Após o lançamento do jogo para smartphones na realidade aumentada do
Pokémon Go em julho do ano passado, tornou-se um fenômeno internacional. O jogo motivou os jogadores a sair de casa e andar pelas ruas em busca de monstros. Uma semana após o lançamento, o número de usuários de
Pokémon Go em 24 horas era mais do que os usuários ativos do Twitter.
No entanto, nem todos puderam iniciar o jogo: a popularidade do
Pokémon Go atraiu mais jogadores do que os servidores do desenvolvedor de aplicativos Niantic podiam suportar. "Provavelmente, a demanda pelo jogo acabou sendo muito grande",
sugeriu uma das fontes , falando sobre congelamentos e problemas com o acesso ao servidor de jogadores de todo o mundo.
No entanto, a verdade era um pouco diferente.
Quase após o lançamento do jogo, os hackers começaram a criar exércitos de bots - golems digitais, jogando em vez de usuários, cultivando Pokemon e sitiando pokestops para vencer a competição. O jovem hacker francês Maxim Griot diz: “Descobrimos variáveis ocultas que controlavam o“ nível de perfeição ”do Pokémon. Portanto, nossos robôs podem pegar as versões mais avançadas de todos os Pokémon. ”
Armado com essas informações, os hackers conseguiram usar estratégias para um conjunto de experiências mais rápido do que os jogadores ao vivo. "Poderíamos atingir níveis teoricamente impossíveis para o usuário médio", diz Griot.
Os hackers destemidos
Pokémon Go logo encontraram uma maneira de enganar não apenas a probabilidade, mas também a geografia. Jogadores comuns para caçar monstros "endêmicos" tinham que visitar fisicamente os lugares apropriados. Os bots hackers podiam se mover para qualquer lugar do mapa onde criaturas raras eram capturadas.
Enquanto a mídia convencional e especializada em jogos está repetindo a história de congestionamento de servidores devido à sua incrível popularidade entre os jogadores, Griot, agora
um engenheiro antifraude da Bethesda Softworks , sabe a verdade:
os servidores
Pokémon Go foram sobrecarregados por ondas de robôs, não humanos. No final de agosto, a Niantic começou a ameaçar discretamente os criadores de bots publicamente disponíveis
com processo .
Nos últimos anos, o uso de trapaceiros se tornou a maldição de muitos videogames online. Basicamente, esse tipo de trapaça é comum no MMO, por exemplo, no
World of Warcraft . Jogadores curtos ou entediados usam bots para moer monstros - automaticamente ganham pontos de experiência para melhorar seu personagem.
Os jogadores vivos já estão acostumados a compartilhar mundos virtuais com bots, perseguindo mecânica e monotonamente seus objetivos. No entanto, após exceder um certo número de bots, o ecossistema do jogo pode falhar.
“Superando jogadores ao vivo na coleta de todos os recursos disponíveis, os bots podem tornar o mundo impossível de jogar”, explica Griot. “Isso pode matar um jogo. O grande número de bots que jogam é mais prejudicial para a editora do que quase qualquer forma de ataque de hackers. ”
Bots são apenas uma das maneiras pelas quais os hackers podem desequilibrar um jogo para tirar vantagem. Freqüentemente, os hackers conseguem dar vantagens sobre-humanas aos jogadores de FPS; eles criam e vendem truques que permitem que usuários sem princípios
entrem na cabeça automaticamente ou vejam e disparem através de objetos.
Pode ser incrivelmente fácil para um hacker experiente inserir o código desejado em um jogo executável, dando a eles (ou às pessoas a quem eles venderam o truque) uma vantagem injusta sobre outros jogadores. Frequentemente, o tráfego de rede durante o jogo não é criptografado, para não reduzir sua velocidade. Sem criptografia, um invasor pode alterar o tráfego de rede transmitido entre o jogo e o servidor. Se nenhuma verificação adicional for realizada no lado do servidor, o truque terá chaves para todo o mundo virtual.
"Um dos vetores de ataque de hackers mais populares é a engenharia reversa", diz Griot, que aprendeu a programar aos quatorze anos. Depois de se mudar da França para Los Angeles, ele começou a invadir jogos online para que funcionassem em servidores privados sem pagar uma assinatura mensal.
Enquanto estudante, ele até ganhou dinheiro com o lançamento antecipado de jogos populares em servidores privados, solicitando contribuições voluntárias. "A maneira mais fácil de enganar um jogo é entender como o cliente funciona e como o servidor responde", diz ele. "Depois de descobrir os dados, os hackers simplesmente escrevem bots ou ignoram o mecanismo de defesa no lado do cliente".
Ian Reynolds é um dos principais consultores de segurança online da Grã-Bretanha. No passado, ele realizou testes de segurança na rede real do Palácio de Buckingham. Na sua opinião, as ameaças de hackers para desenvolvedores de jogos são muito mais significativas do que apenas epidemias de bots ou trapaceiros. “Muitos jogos modernos são capazes de processar informações financeiras para adquirir conteúdo adicional. Essa informação é um objetivo principal das comunidades criminosas ”, diz ele.
