(In)security of Online-Games - Ruhr

Transcription

(In)security of Online-Games - Ruhr
(In)security of Online-Games
Seminar am Lehrstuhl für Systemsicherheit
Wintersemester 2009/2010
Bastian Bartels
Ruhr-Universität Bochum
23. April 2010
Zusammenfassung
Mit stark zunehmender Verbreitung von Onlinespielen werden auch die Angriffe auf diese immer ausgereifter und lukrativer. Als Angriff werden in dieser Arbeit
jegliche Angriffe auf Onlinespiele bezeichnet, also sowohl Cheats, als auch Exploits
jeglicher Art. Ziel ist es, eine Übersicht über die Sicherheitslage von Computerspielen
zu vermitteln, um das Angriffsrisiko besser einschätzen zu können. Neben einem Blick
auf die juristische Lage werden die Motivationen der Angreifer, Hersteller und Spieler
beleuchtet. Als Kernthema wird der Versuch einer einheitlichen Klassifizierung der
häufigsten aktuellen Angriffstechniken unternommen, wobei jede Angriffsart anhand
eines Beispiels illustriert wird.
1
1
VORWORT
1
2
Vorwort
Bereits vor über 30 Jahren wurde das erste Onlinespiel [uRT78] namens MUD (Multi
User Dungeon) veröffentlicht. Spieler konnten nun neben den zu der Zeit eher schlichten
Computergegnern über Computernetzwerke gegen andere menschliche Spieler antreten,
was zu einem neuartigen Spielerlebnis führte.
Heutzutage präsentieren sich Onlinespiele in immer realistischerer 3D-Grafik und bieten
zigtausenden von Spielern eine virtuelle Plattform, die zunehmend genauer der realen Welt
nachempfunden ist. So bieten aktuelle Onlinewelten virtuelle Währungen an, deren Beträge
man bei entsprechendem Umrechnungskurs in echte Währungen wie Euro oder Dollar
umtauschen kann. Aber auch Bereiche wie Politik, Kunst und Erotik können mittlerweile
in Onlinespielen ausgelebt werden.
Aus den kleinen Spielen von damals sind hochverfügbare verteilte Echtzeitsysteme geworden, die man heutzutage allgemein als Massively Multiplayer Online Game, kurz MMOG,
bezeichnet. Dieses Genre erfreut sich nicht nur bei Kindern und Jugendlichen, sondern
auch bei Erwachsenen immer höherer Beliebtheit, sodass die Spieleindustrie 2009 nach
einem jährlichen Wachstum von 18 Prozent einen stolzen Marktwert von rund 12,7 Mrd.
Dollar präsentieren konnte [gev]. Neben den einmaligen hohen Entwicklungskosten müssen die Entwickler auch die laufenden Kosten decken, sodass fast alle dieser Spiele das
Entrichten einer monatlichen Abogebühr verlangen.
Bekanntester Vertreter der MMOGs aus dem Genre der Rollenspiele1 stellt Activion Blizzards World of Warcraft dar. Ende 2008 meldete das Unternehmen weltweit rund 12 Millionen Abonnenten. Allein durch die Abogebühren nimmt das Unternehmen jährlich rund
2,37 Milliarden USD ein.
Um angesichts der zunehmenden Beliebtheit und des daraus resultierenden Marktwachstums wettbewerbsfähig zu bleiben, versuchen die Entwickler ihre Spiele mit attraktiven
Features aufzuwerten. Infolgedessen nimmt die Komplexität und Unübersichtlichkeit der
Spiele derart zu, dass die Entwickler teilweise selbst die Kontrolle über ihre Schöpfungen
verlieren [Rei05].
Das starke Wachstum der Spieleranzahl verbunden mit der Zunahme der Komplexität
und einem in dem Bereich noch mangelnden Sicherheitsbewusstsein führt zu einem hohen
und zugleich stark unterschätzten Angriffsrisiko. Neben Angriffen auf die Spielmechanik
gewinnen zunehmend Angriffe an Attraktivität, die eine Kompromittierung des gesamten
PCs nach sich ziehen.
Ein Ziel dieser Arbeit ist es daher durch das Beleuchten des Zusammenspiels aus Schwachstellen, Motivationen, Angriffsvektoren und rechtlicher Ungewissheit, die Sensibilisierung
des Sicherheitsbewusstseins bezüglich moderner Onlinespiele zu erhöhen.
1
MMORPG, das RP steht für Role Play, zu deutsch Rollenspiel
2
2
MOTIVATIONEN DER BETEILIGTEN
3
Motivationen der Beteiligten
Das Verstehen von Angriffen auf Computerspiele setzt das Verstehen der Motivationen
aller Beteiligten voraus. Dieses Zusammenspiel der Motivationen ist in Abbildung 1 auf
Seite 3 veranschaulicht. Beispielsweise häufen sogenannte Chinafarmer Spielgüter an und
Abbildung 1: Visualisierung des Zusammenspiels der Motivationen der Beteiligten
veräußern sie auf internationalen Verkaufsplattformen wie zum Beispiel beim Broker IGE
[ige]. Als Chinafarmer werden hauptsächlich von zu Hause weggelaufene chinesische Minderjährige bezeichnet, die von Firmen mit einem für diese Verhältnisse hohen Monatsgehalt zum professionellen Computerspielen geködert werden. Diese Jugendlichen spielen in
der Regel 336 [chi] Stunden pro Monat und haben - ob mit oder ohne Einsatz illegaler
Techniken [Bar05] - einen von den anderen Spielern nicht gewollten Einfluss auf die Spielbalance. Beispielsweise kann es zu Inflationen der Spielwährung kommen. Dies wirkt sich
motivationsmindernd auf die ehrlichen Spieler aus, weswegen der Hersteller gezwungen
ist, Spielkonten der Chinafarmer zu schließen, um kein Abspringen von Abonnementen
und daher Kapitaleinbußen hinnehmen zu müssen. Infolgedessen würden aber auch Arbeitsplätze in China abgebaut. Dieses komplexe Zusammenspiel der Motivationen und die
Tragweite der Konsequenzen, sollen im Folgenden aus Sicht des Angreifers, des Herstellers
und des Spielers beleuchtet werden.
2
MOTIVATIONEN DER BETEILIGTEN
2.1
4
Motivationen der Angreifer
Die Motivationen der Angreifer können in spielbezogene und lebensbezogene Motivationen unterteilt werden. Spielbezogene Motivationen sind rein spielbezogene Ziele, die keine
Auswirkungen auf das echte Leben des Angreifers haben. Dazu zählt in erster Linie das
Anhäufen von Spielgeld, kostbaren virtuellen Gegenständen und dem Ausbau der Spielfigur mit Hilfe von Erfahrungspunkten, auch als Leveling bezeichnet. Beispielsweise erfährt
der Spieler eines Drachentöter-Charakters in Ultima Online besonderes Ansehen, da er in
dem Spiel Unmegen des raren Wyrm-Leders angehäuft hat. Ein Angreifer kann nun die
Motivation haben, diesen ehrwürdigen spielbezogenen Status auf einen seiner Spielfiguren
übertragen zu wollen - und zwar ohne den von der Spiel-Engine geforderten Einsatz an
Zeit und Mühe zu investieren.
