Современные хакеры. Подвергалась ли CD Projekt Red взлому?

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com (подробнее »)
| Рассуждения | Компьютерные и мобильные игры

Хакеры. Очень странное и крайне устаревшее слово. Под это понятие подходит широчайшее число специалистов. И далеко не все из них занимаются злостным взломом и кражей информации. Более узкое понятие — специалист по безопасности. И даже этих людей можно разделить на две большие группы. Щит и Меч.

Хакеры взломали. Еще одно устойчивое выражение, давно потерявшее свой истинный смысл. Взлом — это физическое изменение того или иного объекта. Если изменения не было, то о каком взломе может идти речь? Как пример: перед вами дверь, вы взяли ключ и открыли ее. Это можно назвать взломом? А если то же самое сделал специалист по безопасности? Зачастую, никто не вносит никакие изменения.

Специалисты находят недокументированные возможности и использует их. Очень распространено брать пароль от домашнего компьютера жены сотрудника. Или современного роутера (наиболее частый вариант) У них крайне низкая защищенность. Имея доступ к локальной сети — можно прослушивать обмен данными между атакуемым компьютером и удаленным сервером. Обычный сотрудник, при включении системы, входит в сеть, вводя логин и пароль. Это 10-15 первых секунд работы компьютера. Далее эти данные расшифровываются и получается искомое. После, через тот же роутер или второй компьютер в локальной сети подключаются к серверам компании (исходящее IP совпадает и не вызывает подозрения). Имея логины и пароли можно свободно делать все что вздумается.

Исходные данные

Нет идеальных программистов. Нет идеальных специалистов, создающих идеальный код. Невозможно предусмотреть все возможные уязвимости и дыры в безопасности. Еще не придумали программный код без изъянов. Представьте себе экзамен по очень сложному и объемному предмету. Сидят студент и преподаватель. Преподаватель спрашивает 1 из 1000 вопросов и пытается оценить знание студента. Он хаотично задает вопросы то тут то там. Что бы найти слабости студента, преподаватель тратит много много много времени. Больше, чем он может себе позволить.

Теперь новая ситуация. Преподаватель точно знает, что студент выучил, а что не до конца понимает. Снова начинает задавать вопросы. Только на этот раз он задает вопросы целенаправленно по плохо выученному. Успех имеется, но студент мог выучить все. Вылизанный до блеска код.

А теперь третья ситуация. Те же студент и преподаватель. Только у преподавателя в руках есть учебник с 1000 ответов на вопросы. И преподаватель не просто просит отвечать на вопросы, но и цитировать их как в учебнике. Просит рассказывать с точностью до запятой как написано. Просит цитировать ответы как в учебнике, только через слово по диагонали. А вот это уже целенаправленное использование исходных данный с целью скомпрометировать систему. Не важно, на сколько идеален написанный код. В нем можно найти или создать искусственно уязвимость.

Взлом Sony в 2011 году

Вы же помните это эпическое событие? Напомню кратко. Специалисты при помощи взломанной консоли получили статус «разработчика». С таким статусом они получили более широкие полномочия на сервере приложений компании. После не сложных манипуляций они получили расширенные привилегии на данном сервере. Изучив его возможности и слабости, они нашли лазейку в системе платежей. Вместо сигнала об оплате услуги, они отправляли специальным образом составленный запрос и получили полный доступ к системе. После чего смогли дотянуться до всех хранящихся на серверах данных. Данный взлом хорошо известен и рассмотрен под всеми возможными углами, дабы не повторился вновь. Но уже в 2014 году некоторые из серверов Sony снова были взломаны. Ущерб не был таким внушительным, но сам факт говорит о многом. За три года компания не смогла исправить все имеющиеся у них уязвимости. Не смогла переписать и создать новую архитектуру защиты данных.

«Клиент-сервер»

Упрощенно, онлайн игра выглядит следующим образом:

  • Игрок делает манипуляции в игровом мире. Бегает, прыгает, пуляет во врагов, выполняет задания, подбирает лут.
  • Клиент отправляет на сервер данные с перемещением игрока в мире, его положение в пространстве, взятые квесты, прочитанные диалоги, запросы на выпадение лута.
  • Сервер координирует положение нескольких игроков в пространстве относительно друг друга, рассчитывает ущерб\лечение\воздействие игроков друг на друга, отмечает задания, выдает призы за выполненные квесты.

Все достаточно просто и понятно. А теперь, как отреагирует сервер, если вы взяли квест, а потом отправили запрос на получение награды, за выполнение этого квеста? От того, что у вас нет данного пункта на экране, не означает, что данный запрос через подмену запросов нельзя отправить. Клиент у вас на руках и вы можете изменить его как вам захочется. Или, дверь к боссу не откроется, пока вы не выполнили ряд условия, но что будет, если вы проигнорируете данный момент, и сразу отправите запрос на открытие двери на сервер? Вариантов масса. Сделать проверку выполнения и игнорирования запроса по каждому возможному пункту достаточно сложно и трудоемко.

Шифрование и язык общения «клиент-сервер»

И снова утрированно и просто. Представьте себе 9 этажное здание. Где фундамент — это игра (клиент). Крыша дома — это сервер. Лестница — это способ коммуникации между двумя объектами. Вопрос — будет ли в похищенных чертежах фундамента указаны параметры лестницы? Будут ли там расписаны ширина и высота подъезда, нагрузки и давление на грунт, создаваемые лестничными пролетами, рассчитаны другие параметры лестницы, что бы фундамент выполнял все возложенные на него функции? Так же и с клиент-сервер. Еще на этапе проектирования игры, в нее закладываются данные, которые будут использоваться в последствии. Эти данные можно изменить, но объем работ будет невообразимо огромным. Вспомним PUBG, который спустя 4 года не может нормально синхронизировать клиент с сервером и пули летят сквозь стены по параболе. И это в простейшем варианте без взаимодействия с окружающей средой. Так вот эти данные будут в игре и через 5, и через 10 лет. А с их помощью будут делаться микротранзакции, привязываться кредитные карты. Будет идти общение с серверами компании CDP. На которых будет храниться много-много-много информации, интересной узкому кругу людей.

