tiempo (normalmente alrededor de 10 minutos), la alarma es desacivada y el evento se loga como una anomalía.
Dependiendo del nivel de seguridad del sistema, puede que alguien analice los logs en algún momento para tratar de discernir qué ha pasado (y prevenir que vuelva a pasar).
Todos los intrusos sufren un modificador de -10 a las Pruebas que involucren a un sistema que esté en alerta pasiva.
Alerta activa
Una alerta activa se dispara cuando un intruso adquiere el estado Bloqueado. El sistema inmediatamente alerta a los propietarios, administradores y a los agentes de seguridad y monitorización. Recursos de seguridad adicionales (IA’s u otros hackers que trabajen en el sistema) pueden ser reclutados. El sistema también lanza contramedidas activas contra el intruso (ver más adelante). Las alertas activas son mantenidas mientras el intruso está presente y a veces durante períodos más prolongados por si el hacker regresa.
CONTRAMEDIDAS PASIVAS
Las contramedidas pasivas se lanzan como precaución en cuanto un intruso adquiere el estado Descubierto.
Localizar al intruso
Un agente de seguridad o IA que monitorice el sistema, puede intentar encontrar la fuente de la alerta pasiva. Ver Fijar, más atrás.
Reautenticar
Cuando una alerta pasiva se dispara, un firewall puede ser fijado para reautenticar a todos los usuarios activos, empezando por el más reciente. Al principio del siguiente Turno de Acción, todo el mundo en el sistema debe tomar una acción para volver a logarse. Para un intruso esto significa hacer una Prueba de Infosec, modificada en -10 por la alerta pasiva, para satisfacer la petición del sistema como un usuario legítimo más.
Reducir privilegios
Como medida de protección, algunos sistemas inmediatamente reducirán los privilegios de acceso disponibles para los usuarios estándar y a veces para los usuarios de seguridad también. Una táctica común es proteger todos los logs, respaldándolos con una copia y asegurándose de que nadie tiene derechos para borrarlos.
CONTRAMEDIDAS ACTIVAS
Las contramedidas activas solo pueden ser lanzadas si un intruso ha adquirido el estado Bloqueado.
Contraintrusión
Una IA guardián o agente de seguridad puede defender proactivamente un sistema atacando la fuente de intrusión. Para que esto ocurra, el intruso debe ser primeramente localizado con éxito. Una vez esto sucede, las fuerzas de seguridad pueden lanzar su propia intrusión en el hogar/ecto/injertos de malla/red personal del hacker.
Expulsión
Un sistema que ha bloqueado a un intruso puede también intentar expulsarlo. La expulsión es un intento de eliminar la cuenta comprometida, cortar la conexión y echar al hacker del sistema.
La expulsión debe ser iniciada por alguien con privilegios de seguridad o administración. Se lleva a cabo una Prueba Enfrentada de Infosec con el intruso sufriendo un modificador de -20 por estar Bloqueado. Si el personaje defendiendo el sistema tiene éxito, el intruso es inmediatamente rechazado por el sistema y la cuenta que ha usado puesta en cuarentena o borrada. Esa cuenta no podrá ser usada de nuevo hasta que una auditoría de seguridad lo apruebe y reemplace la autenticación. Cualquier intento de acceder al sistema desde la misma ID de malla que la del intruso falla automáticamente.
Reinicio/Apagado
Puede que la opción más drástica para lidiar con un intruso sea simplemente apagar el sistema. En este caso, el sistema cierra todas las conexiones, desloga a todos los usuarios, termina todos los procesos y se apaga (expulsando así al intruso por tanto). La desventaja, por supuesto, es que el sistema debe interrumpir sus actividades.
Por ejemplo, apagar tus injertos de malla o ecto significa perder toda comunicación con tus compañeros, los accesos a RA y el control de los dispositivos enlazados/esclavos.
Iniciar un reinicio/apagado es sólo una Acción Compleja, pero el proceso completo de apagado tarda cualquier cantidad de tiempo desde un Turno de Acción (dispositivos personales) hasta un minuto (grandes redes cableadas con múltiples usuarios), determinado por el DJ. Rebotar un sistema lleva la misma cantidad de tiempo que apagarlo para encenderlo de nuevo (por lo que el proceso conlleva el doble más o menos).
Trazado
En los sistemas de alta seguridad, una contramedida popular es trazar de vuelta la localización física del infiltrado vía ID de malla (ver Seguimiento Físico). En la mayoría de los casos, la seguridad del hábitat es alertada e informada de la posición para que se haga cargo del criminal.
Terminación inalámbrica
Una alternativa al apagado o al reinicio es simplemente cortar todas las conexiones inalámbricas apagando las capacidades wifi del sistema. El sitema perderá todas las conexiones activas, pero todos los intrusos serán expulsados. Iniciar la terminación inalámbrica requiere una Acción Compleja y se completa al final del Turno de Acción. Reiniciar la conectividad requiere 1 Turno de Acción.
BARRA LATERAL: Coyuntura hackeo/seguridad
El hackeo a veces involucra equipos de atacantes y/o equipos de defensores. Un hacker puede estar respaldado por su musa u otro miembro de su equipo con una habilidad de Infosec moderada. Las redes más seguras está a menudo defendidas y monitorizadas por equipos de IA’s y hackers de seguridad altamente cualificados. Al infiltrarse o defender un sistema de computador, los operadores deben decidir si actúan individualmente o en grupo.
Cada acercamiento tiene sus puntos fuertes y débiles. Un equipo que decide irrumpir o mantener la seguridad de un sistema, debe elegir un personaje como actor principal (normalmente el miembro del grupo con la habilidad de Infosec más alta).
Cada personaje adicional o musa añade un modificador de +10 para cada Prueba (hasta un máximo de +30) pero no puede invertir tiempo en otras acciones salvo las que lleva a cabo el líder del grupo. Cuando actúan en conjunto, los equipos pueden cambiar de líder en cualquier momento, en caso de que los miembros estén especializados en ciertas tareas.
Alternativamente, ambos equipos, tanto intrusos como defensores, pueden decidir actuar individualmente pero en pro de un objetivo común. Cada hacker debe realizar la intrusión por su cuenta, con repercusiones individuales para la detección y la contraintrusión, lo que aumenta el riesgo de afectar a todos los intrusos si alguno es Descubierto o Bloqueado. Por otra parte, un equipo de intrusos puede llevar a cabo múltiples acciones simultáneamente de manera coordinara y abrumar temporalmente a la seguridad disponible. Lo mismo es cierto para los defensores del sistema, que pueden conseguir más dividiendo sus acciones, dejando a alguien para monitorizar mientras otros lanzan ataques de contraintrusión y otras contramedidas.