Ciddi Güvenlik: Blackjack'te evi yenemezsiniz – yoksa yapabilir misiniz?

Cryptoguru Bruce Schneier (nerede kripto anlamına geliyor kriptografi, başka bir şey değil!) başlıklı blogunda ilgi çekici bir not yayınladı. Otomatik Kart Karıştırıcıların Rastgeleliği Üzerine.

Nevada'da en az bir kumarhaneye gittiyseniz, blackjack masalarının ticarette şu şekilde bilinen müşterilerle şansını zorlamadığını bileceksiniz. kart sayaçları.

Bu terim, bir elde o ana kadar oynanan kartları yakından takip edebilecekleri noktaya kadar hafızalarını eğitmiş oyunculara atıfta bulunmak için kullanılır, bu da onlara oyun sırasında ayakta durmayı veya vurmayı tahmin ederken kasaya göre teorik bir avantaj sağlar. ilerler.

Kart sayıcılar, tek yaptıkları 10 kartın (On, Vale, Kız ve Papaz) krupiyenin ayakkabısında kalan 10'lu olmayanlara oranını takip etmek olsa bile bir avantaj elde edebilir.

Örneğin, krupiye bir As ile oturuyorsa, ancak ortalamanın üzerinde 10 değerli kart kullanılmışsa, krupiyenin blackjack yapma şansı ortalamanın altında (iki kartla 21 puan, yani As ve 10-JQK'dan biri) ve bir kerede kazanma ve 17 ve üzeri durma noktasına ulaşmadan önce ortalamanın üzerinde bir düşüş şansı.

Gerçek zamanlı olarak kafanızdaki olasılıkları dengeleyebilirseniz, bahislerinizi buna göre değiştirebilir ve uzun vadede öne geçebilirsiniz.

Bunu gerçekten denemeyin, en azından Nevada'da: kumarhane sizi oldukça hızlı bir şekilde yakalayacaktır, çünkü oyun şekliniz, kartları saymazsanız, mevcut en bilinçli kazanma seçeneklerinden önemli ölçüde farklı olacaktır. Mahkemeye çıkmayabilirsiniz, ancak neredeyse kesinlikle binadan çıkarılacaksınız ve bir daha asla içeri girmeyeceksiniz.

Oranları dengelemek

Kart sayaçlarının (en azından henüz yakalanmamış olanlar) hoşlandığı olasılıkların karşı dengesini azaltmak için kumarhaneler tipik olarak:

• 52 kartlık altı deste (deste) yüklü bir ayakkabıdan el dağıtın. Bu, dağıtılan her elin, tek bir paketin kullanılmasına kıyasla kalan kart dağıtımını daha az çarpıttığı anlamına gelir.
• Her elden önce 312 kartın (altı paket) tamamını karıştırın. Zaman kazanmak ve krupiyenin şüphesini ortadan kaldırmak için, sahte bir elektromekanik makine, kartları tüm oyuncuların önünde masanın üzerinde karıştırır.

Bu hemen Schneier'in sorduğu soruyu gündeme getiriyor: kartlar makineden çıktıklarında ne kadar iyi karıştırılıyor?

Özellikle, tahmin edilebilir bir sırayla gelen altı yeni kart destesiyle (örneğin, As'tan Kupa Kralı'na, Astan Sopa Kralı'na, Papazdan Elmas Ası'na, Kraldan Maça Ası'na), oyundan sonra ne kadar kısmi sıralama kaldı? makine işini yaptı mı?

Ayakkabıdan çıkan bir sonraki kartı, şansın önerdiğinden daha iyi “tahmin edebilir misiniz”?

Tamamen elektronik bir rastgeleleştiricinin karmaşıklığı, esas olarak kullandığı ve tipik olarak saniyede yüz milyonlarca veya milyarlarca aritmetik işlemle ölçülen CPU hızıyla sınırlıdır.

