Безопасность в Gamedev: как не проиграть хакерам

Мировой рынок гейм-индустрии уже много лет стабильно растет на 8-10%. В 2023 году доход от видеоигр составил более 180 млрд долларов. Лидером отрасли стал сегмент мобильных игр — на него пришлось 49% от общих продаж, 29% выручки — игровые консоли, 21% — компьютерные игры и 1% — браузерный гейминг.

Развивающиеся и прибыльные ниши всегда привлекают киберпреступников, а популярные игры используются в качестве приманки для вредоносных нападений. За последний год, согласно отчету Лаборатории Касперского, злоумышленники совершили более 4 млн кибератак на геймдев-сегмент. Сегодня мы поговорим о главных угрозах безопасности в игровой отрасли и о том, как разработчикам защитить свои проекты от вредоносных атак.

Gamedev
erid: 2Vtzqx3oyqt

Риски безопасности в геймдеве

 Любые видеоигры — это такие же ПО, как и остальные приложения. И с точки зрения обеспечения безопасности у них идентичный код и ошибки. В них также есть профиль, часто — привязанная карта или телефон, почта, данные аутентификации пользователя. Главная проблема заключается в том, что постепенно в индустрии появились разнообразные способы монетизации, особенно это касается мобильного гейминга. Зачастую в игре можно увидеть внутреннюю валюту — бонусы, кристаллы или монеты, за которые можно прокачивать свой рейтинг или персонажа. Приобрести такие «плюшки» предлагают за деньги с банковской карты или электронного кошелька. Все перечисленные выше данные являются «пещерой сокровищ» для мошеннических схем, на которых хакеры оттачивают свои инструменты для атак.

Рассмотрим основные виды угроз, связанных с игровой индустрией:

  • Фишинг и мошенничество. Чаще всего злоумышленники маскируют вредоносное ПО под бесплатные версии популярных игр, подделывают сайты, имитирующие официальные порталы разработчиков или отправляют фальшивые сообщения, предлагающие игрокам получить внутриигровые предметы или валюту. Так, в 2023 году мошенники распространяли пиратские версии Atomic Heart, CS:GO и Euro Truck Simulator, которые содержали нежелательное или даже опасные ПО.
  • Вредоносное ПО и вирусы. Обычно распространяются через модификации, неофициальные патчи или взломанные игры. Торренты — распространенные источники вредоносных программ, которые не только бьют по выручке бизнеса, но и по безопасности игроков: бэкдоры и прочая малварь, оставленные «доблестными пиратами», подключения к ботнету и ряд других проблем. Например, в октябре прошлого года компания Valve сообщила, что хакеры взломали учетные записи нескольких десятков разработчиков на платформе Steam и добавили в их игры зловредное ПО. После инцидента дистрибьютор начал требовать от специалистов использовать двухфакторную аутентификацию с привязкой номера телефона к аккаунту Steamworks для публикации сборки в стандартной ветке приложения.
  • DDoS-атаки и другие атаки на серверы игр. Вызывают проблемы с подключением, высокий пинг или потерю данных. Прошлым летом под DDoS-удар попали популярные игры Blizzard и Diablo 4, их пользователи не могли получить доступ к серверу и несколько дней сталкивались с лагами.

По данным анализа защищенности мобильных приложений 2023 от «Стингрей Технолоджиз», 60,3% российских приложений содержат уязвимости критического и высокого уровня. Приложения в категории entertainment — 78,9%, gambling — 76,5%. Можно сказать, что разработчики сферы развлечений еще меньше обеспокоены безопасностью клиентов, чем все остальные. В Positive Technologies упоминали, что еще в 2010-е годы начались атаки на цепочку поставок через файлы зависимости игры. Тогда еще SCA (Software Composition Analysis) не был известен в широких кругах, но сегодня защита от подобных нападений набирает все большую популярность.

Известные уязвимости в игровой индустрии

Сами уязвимости в геймдеве можно разделить на два направления: система разработки (включая инструментарий) и игровая инфраструктура. Для последней, ввиду специфики, трудно привлечь стороннюю команду «под ключ» — большинство уязвимостей логические, требуют определенного игрового опыта и находятся в динамике.

