После выпуска игры для смартфонов в дополненной реальности Pokémon Go в июле прошлого года она стала международным феноменом. Игра мотивировала игроков выйти из дома и ходить по улицам в поисках монстров. В течение недели после выпуска количество пользователей Pokémon Go за 24 часа было больше, чем активных пользователей Twitter.
Однако запустить игру мог не каждый: дикая популярность Pokémon Go привлекла в неё больше игроков, чем могли выдержать серверы разработчика приложения, компании Niantic. «Наверно, спрос на игру оказался слишком велик», — предположил один из источников, рассказывая о зависаниях и проблемах со входом на сервер у игроков по всему миру.
Однако, истина была немного другой.
Почти после запуска игры хакеры начали создавать армии ботов — цифровых големов, игравших вместо пользователей, фармивших покемонов и осаждавших покестопы для победы в соревнованиях. Рассказывает юный французский хакер Максим Гриот: «Мы обнаружили скрытые переменные, управлявшие „уровнем совершенства“ покемона. Поэтому наши боты могли ловить самые совершенные версии всех покемонов».
Вооружившись этой информацией, хакеры смогли использовать стратегии более быстрого набора опыта, чем у живых игроков. «Мы могли достичь уровней, теоретически невозможных для обычного пользователя», — говорит Гриот.
Безбоязненные хакеры Pokémon Go скоро нашли способ обманывать не только вероятности, но и географию. Обычные игроки для охоты на «эндемичных» монстров должны были физически посещать соответствующие места. Боты хакеров могли перемещаться в любые точки на карте, где ловили редких существ.
В то время как мейнстримные и специализированные игровые СМИ повторяют историю о перегрузке серверов из-за невероятной популярности у игроков, Гриот, теперь работающий инженером по борьбе с читами в Bethesda Softworks, знает правду: серверы Pokémon Go одолевали волны роботов, а не людей. В конце августа Niantic начала без лишнего шума угрожать создателям публично доступных ботов судебным преследованием.
В последние годы использование чит-ботов стало проклятьем многих онлайновых видеоигр. В основном такой тип читерства распространён в MMO, например, в World of Warcraft. Испытывающие нехватку времени или скучающие игроки используют ботов для «гринда» монстров — автоматического фарминга очков опыта для повышения уровня своего персонажа.
Живые игроки уже привыкли делить виртуальные миры с ботами, машинально и монотонно преследующими свои цели. Однако после превышения определённого количества ботов экосистема игры может потерпеть крах.
«Обгоняя живых игроков в сборе всех доступных ресурсов, боты могут сделать мир неиграбельным», — объясняет Гриот. «Это способно убить игру. Играющее в игру огромное количество ботов более разрушительно для компании-издателя, чем почти любая форма хакерской атаки».
Боты — это только один из способов, которым хакеры могут нарушать баланс игры для получения преимуществ. Часто хакеры способны давать игрокам в FPS сверхчеловеческие преимущества, они создают и продают читы, позволяющие беспринципным пользователям автоматически попадать в голову или видеть и стрелять сквозь объекты.
Опытному хакеру может быть невероятно просто вставить в исполняемую игру нужный код, дающий им (или людям, которым они продали чит) нечестное преимущество над другими игроками. Часто сетевой трафик во время игры не шифруется, чтобы не снижать её скорость. Без шифрования атакующий может менять сетевой трафик, передаваемый между игрой и сервером. Если на стороне сервера не выполняются дополнительные проверки, то у чита есть ключи ко всему виртуальному миру.
«Один из самых популярных векторов атак хакеров — обратная разработка», — рассказывает Гриот, научившийся программировать в возрасте четырнадцати лет. Переехав из Франции в Лос-Анджелес, он начал взламывать онлайн-игры, чтобы они работали на частных серверах без оплаты ежемесячной подписки.
Пока был студентом, он даже зарабатывал ранним выпуском популярных игр на частных серверах, прося за это добровольные пожертвования. «Самый простой способ обмануть игру — понять, как работает клиент и как отвечает сервер» — говорит он. «Разобравшись с данными, хакеры элементарно просто пишут ботов или обходят защитный механизм на стороне клиента».
Иэн Рейнольдс (Ian Reynolds) — один из ведущих британских консультантов по онлайн-безопасности. В прошлом он выполнял тестирование безопасности королевской сети Букингемского дворца. По его мнению, хакерские угрозы для разработчиков игр гораздо существеннее, чем просто эпидемии ботов или читеров. «Многие современные игры способны обрабатывать финансовую информацию для покупки дополнительного контента. Такая информация — основная цель для криминальных сообществ», — говорит он.
