Компания «Стингрей Технолоджиз» провела опрос среди участников ИБ-комьюнити о любимых играх. В статье рассмотрим, какие стали самые популярными, а также узнаем, какие в них есть уязвимости.
5 место: Red Dead Redemption 2 (11% голосов)
Замыкает рейтинг любимых игр специалистов по кибербезопасности известный action-adventure и шутер с открытым миром Red Dead Redemption 2: стилистика и атмосфера Дикого Запада, рисовка и развитие сюжета, полная свобода действий персонажа.
Игра выпущена 26 октября 2018 года для консолей и позднее — для компьютеров. В первые 2 недели после релиза было продано свыше 17 млн копий на общую сумму более 725 млн долл. Одна из особенностей игры — особая система «чести», учитывающая плохие и хорошие поступки персонажа. Это отсылка к «Fable: The Lost Chapters».
С 2016 по 2020 год разработчики игры Rockstar Studio и Rockstar Games предлагали всем желающим выявлять баги и уязвимости проектов за вознаграждение. Найденные проблемы безопасности публиковали на Hackerone.
Подобные инициативы компаний называются bug bounty. На зарубежных площадках цена небольшого найденного бага составляет 150 долларов, а критической или серьезной уязвимости — около 10 000 долларов. В России данное явление пока только набирает обороты, но крупные компании уже готовы щедро вознаграждать исследователей безопасности. Например, за выявленные уязвимости в проектах VK багхантеры могут получить от 3 тыс. до 1,8 млн рублей.
4 место: Cyberpunk 2077 (15% голосов)
Для ценителей глубокой проработки, стиля киберпанк и жанров Action/RPG в открытом мире Cyberpunk 2077 не нуждается в представлении. Игра выпущена в 2020 году командой CD Projekt, над ней трудились 500 специалистов из разных областей. В течение первых 10 дней после выпуска было продано более 13 млн копий. Cyberpunk 2077 стала самой продаваемой видеоигрой в России по итогам первой половины 2022 года.
Компания вложила в игру ресурсы и поставила на кон само свое существование после ряда переносов релиза и скандала на тему кибербезопасности. В 2020 году ее шантажировали украденными полными версиями исходных кодов Cyberpunk 2077, Witcher 2, Gwent и невыпущенной версии Witcher 3, платежными документами, информацией по управлению, легализации, персоналу и другими важными данными. В результате кибератаки и шантажа акции компании упали до исторического минимума.
Уязвимости критического уровня, которые позволили появиться этому скандалу, были найдены в лаунчере GOG Galaxy. Разработчики постарались исправить проблему, но не смогли сделать это как следует. Сразу после анонса исправлений «белые» хакеры повторили эксперимент с эксплуатацией уже зарегистрированных проблем и снова взломали GOG Galaxy.
3 место: Heroes of Might and Magic III (16% голосов)
Третье место в рейтинге заняла легенда пошаговых стратегий с элементами RPG — Heroes of Might and Magic III, выпущенная компанией The 3DO Company в 1999 году. Heroes III до сих пор остается самой популярной игрой в серии. The Restoration of Erathia стала единственной версией Heroes III, выпущенной для трех платформ — Microsoft Windows, Apple Macintosh и Linux. Игру отметили наградами, например, «Лучшая стратегия 1999 года», «Лучшая стратегическая игра XX века».
Когда специалисты по кибербезопасности говорят о проблемах безопасности в Gamedev, приходится вводить такой термин, как логическая (игровая) уязвимость. Это не ошибка разработки — через ее эксплуатацию нельзя получить данные игрока или финансовую отчетность компании. Однако логические уязвимости способствуют появлению читеров и преимуществ у одних игроков перед другими.
Именно этим грешит HoMMIII. В игре был баг, который позволял два раза подряд использовать заклинания за один бой. Еще одна логическая уязвимость, по слухам, специально задуманная разработчиками, позволяла выкапывать ямы на побережье, поверх которых невозможно было высадиться врагу.
Те, кто играли в Heroes of Might and Magic, знают про Берсерка, Шляпу Адмирала, Жертву и Клона в палатке, Огненный Щит, Водоворот, Рынок Артефактов, а также про случайное обогащение войск союзниками при атаке врага на союзную крепость, где затаился игрок.
2 место: DotA и League of Legends (18% голосов)
Серебро поделили между собой DotA (Defense of the Ancients) и League of Legends.
DotA — это командная тактико-стратегическая игра с элементами RPG, в которой каждый геймер управляет героем и несколькими дополнительными существами. Можно прокачивать своего персонажа, зарабатывать опыт и деньги на внутриигровые предметы. Основная задача для каждой команды — уничтожить вражеский лагерь, защищенный башнями. Игроки контролируют только своего героя и иногда несколько призванных или захваченных существ. Героям помогают «крипы» (англ. creeps), управляемые компьютером.
Уникальная стратегия в реальном времени произошла из пользовательской карты к Warcraft III и уже больше 20 лет пользуется успехом по всему миру. В 2005 году появилась DotA Allstars, вскоре игра была включена в линейку игр мировой лиги Cyberathlete Amateur League и CyberEvolution League. В 2013 состоялся релиз Dota 2. Ежегодно проходят крупные турниры по ней с призовыми фондами в несколько миллионов долларов, а профессиональные киберспортивные команды известны во всем мире.
Leagues of Legends (LOL) — многопользовательская компьютерная игра в жанре MOBA, выпущенная американской компанией Riot Games в 2009 году для платформ Microsoft Windows и macOS. Игра была разработана по образу DotA. Она распространяется бесплатно по модели free-to-play, когда создатели получают доход за счет продажи предметов для персонажей.
