Bemerken von Hackern

[Kingmaker]

Hallo zusammen,

mir stellt sich soeben die Frage wie ein Hacker der erfolgreich in einen Host per Brute Force eingedrungen ist, durch den Host gefunden wird.

Es heißt der Host bemerkt dass es von einem anderen Icon angegriffen wurde, entdeckt den Hacker aber nicht automatisch. Mit welchem IC sucht denn der Host nun nach dem Hacker? Patrouille findet ihn ja nicht, da er eine Marke auf dem Host besitzt. Es wäre also ein IC nötig, dass den Hacker aktiv sucht.

Hab ich da was übersehen?

 

Danke für eure Hilfe.

[Quecke]

Wenn der Hacker Nichts weiter tut und sich ruhig verhält, wir er nur durch echte Personen entdeckt werden können - wenn er in ein Gespräch verwickelt wird und komische Dinge sagt usw.

 

Trotzdem erhält er ja weiterhin Overwatch-Punkte... alle 15 Minuten 2W6. Irgendwann führt also auch das rumhängen zum Alarm.

 

Ansonsten führt jede illegale Handlung von ihm natürlich zum Steigen des OWs und mögliche Patrouille wartet nur auf solche Handlungen... 

[Kingmaker]

Stimmt. Die 2W6 alle 15 Minuten hab ich übersehen. Ansonsten wird bei Alarm eh irgendeine Spinne aktiv, welche mit Matrixwahrnehmung den Hacker aufspüren will.

 

Danke sehr.

[Synapscape]

Muss ein Hacker eigentlich in einem Host auf Schleichfahrt sein, damit er nicht entdeckt wird?

[Cuendilar]

Ein Hacker, der eine Marke auf einem Host hat, kann in diesen ganz normal einloggen, ohne Schleichfahrt. (Er kann natürlich auch auf Schleichfahrt einloggen.) Sobald er drinnen ist, sollte er sein Icon an die Iconographie des Hostes anpassen um nicht aufzufallen. Wenn der Host regelmässigen Besucherverkehr hat, wird er wahrscheinlich gut daran tun, NICHT auf Schleichfahrt zu gehen, da das obligatorische Patroullie IC ihn, wenn er keinen Blödsinn macht, dann wahrscheinlich ignoriert. Er ist ja "legal" im Host.

 

Loggt er sich aber in einen Sicherheitshost ein, der wenig oder garkeinen Besucherverkehr hat, oder will er anfangen "Blödsinn" zu machen, sollte er wohl auf Schleichfahrt gehen. Ab da startet dann der Countdown, bis ihn das Patroullie IC entdeckt.

 

PS: auf einem Run würde ich immer erst Mal auf Schleichfahrt in den Host gehen und erst, wenn ich sehe dass da Publikumsverkehr is, runter von der Schleichfahrt. Ansonsten gilt, was immer gilt: schnell rein, schnell raus. Leise rein, leise raus.

 

PPS: Konzerne und Firmen, die es sich leisten können werden wohl mehrere Hosts betreiben. Welche für die Sicherheit, welche für Kunden und öffentliche für die Publikumsarbeit. Hint: Sicherheitshosts sind gern auf Schleichfahrt...

Edited January 12, 2014 by Cuendilar

[IRQ]

Hallo zusammen,

 

ich halte die Antwort für nicht ausreichend - die Frage hatte ich mir auch schon gestellt. Begründung:S. 232 Das Bemerekn von Hackern, 2. Absatz Satz 2 (!): "Es wird wahrscheinlich in seiner nächsten Handlungsphase nach ihm zu suchen beginnen..." Dies impliziert, daß der Host suchen kann. Dies führt zu weiteren Fragen:

1. wie sucht der Host (Matrixwahrnehmung scheint mangels Attributen und Fertigkeiten wenig geeignet)
2. wieso sollte er suchen, wenn das Ziel innerhalb 100m und nicht auf Schleichfahrt ist wird es automatisch entdeckt (vgl. S. 232 oben).
3. wenn der Angreiffer auf Schleichfahrt ist, wie könnte er dann durch den Host entdeckt werden, wenn nicht durch ein IC
4. wenn ja durch welches IC?