Громкие уязвимости в разработке:

  • В мае 2023 исследователи безопасности из мальтийской фирмы ReVuln обнаружили критическую проблему с повреждением памяти и переполнением буфера в CryEngine 3, Unreal Engine 3, Hydrogen Engine и id Tech 4. Это игровые движки, которые используются в Quake 4, Crysis 2 и других популярных играх. Уязвимости могли быть использованы для запуска удаленного выполнения кода или атак типа «отказ в обслуживании» путем отправки клиентам вредоносных пакетов данных. При этом для эксплойтов злоумышленнику не нужен был доступ к игроку или дополнительные права.
  • В июне прошлого года были найдены критические уязвимости в RenderDoc (графический дебаггер для Windows, Linux. Android и Nintendo Switch). CVE-2023-33865 может быть использована локальным злоумышленником без каких-либо требований к привилегиям, предоставляя ему возможности пользователя RenderDoc. А CVE-2023-33864 приводит к heap-based переполнению буфера, позволяя киберпреступнику выполнить произвольный код на хост-компьютере.

Наверное, одна из самых главных опасностей в игровой инфраструктуре — читеры, которые являют собой невероятный микс азарта, алчности, хитрости и даже гениальности. External-читы работают в отдельном процессе, hidden external загружаются в память другого алгоритма, internal встраиваются в ход самой игры при помощи инжектора, а pixelscan используют картинку с экрана и паттерны расположения пикселей, чтобы получить необходимую информацию от игры. Так, в 2023 году компания Valve устранила уязвимость в Counter-Strike, которая позволяла внедрять в игру изображения в целях определения IP-адресов других игроков. В нике геймера можно было прописать html-инъекцию, которая позволит внедрить в игру изображение. Изображения попадали в kick-out панель голосования (исключение из игры).

Стоит отметить, что читы и эксплойты распространяются быстро, и банить или отслеживать их для разработчиков игр крайне затруднительно ввиду того, что на это требуется довольно много человеческого ресурса. И такая охота обходится компаниям слишком дорого. Но последствия атак могут нести куда больший ущерб, поэтому организациям стоит заботиться о защищенности своих проектов и выстраивать грамотные процессы обеспечения безопасности заранее.

Экспертиза и бюджеты

В последние пару лет на ИБ-конференциях, таких как Positive Hack Days и BlackHack, наконец стали появляться доклады и выступления о безопасности игр, их сетевых протоколах, эксплойтах читеров и уязвимостях инфраструктуры. Вероятно, компании начали подсчитывать потенциальные или фактические убытки, которые могут возникнуть в результате действий злоумышленников.

Разработчики игр пока мало заинтересованы в защищенности своих продуктов, крайне редко проводятся Bug Bounty для поиска уязвимостей. Ответственность за развитие культуры безопасности лежит на руководстве. Компаниям следует выделять статьи бюджета на анализ ПО, исправлять уязвимости в коде, повышать осведомленность сотрудников о взломах и искать онлайн-утечки данных сотрудников. А в идеальной вселенной — внедрять безопасную разработку с помощью опытных специалистов или готовых решений. Например, выстроить качественный DevSecOps на российском рынке можно с платформой AppSec.Hub от Swordfish Security.

Вывод

Игровая индустрия в последние годы привлекает все больше киберпреступников за счет роста аудитории и многомиллиардных оборотов. Вместе с развитием геймдева увеличивается и число хакерских атак, несущих ущерб для компаний и игроков. Чтобы избежать издержек, организациям необходимо защищать свои проекты заранее, используя все доступные способы: ИБ-инструменты, внедрение DevSecOps и обучение персонала. Геймерам также стоит заботиться о себе: включать двухфакторную аутентификацию, устанавливать сложные пароли и регулярно обновлять ПО.

Будущим евангелистам кибербеза в индустрии мобильных игр советуем телеграм-канал Mobile AppSec World о безопасной разработке мобильных приложений и iOS Good Reads — интересные статьи, видео и новости, связанные с iOS разработкой. Ну и, разумеется, ждем gamedev-специалистов, желающих поднять свою ценность для компании, на курсах в Swordfish Academy.

Будем рады комментариям с примерами уязвимостей в читах к играм или любым уязвимостям в Steam. Оставляйте их под постом в Telegram.

P.S. Не забудьте отключить в Steam сетевую настройку, позволяющую в режиме party-play узнавать все о своей команде (например, IP-адрес).

Реклама. ООО «СТИНГРЕЙ ТЕХНОЛОДЖИЗ» ИНН 9731060805

Что будем искать? Например,ChatGPT

Мы в социальных сетях