Setelah merilis game untuk smartphone dalam augmented reality
Pokémon Go pada Juli tahun lalu, itu menjadi fenomena internasional. Permainan memotivasi pemain untuk meninggalkan rumah dan berjalan-jalan mencari monster. Dalam seminggu setelah rilis, jumlah pengguna
Pokemon Go dalam 24 jam lebih banyak daripada pengguna Twitter yang aktif.
Namun, tidak semua orang bisa meluncurkan game: popularitas liar
Pokemon Go menarik lebih banyak pemain ke dalamnya daripada server yang bisa ditahan oleh Niantic. "Mungkin, permintaan untuk permainan ternyata terlalu besar,"
salah satu sumber menyarankan , berbicara tentang pembekuan dan masalah dengan akses ke server dari pemain di seluruh dunia.
Namun, kebenarannya sedikit berbeda.
Hampir setelah peluncuran game, peretas mulai menciptakan pasukan bot - golem digital, bermain alih-alih pengguna, bertani Pokemon dan mengepung pokestop untuk memenangkan persaingan. Peretas muda Prancis Maxim Griot mengatakan: "Kami menemukan variabel tersembunyi yang mengendalikan" tingkat kesempurnaan "Pokemon. Karenanya, bot kami dapat menangkap versi paling canggih dari semua Pokemon. ”
Berbekal informasi ini, peretas dapat menggunakan strategi untuk pengalaman yang lebih cepat daripada pemain langsung. “Kita bisa mencapai level yang secara teori mustahil bagi pengguna rata-rata,” kata Griot.
Peretas yang tak kenal takut,
Pokémon Go, segera menemukan cara untuk menipu tidak hanya probabilitas, tetapi juga geografi. Pemain biasa untuk berburu monster "endemis" harus secara fisik mengunjungi tempat yang sesuai. Bot peretas bisa bergerak ke mana saja di peta tempat makhluk langka ditangkap.
Sementara media permainan arus utama dan khusus mengulangi kisah kemacetan server karena popularitas mereka yang luar biasa di antara para pemain, Griot, sekarang
seorang insinyur anti-cheat di
Bethesda Softworks , mengetahui kebenarannya: Server-server
Pokémon Go dipenuhi oleh gelombang robot, bukan manusia. Pada akhir Agustus, Niantic mulai diam-diam mengancam pencipta bot yang tersedia untuk umum
dengan tuntutan .
Dalam beberapa tahun terakhir, penggunaan cheat bots telah menjadi kutukan banyak video game online. Pada dasarnya jenis kecurangan ini biasa terjadi di MMO, misalnya, di
World of Warcraft . Pemain pendek atau bosan menggunakan bot untuk menggiling monster - otomatis mengumpulkan poin pengalaman untuk meningkatkan karakter mereka.
Pemain yang hidup sudah terbiasa berbagi dunia virtual dengan bot, secara mekanis dan monoton mengejar tujuan mereka. Namun, setelah melebihi jumlah bot tertentu, ekosistem gim mungkin macet.
“Mengungguli pemain live dalam mengumpulkan semua sumber daya yang tersedia, bot dapat membuat dunia tidak dapat dimainkan,” jelas Griot. “Itu bisa membunuh game. Jumlah besar bot yang bermain game lebih merusak penerbit daripada hampir semua bentuk serangan hacker. "
Bot hanyalah salah satu cara yang bisa digunakan peretas untuk mengambil permainan yang tidak seimbang. Seringkali, peretas dapat memberikan keuntungan manusia super kepada pemain FPS, mereka membuat dan menjual cheat yang memungkinkan pengguna yang tidak berprinsip untuk
secara otomatis masuk ke kepala atau melihat dan menembak melalui objek.
Bisa sangat mudah bagi peretas berpengalaman untuk memasukkan kode yang diinginkan ke dalam permainan yang dapat dieksekusi, memberi mereka (atau orang-orang yang mereka jual cheat) keuntungan yang tidak adil atas pemain lain. Seringkali lalu lintas jaringan selama permainan tidak dienkripsi, sehingga tidak mengurangi kecepatannya. Tanpa enkripsi, penyerang dapat mengubah lalu lintas jaringan yang ditransmisikan antara game dan server. Jika tidak ada pemeriksaan tambahan yang dilakukan di sisi server, maka cheat memiliki kunci untuk seluruh dunia virtual.
"Salah satu vektor serangan peretas yang paling populer adalah reverse engineering," kata Griot, yang belajar memprogram pada usia empat belas tahun. Setelah pindah dari Perancis ke Los Angeles, ia mulai meretas game online sehingga mereka bekerja di server pribadi tanpa membayar berlangganan bulanan.
Sebagai seorang mahasiswa, ia bahkan menghasilkan uang dengan merilis awal game populer di server pribadi, meminta kontribusi sukarela. “Cara termudah untuk mengelabui permainan adalah memahami cara kerja klien dan bagaimana server merespons,” katanya. "Setelah menemukan data, peretas hanya menulis bot atau memotong mekanisme pertahanan di sisi klien."
Ian Reynolds adalah salah satu konsultan keamanan online Inggris terkemuka. Di masa lalu, ia melakukan pengujian keamanan pada jaringan kerajaan Istana Buckingham. Menurutnya, ancaman peretas untuk pengembang game jauh lebih penting dari sekadar epidemi bot atau curang. “Banyak game modern yang mampu memproses informasi keuangan untuk membeli konten tambahan. Informasi semacam itu adalah tujuan utama komunitas kriminal, ”katanya.
