Medlem
GreyHack

GreyHack är ett spel om hacking. Det har funnits ett par liknande spel tidigare, men de har inte gått lika långt i komplexitet och djup. Jag har tidigare försökt att spela Hacker Evolution, men tappade intresset för det uppriktigt sagt, usla användarinterfacet.

GreyHack tar ett steg vidare och istället för att återuppfinna hjulet så använder den ett vanligt Unix liknande interface med settings, klocka, ikoner och terminalfönster, vilket gör upplevelsen mer realistiskt och faktisk kul att använda.

Du börjar genom att konfigurera din PC: Användarnamn, Namn på din dator, och login uppgifter, sen släpps du lös i spelet där du även kan ändra tema på din PC och lägga till en mer cyber bakgrundsbild. Din PC kommer förkonfigurerad med en uppsättning verktyg typ Notepad, File Explorer, Terminalfönster och en del annat och det är upp till dig att skaffa allt annat.

Vad slutmålet är med resan du gör är oklart, men du stöter på webbsajter där du kan ladda ner verktyg, skapa bitcoin och en del annat. Det börjar i alla fall med att du får ett mail som tar dig till en webbsajt där du kan ladda ner verktyg, exploits och få uppdrag att hacka dig in i andra system, och oftast handlar det om att hämta information, exempelvis att ta reda på inloggnings uppgifter, sno en fil, förändra information (betyg eller brottsregister), eller att förstöra ett system.

Du får XP för din framgång (och tillhörande levels som låser upp fler missions) och naturligtvis betalt. För pengarna så kan du köpa nya exploits och även förbättra din PC vilket behövs efter ett tag. En av aktiviteterna du gör är att knäcka lösenord och för det behöver du snabbare CPU och GPU, du behöver mer minne för att köra fler program samtidigt och större hårddisk för att lagra fler program på datorn. När du har maxat din PC så förlorar pengarna sin funktion och det verkar inte finnas någon endgame användning för stålarna.

I multiplayer läget så kan du också bli hackad, du kan härda din PC genom att göra vissa saker som gör det svårare för en annan spelare att köra sina exploits mot din burk, uppdatera din dator med apt-get och du kan också dölja dina spår genom att hoppa genom andra datorer med SSH. Detta funkar också i singleplayer mot administratörer och polisen som försöker spåra dina aktiviteter och om du är oförsiktig så får du först en varning, sen är det "Game over man"!

En del exploits har konstiga requirements som att det måste finnas 3 användare registrerade på mål-datorn, eller att 2 användare måste vara inloggade. Så fungerar inte exploits i verkligheten, men jag fattar att det hela måste "gamifieras" för att det ska finnas något som ger motstånd för att du inte ska hacka allt och sen bli trött.

Samma sak gäller att du kontaminerar vissa måltavlor med verktyg, ändrar lösenord och lämnar spår i loggar ibland som du inte kan ta bort för att du inte har root rättigheter, men ... whatever du klarar uppdraget, som IT-Forensiker i verkligheten så får det mig att rulla ögonen bak i skallen. Några Admin är skitduktiga att spåra dig och andra är lika effektiva i säkerhet som en säck med havregryn - precis som i verkligheten.

En stor grej med spelet är att det finns ett eget script språk i spelet, GreyScript som är baserat på Miniscript som är i sin tur baserad på LUA Script och Python. Du kan ladda hem script från Greyrepo och till och med Github (den riktiga) och klistra in dem i spelets script editor och sen kompilera och köra dem. Du kan också scanna /lib/ filer efter exploits och rapportera dem, och även rapportera aktiviteter till polisen om du vill vara mer laglig.

Singleplayer läget är ganska enkelt och alla exploits du använder är på version 1.0.0, Multiplayer läget har varierande versioner och det kan vara svårt att hitta något som fungerar i ett visst uppdrag, men uppdraget kan du bara ta bort från din inkorg och ta något annat istället. Det finns en ganska stor obalans i utmaning mellan SP och MP och MP kan vara frustrerande först, men SP låter dig åtminstone lära dig hur spelet fungerar.

Spelet är lite buggigt, det finns inga game-breaking buggar, men en del irriterande småsaker (copy paste funkar inte ibland). Det är också oklart om vilka exploits och versioner som fungerar ibland står det t.ex. libSSH version >= 1.0.5, men det betyder inte att den fungerar mot version 1.1.2 då den kan vara patchad. I vilken version går gränsen?

Allt du gör ger dig en Blackhat eller Whitehat rating som... gör...something, det är oklart vad din moral gör för något, men spelet är fortfarande i Alpha så det kan säkert användas till något i framtiden. Alpha innebär också att features kan försvinna eller förändras och något jag läste var att Multiplayer utsätts regelbundet för Wipes så all din progress försvinner då och då.