Lebensbezogen sind Motivationen des Angreifers, die sich auf dessen reales Leben beziehen.
Bei diesen geht es den Angreifern auf Onlinespiele hauptsächlich um Geld. Wenn man
eine Spielwährung in echtes Geld umtauschen kann, scheint es nicht verwunderlich, dass
es Menschen gibt, die durch eine Anhäufung von Spielgeld zu realem Reichtum kommen
möchten. Beispielsweise sind 160 Goldstücke in World Of Warcraft derzeit etwa einen
Euro wert [ige]. Ein Angreifer hat demzufolge entweder die Motivation unter Benutzung
jeglicher illegaler Techniken in kürzester Zeit möglichst viel Spielgeld zu verdienen, um
es dann in Bares umzuwandeln. Oder er forciert die Kompromittierung des gesamten
Spielercomputers, um sich mit Hilfe der darauf enthaltenen Informationen zu bereichern.
Da spielinterne Güter heutzutage teilweise für sechsstellige Beträge [Kan09, S. 24] den
Besitzer wechseln, ist sogar ein Anhäufen virtueller Utensilien jeglicher Art höchst lukrativ
- so lukrativ, dass hinter viele heutiger Angriffe gesamte Industriezweige stecken.
Eine weitere lebensbezogene Motivation der Angreifer ist die technische Herausforderung
und das Ansehen in der Szene, wenn ein eigener möglichst raffinierter und mächtiger
Angriff erfolgreich war.
2.2
Motivationen der Hersteller
Die Hauptmotivation der Hersteller ist das Profitstreben durch das Halten und Ausbauen
der Marktposition. Erreicht werden kann dies durch das Gestalten von Produkten, die eine
hohe Attraktivität und Kundenbindung bieten. Durch die große Konkurrenz bleibt folglich
wenig Zeit für die Entwicklung hochkomplexer Spielprojekte. Die Attraktivität der Spiele
soll durch Verbesserung der Grafik und das Hinzufügen von Features gesteigert werden.
Die Kundenbindung wird durch das Aufrechterhalten der Langzeitmotivation gefördert.
Dies führt zu einem wichtigen Punkt: Das Hinzufügen von Features führt zu einer Zunahme des Komplexitätsgrades der Spielsoftware und damit zu einer Vergrößerung dessen
Angriffsfläche. Die Spielhersteller integrieren Plugin-Syteme, Programmierschnittstellen,
spielinternen Skriptsprachen oder die Untersützung diverser Medien- und Dateiformate
in ihre Produkte [BCLM09, S. 14ff.]. Durch das Zugreifen auf Fremdbibliotheken wird
Entwicklungszeit gespart und der Releasetermin vorverschoben, um z.B. noch am Weihnachtsgeschäft mitzuverdienen. Auf den ersten Blick steigert dies zwar die Attraktivität
des Produktes und damit den Absatz, genauer betrachtet sind allerdings massive Qualitätseinbußen die Folge. Durch die hohe Komplexität schleichen sich unbemerkte Fehler in
2
MOTIVATIONEN DER BETEILIGTEN
5
das Endprodukt ein. Plugin-Systeme mutieren schnell zu universellen Einfallstoren, wenn
der von beliebigen Benutzern generierte Code vor Veröffentlichung nicht entsprechenden
Prüfverfahren unterzogen wird. Bedenkt man die wachsende Beliebtheit und damit die hohe Anzahl an Mitspielern und potentiellen Opfern, wird das Ausnutzen dieser Fehler immer
interessanter und lukrativer. Da jegliches Ausnutzen von Fehlern negative Auswirkungen
auf die Motivation der Spieler hat, läuft dies dem Ziel der Kundenbindung zuwider.
Das Erhöhen der Attraktivität schließt die Kundenbindung demnach nur dann nicht aus,
wenn gleichermaßen in die Sicherheit investiert wird - der zusätzliche Fokus auf die Sicherheit verlängert jedoch den Entwicklungsprozess und dessen Kosten. Das ist der Grund,
warum der Sensibilisierungsprozess für Sicherheit in diesem Bereich noch in den Kinderschuhen steckt.
Eine weitere Motivation der Hersteller, die der Profitsicherung untergeordnet werden kann,
ist das Verfassen juristischer Rahmenbedingungen durch strikte Allgmeine Geschäftsbedingungen (AGB) und Nutzungsbedingungen (Terms Of Use, Terms Of Service), um die
Rechte am Spiel zu sichern und sich vor Klagen jeglicher Art zu schützen. Obwohl der
Trend dahin geht, dass der Spieler echter Eigentümer seiner erzeugten virtuelle Objekte
werden kann, wie es unter anderem beim MMOG SecondLife beworben wird [Kan09, S.
25], hat das Entziehen dieser Rechte viele Vorteile für den Hersteller. Denn wenn der Hersteller jede Spielfigur und dessen virtuelle Errungenschaften wie Fremdbesitz behandeln
muss, entstehen neben der hohen Kosten für die Sicherung der bestehenden Daten auch die
Gefahr des Zahlens hoher Ausgleichsforderungen bei einem Ausfall der Server oder bei Datenverlust. Folglich ist die einfachere und bei weitem günstigere Alternative das Verfassen
von juristischen Richtlinien, die sämtlichen virtuellen Besitz dem Hersteller zusprechen.
Der Spieler muss diesen Richtlinien jedoch zustimmen, um am Spiel teilnehmen zu dürfen
- was sich aber in der Praxis als problemlos herausstellt, da die ellenlangen Regelwerke
kaum gelesen werden.
Dies hat wiederum negative Konsequenzen für die Motivation der Spieler. Warum sollte
Lebenszeit und Geld in eine Spielfigur investiert werden, die nach Belieben des Herstellers
kommentarlos gelöscht werden darf? Aus Sicht des Spielers scheint es sinnlos zu sein, mit
mühseliger kreativer Arbeit oder unter Einsatz immenser Zeit, eigene Gegenstände zu
erstellen oder Reichtum anzuhäufen, wenn diese Werte nicht gesichert sind.
2.3
Motivationen der Spieler
Generell ist die Motivation eines Spielers vordergründig das Spielerlebnis, also die Freude
am Spiel und das Verbuchen von Spielerfolgen. Dazu gehört auch der Wettbewerb mit
anderen Spielern, der z.B. durch Duelle oder den Vergleich von Ausrüstungen erfolgt. Bei
vielen Onlinespielen kommt jedoch eine weitere wesentliche Komponente hinzu. Spieler
investieren in diese Spiele dauerhaft Zeit und Geld und bauen sich neben ihrer Spielfigur
mit ihren Gegenständen, Geld und Erfahrungspunkten einen sozialen Status und ein Image
auf. Eine zweite Motivation ist neben dem Spielspaß daher das Schützen der investierten
Werte in das Spiel.