Sebagai contoh, pada tahun 2011, Sony mengalami serangan cyber terbesar pada waktu itu. Nama, alamat, tanggal lahir, alamat email, dan informasi pendaftaran sekitar 77 juta orang dari berbagai belahan dunia dicuri dari PSN.
"Jika seorang penyerang dapat mengubah kode sumber permainan, ia akan dapat menyuntikkan kode berbahaya ke dalam permainan, yang, ketika melakukan pembayaran, akan mengarahkan pengguna ke halaman palsu untuk memasukkan informasi kartu kredit."
Pada 2016, sebagian besar serangan bermotivasi finansial. Yang paling umum adalah serangan DDoS, yang menonaktifkan server dengan aliran lalu lintas buatan. Seringkali serangan seperti itu dilakukan selama liburan sekolah, ketika apa yang disebut "script-kiddies" bosan dan ingin memberikan sedikit tendangan online. Tetapi semakin sering serangan DDoS digunakan sebagai cara untuk memeras tebusan dari organisasi untuk server yang dinonaktifkan.
"Untuk pendapatan perusahaan seperti Sony atau Microsoft, jenis serangan ini memiliki efek bencana," kata Reindolds. “Banyak game menggunakan model berlangganan atau konten yang dibeli. Karena itu, kegagalan server dengan sangat cepat dapat menciptakan defisit laba yang sangat besar, karena pemain tidak akan dapat melakukan pembelian. Pengembang juga menderita kerugian signifikan ketika mengembalikan dana ke kartu kredit pengguna: pemain mengambil kesempatan untuk mengembalikan uang mereka karena mereka tidak bisa mendapatkan akses ke layanan yang mereka bayar. "
Belum lama ini, jenis serangan berbahaya yang lebih pribadi terhadap pengembang game muncul. Pada 2014, Phil Fish, pendiri Polytron dan pencipta Fez, menjadi target peretas dan pengejar. Data pribadinya dipublikasikan, dan server perusahaan diretas. Peretas mencuri dan menerbitkan email, kata sandi, informasi perbankan, dan informasi lainnya tentang Fish, memaksa pengembang Kanada mengubah tempat tinggalnya.
"Pengembang harus didorong untuk menyembunyikan akun media sosial dan forum online sehingga informasi pribadi mereka sesedikit mungkin tersedia untuk umum," kata Reynolds. "Semakin sedikit informasi yang diungkapkan publik tentang seseorang tertentu, semakin kecil kemungkinannya bahwa mengumpulkan informasi dari sumber terbuka akan memberikan penyerang informasi yang berguna untuk melanjutkan serangan
doxing ." Untuk keamanan pengembang game, otentikasi dua faktor dan penggunaan kata sandi yang berbeda di akun yang berbeda sangat penting, terutama jika mereka menduga bahwa mereka mungkin menjadi target serangan.
Serangan terhadap Ikan itu menjadi ancaman dan membuatnya takut. Pengembang lain,
misalnya, Valve , kemudian diretas untuk mendapatkan informasi eksklusif tentang proyek masa depan. "Salah satu ancaman terbesar bagi organisasi saat ini adalah eksploitasi sisi klien," kata Reynolds, yang sering secara independen menguji keamanan kantor perusahaan.
Sebagai contoh, kadang-kadang ia menembus ruangan merokok organisasi, berpakaian dalam bentuk kurir dan membawa kotak besar. Perhitungannya didasarkan pada kenyataan bahwa seseorang akan membukakan pintu untuknya, memungkinkannya untuk melewati sistem keamanan. Setelah di dalam gedung, Reynolds mulai mencari ruang konferensi kosong untuk mendapatkan akses ke jaringan untuk menyerang domain Windows atau infrastruktur sekitarnya.
"Sejauh ini, metode serangan paling populer adalah tautan berbahaya atau file dalam email, yang memungkinkan menerobos perimeter keamanan perusahaan dan mendapatkan akses ke jaringan internal," katanya.
“Saya bekerja di beberapa studio di mana seorang karyawan yang tidak menaruh curiga mengklik tautan jahat dalam email, yang menyebabkan kompromi dari stasiun kerjanya. Penyerang mendapat akses penuh ke repositori kode yang digunakan oleh tim pengembangan. "
Serangan sebesar ini sangat memengaruhi perusahaan perangkat lunak. Pekerjaan beberapa bulan dapat hilang dalam hitungan detik jika kode sumbernya dicuri dan dipublikasikan secara online. Ada juga kemungkinan bahwa penyerang akan menyisipkan kode jahat ke dalam kode sumber permainan yang secara langsung akan mempengaruhi pengguna akhir.
"Dalam kebanyakan kasus, antivirus, dan kadang-kadang sistem operasi itu sendiri, memblokir kode berbahaya pada mesin pengguna akhir. Tetapi kode yang dimasukkan ke dalam permainan dapat menyebabkan kebocoran informasi penting. Serangan seperti "man-in-the-middle" mengumpulkan data berharga untuk komunitas kriminal. "
Terlepas dari kenyataan bahwa semakin banyak perusahaan yang menyadari risiko yang ditanggung peretas permainan video dan pembuatnya, Griot, yang telah berada di kedua sisi depan, percaya bahwa penipu dan pencuri memiliki keuntungan. "Peretas memenangkan pertempuran sekarang," katanya.
“Perusahaan game menolak untuk berinvestasi dalam teknologi keamanan. Dimungkinkan untuk menghindari situasi di mana jutaan dolar dalam biaya game terbuang karena bot atau hack yang murah. Pembuat game online harus menjaga keamanan terlebih dahulu, dan tidak beberapa bulan sebelum rilis game. "