Det här är inget casual spel, spelet är mycket dåligt dokumenterat och förutom en tutorial hur du använder din PC och hackar WiFi så får du ingen hjälp alls. Jag kan inte förstå hur folk som inte är insatta i cybersäkerhet ska kunna köpa och njuta av spelet utan att läsa genom massor av information.

Jag har aldrig spelat ett så komplett och komplext hacker spel tidigare och det finns inslag från Neuromancer, Hacker Evolution och PC Repair shop. Jag har haft kul, men då har jag också haft förkunskaperna att känna till allt som behövs, en bättre tutorial behövs för mer avancerade saker, förkunskapskraven är för höga och det ska inte krävas att spelare har gått genom någon dyr SANS utbildning i Pentesting.

Trailer:

/Ichinin

GreyHack
4
Mycket bra
+
Lärande för wannabe pentestare
+
Riktigt script språk i spelet
-
Skoningslös learningcurve
-
Obalanserad svårighet mellan MP/SP
-
Wipes i Multiplayer som dödar progress
Det här betyder betygen på FZ
Medlem

(Sorry för bildkvaliteten, men försökte förminska dem i storlek och till JPEG format för att spara bandbredd för FZ.)

Medlem

Det är lite av en balansgång med hög svårighetsgrad. Kanske leder det till att spelet säljer mycket sämre eftersom alla inte kan spela, men samtidigt är det alltid kul med nischade spel som verkligen fokuserar på en specifik målgrupp.

I det här fallet låter det ju som att det var målet att de redan kunniga skulle få en sandlåda att busa i.

Själv undviker jag det här eftersom jag inte har kunskapen, och inte är intresserad av att lära mig. 😀

phi
Medlem

Har lite svårt att se målgruppen för dessa spel.

Om man behöver förkunskaper för att spela så skrämmer det förmodligen bort en stor del av en potentiellt redan liten målgrupp som Bennii beskriver ovan. Jag själv med hackingerfarenhet ser riktigt inte vitsen med spelen och sparkar hellre igång Kali eller Parrot OS och en box som jag inte har klarat av ännu och samtidigt kanske lär mig ett par nya saker som faktiskt fungerar i verkligheten.

För de som vill lära sig lite grundläggande cybersäkerhet av olika slag så kör TryHackMe sin Advent of Cyber varje december och inga förkunskaper krävs. Bara hoppa och in och köra:

https://tryhackme.com/christmas

Medlem
Skrivet av phi:

Har lite svårt att se målgruppen för dessa spel.

Jag tror målgruppen är... alla som har sett Mr Robot (och har lite Unix kunskaper). Skillnaden mellan en TryHackMe, en Cyber Range och GreyHack är att här kan du gå hela vägen och simulerat göra saker som i verkligheten skulle få dig att hamna bakom galler.

En del CTF brukar ha en del inlägg som är helt ute och cyklar, typ att du ska reversa någon 68K Asm binär eller dekoda radiotraffik, kanske kul för de som gillar att nörda ner sig i sånt och har ambitioner att jobba på FRA, men inte direkt något som du har någon generell nytta av i Cybersäkerhetsbranschen.

Som sagt, VÄLDIGT nischat spel.

phi
Medlem
Skrivet av Ichinin:

En del CTF brukar ha en del inlägg som är helt ute och cyklar, typ att du ska reversa någon 68K Asm binär eller dekoda radiotraffik, kanske kul för de som gillar att nörda ner sig i sånt och har ambitioner att jobba på FRA, men inte direkt något som du har någon generell nytta av i Cybersäkerhetsbranschen.

Som sagt, VÄLDIGT nischat spel.

Det är förvisso ju en oerhörd växlande kvalitet på CTFs men det finns ju hur mycket som helst som är direkt användbart i verkliga livet.

T.ex hur man hittar XSS, IDOR, CSRF etc, credential stuffing, password spraying etc i webbapplikationer eller hur man själv konfigurerar och attackerar en AD-miljö genom kerberoasting, golden ticket-attacker, pass the hash etc. Samtliga används så gott som dagligen av pentestare.

Dessa saker har jag lärt mig på egen hand genom i huvudsak CTFs.

Medlem
Skrivet av phi:

Det är förvisso ju en oerhörd växlande kvalitet på CTFs men det finns ju hur mycket som helst som är direkt användbart i verkliga livet.

T.ex hur man hittar XSS, IDOR, CSRF etc, credential stuffing, password spraying etc i webbapplikationer eller hur man själv konfigurerar och attackerar en AD-miljö genom kerberoasting, golden ticket-attacker, pass the hash etc. Samtliga används så gott som dagligen av pentestare.