Por exemplo, em 2011, a Sony sofreu o maior ataque cibernético da época. Os nomes, endereços, datas de nascimento, endereços de e-mail e informações de registro de aproximadamente 77 milhões de pessoas de diferentes partes do mundo foram roubados da PSN.
"Se um invasor puder modificar o código-fonte do jogo, ele poderá injetar código malicioso no jogo, que, ao efetuar um pagamento, redirecionará o usuário para uma página falsa para inserir informações do cartão de crédito".
Em 2016, a maioria dos ataques foi motivada financeiramente. Os mais comuns foram ataques DDoS, que desabilitam o servidor com um fluxo de tráfego artificial. Freqüentemente, esses ataques eram cometidos durante as férias escolares, quando os chamados "meninos de script" ficavam entediados e queriam dar um chute online. Porém, cada vez mais os ataques DDoS são usados como uma maneira de extorquir resgates de organizações para servidores desabilitados.
"Para as receitas de empresas como Sony ou Microsoft, esses tipos de ataques têm um efeito catastrófico", diz Reindolds. “Muitos jogos usam um modelo de assinatura ou conteúdo comprado. Portanto, a falha dos servidores muito rapidamente pode criar um enorme déficit de lucro, porque os jogadores não poderão fazer compras. Os desenvolvedores também sofrem perdas significativas ao devolver fundos aos cartões de crédito dos usuários: os jogadores aproveitam a oportunidade para devolver seu dinheiro porque não podem ter acesso aos serviços pelos quais pagaram. ”
Não faz muito tempo, apareceu um tipo mais pessoal de ataque malicioso aos desenvolvedores de jogos. Em 2014, Phil Fish, fundador da Polytron e criador da Fez, tornou-se alvo de hackers e perseguidores. Seus dados pessoais foram publicados e os servidores da empresa foram invadidos. Os hackers roubaram e publicaram e-mails, senhas, informações bancárias e outras informações sobre Fish, forçando o desenvolvedor canadense a mudar de local de residência.
“Os desenvolvedores devem ser incentivados a ocultar contas de mídia social e fóruns on-line, para que o mínimo possível de suas informações pessoais esteja disponível ao público”, diz Reynolds. "Quanto menos informações o público divulgar sobre uma pessoa em particular, menor a probabilidade de que a coleta de informações de fontes abertas forneça ao invasor informações úteis para continuar o ataque
doxing ". Para a segurança dos desenvolvedores de jogos, a autenticação de dois fatores e o uso de senhas diferentes em contas diferentes são críticos, especialmente se eles suspeitarem que possam ser o alvo de um ataque.
O ataque a Fish deveria se tornar uma ameaça e assustá-lo. Outros desenvolvedores,
por exemplo, a Valve , são hackeados para obter informações exclusivas sobre projetos futuros. "Uma das maiores ameaças às organizações atualmente são as explorações do lado do cliente", diz Reynolds, que frequentemente testa independentemente a segurança dos escritórios da empresa.
Por exemplo, às vezes ele penetrava em salas de fumantes de organizações, vestidas na forma de um mensageiro e carregando uma caixa grande. O cálculo foi baseado no fato de que alguém abriria a porta para ele, permitindo que ele ignorasse o sistema de segurança. Uma vez no prédio, Reynolds começou a procurar uma sala de conferências vazia para obter acesso à rede para atacar o domínio do Windows ou a infraestrutura circundante.
"Até agora, o método de ataque mais popular são os links ou arquivos maliciosos no email, que permitem romper o perímetro de segurança da empresa e obter acesso à rede interna", diz ele.
“Trabalhei em vários estúdios nos quais um funcionário desavisado clicou em um link malicioso em um email, o que levou ao comprometimento de sua estação de trabalho. O invasor teve acesso total ao repositório de código usado pela equipe de desenvolvimento. ”
Ataques dessa magnitude afetam bastante as empresas de software. O trabalho de vários meses pode ser perdido em segundos se o código-fonte for roubado e publicado online. Há também uma chance de o invasor inserir código malicioso no código-fonte do jogo que afetará diretamente o usuário final.
"Na maioria dos casos, antivírus e, às vezes, o próprio sistema operacional, bloqueiam códigos maliciosos na máquina do usuário final. Mas o código inserido no jogo pode levar ao vazamento de informações importantes. Ataques como "homem do meio" coletam dados valiosos para comunidades criminosas ".
Apesar do fato de que cada vez mais empresas estão cientes dos riscos que os hackers de videogame organizados e seus criadores correm, Griot, que tem estado de ambos os lados, acredita que trapaceiros e ladrões têm uma vantagem. "Os hackers estão vencendo a batalha agora", diz ele.
“As empresas de jogos estão se recusando a investir em tecnologias de segurança. É possível evitar uma situação em que milhões de dólares em custos de jogos são desperdiçados devido a um bot ou hack barato. Os criadores de jogos online devem cuidar da segurança com antecedência, e não alguns meses antes do lançamento do jogo ".