Dieses Wertesystem wird durch jegliche Art von Angriffen verzerrt, was ein Absinken der
Motivation der Spieler zur Folge hat und dem Herstellerziel der Wahrung der Langzeitmotivation zuwiderläuft. Daher sollten Spieler ein hohes Interesse an der Sicherheit des Spiels
3
JURISTISCHER RAHMEN
6
haben - auch wenn sich heutzutage wenige Spieler darüber bewusst sind, dass Onlinespiele
als Einfallstor für die Kompromittierung ihrer PCs dienen kann.
3
Juristischer Rahmen
Da Spielwährung und -gegenstände heutzutage einen Wert in der realen Welt darstellen
können, ist die logische Konsequenz, dass sowohl die Gerichte, als auch der Staat eine
schützende und regulierende Funktion wahrnehmen müssen. Und obwohl der US Congress
bereits in Erwägung zieht, die Versteuerung virtuellen Eigentums einzuführen [Kan09, S.
23], ist die Besitzfrage - also die Frage, ob der Hersteller oder der Spieler Eigentümer
der vom Spieler erzeugten oder erworbenen Güter ist - noch ungeklärt. Befürworter des
Spieler-Eigentums argumentieren [Kan09, S. 23], dass es der Förderung der Kreativität zu
Gute käme, wenn Spieler Besitzansprüche an virtuellen Gegenständen juristisch geltend
machen könnten. Gegner dieser Position halten jegliche Beschäftigung der Gerichte mit
diesen Fragen für Zeitverschwendung. Im Folgenden sollen einige Fälle aufgezeigt werden.
Der erste US Präzedenzfall entstand als Reaktion auf die virtuelle Enteignung von Marc
Bragg in SecondLife [Kan09, S. 25f.]. Der Hersteller hatte sein Spielkonto kommentarlos
gelöscht und Herrn Bragg bezichtigt, sich durch illegales Ausnutzen eines Fehlers Spielvorteile verschafft zu haben. Der Hersteller von SecondLife, Linden Research, hatte jedoch
damit geworben [Kan09, S. 25], dass jeder Spieler realer Eigentümer seiner virtuellen Produkte sei. Bragg argumentierte daher, dass er Anrecht auf Ausgleichszahlungen in Höhe
seiner entstandenen Verluste in Höhe von mehr als 8000 US Dollar, habe. Linden Daraufhin
kam es zu einer außergerichtlichen Einigung und Braggs Account wurde wiederhergestellt.
Im Fall Eros LLC gegen John Doe ging es um ein spezielles Bett in SecondLife. Mit diesem Bett war es möglich, seine Spielfigur verschiedenste sexuelle Praktiken durchführen
zu lassen. Eros LLC hatte dieses Bett entworfen und profitbringend verkauft, denn auch
SecondLifes Linden Dollar können direkt in echtes Geld umgetauscht werden. Ein texanischer Teenager namens Volkov Cattaneo hatte unter dem Pseudonym John Doe die Idee
dieses Betts kopiert und war dabei, es ebenso im Spiel zu veräußern.
Einige Montate später klagte Eros gegen Rase Kenzo - dieses Mal mit fünf der meist bekannten Designer von virtuellen Gegenständen in SecondLife.
Ein weiterer Präzedenzfall bezog sich auf World of Warcraft und sollte klären, ob Antonio
Hernandez den Verstoß eines anderen Spielers (IGE) gegen die EULA vor Gericht geltend
machen könne [Dur08]. Danach nahm die Anzahl der Fälle drastisch ab, da nur wenige
Spieler genügend Geld verdienten, um vor Gericht zu klagen.
Der berühmte amerikanische Möbeldesigner Herman Miller beschritt einen anderen Weg:
Anstatt Klage darüber zu erheben, dass Kopien seiner Möbelschöpfungen in SecondLife
angeboten wurden, bot er seine echten Möbel selbst dort an. Dies hatte einigen Berichten nach zur Folge, dass Verstöße im Bezug auf seine Möbel daraufhin nachließen. Als
Reaktion der Hersteller auf diese Verstöße gegen das Urheberrecht stellten diese entweder
eine Benachrichtigungsfunktion zur Verfügung oder prüften jeden Upload eigenhändig auf
mögliche Urheberrechtsverletzungen.
Neben den Ansprüchen auf Eigentum an virtuellen Besitztümern und geistigem Eigentum
4
ANGRIFFSTECHNIKEN UND -VEKTOREN
7
war auch Zensur Gegenstand juristischer Diskussion. In The Sims Online wurde die virtuelle Zeitung The Alphaville Herald zensiert, weil dem Hersteller Electronic Arts ihr Inhalt
missfiel.
Alle diese Fälle haben gemeinsam, dass es zwar zu außergerichtlichen Einigungen oder
vereinzelten Urteilen kam, aber keine neuen Gesetze erlassen wurden, die mehr Klarheit
in diese juristische Grauzone gebracht hätten.
4
Angriffstechniken und -vektoren
In diesem Abschnitt werden zuerst die klassischen Netzwerkmodelle aktueller MMOG erläutert. Anschließend werden die häufigsten Angriffsvektoren auf Onlinespiele anhand der
Abbildung 2 auf Seite 7 klassifiziert. Jede Angriffsklasse, außer die der Sprungbrettangriffe
(siehe Kapitel 4.6 auf Seite 14) entspricht hierbei einem roten Pfeil. Die gestrichelten roten
Pfeile kennzeichen Angriffsarten, die nicht Gegenstand dieser Arbeit sind.
Abbildung 2: Mögliche Angriffsvektoren für Angreifer
Wie die Abbildung 2 auf Seite 7 zeigt, sind nicht nur die inneren Komponenten eines
MMOGs, sondern auch all diejenigen, mit denen das Spiel mit seiner Umwelt in Verbindung
steht, angreifbar.
4
ANGRIFFSTECHNIKEN UND -VEKTOREN
4.1
8
Client-Server und Peer-To-Peer
Grundlegend kommt bei einem MMOG eines der beiden klassischen Netzwerkmodelle zum
Einsatz: Entweder Client-Server oder Peer-To-Peer. Bei einem Client-Server-MMOG läuft
die gesamte Kommunikation zwischen Client und Server ab. Jeder Mitspieler stellt hier
einen Client dar und hat eine Verbindung zum Server aufgebaut. Über diese Verbindung
werden Spielinformationen, wie z.B. Koordinaten, über ein spieleigenes Protokoll zu einem
Server transportiert. Der Server hat die Möglichkeit, die einkommenden Daten der Clients
zu filtern oder zu verwerfen. Danach verarbeitet er sie und sendet seine Antworten an die
betreffenden Clients zurück. Da bei diesem Modell jegliche Daten zum Server übermittelt
werden müssen, stellt dieser den Single Point of Failure dar, was der größte Nachteil dieses
Modells ist. Außerdem sind MMOGs nur im Rahmen restriktiver Echtzeitanforderungen
spielbar, weshalb die Bearbeitung der Daten in möglichst kurzer Zeit geschehen muss.