Dessa saker har jag lärt mig på egen hand genom i huvudsak CTFs.

Som jag sa *en del* är ute och cyklar. Visst, du kanske faktiskt har lärt dig saker från CTF, men problemet är att bevisa för arbetsgivare att du som självlärd har kunskaperna.

Det finns ingen genomgående kvalitet i CTF och därför är jag negativ mot dem. Kul pyssel för hemmahackers? - sure, men sätt dig in i rollen som rekryterare som ska bedöma kunskaper: Om någon säger att de kört CTF X, Y eller Z - hur mäter du det som rekryterare? Ska du sitta och gå genom alla CTF för att validera innehållets relevans och konsultera kunniga i flera dagar?

Det finns rena kurser i sånt här med certifikat och allt, men problemet är att de kostar ibland en hiskerlig mängd pengar för privatpersoner, så där har du det problemet. Och privatpersoner får sällan åtkomst till cyberranges där en mer realistisk träning förekommer med återspelning av events för incidenter eller riktiga red-team övningar.

Som 100% Blueteamer så finns det väldigt få CTF som är användbara och de som är seriösa inriktas främst mot Redteams, så där är de generellt meningslösa ur kunskapssynpunkt för defensiv cybersecurity.

Det behövs någon form av mer kvalitetskontrollerad självträning och här skulle spelvärlden med just såna här spel med riktad kunskapsutövning kunna spela en mer avgörande roll. Nu är GreyHack väldigt inriktad mot offensiv cybersäkerhet, men du fattar nog vad jag menar.

Har inget mot CTF och jag säger inte att GreyHack är bättre, men jag förespråkar mer hands on och framförallt mer relevans och bort med allt flum som inte hör dit.

phi
Medlem
Skrivet av Ichinin:

Som jag sa *en del* är ute och cyklar. Visst, du kanske faktiskt har lärt dig saker från CTF, men problemet är att bevisa för arbetsgivare att du som självlärd har kunskaperna.

Det finns ingen genomgående kvalitet i CTF och därför är jag negativ mot dem. Kul pyssel för hemmahackers? - sure, men sätt dig in i rollen som rekryterare som ska bedöma kunskaper: Om någon säger att de kört CTF X, Y eller Z - hur mäter du det som rekryterare? Ska du sitta och gå genom alla CTF för att validera innehållets relevans och konsultera kunniga i flera dagar?

Det finns rena kurser i sånt här med certifikat och allt, men problemet är att de kostar ibland en hiskerlig mängd pengar för privatpersoner, så där har du det problemet. Och privatpersoner får sällan åtkomst till cyberranges där en mer realistisk träning förekommer med återspelning av events för incidenter eller riktiga red-team övningar.

Som 100% Blueteamer så finns det väldigt få CTF som är användbara och de som är seriösa inriktas främst mot Redteams, så där är de generellt meningslösa ur kunskapssynpunkt för defensiv cybersecurity.

Det behövs någon form av mer kvalitetskontrollerad självträning och här skulle spelvärlden med just såna här spel med riktad kunskapsutövning kunna spela en mer avgörande roll. Nu är GreyHack väldigt inriktad mot offensiv cybersäkerhet, men du fattar nog vad jag menar.

Har inget mot CTF och jag säger inte att GreyHack är bättre, men jag förespråkar mer hands on och framförallt mer relevans och bort med allt flum som inte hör dit.

Ja alltså nu jag menar ju inte att CTFs räcker som ett alternativ till ett CV. Däremot tycker jag att CTFs är ett utmärkt sätt att exponerar en person som har ett intresse för cybersäkerhet för olika områden så att personen sedan kan nörda ner sig i ett av områdena. Det var så jag lärde mig om den offensiva sidan, det var så jag fick upp ögonen för OSCP och tog det och det var så en rekryterare kontaktade mig om ett pentestjobb. Så något värde måste det ju finnas när arbetsgivare till och med nämner tidigare erfarenhet från CTFs som en merit. Som jag fattar det så handlar det mer om mindset och lateralt tänkande än tekniska kunskaper där de senare går att lära sig i rollen.

Men som du själv säger så kommer du från Blue team-sidan och där finns det ingenting motsvarande och "hands on" verkar nästan omöjligt. Jag har själv försökt hitta något för lära mig mer om den defensiva sidan på egen hand men det har resulterat i ett par flumkurser i att rota i loggar i Splunk eller pcap-filer i wireshark så jag gav tyvärr upp ganska snabbt.

Grey Hack kanske kompletterar CTFs som ett sätt att få folk intresserade av cybersäkerhet och det vore ju något positivt i alla fall!

