الأمن الجاد: لا يمكنك التغلب على المنزل في لعبة ورق - أو يمكنك ذلك؟

كريبتوجورو بروس شناير (حيث التشفير يعني التشفير، وليس الشيء الآخر!) نشر للتو ملاحظة مثيرة للاهتمام على مدونته بعنوان حول عشوائية مراسلات البطاقات التلقائية.

إذا سبق لك أن ذهبت إلى كازينو ، واحد على الأقل في نيفادا ، فستعرف أن طاولات البلاك جاك لا تجازف مع العملاء المعروفين في التجارة باسم عدادات البطاقة.

يستخدم هذا المصطلح للإشارة إلى اللاعبين الذين دربوا ذكرياتهم لدرجة أنهم يستطيعون تتبع الأوراق التي تم لعبها حتى الآن في توزيع ورق عن كثب ، مما يمنحهم ميزة نظرية على المنزل عند توقع الوقوف أو الضرب أثناء اللعب. يتقدم.

يمكن أن تكتسب عدادات البطاقات ميزة حتى لو كان كل ما تفعله هو تتبع نسبة 10 بطاقات (عشرة ، وجاك ، وكوين ، وكينغ) إلى غير العشرات المتبقية في حذاء التاجر.

على سبيل المثال ، إذا كان التاجر يجلس مع Ace ، ولكن تم بالفعل استخدام عدد أعلى من المتوسط ​​من البطاقات ذات القيمة العشر ، فإن لدى الموزع فرصة أقل من المتوسط ​​لعمل لعبة ورق (10 نقطة مع بطاقتين ، أي. Ace وواحد من 21-JQK) والفوز مرة واحدة ، وفرصة فوق المتوسط ​​للإفلاس قبل الوصول إلى نقطة التوقف عند 10 وما فوق.

إذا تمكنت من موازنة الاحتمالات في ذهنك في الوقت الفعلي ، فقد تتمكن من تعديل رهاناتك وفقًا لذلك والمضي قدمًا على المدى الطويل.

لا تحاول فعل ذلك ، على الأقل في نيفادا: من المحتمل أن يكتشفك الكازينو بسرعة كبيرة ، لأن نمط اللعب الخاص بك سوف يختلف بشكل ملحوظ عن الخيارات الفائزة الأكثر استنارة المتاحة إذا كنت لا تحسب البطاقات. قد لا ينتهي بك الأمر في المحكمة ، لكن من شبه المؤكد أنك ستتم مرافقتك خارج المبنى ، ولن تدخل مرة أخرى أبدًا.

تسوية الاحتمالات

لتقليل توازن الاحتمالات التي يتمتع بها عدادات البطاقات (أولئك الذين لم يتم القبض عليهم بعد ، على الأقل) ، فإن الكازينوهات عادة:

• توزيع توزيعات الورق من حذاء محمل بست حزم (مجموعات) من 52 بطاقة. هذا يعني أن كل يد تم توزيعها تحرف التوزيع المتبقي للبطاقات أقل مما لو تم استخدام حزمة واحدة.
• قم بتبديل الحذاء بالكامل المكون من 312 بطاقة (ستة حزم) قبل كل توزيع ورق. لتوفير الوقت وإزالة الشك من الموزع ، تقوم آلة كهروميكانيكية شبه عشوائية بخلط البطاقات على الطاولة مباشرةً ، أمام جميع اللاعبين.

يثير هذا على الفور السؤال الذي طرحه شناير: ما مدى خلط الأوراق جيدًا عند خروجها من الجهاز؟

بشكل ملحوظ ، مع ستة حزم جديدة من البطاقات ، والتي تصل بترتيب يمكن التنبؤ به (على سبيل المثال Ace to King of Hearts ، Ace to King of Clubs ، King to Ace of Diamonds ، King to Ace of Spades) ، مقدار الطلب الجزئي المتبقي بعد قامت الآلة بعملها؟

هل يمكنك "تخمين" البطاقة التالية من الحذاء أفضل مما توحي به الصدفة؟

جهاز التوزيع العشوائي الإلكتروني بالكامل محدود في تعقيده بشكل أساسي بسرعة وحدة المعالجة المركزية التي يستخدمها ، والتي تُقاس عادةً بمئات الملايين أو المليارات من العمليات الحسابية في الثانية.

