Sicherheit in Onlinespielen

SICHERHEIT IN
ONLINE-SPIELEN
Diplom-Informatiker
Stephan Payer
Finanz- und Personalchef
SEIT
E
GELD ODER NETZ!
•
Neulich während der Fußball-Europameisterschaft …
•
Mail an Anbieter von Online-Sportwetten:
„Transfer von 15.000 USD per Western Union oder
wir greifen Euere Website an!“
•
keine Reaktion
•
eine Stunde vor Spielbeginn:
DDoS-Attacke, Website nicht mehr erreichbar,
keine Wettumsätze für dieses Spiel
SEITE 2
SEIT
E
© 2014 CIPSOFT
INHALT
•
CipSoft, Tibia
•
Aspekte von Sicherheit
•
Motivationen der Angreifer
•
Angriffszenarien, Gegenmaßnahmen
•
Zusammenfassung und Ratschläge
SEITE 3
SEIT
E
© 2014 CIPSOFT
UNTERNEHMEN
1996
2002
2006
2014
SEITE 4
SEIT
E
© 2014 CIPSOFT
TIBIA
•
Online-Rollenspiel für PC
•
klassisches Fantasy-Setting
•
online seit 1997
•
300.000 Spieler täglich, 100.000 Premium Accounts
SEITE 5
SEIT
E
© 2014 CIPSOFT
GELD ODER NETZ!
Security
Safety
•
Fairness
•
Robustheit
•
Zugangskontrolle
•
Beständigkeit
•
Integrität
•
Vertraulichkeit
•
Verfügbarkeit
•
Gesundheitsschutz
SEITE 6
SEIT
E
Sicherheit
Sicherheit
vor dem Benutzer
für den Benutzer
© 2014 CIPSOFT
GELD ODER NETZ!
Security
•
Fairness
•
Zugangskontrolle
•
Integrität
•
Verfügbarkeit
Cheating
Account-Hacking
System-Hacking
Denial of Service
Sicherheit
vor dem Benutzer
SEITE 7
SEIT
E
© 2014 CIPSOFT
MOTIVATIONEN DER ANGREIFER
Cheat
AccH
Bequemlichkeit


Selbsthilfe

Verdienst/Ersparnis


Neugier/technische Herausforderung


Prestige

Vorteile im Wettstreit

SysH
DoS






Neid

Rache (Mitspieler)


Erpressung (Mitspieler)


Rache (Betreiber)


Erpressung (Betreiber)


SEITE 8
SEIT
E
© 2014 CIPSOFT
CHEATING: FARMBOTS
•
vollständig automatisiertes Jagen, ohne dass der
Spieler am Computer sitzen muss
•
oft für Zweitcharaktere zur Unterstützung des
Hauptcharakters
SEITE 9
SEIT
E
© 2014 CIPSOFT
CHEATING: FARMBOTS - METHODE
•
Ablaufen eines vorgegebenen Weges,
Angriff auf auftauchende Monster,
Einsammeln der Beute,
Selbstheilung,
Reaktion auf Ansprache
•
Makros/Proxys/Bots
•
kommerzieller Vertrieb des Ertrags und
der Programme
SEITE 10
SEIT
E
© 2014 CIPSOFT
CHEATING: FARMBOTS - PROBLEME
•
Zerstörung des Spielspaßes
•
Wettbewerbsverzerrung
•
Machtmissbrauch
•
Störung der Ökonomie
•
Account-Hacking-Gefahr
SEITE 11
SEIT
E
© 2014 CIPSOFT
CHEATING: FARMBOTS - GEGENMAßNAHMEN
•
Selbstjustiz der Community
•
Beschränkung des Geldtransfers
•
Beschränkung des Machtmissbrauchspotenzials
•
Verbannung durch Gamemaster
•
automatische Detektion und Bestrafung
SEITE 12
SEIT
E
© 2014 CIPSOFT
CHEATING: WEITERE METHODEN
unfairer Vorteil, meist auf Kosten anderer,
durch Brechen von Regeln
•
erweiterte Darstellung am Client
•
Eingabehilfen am Client
•
unzulässige Kommandos
•
Verfälschung von Daten am Client
•
Ausnutzen von Programmierfehlern
•
Account-Sharing
SEITE 13
SEIT
E
© 2014 CIPSOFT
CHEATING: GEGENMAßNAHMEN
•
Cheating unmöglich machen
•
Cheating nutzlos machen
•
Cheating entdecken und bestrafen
•
Kronzeugenregelung
•
Spielregeln ändern
•
Features übernehmen
•
Cheating erlauben
SEITE 14
SEIT
E
© 2014 CIPSOFT
ACCOUNT-HACKING: PASSWORD-SNIFFING
Charaktername
Passwort
Spieldaten
SEITE 15
SEIT
E
© 2014 CIPSOFT
ACCOUNT-HACKING: PASSWORD-SNIFFING
Charaktername
Passwort
Session-Key
Spieldaten
SEITE 16
SEIT
E
© 2014 CIPSOFT
ACCOUNT-HACKING: PASSWORD-SNIFFING
Challenge
Challenge
Charaktername
Passwort
Session-Key
RSA
Spieldaten
XTEA
SEITE 17
SEIT
E
© 2014 CIPSOFT
ACCOUNT-HACKING: WEITERE METHODEN
•
Brute-Force-Attacken
•
Hacking des E-Mail-Accounts
•
Phishing
•
Social Engineering
•
Keylogger, Trojaner
•
gefälschte Ausweiskopien
SEITE 18
SEIT
E
© 2014 CIPSOFT
ACCOUNT-HACKING: GEGENMAßNAHMEN
•
verschlüsselte Verbindungen
•
Brute-Force-Schutz
•
Authenticator Tokens
•
Sensibilisierung der Spieler:
SEITE 19
SEIT
E

