Blog

Web Güvenlik Konseptini Oyunlaştırarak Öğretmek : OWASP Snakes and Ladders

OWASP Snakes and Ladders , dilimize tercümesi ile Yılanlar ve Merdivenler oyunu, bir tür masa oyunu. Türevlerine farklı adlar ve maksatlarla Asya toplumlarında rastlamak mümkün. Özetle bu tarz oyunlar, erdemli ve kötü davranışları oyunculara öğretmek üzere kurgulanan masa oyunları. Bu oyunlar vasıtası ile iyilik ve kötülük gibi soyut kavramların, öğrencilerin zihinlerinde somutlaştırılması hedefleniyor. 

Snakes and Ladders oyununu ilk gördüğümde aklıma Muhyiddin İbn-i Arabi'nin Satranc-ı Urefa'sı (Arifler Satrancı) geldi. Görüntü ve figürler tamamen aynı. 

Satranc-ı Urefa'nın maksadı da saliklere, talebelere tasavvuf yolunda (seyr-i sülükde) karşılaşılması muhtemel zorlukları ve mevki kazandıracak iyi huyları/hasletleri anlatabilmek.

Snakes and Ladders oyunu da web ve mobil güvenliği konusundaki farkındalığı arttırmak için geliştirilen eğitsel bir proje. Oyunun web ve mobil olarak iki farklı versiyonu mevcut, fakat ben yazı boyunca web güvenliğini öğretmek için hazırlanmış versiyonu baz alacağım.

Oyun tahtasında 100 adet kare bulunuyor. Bu karelerin bazılarında her biri OWASP Top 10 listesindeki zafiyetleri temsil eden yılanlar ve OWASP Proactive Controls 'daki güvenli yazılım geliştirme maddelerini temsil eden merdivenler bulunuyor. 

Ola ki attığınız zarda pozisyonunuz bu yılanlardan birinin ağzına denk gelen kareye düşerse, yılanın kuyruğunun ucu hangi karede ise, o kareye doğru geri gitmeniz gerekiyor. Varsayalım attığınız zarda 27 numaralı kareye, yani yılanın Cross Site Scripting (XSS) zafiyetini temsil ettiği kareye denk geldiniz. Sizi gerisin geri, 6 numaralı kareye gönderiyor.

Yine oyun tablosunda sizi ileriye, yüksek basamaklara taşıyan merdivenler var. Her bir merdiven OWASP Proactive Controls listesindeki tedbirlerden/kontrollerden birini temsil ediyor.

Örneğimizi sürdürelim: Oyuna devam ederken, 13 numaralı karedeki merdivene denk gelirseniz, bu merdiven OWASP Proactive Controls listesindeki 3. maddeyi, yani Encode Data maddesini temsil ediyor. Dolayısı ile 13 numaralı kareye gelerek, encoding'in ehemmiyetini algılayıp, sisteme bu kontrolleri entegre etmek sizi merdivenin uç tarafındaki 33 numaralı kareye çıkarıyor. Böylece yol üzerindeki 27 numaralı karede bulunan Cross Site Scripting (XSS) zafiyetinden korunmuş oluyorsunuz.

Nasıl Oynanıyor?

Oyun en az 2, en fazla altı kişi ile oynanabiliyor. Oyuna başlamadan önce tüm oyuncuların 1 numaralı karede konumlanması gerekiyor. Başlamadan önce oyuncular sıra ile zar atıyor ve en yüksek zarı atan oyuna başlıyor.

Oyuncular attıkları zardaki numaraya denk gelen kareye kendilerini temsil eden taşları koyuyorlar. Eğer oyun esnasında kullanıcıyı temsil eden taş, bir merdivenin ucuna denk gelirse, oyuncu merdivenin bittiği üst kareye piyonunu taşıyor. Eğer oyun boyunca kullanıcılar yılanın ağzının olduğu karelerden birine denk gelirse, taşlarını gerisin geri yılanın kuyruğunun bittiği kareye götürmek zorunda.

Merdiven ve yılanın ağzına denk gelen her karede zafiyet ve proactive controller ile ilgili bilgilendirme, fikir alışverişi yapılabilir.

100 numaralı kareye ilk ulaşan kişi oyunu kazanıyor.

Son olarak;

Ben nacizane oyunu güvenlik konseptini anlayabilmek ve zihinlerde somutlaştırabilmek adına oldukça faydalı buldum.

Satranc-ı Urefa ve Snakes and Ladders arasındaki en önemli fark, Snakes and Ladders'a yani Yılanlar ve Merdivenler oyununa başlamak için en büyük zarı atmak gerekiyor. Satranc-ı Urefa'ya başlamak için ise 6 numaralı zarı atmak, yani Nedamet, pişmanlık karesine gelmek gerekiyor. OWASP Snakes and Ladders oyununa alaka buyurduğunuza göre, güvenli yazılım geliştirme prensiplerinin noksanlığından oldukça ağzımız yanmış ve nedamet getirmiş olduğumuz peşinen kabul ediliyor demek ki.

Güvenlik hiç bitmeyen bir serüven, Satranc-ı Urefa'da, Kemal'e çok yakın bir noktada Kibir (Gurur) karesi var (91. kare) . Bu noktaya gelince, kemale ne kadar yakın da olsanız, sizi gerisin geri Zillet'e götürüyor.

"Artık güvendeyim" demek de, güvenlik dünyasında aynı şekilde bir sıkıntıya sebep olabilir. Oyun sadece OWASP Top 10 Security Risks ve OWASP Proactive Controls kapsamında hazırlandığı için neyse ki böyle bir tuzak yok. Ama gene de güvenlik zannının, varsayımının ya da kibrinin bizi gerisin geri ilk karelerdeki durumlara düşüreceğini hatırdan çıkarmamak gerekiyor.

Oyunun Türkçe çevirisi de çok yakında yayınlanacak. Projenin aktif bir twitter hesabı var. Oyun ile ilgili hamleleri sıklıkla tweet olarak atıyorlar. Maalesef oyunun Türkçe çevirisi yok.








Yorum Yapmak İçin Giriş Yapın.