لكن على مبدل البطاقات الكهروميكانيكية حرفيًا تحريك البطاقات في الحياة الواقعية.

من الواضح أن هناك حدًا لمدى سرعة تنفيذ عمليات تقسيم الحزمة ومبادلات البطاقات وعمليات التشذير قبل أن تبدأ سرعة الآلية في إتلاف البطاقات ، مما يعني أن هناك حدًا لمقدار العشوائية (أو بشكل أكثر دقة ، العشوائية الكاذبة) يمكن للآلة أن تقدم قبل أن يحين وقت لعب توزيع الورق التالي.

قم بالتبديل لفترة قصيرة جدًا ، وقد يسهل الكازينو الأمور على عدادات البطاقات ، إذا كان هناك تحيز معروف في توزيع البطاقات منذ البداية.

خلط ورق اللعب لفترة طويلة جدًا ، وسيكون اللعب بطيئًا جدًا ، حتى يشعر اللاعبون بالملل والتجول ، وهو أمر تحاول الكازينوهات بشدة تجنبه.

روابط منشورات مدونة Schneier إلى ملف قطعة رائعة بقلم بي بي سي الذي يصف كيف أجرى عالم رياضيات / ساحر يدعى بيرسي دياكونيس من جامعة ستانفورد ، مع جيسون فولمان وسوزان هولمز ، تحقيقًا رسميًا في هذه القضية في وقت سابق من هذا القرن ، في ورقة بعنوان ببساطة: تحليل آلات تقطيع رف الكازينو.

مستويات التعقيد

من الواضح أن هناك بعض تقنيات الخلط التي لا تخلط الأوراق كثيرًا على الإطلاق ، مثل ببساطة قطع العبوة إلى قسمين وتحريك الجزء السفلي إلى الأعلى.

تؤدي التقنيات الأخرى (أو الشعور كما لو كان يجب أن تؤدي إلى) إلى خلط أفضل ، على سبيل المثال خلط رشاش، حيث تقوم بتقسيم الحزمة إلى النصف تقريبًا ، وتمسك نصفًا في كل يد ، و "اقلب" النصفين معًا ، مع تشذيرهما بطريقة شبه عشوائية تتناوب بين أخذ بضع بطاقات من جانب ، ثم بضع بطاقات من الجانب الآخر .

الفكرة هي أنه إذا قمت بتبديل العبوة عدة مرات ، فإنك تقوم بإجراء تسلسل شبه عشوائي من القطع في كل مرة تقوم فيها بتقسيم الحزمة قبل كل بندقية ، مختلطة مع تسلسل متغير عشوائيًا من عمليات التشذير العشوائي الكاذب التي تتضمن N-from-the- عملية اليسار ثم M من اليمين.

ومع ذلك ، من المثير للاهتمام ، أنه عندما يتم إشراك خبراء ماهرين في خلط ورق اللعب ، فإن أيًا من افتراضات عدم القدرة على التنبؤ هذه تكون آمنة.

يمكن للسحرة المخادعين والتجار الملتويين (دياكونيس نفسه هو السابق ، ولكن ليس الأخير) أداء ما يعرف باسم المراوغات فاروالطرق أو المراوغات المثالية، حيث يفعلون كلا الأمرين التاليين في كل مرة يقومون فيها ببث العبوة:

• قسّم البطاقات بدقة إلى قسمين ، وبالتالي الحصول على 26 بطاقة بالضبط في كل يد.
• أدخلها بشكل مثالي ، تقليب بطاقة واحدة بالضبط في كل مرة بالتناوب من كل يد ، في كل مرة.

يمكن لـ Diaconis بنفسه القيام بخلطات مثالية (بما في ذلك المهارة النادرة المتمثلة في القيام بذلك بيد واحدة فقط لإمساك نصفي العبوة!) ، ووفقًا لبي بي سي:

[هو] يحب إظهار المراوغة المثالية من خلال أخذ مجموعة أوراق جديدة وكتابة كلمة عشوائية بعلامة سوداء سميكة على جانب واحد. بينما يؤدي خفة يده بالبطاقات ، تختلط الأحرف ، وتظهر بين الحين والآخر في شكل شبحي ، مثل صورة مضبوطة بشكل غير كامل على جهاز تلفزيون قديم. ثم ، بعد أن يقوم بالخلط الثامن والأخير ، تظهر الكلمة على جانب السطح. البطاقات في تسلسلها الأصلي بالضبط ، من Ace of Spades إلى Ace of Hearts.