Ancak bir elektromekanik kart karıştırıcı, gerçek hayatta kartları kelimenin tam anlamıyla hareket ettirmek zorundadır.

Mekanizmanın hızı kartlara zarar vermeden önce paketi bölme, kart takası ve serpiştirme işlemlerini ne kadar hızlı gerçekleştirebileceğinin açıkça bir sınırı vardır, bu da ne kadar rastgeleliğin (veya daha doğrusu, daha doğrusu, sözde rastgelelik) makine bir sonraki eli oynamaya başlamadan önce tanıtabilir.

Çok kısa bir süre için karıştırın ve kartların dağıtımında en başından beri bilinen bir önyargı varsa, kumarhane aslında kart sayaçları için işleri kolaylaştırabilir.

Çok uzun süre karıştırın ve oyun çok yavaş olacak, böylece oyuncular sıkılacak ve dolaşacaklar, kumarhanelerin umutsuzca kaçınmaya çalıştığı bir şey.

Schneier'in blog gönderileri bir büyüleyici parça Stanford Üniversitesi'nden Persi Diaconis adlı bir matematikçi/sihirbazın, Jason Fulman ve Susan Holmes ile birlikte, bu yüzyılın başlarında bu konuyla ilgili resmi bir soruşturmayı nasıl yürüttüğünü anlatan BBC tarafından, basitçe başlıklı bir makalede: CASINO RAF KARMA MAKİNELERİNİN ANALİZİ.

karmaşıklık seviyeleri

Açıkçası, kartları çok fazla karıştırmayan bazı karıştırma teknikleri var, örneğin basitçe kesim paket iki parçaya bölünür ve alt kısım yukarı doğru hareket ettirilir.

Diğer teknikler, örneğin karışıklık, desteyi kabaca ikiye böldüğünüz, her iki elinizde birer yarısını tutun ve iki yarıyı bir arada "çevirin", bunları bir taraftan birkaç kart, sonra diğer taraftan birkaç kart alma arasında değişen sahte rastgele bir şekilde serpiştirin. .

Buradaki fikir şudur ki, paketi birkaç kez karıştırırsanız, paketi her bir parçadan önce böldüğünüzde sözde rastgele bir kesim dizisi gerçekleştirirsiniz, bu kesimler bir N-the-the-the- soldan sonra M-sağdan süreci.

Bununla birlikte, işin içine yetenekli insan karıştırıcılar dahil olduğunda, bu öngörülemezlik varsayımlarının hiçbiri güvenli değildir.

Hünerli sihirbazlar ve sahtekar tüccarlar (Diaconis'in kendisi ilkidir, ancak ikincisi değil) olarak bilinen şeyi yapabilirler. faro karıştırmaya da mükemmel karışıklıklar, burada paketi her karıştırdıklarında aşağıdaki şeylerden ikisini de yaparlar:

• Kartları tam olarak ikiye bölün, böylece her elde tam olarak 26 kart alınır.
• Onları mükemmel bir şekilde serpiştirin, her seferinde her elden dönüşümlü olarak tam olarak bir kart aşağı çevirmek.

Diaconis'in kendisi mükemmel karıştırmalar yapabilir (bunu sadece tek elle yaparak paketin her iki yarısını da tutmak gibi nadir bir beceri de dahil!) ve BBC'ye göre:

[O] yeni bir iskambil destesi alıp bir tarafa kalın siyah kalemle RANDOM kelimesini yazarak mükemmel karıştırmayı göstermeyi seviyor. Kartlarla el çabukluğunu yaparken, harfler karışıyor, eski bir televizyon setindeki kusurlu ayarlanmış bir görüntü gibi arada sırada hayaletimsi bir biçimde ortaya çıkıyor. Ardından, sekizinci ve son karıştırmayı yaptıktan sonra, kelime güvertenin yanında yeniden ortaya çıkıyor. Kartlar, Maça Ası'ndan Kupa Ası'na kadar tam orijinal sıralarındadır.