Wahl des Passworts

Umgang mit Zugangsdaten

Verhaltensregeln im Internet
© 2014 CIPSOFT
SYSTEM-HACKING: SQL-INJECTION
Stephan
SELECT * FROM Characters
WHERE Name = 'Stephan';
SEITE 20
SEIT
E
© 2014 CIPSOFT
SYSTEM-HACKING: SQL-INJECTION
';DELETE FROM Characters; --
SELECT * FROM Characters
WHERE Name = '';
DELETE FROM Characters; --';
SEITE 21
SEIT
E
© 2014 CIPSOFT
SYSTEM-HACKING: SQL-INJECTION
Ä';DELETE FROM Characters; --
Ä'; DELETE FROM Charaters; -AddSlashes (ISO 8859)
Ä\'; DELETE FROM Characters; -Datenbank (UTF8)
SELECT * FROM Characters
WHERE Name = '?';
DELETE FROM Characters; --';
SEITE 22
SEIT
E
© 2014 CIPSOFT
SYSTEM-HACKING: WEITERE METHODEN
•
Lücken in der Anwendung
•
Lücken im System
•
Social Engineering
•
Keylogger, Trojaner
•
Missbrauch
•
Fehlbedienung
•
schwache/Standard-Passwörter, Backdoors
SEITE 23
SEIT
E
© 2014 CIPSOFT
SYSTEM-HACKING: GEGENMAßNAHMEN
•
Überprüfung aller Benutzereingaben
•
Programmierrichtlinien, statische Code-Analyse,
Prepared Queries
•
Konfiguration der Anwendung
•
Konfiguration des Systems, Patches
•
öffentliche/geheime Adressen, Firewall
•
Sicherheitszonen
•
Verschlüsselung von Daten
•
Monitoring, Intrusion Detection
SEITE 24
SEIT
E
© 2014 CIPSOFT
SYSTEM-HACKING: HÄUFIGSTE ANGRIFFSARTEN
48%
44%
32%
30%
23%
20%
18%
10%
7%
5%
5%
Keyloggers, form grabbers or spyware
Exploitation of default or guessable credentials
Use of stolen login credentials
Sending data to external site or entity
Brute-force or dictionary attacks
Backdoors
Disabling or interfering with security controls
Tampering
Social engineering
Exploitation of insufficient authentication
Misuse of privileges
81% Hacking
69% Malware
10% Physical
7% Social
5% Misuse
Quelle: Verizon, 2012 Data Breach Investigations Report
SEITE 25
SEIT
E
© 2014 CIPSOFT
DENIAL OF SERVICE: ANGRIFFSARTEN
Clients
Internet
1
Core-Router
1
Bandbreite
2 Paketrate (insb. SYN-Flood)
1
2
Game-Server
3
SEITE 26
SEIT
E
3
Applikation
© 2014 CIPSOFT
DENIAL OF SERVICE: MONITORING
SEITE 27
SEIT
E
© 2014 CIPSOFT
DENIAL OF SERVICE: GEGENMAßNAHMEN
•
dicke Anbindung
•
Filterung von UDP-Paketen
•
SYN-Cookies
•
stateful Firewall
•
effiziente Anwendung
•
starke Hardware
SEITE 28
SEIT
E
© 2014 CIPSOFT
ERKENNTNISSE
•
Jede Kette ist nur so stark wie ihr schwächstes Glied.
•
Angreifer sind sehr erfinderisch und finden jede Lücke.
•
Client und Browser sind in der Hand des Feindes.
•
Es gibt keine absolut sicheren Systeme.
SEITE 29
SEIT
E
© 2014 CIPSOFT
VORGEHENSWEISE
•
Risikoanalyse:
Was schützen und mit welchem Aufwand?
•
Abschreckung
•
Abwehr von Eindringlingen
•
Verbergen sensibler Daten
•
Entdeckung von Eindringlingen
SEITE 30
SEIT
E
© 2014 CIPSOFT
SEIT
E