Grundsätzlich scheint Matrixwahrnehmung schon dafür vorgesehen zu sein (vgl. Beschreibung S. 233 im Kasten 1. Punkt): "Entdecken eines Zielicons, nach dem man sucht". Aber daraus würde folgen, daß es einen 3. "Wahrnehmungszustand" geben müßte: als Ergebnis der Fertigkeit Verstecken (vgl. Beispiel auf S. 221 bzw. genauer S 222 (Fortsetzung) rechte Spalte wird Verstecken angewendet um der Wahrnehmung des Hosts zu entkommen, aber es ist keine Rede von Schleichfahrt. Also muß es neben entdeckt und auf Schleichfahrt noch etwas geben. Aber was?

 

Oder man müßte definieren, daß IC bzw. Hosts so konfiguriert sind, daß Angriffe nur auf als schädlich eingestufte Icons durchgeführt werden, und das Ergebnis von Verstecken auch sein könnte, dieses Attribut wieder zu verlieren. Das Attribut schädlich könnte "gewonnen" weden, wenn man entdeckt ist im Sinne der Regeln auf S. 232 und währenddessen eine illegale Handlung durchgeführt hat (Angriff erfolgreich oder Schleicher mißlungen). Es könnte damit vermieden werden, wenn auf Schleichfahrt ein Angriff mißlingt oder ein Schleicher gelingt. Schädlich könnte auch manuell durch Spinnen gesetzt werden.

 

Damit wäre aber immer noch nicht geklärt, wei der Host das Attribut schädlich feststellt (also wer sucht danach wie?). Dazu der Vorschlag, daß Patroullien-IC einen Angriffswert bekäme, womit es dieses Attribut platzieren könnte. Marker IC könnte dann damit beauftragt werden schädliche Icons zu markieren, andere IC wie Leuchtspur könnten anhand des Attributs schädlich ebenfalls das Ziel lokalisieren (woher weiß Leuchtspur bisher, wenn es eigentlich angreiffen soll, eine Marke ist ja gar nicht vorausgesetzt), und dann würde die Kette funktionieren....

 

Wie seht Ihr das? Wie sehen die "Offiziellen" das?

 

Grüße IRQ

[Cuendilar]

Hey IRQ. Guck dir dazu doch mal das IC "Patroullie" an. Das übernimmt quasi die Wahrnehmung für den Host. Ziele in einem host gelten als in "Direktverbindung" befindlich. Steht unter "Direcktverbindung, glaub ich. Sind also immer in 100m Reichweite. Damit sollten 1.2.3 und 4 hoffentlich beantwortet sein?

 

Die suggerierte "Zwischenstation" zwischen Schleichfahrt und entdeckt ist "ich weiss, es gibt etwas auf Schleichfahrt, aber ich weiss nicht wo." Je nach Hostkonfiguration kann diese Info schon ausreichen, um z.B. die Deckerspinne zu alarmieren.

 

Nachdem Patroullie IC einen Eindringling entdeckt hat, sei es automatisch oder durch eine Probe, startet der Host für gewöhnlich weiteres IC, welches dann die von dir gewünschte Wirkung hat. Das hängt aber davon ab, wie der Host konfiguriert wurde. Der Host könnte z.B. Schon dann vorsorglich weiteres IC starten, obwohl er erst Mal nur weiss, das irgendwo in ihm was auf Schleichfahrt läuft. Er könnte auch eine Broadcast-message starten, die alle User auf Schleichfahrt ermahnt, diese zu beenden usw. Das bleibt dem Meister überlassen. Lies dir dazu am besten noch Mal in Ruhe das Kapitel über IC im GRW durch.

 

PS: diese Info, dass das Icon "schädlich" ist, teilt das Patroullie IC natürlich mit dem Host und damit mit allen anderen IC. Was als "schädlich" gilt ist aber wahrscheinlich von Host zu Host verschieden. Betrachte IC nicht mehr als eigenständige Entität wie früher, sondern mehr als Werkzeug des Hosts, quasi seine Fähigkeiten. Der Host sieht alles was seine IC sehen und jedes IC weiss alles was der Host weiss.

 

PPS: ich bin allerdings kein Offizieller und das, was ich schreibe ist nur meine Sicht der Dinge, aber das sollte hoffentlich klar sein.

 

Mit freundlichen Grüßen

Cuen

Edited January 13, 2014 by Cuendilar

[IRQ]

Hallo Cuen,

 

erstmal danke für die Ausführungen. Ganz zufrieden stellen die mich aber nicht .