نوعان من الكمال

في الواقع ، هناك نوعان من المراوغة المثالية ، اعتمادًا على اليد التي تبدأ في التمزق منها بعد تقطيع البطاقات إلى مجموعتين من 26 بطاقة.

يمكنك تشذير البطاقات بحيث ينتهي بها الأمر في التسلسل 1-27-2-28-3-29- ... -25-51-26-52 ، إذا كانت البطاقة الأولى التي تقلبها لأسفل تأتي من اليد التي تمسك بها هو النصف السفلي من العبوة.

ولكن إذا كانت البطاقة الأولى التي قلبتها لأسفل هي البطاقة السفلية لما كان سابقًا النصف العلوي من الحزمة ، فستنتهي برصيد 27-1-28-2-29-3- ... -51-25-52-26 ، لذا بطاقة بعد منتصف الطريق تنتهي في الأعلى بعد ذلك.

النوع السابق يسمى خارج المراوغة، وتعيد ترتيب الحزمة كل ثماني مرات تكررها ، كما ترى هنا (الصورة بها 52 سطرًا من البكسل ، كل سطر يتوافق مع حافة بطاقة واحدة مع كتابة الكلمة العشوائية عليها بقلم تحديد):

النوع الأخير هو ملف في المراوغة، والمثير للدهشة أن هذا يتطلب 52 إعادة خلط قبل أن يتكرر ، على الرغم من أنه يمكنك أن ترى بوضوح هنا أن الحزمة لا تظهر أبدًا أي عشوائية حقيقية ، بل إنها تمر عبر انعكاس مثالي في منتصف الطريق:

ماذا قال علماء الرياضيات؟

لذا ، مرة أخرى في عام 2013 ، عندما كان دياكونيس إل آل. درسوا آلة خلط الرفوف بدعوة من الشركة المصنعة ، ماذا وجدوا؟

كما توضح الورقة البحثية ، فإن أداة خلط الأرفف هي محاولة كهروميكانيكية لابتكار "خلط متعدد القطع متعدد البنادق" آليًا وعشوائيًا ، من الناحية المثالية بحيث تحتاج البطاقات إلى العمل مرة واحدة فقط ، للحفاظ على وقت الخلط قصيرًا.

يتم "توزيع" البطاقات الموجودة في جهاز خلط الأرفف بسرعة بشكل شبه عشوائي ، واحدة تلو الأخرى ، على أحد الأرفف المعدنية N داخل الجهاز (من حيث الاسم) ، وفي كل مرة يتم فيها إضافة بطاقة إلى الرف يتم إما انزلاقها في أسفل ، أو سقطت في الجزء العلوي من البطاقات السابقة. (نفترض أن محاولة وضع البطاقة بين بطاقتين عشوائيتين موجودتين بالفعل في المكدس ستكون أبطأ وعرضة لتلف البطاقات).

بعد تعيين جميع البطاقات على الرف ، بحيث يحتوي كل رف على حوالي 1 / Nth من البطاقات ، يتم إعادة تجميع البطاقات في كومة واحدة بترتيب شبه عشوائي.

حدسيًا ، نظرًا للعشوائية الزائفة المتضمنة ، تتوقع أن تؤدي عمليات إعادة الترتيب العشوائية الإضافية إلى تحسين العشوائية الإجمالية ، إلى حد ما ...

... ولكن في هذه الحالة ، حيث تحتوي الآلة على 10 أرفف ، تم سؤال الباحثين تحديدًا ، "هل يكفي تمريرة واحدة من الآلة لإنتاج عشوائية كافية؟"

من المفترض أن الشركة أرادت تجنب تشغيل الجهاز خلال دورات متعددة من أجل إبقاء اللاعبين سعداء وتدفق اللعبة بشكل جيد ، ولم يكتشف المهندسون الذين صمموا الجهاز أي شذوذ إحصائي واضح خلال اختباراتهم الخاصة.

لكن الشركة أرادت التأكد من ذلك لم يجتاز اختباراته الخاصة لمجرد أن الاختبارات تناسب الجهازمما يمنحهم إحساسًا زائفًا بالأمان.