Обе игры содержат уязвимости, которые стали бесконечной темой для обсуждения в ИБ-индустрии. Особенно Dota 2, которую взламывали несколько раз. Сами разработчики игр уделяют значительное внимание вопросам читерства и нарушениям безопасности игры:
- В 2021 году Valve запустила в Dota 2 систему «Патруль» (Overwatch), которая позволяет пользователям с положительной репутацией проверять жалобы игроков (в том числе на читерство), оценивать их справедливость и выносить вердикт.
- В 2022 году широкую известность получил скандал с уязвимостью «бесконечных приглашений», поток которых нельзя было остановить, так как игрок просто не успевал нажать кнопку «Отклонить» или «Открыть матч».
- В феврале 2023 года Valve сообщила о новом достижении в рамках своей инициативы по борьбе с читерами в Dota 2. Компания выпустила особое обновление-приманку — оно содержало данные, которые запрашивались только чит-программами. Благодаря этой хитрости создатели популярной MOBA заблокировали более 40 тыс. аккаунтов, использующих стороннее ПО для нечестной игры.
- К процессу поиска уязвимостей даже подключились специалисты антивирусного сервиса Avast. Им удалось обнаружить четыре вредоносных игровых мода для Dota 2. Проблема, которой пользовались злоумышленники, была во фреймворке Panorama, разработанном самой компанией Valve с использованием HTML, CSS и JavaScript. Благодаря эксплуатации уязвимости вредоносный JavaScript получал полный контроль над машиной игрока. Команде Valve потребовалось 15 месяцев, чтобы решить эту проблему, хотя алгоритм исправления был известен.
1 место: Counter-Strike (21% голосов)
Первым в рейтинге стал Counter-Strike (CS) — мировой шутер от первого лица.
Отцом игры называют программиста видеоигр Минь Ле. Летом 1999 года он выпустил первую бета-версию модификации, а осенью появились первые online-серверы. Весной 2000 года материальную поддержку проекту оказала корпорация Valve. CS стремительно завоевала аудиторию и популярность: образовалось комьюнити, а затем и мировые турниры. Считается, что победа команды из СНГ на мировом турнире в 2002 году дала развитие киберспорту в России. Обновленная версия игры под названием CS 2 была выпущена 27 сентября 2023, подарив Valve второе рождение легенды.
Как и в любой популярной игре, в CS содержится масса уязвимостей. В 2023 году один из белых хакеров выложил на GitHub полный перечень всех найденных в шутере проблем безопасности. Ему удалось обнаружить критическую уязвимость сетевого протокола, которая позволяла игрокам в CS 1.6 загружать файл .dll. Он, в свою очередь, мог содержать вирус. Это могло вызвать обвал сервера и создать огромные убытки для компании. Подобного рода уязвимость обычно считается критической, однако Valve снизили ее уровень до высокого. Возможно, так хотели уменьшить размер выплаты за найденную проблему в основном движке игры.
Еще одна выявленная в игре уязвимость — Lag String CMD, при которой подключившийся к серверу бот начинает отдавать много консольных команд, максимально нагружая ресурсы и создавая бесконечные лаги на сервере.
Помимо перечисленных проблем безопасности, компания Valve пока не исправила еще 14 уязвимостей высокого и критического уровня.
Участники опроса также назвали любимыми играми Supaplex, Starcraft 2, GTA 5, Plants & Zombie, Battlefield, WarCraft 3, Diablo 4 и Medieval 2: Total War, Knights and Merchants. Хотя они и не вошли в топ-5 рейтинга, но заняли свое место в сердцах ИБ-комьюнити.
Лайфхаки для разработчиков игр
Последние пару лет на конференциях Positive Hack Days, OFFZONE и BlackHack стали появляться доклады и выступления о безопасности игр, их сетевых протоколов, эксплойтах читеров и уязвимостях инфраструктуры. Возможно, компании начали подсчитывать потенциальные или фактические убытки, которые они могут понести в результате действий злоумышленников.
«Стингрей Технолоджиз» подготовил небольшую подборку лайфхаков для разработчиков игр:
- Процесс создания игр не так уж сильно отличается от разработки Web-приложений (исключая специфику, конечно), поэтому к ним можно применять такие же практики безопасной разработки, что и для всего ПО. Посмотрите на примеры выстроенных процессов и попробуйте включить в процесс разработки.
- Проверки защищенности продуктов обычно начинаются с практики анализа компонент с открытым исходным кодом (SCA) и статического анализа (SAST). Советуем добавить к этому списку поиск секретов как от внутренних сервисов, так и от внешних. Это позволит избежать большого количества проблем.
- Хорошим стартом, чтобы понять текущий уровень защищенности, будет проведение внешнего пентеста. Тестирование на проникновение должно затрагивать как инфраструктурную часть (настройки и безопасность серверов, периметра компании и др.), так и анализ самого приложения. Так вы поймете, какие есть проблемы, как их исправить и не допустить в дальнейшем.
- Не стоит сразу покупать энтерпрайз-инструменты по безопасности. Начните с инструментов Open Source, чтобы понять, как именно выстроить весь процесс и какие особенности есть у вашего ПО. Это поможет найти проблемы безопасности и следить за появлением подобных.
- Пообщайтесь с коллегами. Тот, кто уже создавал продукты и проходил проверки безопасности, сможет помочь не наступить на грабли, которые он уже собирал. Обмен опытом может стать одним из главных двигателей безопасности в гейм-индустрии.
- Собирайте обратную связь от игроков через мониторинг упоминаний, внимательно читайте комментарии о появлении читов, подозрительной активности геймеров и других негативных событий. Если в медиаполе несколько раз упоминается чей-то ник, стоит проанализировать этого игрока.