Um aus Sicherheitsgründen auszuschließen, dass manipulierte Pakete in den Datenverkehr
eingeschleust werden, ist es nötig, in effizienter Weise überprüfen zu können, ob ein Paket
authentisch und integer ist oder nicht. Diese Anforderung stellt heutzutage ein großes
Problem dar.
Abbildung 3: Client-Server Netzwerkmodell
Bei den seltener vorkommenden P2P-MMOG hingegen kommunizieren die Spielclients untereinander. Jedes Spielprogramm bietet Client- und Serverfunktionalität und muss daher
mit den o.a. Filterfunktionenen ausgestattet sein.
Abbildung 4: Peer-To-Peer Netzwerkmodell
Egal ob Client-Server oder P2P - beide Modelle haben sicherheitskritisch betrachtet den
Nachteil, dass sich zumindest Teile der Spielsoftware auf Systemen der Spieler befinden.
Wegen der hohen und weiterhin stark anwachsenden Verbreitung dieser Spiele wird es
4
ANGRIFFSTECHNIKEN UND -VEKTOREN
9
daher immer einen Prozentsatz an ausreichend technisch versierten Spielern geben, die
Fehler in den Spielprogrammen finden und ausnutzen werden.
4.2
Grundsätzliche Angriffe
Grundsätzliche Angriffe sind universelle Angriffstechniken die in so vielen Computerbereichen zu finden sind, dass eine Kategorisierung nicht sinnvoll erscheint. Beispielsweise
können per Social Engineering oder mit einem Keylogger Daten eines Benutzers ausspioniert werden. Diese Daten müssen jedoch nicht zwangsläufig Anmeldedaten für ein Onlinespiel sein. Auch Spam-Nachrichten sind für viele Menschen ein alltägliches Problem,
was sich heutzutage schon längst auf Onlinespiele übertragen hat. Beispielsweise gibt es
Anti-Spam-Plugins für WoW, die unerwünschte Werbebotschaften durch Filtertechniken
zu unterbinden versuchen [spa08a] [spa08b]. Kollaborative Angriffe (Englisch: ’collusion
cheating’ [YR09, S. 39]) erfordern die Zusammenarbeit mehrerer Spieler zur Beschaffung
eines unfairen Vorteils. Ghosting, Stacking und Win Trading zählen z.B. zu dieser Art
von Angriffen [wik]. Beim Ghosting schaut ein Spieler als Beobachter im sogenannten
Observer-Modus dem Spielgeschehen zu und übermittelt heimlich2 Informationen zu seinem Verbündeten, der selbst aktiv am Spiel teilnimmt und diese Informationen zu seinem
Vorteil einsetzt. Stacking bezeichnet das Zusammenstellen eines Spielteams mit unfairer
Konstellation. Beispielsweise wird ein Team lediglich aus Profispielern aufgebaut, damit
dieses jede Partie für sich entscheidet. Win Trading war eine weit verbreitete Betrugsmethode im Spiel Starcraft [YR09, S. 39,43], einem Echtzeitstrategiespiel von Blizzard
Entertainment, das man online über das Battle.net spielen konnte. Bei diesem Spiel konnte man sich in einer Rangliste nach oben kämpfen, wobei für jeden Sieg Punkte verteilt
wurden. Zwei verbündete Spieler konnten nun abwechselnd absichtlich gegeneinander gewinnen bzw. verlieren und auf diese Weise peu a peu in der Rangliste aufsteigen.
4.3
Spielweltbezogene Angriffe
Als spielweltbezogene Angriffe seien alle Angriffe bezeichnet, die im Rahmen der Spielumgebung stattfinden. Abbildung 5 auf Seite 10 zeigt den Angriffsvektor. Häufigste Vertreter
sind hier neben allgemeinem Ausnutzen von Fehlern der Spielwelt das Duping und Griefing. Duping nennt man das Verdoppeln oder sogar Vervielfachen von Spielgegenständen.
Dies geschieht sowohl unter Ausnutzung von spielweltbezogenen, als auch von spielclientbezogenen Schwachstellen.
Oft wird bei diesem Angriff eine Fehlersituation reproduziert, aufgrund dessen der Server
ein Rollback zu einem früheren Zeitpunkt durchführt. Durch gute zeitliche Koordinierung
oder Erzeugen von hoher Netzlast für den Server ist es bei Item-Transfers zwischen zwei
oder mehreren Spielfiguren auf diese Weise möglich, dass sich ein abgelegter Gegenstand
nach erfolgtem Rollback im Inventar aller beim Transfer involvierten Spieler befindet.
Griefing kennzeichnet laut [FK04] das sinnlose Zerstören des Spielspaßes anderer Mitspieler. Dies hat zwar wenig mit den besprochenen hauptsächlichen Motivationen der Angreifer
zu tun, wirkt sich jedoch stark auf die Langzeitmotivation der Spieler aus.
2
meist per VOIP oder verdeckter Textnachricht
4
ANGRIFFSTECHNIKEN UND -VEKTOREN
10
Abbildung 5: Spielweltbezogene Angriffe
4.4
Spielclientbezogene Angriffe
Ein spielclientbezogener Angriff ist ein Angriff, der Schwächen oder Unzulänglichkeiten
des Spielclients ausnutzt. In dieser Rubrik seien zeitbezogene Angriffe, User Settings und
Automatisierungsangriffe näher erläutert, veranschaulicht durch Abbildung 6 auf Seite 11.
Zeitbezogene Angriffe sei ein Oberbegriff für Techniken, die eine unfaire Nutzung
der Zeit ermöglichen, Dazu zählen u.a. Sharing, Mehrfachlogin und die Verwendung von
Speedhacks. Beim Sharing teilen sich mehrere Spieler einen Account3 um diesen möglichst
zeiteffizient (24 Stunden pro Tag) zu nutzen. Beim Mehrfachlogin loggt sich der Angreifer gleichzeitig in mehrere Spielkonten ein, um zur selben Zeit mehrere Charaktäre auf
unterschiedlicher Konten zur gleichen Zeit zu steuern. Kauft er sich dafür sogar mehrere
PCs und Monitore, die allesamt mit einer einzelnen Maus und Tastatur gesteuert werden,
nennt man diese Form des Mehrfachlogins auch Multiboxing. Die Verwendung von Speedhacks wirkt sich zwar auch auf die Zeit aus, allerdings passen sie besser in die Kategorie
Speicherbezogene Angriffe und werden dort (Kapitel 4.5 auf Seite 12) näher beschrieben.