Chefredaktör

Tack för fin recension! ❤️

Medlem

Tack för recension! Ser kul ut

Inaktiv

Tyckte om NITE TEAM 4. Det var stämningsfullt. Kanske borde testa detta.

Medlem

Ser ut som en modernare och mer avancerad version av klassikern Uplink. Uplink kräver dock inga direkta förkunskaper men man får leva med ganska låg upplösning då spelet är 20 år gammalt vid det här laget. Finns för en spottstyver på Steam just nu.

https://store.steampowered.com/app/1510/Uplink/

Det finns en mod som uppgraderar gränssnittet som nog är att rekommendera om man inte spelat förut och vill ha nostalgi-effekten, jag har dock inte testat den själv men utvecklarna av grundspelet gjorde en video om modden när den släpptes så den bör vara okej.

https://www.moddb.com/mods/uplink-os

/ LordDaimos

Medlem
Skrivet av LordDaimos:

Ser ut som en modernare och mer avancerad version av klassikern Uplink. Uplink kräver dock inga direkta förkunskaper men man får leva med ganska låg upplösning då spelet är 20 år gammalt vid det här laget. Finns för en spottstyver på Steam just nu.

https://store.steampowered.com/app/1510/Uplink/

Det finns en mod som uppgraderar gränssnittet som nog är att rekommendera om man inte spelat förut och vill ha nostalgi-effekten, jag har dock inte testat den själv men utvecklarna av grundspelet gjorde en video om modden när den släpptes så den bör vara okej.

https://www.moddb.com/mods/uplink-os

/ LordDaimos

Uplink var riktigt fräckt när det kom.


signatur

I drank what?

Medlem

Ser intressant ut. Har inte funnit något "hackerspel" som varit kul och gett mig inlevelse ända sedan Uplink, så ska kika mer på det här om det kanske kan vara det jag suktat efter i många år sen Introversion gav ut sitt hackerspel

Medlem
Skrivet av phi:

Har lite svårt att se målgruppen för dessa spel.

Underligt, för jag tycker det är väldigt tydligt.

Medlem

Det är lite mer avancerat än de flesta andra spelen som Hacker Evolution, Hack.net och Uplink (som jag hade jag glömt bort), har lagt en del timmar på GreyScript och det går att göra en del avancerade prylar i spelet, har skrivit bland annat en SSH Bruteforcer som använder sig av en password list för att hacka datorerna i spelet, syns inte heller i loggarna (jämfört med exploits som skapar en "Shell connected" log och sticker ut rejält och kan avslöja dig i Multiplayer) så det är en fördel. (*host* alla lösenord finns i Unity resurs filerna *host-host*)

Har också sett att versionerna på exploits i Singleplayer sakta vandrar uppåt (de är inte fast på 1.0.0) utan de rör på sig uppåt allteftersom du använder dem mer och mer, sen blir de patchade och du får leta upp nya exploits. Spelet är lite enformigt mellan de olika "quests" som dyker upp, sen att vissa av dem kan vara ohackbara ett tag innan du fixat exploits - eller listat ut hur rshell fungerar, stoppar upp all progress i spelet vilket är lite synd.

Medlem
Skrivet av anon_79617:

Tyckte om NITE TEAM 4. Det var stämningsfullt. Kanske borde testa detta.

Notera att GreyHack är VÄLDIGT konsol (Terminalfönster, inte XBox) fokuserat och medans du inte behöver skriva kod så är det extremt rekommenderat. Språket är väldigt enkelt att sätta sig in i och det finns kod lite här och där att lära från, dokumentationen för språket i sig är inte den bästa heller så det är rekommenderat.

Redaktör
Ponny

Tycker det är sjukt kul att sådana här spel finns. Är nog inte min grej, men kan verkligen se hur man kan falla handlöst för detta.


signatur

En Bamseponny av folket

Medlem

Tack för recension, ser kul ut!

Vore bra med en hyfsat autentisk blålags-tränare, kanske ska Försvarsmakten, MSB och några andra aktörer utveckla ett spel och rekrytera utefter hur långt deltagarna tar sig.

Det finns väl redan ganska etablerade tester i detta avseendet, men det blir helt olika beteenden när det aktivt söks efter något "riktigt" och när det är fritt fram att "misslyckas".

Vi behöver definitivt mer kompetens inom området, om så bara för att utveckla robust mjukvara för kommersiella ändamål.

Medlem

Har utforskat mer, det går att hyra servrar och bygga nätverk med routrar, switchar, servrar och allt.

Upptäckte att du kan också köra program samtidigt på din burk (Multitasking), men det kräver nog en bra CPU, och jag har inte prövat prestandan på den skitdator som du får i början av spelet. Multitasking är bra för... vissa saker 😄

1
Skriv svar