 

Ich kann der Argumentation folgen, daß Patroullien IC die Wahrnehmung übernimmt (das geht aus der Beschreibung hervor). Aber es fehlt m.M.n. die spieltechnische Umsetzung dazu bzw. es ist sinnlos, weil Patroullien IC alles akzeptiert, was eine Marke auf dem Host hat und andererseits alles entdeckt, was im Host ist. Damit ist eigentlich eben gerade nicht geklärt, woher IC & Host (also quasi die Einheit) nun eigentlich wissen sollte, wer anzugreifen ist (und wer in der unmittelbaren Folge mit einer Marke markiert wird) - also wer schädlich ist.

 

Ich kann Dir soweit folgen, daß man sagen könnte: Folge einer Angriffshandlung oder einer erfolglosen Schleicherhandlung im Host ist eine Art "gesteigerte Aufmerksamkeit" des Hosts. Zumindest im Falle der Angriffshandlung (und des erfolgreichen Schleichers) hat der Hacker aber noch keine Marke auf sich platziert, folglich ist er zwar sichtbar (im Sinne der Matrixwahrnehmung) aber nicht als Quelle des Übels festgestellt (und schon gar nicht markiert). Es bleibt damit die Frage: wer entdeckt ihn im Host als Quelle des Übels (nicht die GOD, die wird ihn schon irgendwie erwischen, wenn und falls er wieder rauskommt, sondern im (!) Host). Klar kann ich dies quasi dem Patroullien IC zusprechen (und irgendwie auch in meiner SL "Macht" entscheiden) aber ich finde, daß hier eine Regelung fehlt, damit es für den Spieler einschätzbar wird. Was Du beschreibst ist ja im Endeffekt eine Art "aktives" Patroullien IC, das eben mehr tut, als nur auf Vorhandensein von Marken zu prüfen; stattdessen müßte es aktiv Marken detailliert prüfen mit der Chance, daß der Hacker auffliegt. Dazu ein spieltechnisches Prozedere und fertig wärs (und ich endlich zufrieden ). (was weiß ich: z.B. dem aktiven Patroullien IC dann eine Angriffshandlung "Marke überprüfen" zugestehen mit der doppelten Hoststufe. Wenn es dabei mehr Erfolge erzielt als der Hacker bei der Platzierung der Marke ist er aufgeflogen (oder so)). Lösungen gibts sicher viele, aber es sollte finde ich geregelt sein - einheitlich.

 

Unlogisch in diesem Zusammenhang finde ich auch, daß eine gescheiterte Angriffshandlung keine Entdeckung nach sich zieht, aber gerade der Schleicher (dessen Zweck es ja gerade ist unauffälliger zu sein als der Angriff) eine solche nach sich zieht. Aber das mag ein anderes Thema sein.

[Avalia]

1. Es ist (mindestens) eine Marke erforderlich, um auf einen Host zuzugreifen.

2. Patroullien-IC ignoriert Benutzer mit einer Marke. (Es kann die Legalität der Marke nicht überprüfen.)

3. Der Host weiß, dass er angegriffen wurde. Laut Beschreibung sucht der Host selbst nach dem Angreifer (und startet optional IC). (S. 232)

 

Daraus folgt: Patroullien-IC hat damit nichts zu tun.

Allerdings finde ich keine Probe, wie (oder mit welcher Initiative) der Host nach Personen sucht. Normale Wahrnehmungsprobe (also Hoststufe + Hoststufe [DV] gegen Logik + Schleicher bzw Hoststufe + Hoststufe (1)?)

[Quecke]

Ablauf ist aus meiner Sicht folgender:

 

Ein Hacker packt eine Marke auf einen Host. Er bekommt dadurch die Rechte den Host zu betreten. Nun ist er drin. Da das Plazieren der Marke eine illegale Handlung war, steigt sein Overwatch-Wert jede 15 Minuten um 2W6. Er hat also auch ohne weitere illegale Aktionen nicht unendlich Zeit.

 

Solange er Nichts illegales tut, wird er erstmal vom Host und dessen ICs ignoriert. Selbst mögliche Patrouille-IC ignorieren ihn - er hat ja durch seine Marke ein Recht sich im Host aufzuhalten. 