Например, в 2011 году Sony подверглась крупнейшей на тот момент кибератаке. Из PSN были украдены имена, адреса, даты рождения, адреса электронной почты и регистрационная информация примерно 77 миллионов человек из разных частей мира.
«Если атакующий способен модифицировать исходный код игры, он сможет выполнить инъекцию в игру вредоносного кода, который при совершении платежа будет перенаправлять пользователя на поддельную страницу для ввода сведений кредитной карты».
В 2016 году большинство атак совершалось из финансовых побуждений. Наиболее частыми были DDoS-атаки, выводящие сервер из строя потоком искусственного трафика. Часто такие атаки совершались в дни школьных каникул, когда так называемые «скрипт-кидди» скучали и хотели немного повандалить в сети. Но всё чаще DDoS-атаки используются как способ вымогательства у организаций выкупа за выведенные из строя сервера.
«Для доходов таких компаний как Sony или Microsoft подобные типы атак имеют катастрофический эффект», — говорит Рейндольдс. «Во многих играх используется модель подписки или покупаемый контент. Поэтому вывод серверов из строя очень быстро может создать огромный дефицит прибыли, ведь игроки не будут иметь возможности совершать покупки. Значительные потери разработчики также несут при возврате средств на кредитные карты пользователей: игроки пользуются возможностью вернуть свои деньги, потому что не могут получить доступ к услугам, за которые заплатили».
Не так давно появился более персональный тип вредоносных атак на разработчиков игр. В 2014 году Фил Фиш (Phil Fish), основатель компании Polytron и создатель Fez, стал мишенью для хакеров и преследователей. Были опубликованы его персональные данные, а серверы компании взломаны. Хакеры выкрали и опубликовали электронные письма, пароли, банковскую информации и другие сведения о Фише, вынудив канадского разработчика сменить место жительства.
«Разработчиков стоит подталкивать к сокрытию учётных записей социальных сетей и онлайн-форумов, чтобы как можно меньше их персональной информации находилось в публичном доступе», — говорит Рейнольдс. «Чем меньше информации раскрывается публике о конкретном человеке, тем меньше вероятность того, что сбор сведений из открытых источников даст атакующему полезную информацию для продолжения doxing-атаки». Для безопасности разработчиков игр критически необходимы двухфакторная аутентификация и использование разных паролей в разных учётных записях, особенно если они подозревают, что могут быть мишенью для атаки.
Атака на Фиша должна была стать угрозой и напугать его. Других разработчиков, например, Valve, взламывают затем, чтобы получить эксклюзивную информацию о будущих проектах. «Одна из самых больших угроз для организаций в настоящее время — эксплойты на стороне клиента», — говорит Рейнольдс, часто самостоятельно тестирующий безопасность офисов компаний.
Например, иногда он проникал через курилки организаций, одетый в форму курьера и неся большую коробку. Расчёт основывался на том, что кто-нибудь откроет ему дверь, позволив обойти систему безопасности. Попав в здание, Рейнольдс начинал искать пустой конференц-зал для получения доступа к сети, чтобы совершить атаку на Windows-домен или окружающую инфраструктуру.
«Самым популярным способом атак до сих пор являются вредоносные ссылки или файлы в электронной почте, позволяющие прорвать периметр безопасности компании и получить доступ к внутренней сети», — рассказывает он.
«Я работал в нескольких студиях, в которых ничего не подозревающий сотрудник нажимал на вредоносную ссылку в электронном письме, что приводило к компрометации его рабочей станции. Атакующий получал полный доступ к репозиторию кода, используемому командой разработки».
Атаки такого масштаба очень сильно влияют на компании, занимающиеся разработкой ПО. Работа нескольких месяцев может быть утеряна за считанные секунды, если исходный код будет похищен и опубликован онлайн. Также существует вероятность того, что атакующий вставит в исходники игры вредоносный код, который непосредственно будет влиять на конечного пользователя.
«В большинстве случаев антивирусы, а иногда и сама операционная система блокируют вредоносный код на машине конечного пользователя. Но код, вставленный в игру, может привести к утечке важной информации. Атаки типа „человек посередине“ (man-in-the-middle) собирают ценные для криминальных сообществ данные».
Несмотря на то, что всё больше компаний осознают риски, которые несут организованные хакеры видеоиграм и их создателям, Гриот, побывавший по обе стороны фронта, считает, что читеры и воры имеют преимущество. «Хакеры сейчас выигрывают бой», — говорит он.
«Игровые компании отказываются от инвестиций в технологии защиты. Вполне возможно избежать ситуации, когда миллионы долларов затрат на игру оказываются потрачены впустую из-за дешёвого бота или хака. Создатели онлайн-игр должны заботиться о безопасности заранее, а не за пару месяцев до выпуска игры».
Автор: PatientZero