İki tür mükemmellik

Aslında, kartları iki 26 kartlık desteye böldükten sonra hangi elden karıştırmaya başladığınıza bağlı olarak iki tür mükemmel karıştırma vardır.

Aşağıya çevirdiğiniz ilk kart, tuttuğunuz elden geliyorsa, kartları 1-27-2-28-3-29-…-25-51-26-52 sırasına gelecek şekilde serpiştirebilirsiniz. o paketin alt yarısı.

Ama eğer ilk çevirdiğiniz kart, daha önce destenin ilk yarısının en alttaki kartıysa, 27-1-28-2-29-3-…-51-25-52-26 ile sonuçlanırsınız. yarıyı geçen kart daha sonra en üstte biter.

Eski tip denir karışık, ve paketi her sekiz kez tekrarladığınızda yeniden sıralar, burada görebileceğiniz gibi (görüntüde 52 satır piksel vardır, her satır bir kartın kenarına karşılık gelir ve üzerinde bir işaretleyici kalemle RANDOM kelimesi yazılıdır):

Son tip bir karışık, ve bu, şaşırtıcı bir şekilde, tekrar etmeden önce 52 yeniden karıştırma alır, ancak burada paketin hiçbir zaman gerçek bir rastgelelik göstermediğini ve hatta yarı yolda mükemmel bir tersine çevirmeden geçtiğini açıkça görebilirsiniz:

Matematikçiler ne dedi?

Yani, 2013'te Diaconis el al. üreticinin daveti üzerine raf karıştırıcı makinesini incelediler, ne buldular?

Makalenin açıkladığı gibi, bir raf karıştırıcı, karıştırma süresini kısa tutmak için kartların yalnızca bir kez çalışılması gerektiği şekilde, otomatik, rastgele bir "çok kesimli çok kanallı karıştırma" tasarlamak için elektromekanik bir girişimdir.

Bir raf karıştırıcısındaki kartlar, cihaz içindeki N metal raflardan birine (adın nereden geldiği) her seferinde bir tane olmak üzere, sözde rastgele olarak hızla "dağıtılır" ve bir rafa her kart eklendiğinde, ya alt veya önceki kartların üstüne düştü. (Halihazırda yığında bulunan iki rastgele kart arasına kartı sokmaya çalışmanın hem daha yavaş olacağını hem de kartlara zarar vermeye eğilimli olacağını varsayıyoruz.)

Tüm kartlar bir rafa atandıktan sonra, böylece her rafta yaklaşık 1/N'lik kart bulunur, kartlar sözde rasgele sırayla tek bir yığın halinde yeniden birleştirilir.

Sezgisel olarak, sözde rastgelelik göz önüne alındığında, ek yeniden karıştırmaların genel rastgeleliği bir noktaya kadar iyileştirmesini beklersiniz…

…ama bu durumda, makinenin 10 rafı olduğu durumda, araştırmacılara özellikle şu soru soruldu: "Makinenin bir geçişi, yeterli rastgelelik üretmek için yeterli olacak mı?"

Muhtemelen şirket, oyuncuları mutlu etmek ve oyunun iyi akmasını sağlamak için makineyi birden fazla döngüde çalıştırmaktan kaçınmak istedi ve cihazı tasarlayan mühendisler, kendi testleri sırasında açık bir şekilde açıklanabilir istatistiksel anormallikler tespit etmemişlerdi.

Ancak şirket bundan emin olmak istedi. testler makineye uygun olduğu için kendi testlerini geçmemişti, bu onlara yanlış bir güvenlik hissi verirdi.

Sonuç olarak, araştırmacılar sadece rastgeleliğin oldukça zayıf olduğunu değil, aynı zamanda tam olarak ne kadar zayıf olduğunu ölçebildiklerini ve böylece rastgelelik eksikliğini ikna edici bir şekilde ortaya çıkaran alternatif testler tasarlayabildiklerini keşfettiler.