Custom Settings sind eigentlich nur persönliche Spieleinstellungen. Durch extreme Clienteinstellungen können jedoch gravierende Spielvorteile entstehen: In nächtlichen Spiellandschaften kann ein Angreifer durch das Erhöhen des Gamma- oder Brightness Levels
beispielsweise andere Spieler in der Dunkelheit erkennen. In Quake 1 waren sogar die
3
Spielkonto
4
ANGRIFFSTECHNIKEN UND -VEKTOREN
11
Abbildung 6: Spielclientbezogene Angriffe
Texturen veränderbar, was zur Folge hatte, dass einige Clans spezielle Texturen für ihre Mitstreiter entwarfen, sodass diese vor wirklich jedem Hintergrund hervorstachen. Eine
weitere beliebte Anpassung besteht in dem Heruntersetzen der Detailstufen. Der Angreifer
verzichtet hier auf schöne Darstellungen und effektbeladene Explosionen, um eine bessere
Übersicht über das Spielgeschehen zu behalten. Als letzte Anpassung sei hier das Verwenden von kryptischen Spielernamen genannt. In vielen Spielen muss man den exakten
Namen eines Spielers eingeben, den man als Spielleiter aus einer Partie entfernen oder
stumm stellen möchte. Ist der Name jedoch nicht ohne weiteres eintippbar, erhöhen sich
die Chancen des Angreifers mit anderen Vergehen durchzukommen, ohne von der Spielpartie temporär oder endgültig ausgeschlossen zu werden.
Bei Automatisierungsangriffen versucht der Angreifer langatmige immer wiederkehrende Spielhandlungsschritte mit Hilfe eigener Programme oder speziell für diesen Zweck
entwickelter Software zu automatisieren. Dadurch wird das fließbandmäßige Töten von
Monstern, oder Lösen von Quests4 - was man auch als Grinden [wow06] bezeichnet, verringert oder sogar vermieden. Neben kleineren skriptingbasierten Automatisierungen, wie
z.B. dem Legen von Spielaktionen auf einzelne Tasten mit Hilfe von Macros, wird das
Verwenden von Bot-Zusatzprogrammen immer populärer.
Bots sind eigenständige Programme, die raffiniertere Automatisierungsaufgaben erfüllen
sollen. Mit ihrer Hilfe können langweilige, immer wiederkehrende Tätigkeiten voll automatisiert und somit ohne jegliche Interaktion des Spielers durchgeführt werden.
4
Aufgabe, die ein Spieler im Spiel erfüllen kann, um mit Erfahrungspunkten, Spielgeld, usw. belohnt
zu werden
4
ANGRIFFSTECHNIKEN UND -VEKTOREN
12
Während in Echtzeitstrategiespielen wie Warcraft oder Starcraft hauptächlich HostingBots benutzt wurden und im Bereich der 3D-Shooter vornehmlich Bots zur Verbesserung
des Zielens eingesetzt wurden, ist das größte Problem der aktuellen MMOGs die Bekämpfung der Nutzung von Farming-Bots.
Mit Hilfe dieser Bots können Spielfiguren vollautomatisch durch riesige Onlinewelten gesteuert werden. So ist es möglich, 24 Stunden pro Tag Spielgüter wie Geld, Erfahrungspunkte oder Ausrüstungsgegenstände anzuhäufen und gewinnbringend zu veräußern.
4.4.1
Beispiel: Farming in WoW
Zur Bewältigung seiner Aufgaben sammelt der Bot Informationen über die aktuelle Umgebung der Spielfigur und trifft die Entscheidung für die nächste durchzuführende Aktion,
die als Tastatur- oder Mauseingabe an den Client gesendet wird. Eine interessante Technik, um auf die Umgebung der Spielfigur zu reagieren, ist aus World of Warcraft bekannt.
WoW bietet eine eigene skriptingbasierte API an, mit der Add-Ons für das Spiel geschrieben werden können. Diese API bietet Funktionen an, mit denen Spielinformationen
bequem abgefragt werden können. Zum Nachteil der Botprogrammierer ist die Verwendung der API aus Sicherheitsgründen begrenzt - es ist damit keine Einflussnahme auf die
Kontrolle der Spielfigur möglich. Die Botprogrammierer umgingen diese Restriktion folgendermaßen [MKKP09, S. 30]: Sie schrieben ein Add-On, das die Informationen in Form
von farbkodierten Pixeln auf dem Spielbildschirm darstellt. Eine separates Automatisierungsskript (z.B. AutoIT oder Autohotkey) liest diese Pixel aus, dekodiert sie und sendet
entsprechende Reaktionen der Spielfigur, wie z.B. einen Bewegungsbefehl, als Eingaben
an den Spielclient.
Ein größeres Problem für die Ersteller von Farming-Bots ist das möglichst originalgetreue Umsetzen eines Bewegungsbefehls. Der genaue Pfad, auf dem sich ein Spielcharakter nämlich normalerweise nach Geben eines Bewegungsbefehls fortbewegt, wird vom
Client erst nach dem Klicken des Spielers berechnet. Und zwar unter Einsatz intelligenter
Routefinding-Algorithmen, um die Spielfigur möglichst effizient um Hindernisse herum zu
manövrieren. Das Integrieren einer exakten Kopie in die Botsoftware erfordert das vollständige Offenlegen der Algorithmen. Da sich die Rekonstruktion mittels Reverse Engineering,
also dem Zurückschließen vom kompilierten Spielclient auf die genauen Algorithmen, als
zu aufwendig herausgestellt hat, basieren fast alle Farming-Bots auf festgelegten oder trainierten Wegpunkten. Diese Wegpunkte werden lediglich zum Aufsammeln der Kriegsbeute
oder zum Angreifen eines Monsters verlassen. Bots verfügen häufig zusätzlich über weitere
Exploits, die der Optimierung der Automatisierungsaufgaben dienen.
4.5
Speicherbezogene Angriffe
Speicherbezogene Angriffe basieren auf dem Verändern von Werten im Arbeitsspeicher des
Computers, siehe Abbildung 7 auf Seite 13. Neben Trainern sei hier auch auf Buffer Overflows eingegangen. Bei Ausführung eines Onlinespiels befindet sich dessen Programmcode
im Arbeitsspeicher des Computers. Speedhacks und Trainer ändern Werte im Arbeitsspeicher dahingehend, dass sich ein Spielvorteil ergibt. Diese Angriffe sind deshalb möglich,
weil die Spielclients häufig auf Integritätsprüfungen verzichten - im Speicher geänderte
4
ANGRIFFSTECHNIKEN UND -VEKTOREN
13
Abbildung 7: Speicherbezogene Angriffe
Werte werden daher vom Spielclient als gegeben vorausgesetzt. Speedhacks sind in der
Lage auf diese Weise Angriffs- oder Bewegungsgeschwindigkeiten einer Spielfigur zu vervielfachen. Trainer beinhalten oft Speedhacks und bieten noch weitere Möglichkeiten der
Einflussnahme, wie z.B. dem Erhöhen von Gold und Erfahrung oder dem Aktivieren eines
Unsterblichkeitsmodus. Einige Speedhacks und Trainer bedienen sich dabei der Technik
des DLL Hookings. Dies bedeutet, dass Spielclients zum Testen, wielange eine Spielaktion
dauert, selbst häufig auf Bibliothekenfunktionen zugreifen. Fängt man diesen Aufruf mit
einem eigenen Programm ab und führt statt der originalen Bibliotheksfunktion eine selbst
geschriebene Funktion aus, lassen sich beliebige Manipulierungen vornehmen. Bezogen auf
Speedhacks könnte zum Beispiel immer die Hälfte der eigentlich vergangenen Zeit an den
Aufrufer der Bibliotheksfunktion zurückgegeben werden. Die Funktion reagiert dann doppelt so schnell auf zeitabhängige Ereignisse.
