Безопасность онлайновых игр: есть о чём беспокоиться

Бизнес

Онлайновые игры сегодня появляются в результате нескольких лет разработки с бюджетами, вплотную приближающимся к бюджетам голливудских блокбастеров, и похожей по интенсивности маркетинговой поддержкой. Если говорить о многопользовательских онлайновых играх, то в большинстве случаев они создаются для того, чтобы обеспечить пользователем источником продолжительного увеселения, а производителей — долгоиграющим источником прибыли. Таким образом, у онлайновых игр и смежных с ними сервисов — платформ доставки контента, в первую очередь, — обнаруживается немало общих черт с онлайновыми платёжными и банковскими сервисами, социальными сетями (по сути, такие игры и являются социальными сетями, пусть и своеобразными) и другими веб-сервисами.

Операторы онлайновых игр занимаются обработкой персональных и платёжных данных, взаимодействуют с пользовательским сообщством, привлекают новых клиентов и обеспечивают лояльность уже существующих. Соответственно, проблемы, с которыми игры сталкиваются, тоже не уникальны: надёжность программного и аппаратного обеспечения в условиях тяжёлых нагрузок, кибератаки и безопасность пользовательских данных, в том числе, платёжных.

Любые инциденты и сбои в безопасности самым пагубным образом сказываются на восприятии игры пользователями, а это чревато крупными неприятностями для разработчиков игры.

Технические проблемы и надёжность

Любая игра, одиночная или многопользовательская, в первую очередь представляет собой программный пакет. Большой и весьма сложный, неизбежно требовательный к системным ресурсам.

Программная платформа — так называемый «игровой движок» — обеспечивает техническую базу, отвечая за такие функции как рендеринг графики, имитацию физических процессов, «искусственный интеллект» (т.е. поведение игровых персонажей), сеть, управление памятью и так далее. Временами разработчики пишут игровые движки на продажу и лицензируют их другим разработчикам. Например, около двух десятков игр были написаны на базе движка id Software id Tech 3 (разработанного специально для Quake III), значительно меньшее количество — на движках id Tech 4 (Doom III, Quake IV) и id Tech 5 (Rage). Компания Epic Games (разработчик Unreal Tournament) лицензирует разные версии своих движков Unreal Engine направо и налево; вдобавок недавно изменились лицензионные условия, так что движок стал доступен всем желающим за медные деньги. Относительный новичок рынка — Unity Technologies — выпустили свой движок Unity не для какой-то конкретной игры, а именно для лицензирования: на Unity можно делать практически всё что угодно.

Между тем, учитывая крайнюю сложность этих разработок, наивно было бы ожидать отсутствия в них багов. И они действительно есть всегда; правда, как правило, они сказываются исключительно на работе самих игр, а не аппаратных систем, в которых они запускаются, — локальных компьютерах или серверах.

Однако в прошлом году исследователи обнаружили целый ворох уязвимостей в популярных играх, которые подводят под серьёзные риски и серверы, и машины игроков. Конкретнее, баги обнаружились в популярных, хотя и не слишком новых игровых движках — уже упомянутых Unreal Engine 3 и id Tech 4 (оба выпущены в 2004 году), а также в CryEngine 3 (2009).

К слову, некоторые игровые движки используются в тренировочных симуляторах в вооружённых силах и правоохранительных организациях разных стран. Не нужно особо богатого воображения, чтобы представить себе последствия взлома таких симуляторов.

wide1

Впрочем, за любой успешной атакой на центральные серверы онлайновых многопользовательских игр последует огромное количество жалоб, ворчания, недовольства, дурной шумихи и прочих неприятностей для бизнеса.

Особенно, если говорить о MMORPG, онлайновых ролевых играх вроде World of Warcraft, каковой, кстати, сегодня самовластно правит бал нарынке онлайновых увеселений. Пока что эта игра является лидером по размерам аудитории.