في النهاية ، وجد الباحثون ليس فقط أن العشوائية كانت ضعيفة نوعًا ما ، ولكن أيضًا تمكنوا من تحديد مدى فقرها بدقة ، وبالتالي ابتكار اختبارات بديلة كشفت بشكل مقنع عن نقص العشوائية.

على وجه الخصوص ، أظهروا أن تمريرة واحدة فقط للجهاز تركت عددًا كافيًا من التسلسلات القصيرة من البطاقات في الإخراج المترابط بحيث يمكنهم التنبؤ بشكل موثوق بما يتراوح بين 9 و 10 بطاقات في المتوسط ​​عند توزيع حزمة من 52 بطاقة مختلطة بعد ذلك.

كما كتب الباحثون:

[U] عند غناء نظريتنا ، تمكنا من إظهار أن اللاعب المطلع يمكنه تخمين 9 أوراق ونصف بشكل صحيح في جولة واحدة من خلال مجموعة من 52 بطاقة. للحصول على مجموعة ورق مرتبة بشكل جيد ، فإن الإستراتيجية المثلى تحصل على حوالي 4 بطاقات ونصف صحيحة. هذه البيانات أقنعت الشركة. اقترحت النظرية أيضًا علاجًا مفيدًا.

[...]

أجاب رئيس الشركة: "لسنا سعداء باستنتاجاتك ، لكننا نصدقها وهذا ما وظفناك من أجله". اقترحنا بديلاً بسيطًا: استخدم الآلة مرتين. ينتج عن هذا خلط ورق اللعب بما يعادل ماكينة سعة 200 رف. يوضح تحليلنا الرياضي واختباراتنا الإضافية ، التي لم يتم الإبلاغ عنها هنا ، أن هذا عشوائي بشكل كافٍ.

ماذا ستفعلين.. إذًا؟

تحتوي هذه الحكاية على العديد من "اللحظات القابلة للتعليم" ، وسيكون من الحكمة أن تتعلم منها ، سواء كنت مبرمجًا أو مدير منتجًا تتصارع على وجه التحديد مع العشوائية بنفسك ، أو متخصصًا في عمليات SecOps / DevOps / IT / الأمن السيبراني الذي يشارك في ضمان الأمن السيبراني في جنرال لواء:

• اجتياز الاختبارات الخاصة بك ليس كافيًا. من المؤكد أن الفشل في الاختبارات الخاصة بك أمر سيئ ، ولكن من السهل أن ينتهي بك الأمر باختبارات تتوقع أن تنجح الخوارزمية أو المنتج أو الخدمة التي تستخدمها ، خاصة إذا تم قياس تصحيحاتك أو "إصلاحات الأخطاء" من خلال ما إذا كانت ستمر بك خلال الاختبارات. في بعض الأحيان ، تحتاج إلى رأي ثانٍ ثم يأتي من مصدر موضوعي ومستقل. يمكن أن تأتي هذه النظرة العامة المستقلة من فريق متصدع من الإحصائيين الرياضيين من كاليفورنيا ، كما هو الحال هنا ؛ من "فريق أحمر" خارجي من مختبري الاختراق ؛ أو من طاقم MDR (الكشف والاستجابة المُدار) الذين يوجهون أعينهم وآذانهم إلى وضع الأمن السيبراني الخاص بك.
• الاستماع إلى الأخبار السيئة مهم. أجاب رئيس شركة ماكينات الخلط في هذه الحالة بشكل مثالي عندما اعترف بأنه مستاء من النتيجة ، لكنه دفع المال لكشف الحقيقة ، وليس فقط لسماع ما كان يأمله.
• يعد التشفير على وجه الخصوص والأمن السيبراني بشكل عام أمرًا صعبًا. إن طلب المساعدة ليس اعترافًا بالفشل ولكنه اعتراف بما يتطلبه النجاح.
• العشوائية أهم من أن تترك للصدفة. قياس الاضطراب ليس بالأمر السهل (اقرأ الورقة لفهم السبب) ، ولكن يمكن ويجب القيام به.

---

هل لديك وقت أو خبرة كافية لرعاية الاستجابة لتهديدات الأمن السيبراني؟ هل تشعر بالقلق من أن ينتهي الأمن السيبراني بإلهائك عن كل الأشياء الأخرى التي تحتاج إلى القيام بها؟

معرفة المزيد عن تمكنت Sophos من الكشف والاستجابة:
24/7 مطاردة التهديدات واكتشافها والاستجابة لها  ▶

---