Buffer Overflows entstehen dann, wenn zuviele Daten in einen Programmpuffer festgelegter Größe geschrieben werden. Werden über diese Puffergrenze hinaus Daten in den Puffer
geschrieben, überschreibt das Programm dahinterliegende Bereiche im Arbeitsspeicher.
Durch das Injizieren von genaustens durchdachten Daten ist es über diese Angriffsvektoren möglich, eigenen Programmcode zur Ausführung zu bringen. Da der zur Ausführung gebrachte Programmcode mit denselben Ausführungsberechtigungen des angegriffenen Spielclients oder -servers läuft und unter Windows üblicherweise viele Benutzer mit
Administratorberechtigungen eingeloggt sind, führt ein erfolgreicher Buffer Overflow Angriff in der Regel zur vollständigen Kompromittierung des verwundbaren Systems.
4
ANGRIFFSTECHNIKEN UND -VEKTOREN
4.6
14
Sprungbrettangriffe
Heutzutage werden für einen erfolgreichen Angriff oft mehrere der oben beschriebenen Angriffsvektoren kombiniert, um das zugrunde liegende Betriebssystem zu kompromittieren.
Diese Angriffe werden als Sprungbrettangriffe bezeichnet, da Schwachstellen in Spielwelt
und -client nur als Sprungbrett zur Kompromittierung des Gesamtsystems dienen. Dies
ist in Abbildung 8 auf Seite 14 illustriert.
Abbildung 8: Sprungbrettangriffe
Diese Art von Angriffen sollen anhand zweier Beispiele illustriert werden: SecondLife ermöglicht das Erzeugen von Spielobjekten und das Verknüpfen dieser selbst erstellten Objekte mit eigenen Multimediadateien. So kann ein Spieler dafür sorgen, dass jeder, der in
der virtuellen Umgebung an seinem Objekt vorbei geht, ein Lied vorgespielt bekommt.
Dieses Lied hat der Spieler selbst zuvor in das Spiel eingebunden. Es sei erwähnt, dass
neben Musikdateien auch eigene Video- und Grafikdateien in das Spiel integrierbar sind.
Damit ein Spielclient diese vom Nutzer eingestellte Musikdatei abspielen kann, wird diese von der QuickTime Bibliothek gerendert. Durch speziell präparierte Musikdateien, die
eine Sicherheitslücke der QuickTime Parsing Engine ausnutzte [BCLM09, S. 16], war es
möglich, einen Buffer Overflow zu provozieren und eigenen Code zur Ausführung zu bringen. Diese manipulierte Musikdatei muss sich dafür nicht auf SecondLife-Servern befinden
sondern kann auch auf einem vom Benutzer kontrollierten Server liegen. Dies wird auch
als Server-Bypassing bezeichnet.
4
ANGRIFFSTECHNIKEN UND -VEKTOREN
4.6.1
15
Beispiel: Age of Conan
Das MMORPGs Age of Conan (AoC) beinhaltete gleich mehrere schwerwiegende Fehler [BCLM09, S. 17ff.], Die erste Schwachstelle ermöglichte das Ausführen einer Script-
Abbildung 9: Angriff auf Age Of Conan - Aufbau
sprache über das in der Abbildung 9 auf Seite 15 gezeigte Messaging System. Dies erlaubt
einem Angreifer das Schicken von Hyperlinks mit gefälschten Namen und Zieladressen.
Darüber hinaus ist es möglich, Spielbefehle direkt in das Messaging System einzugeben.
Spielbefehlen muss ein Backslash vorangestellt werden, damit AoC sie von normalen Textnachrichten unterscheiden kann. Mit diesen Befehlen ist es beispielsweise möglich, dass
die Spielfigur sich hinsetzt, wieder aufsteht oder die Hand zum Gruß erhebt. Damit ein
Spieler nicht gezwungen ist, sich ständig wiederholende Abfolgen an Befehlen selbst einzugeben, bietet AoC die Möglichkeit, die auszuführenden Befehle untereinander in einer
ASCII-Datei im Verzeichnis AgeOfConan/scripts zu speichern und über das Messaging
System unter Angabe von
dateiname direkt ausführen.
Zusätzlich ist über das Messaging System sogenanntes Directory Traversal möglich. Das
bedeutet, dass man dem auszuführenden Skript mehrere ../ voranstellen kann, um aus
dem festgelegten Skriptverzeichnis AgeOfConan/scripts auszubrechen und beliebige andere Dateien auf dem Computer von dem Skripting-Parser ausführen zu lassen. Dies hatte
drei schwerwiegende Folgen.
Erstens war es mit Hilfe der Scripting-Hyperlinks möglich, einen getarnten Link an das
Opfer zu schicken. Dieser Link enthielt einige Charakteranweisungen, die beim Klicken des
Opfers auf diesen zur Ausführung gebracht wurden.
Zweitens konnte man mittels der Directory Traversal Lücke ein Opfer eine wichtige Systemdatei ausgeben lassen. Bringt man das Opfer konkret dazu, folgendes Script auszuführen,
schickt dessen Scripting Parser die nicht erkannten Charakteranweisungen als Textbot-
4
ANGRIFFSTECHNIKEN UND -VEKTOREN
16
schaften direkt für jeden lesbar an das Messaging System und damit in die Spielumgebung:
/../../../../Users/<user>/AppData/Roaming/Intuit/Quicken/CONNLOG.TXT [BCLM09,
S. 18]. Die dritte Möglichkeit nutzt einen weiteren Programmierfehler aus. Trifft der Script
Parser auf eine Zeile mit mehr als 1024 Zeichen, kommt es zu einem Buffer Overflow. Die
Buffer-Overflow-Schwachstelle hat wiederum zwei Angriffe zur Folge. Erstens ließ sich der
Spielclient eines anderen Spielers zum Absturz bringen, indem man den Script-Parser dazu bewegte, eine Binärdatei zu parsen, die nicht über Zeilenumbrüche verfügt und somit
einen Pufferüberlauf verursachte. Als Beispiel einfach die auszuführende Datei des Spiels
selbst mittels /../AgeofConan.exe.