 

Sobald der Hacker eine illegale Angriffs-Handlung vollführt wird er bei Gelingen "bemerkt" (aber nicht entdeckt!). Das Icon wird in seiner nächsten Handlung tun, was ihm aufgetragen wurde. Normalerweise informiert es den Besitzer - in unserem Fall weiß der Host nun bescheid, dass dort was Illegales abgeht. ICs wird gestartet die den Eindringling "entdecken" sollen. Ist Patrouille-IC aktiv, kann dieses sofort nach dem Eindringling suchen - ist dieser nicht auf Schleichfahrt, wird er in der nächsten Handlung des IC entdeckt. Ansonsten fängt das IC an den im Schleichmodus laufenden Hacker zu suchen. Genug Ansatzpunkte um ihn direkt zu suchen - und nicht auf andere Schleicher reinzufallen, wird er haben.

 

Würde kein Patrouille-IC aktiv sein, müsste erst ein anderes IC gestartet werden. Danach kann dieses dann anfangen zu suchen - bis dahin kann der Hacker schon längst weg sein, oder andere miese Sachen gemacht haben.

 

Wenn der Hacker bei einer Schleich-Handlung erwischt wird, gilt er als entdeckt.

 

 

 

Also kurz: Das Patrouille-IC ist dafür da, direkt suchen zu können wenn illegale Handlungen vollführt wurden. Ansonsten kostet dieses erst eine Runde zum Aktivieren von IC.

[Kingmaker]

Ein Beispiel:

 

Der Hacker kommt an den von ihm gesuchten Host und möchte eindringen. Er geht mit Brute Force vor und klatscht erfolgreich eine Marke auf den Host. Damit schafft er es in den Host und ist vor dem Patrouillen IC sicher, da er ja eine Marke auf dem Host besitzt. Der Host ist aber laut RW über eine illegale Handlung informiert und sucht nach dem Urheber.

 

Hätte der Hacker Eiliges Hacken benutzt, wäre es eine Schleicherhandlung und damit wäre der Hacker unbemerkt geblieben.

 

Mir fehlt das Spion IC welches nach einer aktuellen illegalen Handlung im Host den Hacker sucht. Eine ähnliche Probe wie Matrixwahrnehmung. Jede Runde kann das IC eine Probe machen. Hat das IC den Hacker entdeckt, löst es Marker aus und klatscht dem Hacker die Marke aufs Icon. Jetzt können die anderen IC dem Hacker an den Pelz.

[Cuendilar]

Ich sehe das wie Quecke. Wir gehen hier von zwei Fällen aus:

(Ich unterstelle hier mal, dass wir in einem Host sind, der Patroullie immer laufen hat und Publikumsverkehr gewöhnt ist, auf dem Schleichfahrt aber verboten ist.)

 

Decker nicht auf Schleichfahrt:

1. Decker benutzt "eiliges Hacken" und platziert eine Marke auf dem Host.
2. Decker loggt sich ein.
3. Solange der Decker jetzt nichts weiter macht (und sein Icon nicht gegen irgendwelche Iconographie-Regeln des Hosts verstößt) passiert hier solange nix, bis GOD auf 40 aufschlägt.
4. Decker baut Mist, cracked den Schutz einer Datei oder verhält sich sonst wie auffällig.
5. Patroullie als "Auge" des Hosts entdeckt ihn nächste Runde automatisch. Es platziert aber keine Marke auf ihn.
6. Der Host startet gegen den Decker weiteres IC. Der Host behält den Decker solange "im Auge" bis dieser sich der Entdeckung entzieht.

Decker auf Schleichfahrt:

1. Der Decker benutzt "eiligesHacken" und platziert eine Marke auf dem Host.
2. Decker loggt sich ein.
3. Das Patroullie IC sucht nach Icons auf Schleichfahrt und erfährt, das es welche gibt.
4. Der Host meldet, das Schleichfahrt hier verboten ist und bittet, diese zu beenden.
5. Das IC versucht, den Hacker direkt zu finden und würfelt gegen die entsprechenden Attribute.
6. Vorsorglich startet der Host schon Mal "Marker" IC.
7. Sobald das Patroullie den Decker gefunden hat, versucht das IC ihn zu markieren.

 

So, lassen wir das mal, ich denke soweit sollte das klar sein.