Выкуп

Самое странное и неоднозначное, что могло произойти. Ни где ни слова не сказано, когда произошло несанкционированное копирование данных. Как это произошло. Какие дыры были использованы и как компания их закрывает, после происшедшего. Нет роликов на телевидении, где группы людей в штатском и оборудованием посещают офис CDPR. Хищения на такие сумму, — это не тривиальное событие, вокруг которого много хайпа и журналисты любят опрашивать очевидцев. Для взлома компании такого уровня, нужна подготовка и изучение объекта. Это не происходит по щелчку пальца за пару минут.

Исходники игр весят в 5-10 раз больше самих игр. Плюс к этому добавьте «неудачные» и «вырезанные» материалы. Объемы составят десятки террабайт. Попробуйте скачать из интернета файлы объемом на 10 террабайт и посмотрите сколько это у вас займет. А теперь, дабы вас не поймали за руку, включите шифрацию, прокси, VPN и ваша максимально возможная скорость скачивания режется в 5-10 раз. То есть это дело совсем не быстрое. Но на выкуп дали всего 48 часов. Слишком поспешное предложение для столь сложного и долгого мероприятия. Более того, аукцион по продаже исходников был завершен менее чем за 12 часов. Аналогично — не бывает на столько быстрых вариантов развития событий. Есть другой вариант — любитель на шару взломал почтовый ящик, после чего подключился к RDP серверу по паролю от ящика и получил полный доступ. Без усилий и подготовки. Пришел, увидел, скачал.

Теория заговора

Уже существуют две теории

  1. Месть недовольного сотрудника с доступом к серверам. Недополучив заслуженное, он слил данные третьим лицам, которые состряпали все как надо. На данное указывает скорость развития событий.
  2. Поляки инсценировали данный инцидент.

Более подробно о втором пункте. В любом преступлении есть 3 момента. Мотив, исполнитель, выгодополучатель. И у польской компании три совпадения из трех.

  1. Исполнитель. Она могла. Она знала как, что, где и в какой последовательности можно и нужно делать.
  2. Мотив. Компания находится под сторонним давлением. Если все пойдет по худшему сценарию развития событий, можно сказать, мы латали дыры в нашей защите и не было возможности заниматься развитием игры. Хайп вокруг события отвлекает прессу и негатив с игрой на третьих лиц. 
  3. Выгодополучатель. Сегодня на акции CD Projekt оказывается колоссальное давление. Причем, оно больше искусственное и раздутое, чем соответствует реальному положению дел. Перевод акцентов на трагедию, сдвинет фокус внимания с самой компании на третьих лиц. Это уменьшит давление «Нас не так поняли» на стоимость акций. На слова руководства компании и их действия будут обращать в значительной мере меньшее вниманием. Ну и… вы же в курсе, что 1 марта будет годовой отчет перед акционерами?

Кстати… Мне еще интересно… Имея полный доступ к серверам, почему-то ни слова не сказано, про доступ к GOG. К похищению платежных данных и прочему. Можно было бы сказать, что они хранятся на других серверах… Но, почему данные переписки и отчетности высшего руководства хранится на серверах с играми? Или это уже совсем другая статья и другое внимание и уровень расследования?

Послесловие

Если начинаешь задавать вопросы про данное событие, история становится все более и более мутной. И самое главное: игра про взломы и высокие технологии. И ее взломали при помощи высоких технологий. Это карма?

10 комментариев

AnotherStranger
Даже дочитать не смог из-за крайне некомпетентного технического описания примера взлома. Если с самого начала статьи дрянь — значит вся она такая. Увы.
Последний раз редактировалось
S
Всё нормально, это васюта. Там беда с аналитикой и кашей: в голове инфы много, а сварить ее нормально не получается.
AnotherStranger
Иногда он неплохо набрасывает(по умыслу или простоте своей душевной), но в последнее время не удается ему хороший вброс, имхо.
943312@vkontakte
Мыши снова возню устроили
106125889964424508442@google
Это как в старом анекдоте: «Если бы через интернет можно было взрывать здания, как в фильмах, то социопаты с двача сносили бы города ради прикола».
Но мне нравится этот экзистенциальный поток сознания!
943312@vkontakte
ну ладно. уговорил. пойду тебе плюсик в теме поставлю
А
Хммм. Все, конечно, весело. Только мотив звучит как будто мысль пытался сформулировать инопланетянин, используя наши слова, но не понимающий их смысла. Или я слишком жалок для высшего разума, что в итоге приводит к одному — набор слов. Так зачем конкретно это хозяевам студии. Я не понял — отвлечь от падения акций большим падением акций? Или они очень любят свою студию, потому решили скупить побольше акций после обвала, но денег не хватало?)
943312@vkontakte
вместо тысячи слов
https://www.gametech.ru/news/2021/02/12/ekspert-poxvalil-cd-projekt-za-otnosenie-k-atake-xakerov
https://www.gametech.ru/news/2021/02/13/analitik-scitaet-cto-xakery-ne-prodavali-isxodnye-kody-cyberpunk-2077-i-the-witcher-3-dlya-ps5-i-xbo
ну и да… статья была написана до этих новостей…
Afkaros
Вообще не вижу ни одного плюса для этой компании инсценировать взлом игры. Бредятина

Добавить комментарий