Als zweite Angriffsmöglichkeit konnte eigener Programmcode zur Ausführung gebracht
werden, was zu einer vollständigen Kompromittierung des Zielsystems führte.
Im Folgenden wird ein mächtiger Angriff beschrieben, der alle beschriebenen Techniken
geschickt kombiniert [BCLM09, S. 18f.].
Im ersten Schritt wird dem Opfer ein getarnter Link geschickt. Dieser Link öffnet eine
speziell für diesen Zweck erstellte Webseite, die einen Cookie setzt. Dieser Cookie enthält
unter anderem einen alphanumerisch kodierten [rix01]. Im zweiten Schritt wird dem Opfer
ein weiterer gefälschter Link geschickt, der diesen Cookie mit Hilfe der Directory-Traversal
Schwachstelle des Scripting-Parsers zur Ausführung bringt. Der Cookies ist so konstruiert,
dass er die Buffer Overflow Schwachstelle des Scripting Systems ausnutzt. Dadurch wird
der Decoderpart des Shellcodes zur Ausführung gebracht, der wiederum den eigentlichen
Shellcode dekodiert und ausführt. Der Zweck des Shellcodes ist es, weiteren Code von
einem vom Angreifer kontrollierten FTP-Server nachzuladen und ebenfalls zur Ausführung
zu bringen. Die Abbildung 10 auf Seite 16 zeigt in stark vereinfachter Darstellung den
Ablauf dieses Angriffs.
Abbildung 10: Angriff auf Age Of Conan - Ablauf
5
AKTUELLE SICHERHEITSMAßNAHMEN
5
17
Aktuelle Sicherheitsmaßnahmen
In diesem Abschnitt werden einige der in aktuellen Spielen eingesetzten Sicherheitsmaßnahmen diskutiert. Neben client- und serverseitigen Anti-Cheat-Programmen werden auch
andere Ansätze zur Bekämpfung der Angriffe auf Onlinespiele erläutert.
5.1
Clientseitige Anti-Cheatprogramme
Viele Angriffe werden durch die Verwendung illegaler Zusatzprogramme möglich gemacht.
Die Spielehersteller setzen daher Anti-Cheat-Lösungen wie z.B. Warden oder Punkbuster
ein5 . Warden ist ein von Blizzard Entertainment entwickeltes clientbasiertes AnticheatSystem. Es ist in fast alle Spieletiteln von Blizzard integriert und arbeitet im Hintergrund.
Diese Arbeit besteht aus dem Aufspüren von Informationen über verdächtige Programme
und der anschließenden Benachrichtigung an Blizzard. Dazu durchscannt dieses Programm
den Arbeitsspeicher des Spielers nach möglichen Cheatprogrammen. Dies geschieht ähnlich
wie bei Virenscannern auch mit Hilfe von Prüfsummen über bekannte Cheatprogramme,
sogenannten Signaturen. Im Fall eines Verdachts liest dieses Programm den Code des
vermeintlichen Cheatprogramms sowie Informationen über die CPU, die Festplatten, die
laufenden Prozesse und sogar über geöffnete Emails, URLs und IP-Adressen aus dem Arbeitsspeicher aus, versieht sie mit einem Zeitstempel und schickt sie in feingranulierten
Portionen6 an Server von Blizzard. Dort werden die Daten aggregiert und für eine weitere
Analyse aufbereitet. Die Funktionsweise von Warden hat drei gravierende Nachteile. Zum
einen läuft es clientbasiert und kann daher von Entwicklern von Cheatprogrammen beliebig analysiert werden. Zweitens arbeitet es signaturbasiert und ist daher immer einen
Schritt hinter aktuellen Cheat-Tools. Und drittens werden personenbezogene Daten im
Hintergrund an Blizzard gesendet, was die Privatsphäre des Spieler verletzt. Außerdem
existieren simple Workarounds, wie z.B. dem Starten von WOW als Windows Gastbenutzer: Dies funktioniert deshalb, da jeder Prozess über einen anderen Prozess nur folgende
Informationen herausfinden kann:
• Anfangsadresse des Prozesses im Arbeitsspeicher
• Prozess-ID
• Fenstertitel (falls Fenster vorhanden)
• Namen und Pfad der entsprechenden .exe-Datei
Auf den eigentlichen Speicherbereich des Prozesses kann nur zugegriffen werden, wenn der
zugreifende Prozess Debugrechte für den Prozess, auf den er zugreifen möchte, aktiviert.
Das Aktivieren von Debugrechten ist allerdings dem Administrator vorbehalten. Startet
man WOW also nicht mit den bei Windows üblichen Administrator- sondern nur mit
Gastberechtigungen, kann der in WOW integrierte Wardenprozess keine Debugrechte für
andere Prozesse beantragen und hat somit keine Möglichkeit, an deren Programmcode zu
gelangen. Daher ist schonmal die erste oben genannte Information - die Anfangsadresse
des Prozesses im Arbeitsspeicher - für Warden nutzlos. Warden kann daher lediglich die
Prozess-ID, den Fenstertitel und Name sowie Pfad der ausführbaren Datei ermitteln. Da
5
6
http://de.wikipedia.org/wiki/Punkbuster
Um das Spielerlebnis nicht durch stark erhöhte Netzlast negativ zu beeinträchtigen
5
AKTUELLE SICHERHEITSMAßNAHMEN
18
die Prozess-ID zufällig vergeben wird und Fenstertitel manipulierbar sind, stellen auch
diese Informationen keine für Warden nutzbaren Kriterien dar. Der Name und Pfad der
ausführbaren Datei kann ebenfalls leicht abgeändert werden, was eine Signaturprüfung
an dieser Stelle unwirksam macht. Allerdings kann Warden ja trotzdem diesen möglicherweise abgeänderten Name und Pfad der Datei herausfinden und über das Einlesen der
.exe-Datei an den Code gelangen. Um Warden auch diesen Zugriff zu verbieten, genügt es,
dem Gastbenutzer alle Berechtigungen auf das Verzeichnis, in dem sich die ausführbare
Datei befindet, zu entziehen. Alles in allem kann festgehalten werden, dass Warden durch
die Anwendung zweier für jedermann ausführbarer Schritte umgangen werden kann - auf
Kosten extremer Einschnitte in die Privatsphäre aller Spieler.
5.2
serverseitige Anti-Cheat-Lösungen
Der Code eines serverseitigen Anti-Cheat-Programms wird auf dem Spielserver ausgeführt.