Özellikle, cihazın sadece bir geçişinin, karıştırılmış çıktıda, daha sonra 9 karıştırılmış karttan oluşan bir paket dağıtıldığında ortalama olarak 10 ila 52 kart arasında güvenilir bir şekilde tahmin edebilecek kadar çok sayıda kısa kart dizisi bıraktığını gösterdiler.

Araştırmacıların yazdığı gibi:

Teorimizi kullanarak, bilgili bir oyuncunun 9 kartlık bir destede tek seferde 52 buçuk kartı doğru tahmin edebileceğini gösterebildik. İyi karıştırılmış bir deste için, optimal strateji yaklaşık 4 buçuk kartı doğru alır. Bu veriler şirketi ikna etti. Teori ayrıca yararlı bir çare önerdi.

[...]

Şirketin başkanı, "Sonuçlarınızdan memnun değiliz, ancak onlara inanıyoruz ve sizi bunun için işe aldık." Basit bir alternatif önerdik: makineyi iki kez kullanın. Bu, 200 raflı bir makineye eşdeğer bir karıştırma ile sonuçlanır. Burada bildirilmeyen matematiksel analizimiz ve diğer testlerimiz, bunun yeterince rastgele olduğunu göstermektedir.

Ne yapalım?

Bu hikaye birkaç "öğretilebilir an" içerir ve ister programcı veya özellikle rastgelelik ile güreşen ürün yöneticisi olun, isterse de siber güvenlik güvencesiyle ilgilenen bir SecOps/DevOps/IT/siber güvenlik uzmanı olun, onlardan bir şeyler öğrenmek akıllıca olur. genel:

• Kendi testlerinizi geçmek yeterli değildir. Kendi testlerinizde başarısız olmak kesinlikle kötüdür, ancak algoritmanızın, ürününüzün veya hizmetinizin geçmesini beklediğiniz testleri bitirmek kolaydır, özellikle de düzeltmeleriniz veya “hata düzeltmeleriniz” sizi testleri geçip geçmedikleri ile ölçülüyorsa. Bazen ikinci bir görüşe ihtiyaç duyarsınız ve sonra nesnel, bağımsız bir kaynaktan gelir. Bu bağımsız genel bakış, burada olduğu gibi, Kaliforniya'dan bir matematik istatistikçisinden oluşan çatlak bir ekipten gelebilir; penetrasyon test uzmanlarından oluşan harici bir “kırmızı ekipten”; veya siber güvenlik durumunuza kendi gözlerini ve kulaklarını getiren bir MDR (yönetilen algılama ve yanıt) ekibinden.
• Kötü haberleri dinlemek önemlidir. Bu durumda, karıştırma makinesi şirketinin başkanı, sonuçtan memnun olmadığını, ancak sadece umduğunu duymak için değil, gerçeği ortaya çıkarmak için para ödediğini itiraf ettiğinde mükemmel bir şekilde cevap verdi.
• Özellikle kriptografi ve genel olarak siber güvenlik zordur. Yardım istemek, başarısızlığın kabulü değil, başarılı olmak için gerekenlerin farkına varmaktır.
• Rastgelelik şansa bırakılmayacak kadar önemlidir. Ölçüm bozukluğu kolay değil (kağıdı oku nedenini anlamak için), ancak yapılabilir ve yapılmalıdır.

---

Siber güvenlik tehdidi müdahalesiyle ilgilenmek için zamanınız veya uzmanlığınız mı az? Siber güvenliğin sizi yapmanız gereken diğer şeylerden uzaklaştıracağından mı endişeleniyorsunuz?

Hakkında daha fazla bilgi alın Sophos Tarafından Yönetilen Tespit ve Müdahale:
24/7 tehdit avı, tespiti ve müdahalesi  ▶

---