Jetzt etwas spezieller:

Der Hacker hackt den Host mit BruteForce - Da der Host keinerlei Möglichkeit hat, den "Täter" zu erkennen (denkt dran: wir sind hier auf einem Publikums-Host) wird er eine Deckerspinne alarmieren, die sich einloggt und das Patroullie IC bei seiner Arbeit unterstützt und obligatorisch die Anwesenden prüft.

 

Aber weder der Host, noch die Spinne oder auch kein von dir vorgeschlagenes Spion IC hat die Möglichkeit den Hacker zu finden, wenn dieser sich nicht auffällig verhält. Erst, wenn der Hacker Mist baut und sich verrät geht das. Aber das kann dann auch das Patroulllie IC, dafür brauchts kein extra Spion IC.

 

Nochmal: Das ist ein Beispiel, wie ich mir das bei einem öffentlichen Host vorstelle. Bei einem Host für Sicherheitsgeräte sähe das alles ganz, ganz anders aus. Beispiel:

 

(Ich nehme an, der Host hat kein Publikumsverkehr und befindet sich auf Schleichfahrt. Der Host kennt alle Icon's, die ihn betreten dürfen und löst bei allem anderen sofort Alarm aus. Schleichfahrt ist hier ebenfalls verboten, sogar noch strenger als oben.)

 

Decker nicht auf Schleichfahrt:

1. Decker hackt den Host, völlig egal ob BruteForce oder EiligesHacken
2. Decker betritt Host
3. Patroullie entdeckt den Decker automatisch nächste Runde und löst Alarm aus
4. Der Host benachrichtigt die Sicherheitsspinne und startet IC.

 

Decker auf Schleichfahrt:

1. Decker nutzt EiligesHacken (Bei BruteForce geht der Host sofort auf Alarm und benachrichtigt direkt die Spinne.)
2. Decker loggt ein.
3. Patroullie schafft in der nächsten Runde die Probe, ob es Schleichfahrticons gibt.
4. Der Host schaltet auf Alarm und benachrichtigt die Spinne. Weder Host noch Spinne haben den Decker bisher entdeckt.
5. Patroullie und Spinne versuchen, den Decker zu lokalisieren.

Das heisst bisher für mich, dass es verdammt schwer ist, wirklich völlig unbemerkt zu hacken. Aber Solange man nicht entdeckt wird, weiss der Host oder die Spinne ja nur, dass da irgendwo wer ist. Wenn man rechtzeitig wieder raus ist, bringt denen das so gut wie garnix.

Edited January 13, 2014 by Cuendilar

[Roadbuster]

Grundsätzlich ist das Patrouillien IC wie ein Wachmann in der "realen" Welt. Es guckt sich alle Icons an, die so in einem Host rum schwirren. Klar, die Marke berechtigt dich zum Zutritt. Dasselbe tun auch eine SIN oder ein Pass oder ähnliches. Trotzdem wird der Wachmann dich überprüfen, bzw. deine SIN, Pass, whatever.

Der Schlüssel ist die Tabelle mit den Informationen für Matrixwahrnehmung. Hier kann man nämlich erfahren:

 

- welche Matrixattribute ein Icon besitzt (Kommlinks haben weder Angriff noch Schleicher und Hosts können sich als Icon nicht in Hosts einloggen. Also ist jedes Icon, was Angriff und/oder Schleicher beitzt erstmal verdächtig bzw. illegal)

 

-welche Matrixhandlung das Icon zuletzt durchgeführt hat ( hier könnte also schon bemerkt werden, wer den Brute Force Angriff gemacht hat)

 

Es ist also gar nicht so schwer. Lediglich ob und wann ein IC das Icon des Deckers scannt liegt beim Spielleiter und hat keine festen Regeln.

[Cuendilar]

Nice Roadbuster. Klar kann man argumentieren dass der Besitz eines Deck's noch nicht illegal sein muss (je nach Host halt) oder dass der Decker gleich nach dem einloggen was unverfängliches machen könnte (Icon ändern aufs eigene Icon z.B.). Aber trotzdem eine sehr interessante Tatsache

[Kingmaker]

Was passiert eigentlich wenn ich in einen Host will und beim Hacken (Brute Force oder Eiliges Hacken) versage. Ich bin ja noch im Gitter und noch nicht im Host. Bekomme ich nur OW und sonst bleibt es ohne Folgen und ich versuchs später einfach nochmal?