Социальный сервис

В лучшие годы WoW насчитывал примерно 15 млн подписчиков. Сегодня их около десяти, однако даже и это сравнимо с населением очень большого города. Все эти люди платят за игровое время (и иногда за внутриигровые предметы, приобретаемые в официальном магазине разработчика — Blizzard). И все эти люди ожидают, что игровой процесс будет протекать гладко и без серьёзных сбоев. Им не важно, насколько сложной является программно-аппаратная составляющая, сколько серверов в дата-центре нужно, чтобы обрабатывать сотни тысяч одновременных соединений, и так далее. Но если что-то случается, они моментально начинают возмущаться, изливая свой гнев в неограниченных объёмах как внутри игры, так и вне её.

Как сказано выше, многопользовательские игры сходны с социальными сетями, и им приходится сталкиваться с теми же проблемами — в там числе, связанными с безопасностью данных.

Это моя добыча

Нет ничего удивительного в том, что платные многопользовательские игры привлекают всевозможных жуликов — тут есть чего брать. Уже много лет оформился своеобразный «чёрный рынок», на котором внутриигровая валюта и внутриигровые предметы повышенной ценности продаются и покупаются за реальные деньги. Хотя в этом, казалось бы, нет ничего особо нелегального, разработчики смотрят на эту «экономику» косо: например, пользовательское соглашение World of Warcraft эти операции запрещало напрямую. И тем не менее, внутриигровая валюта по-прежнему продаётся в больших количествах за скромные, но вполне реальные доллары, фунты, юани и, вероятно, рубли тоже.

Как это связано с безопасностью? — Увы, иногда напрямую. Вопрос в том, как внутриигровое золото и предметы добываются. А добываются они иной раз путём взлома чужих аккаунтов и «раздевания» персонажа. Обычно это делается путём подсовывания кейлоггера жертва — через фишинг, атаки типа drive-by и т.д.

Несколько лет назад, по правде говоря, автор этих строк сам попался в такой капкан. Кейлоггер, осевший в папке C:Temp, сдал мой пароль злоумышленнику, который в буквальном смысле обворовал моего персонажа, переправив всё, что имело ценность, кому-то ещё. С воришкой пришлось играть в «перетягивание каната» — на все мои попытки сменить пароль он отвечал тем же. К сожалению, бесплатный антивирус, которым я в ту пору пользовался, не смог обнаружить заразу. А вот очистка упомянутой папки помогло.

wide2

В конечном счёте администраторы игры вернули мне всё утраченное, а впоследствии компания Blizzard значительно улучшила безопасность игровых аккаунтов, снабдив их многофакторной авторизацией.

DDoS-атаки также являются постоянной проблемой для многопользовательских игр и платформ доставки контента. В начале этого года и система Steam компании Valve, и Origin, принадлежащий EA, подверглись таким атакам. Похоже, их организаторы действовали из простого желания напакостить.

Ну, а совсем недавно хакерская группировка Lizard Squad, по слухам, связанная с пресловутым ИГИЛ, атаковала игровые сервиси Microsoft XBox Live и Sony Playstation Network.

World of Warcraft в США подверглся DDoS-атаке ровно в момент запуска нового расширения к игре — Warlords of Draenor (это случилось в середине ноября). Учитывая, сколько людей это задело, атака выглядит как «мягкая» форма кибертерроризма. В то же время истинными её жертвами являются именно разработчики игры, поскольку именно в них начинают тыкать пальцами пользователи.

 Игровая отрасль под угрозой

В прошлом году «Лаборатория Касперского» объявила об обнаружении APT-группы Winnti, которая как раз-таки атаковала игровые компании — с 2009 года. Целью группы было похищение цифровых сертификатов, подписанных легитимными вендорами ПО, а также интеллектуальной собственности, в т.ч. исходных кодов игр. Из этого следует, что игровая отрасль весьма интересна злоумышленникам, даже если она используется исключительно в качестве «перевалочного пункта» для других отраслей.

Можно также вспомнить мощную атаку на Sony Playstation Network 2011 года, в результате которого произошла рекордная утечка персональных данных (хранившихся, к слову, весьма небезопасным образом). Сервис очень длительное время не функционировал.

Любая отрасль, которая работает с персональными данными, однажды становится объектом атак со стороны тех, кто хочет получить эти данные. Игровая индустрия — не исключение.