Infolgedessen hat ein Angreifer keinen Zugriff darauf, es sei denn, er hat den Spielserver
kompromittiert. Diese fehlende Einflussnahme des Spielers ist ein großer Vorteil im Bezug
auf die Sicherheit. Allerdings eignen sich diese Lösungen nur zur Bekämpfung von Angriffen, die durch die vom Client an den Server übermittelten Daten aufspürbar sind. Dies
impliziert wiederum, dass alle vom Client kommenden Daten besonders genau geprüft und
gefiltert werden müssen.
Um das Vervielfältigen von Gegenständen in Blizzards Hack-n-Slay-Titels Diablo 2 zu
verhindern, entwickelte das Unternehmen zwei serverbasierte Dupescanner [dia]. Das unerlaubte Dupen von Gegenständen in Diablo führte dazu, dass alle vervielfachten Gegenstände dieselbe Item-ID7 besaßen wie der ursprüngliche Gegenstand, mit dem die Kopien
angefertigt wurden. Der erste Scanner, Passive Ruststorm, sortierte einfach alle Gegenstände nach ihren Item-IDs und nach dem Erzeugungszeitstempel und überprüfte anschließend auf mehrfaches Vorkommen. Bei einem Fund wurden alle Gegenstände bis auf den
ältesten gelöscht, da dieser ja der Originalgegenstand zu sein schien. Der zweite Scanner,
Full Ruststorm, konnte sogar vervielfachte Gegenstände erkennen, die bereits zu neuen
Gegenständen verarbeitet wurden. Er basierte ansonsten aber auf dem gleichen Erkennungsprinzip.
Die Dupescanner hatten zwei gravierende Nachteile. Einerseits war der Scanvorgang so
rechenintensiv, dass sie nur des nachts und nicht zu oft ausgeführt werden konnten, um
das Spielerlebnis nicht zu beeinträchtigen. Der viel größere Nachteil resultierte daraus,
dass bereits kopierte Gegenstände schon ihre Besitzer gewechselt hatten. Viele ahnungslose Spieler hatten über das spieleigene Handelssystem oder sogar mit echtem Geld gedupete
Gegenstände erworben, die von Blizzard kommentarlos gelöscht wurden. Dieses Beispiel
zeigt, wie heikel sich der Prozess der Erhöhung der Sicherheit gestaltet - Blizzard wollte
durch Bekämpfung des Cheating die Motivation der Spieler erhöhen und erreichte das
Gegenteil.
Die serverbasierte Bekämpfung von Farming-Bots in MMORPG könnte durch ein Messen
und Begrenzen der Spielzeit geschehen. Eine weitaus bessere Idee [MKKP09, S. 30ff.]
7
Eindeutige Identifikationsnummer eines virtuellen Gegenstandes
6
FAZIT UND AUSBLICK
19
beschreibt die Analyse der Wegpunkte eines Spielers. Die Bewegungsbefehle eines Spielers,
die ständig an den Server übermittelt werden, beinhalten Koordinaten eines Pfades. Diese
werden auf dem Spielserver aufgezeichnet und folgendermaßen aufbereitet:
1. Rekonstruieren der Route, also des gesamten Weges, den ein Spieler von A nach B
zurücklegt, durch Verbinden der einzelnen Koordinaten
2. Vereinfachen der Kurven mit Hilfe des Douglas-Peucker line simplification algorithm
durch Verringern der Knoten unter Einhaltung gewisser Toleranzen und somit Eliminieren von angehäuften Wegpunkten einer festen Koordinate
3. Wegpunktextrahierung mit einer angepassten Version des speziellen k-means Clusteralgorithmus
4. Erzeugung einer Route aus den Wegpunkten und Erkennen von Wiederholungen
in der Wegpunktsequenz mit Hilfe von Erkenntnissen aus der Bioinformatik zum
Analysieren langer DNA- oder Proteinketten
5. Aufbereiten der Ergebnisse und Entscheiden anhand von Metriken,
ob Bot oder Spieler
Diese Analysemethode ist universell einsetzbar und nicht auf spezielle Onlinespiele begrenzt. Außerdem lässt sich anhand der Metriken ziemlich präzise ermitteln, ob es sich um
einen Bot oder einen echten Spieler handelt.
5.3
Weitere Methoden
Neben der Kontrollfunktion durch Programme auf Server- und Clientseite kann diese auch
durch Mitarbeiter des Herstellers wahrgenommen werden. Gamemaster beobachten für
normale Spieler unsichtbar das Spielgeschehen und können verdächtige Spielhandlungen
entdecken und entsprechende Konsequenzen ziehen. Des weiteren ist es möglich, Sicherheitsüberprüfungen durchzuführen - zum Beispiel für von Benutzern programmierte Plugins. Wegen des hohen Kostenfaktors wird heutzutage aber so gut es geht auf personalbasierte Kontrollmechanismen verzichtet.
Ein Weg diese Kosten zu reduzieren ist durch Mithilfe der Spielergemeinschaft realisierbar,
indem Benachrichtigungsfunktionen zur Verfügung gestellt werden. Spieler sind hier dazu
angehalten, verdächtige Handlungen selbst aufzuspüren und zu berichten.
Als letzten Punkt seien hier sichere Umgebungen genannt. Bei dieser Methode versuchen
Hersteller ihre Spiele nur in einer vom Betriebssystem isolierten Umgebung zur Ausführung
zu bringen. Ein Vorteil dieser Abschirmung liegt darin, dass Sprungbrettangriffe erschwert
werden. Da diese sicheren Umgebungen jedoch genau wie der Spielclient häufig in Software
realisiert sind, können Programmierfehler zu Ausbrüchen aus der Umgebung führen.
6
Fazit und Ausblick
In Zukunft wird der Markt der Onlinespiele weiterhin wachsen und die Verlagerung gesellschaftlicher in virtuelle Bereiche ungebremst fortschreiten. Angriffe auf diese Welten
LITERATUR
20
nehmen weiterhin zu und werden immer raffinierter und weitreichender. Neben Angriffen,
deren Konsequenzen auf die negative Beeinflussung der Balance der Spielwelt beschränkt
bleiben. existieren weitaus ernsthaftere Folgen - Folgen, die nichts mehr mit einem Spiel zu
tun haben. Neuerdings nutzen organisierte Kriminelle Schwachstellen in Onlinespielen zur
Kompromittierung ganzer Computersysteme. Dass aufgrund der hohen Popularität dieser
Spiele damit Millionen von Menschen illegalen Machenschaften schutzlos ausgeliefert sind,
scheint noch nicht bei der Spielerschaft angekommen zu sein. Und die Lukrativität der Angriffe ist unbestritten - neben Exploits zur spielweltbezogenen Anhäufung von Reichtum
und anschließendem Umtausch in reale Währungen, nutzt ein Großteil der Spieler Homebanking und sorgt somit für weitere potentielle Einnahmequellen der Angreifer. Ganz zu
schweigen von vielen anderen verwertbaren Informationen, wie Zugangsdaten zum PaypalAccount, usw. Mit der Kompromittierung ganzer Kolonien an Spielersystemen können Botnetze aufgebaut werden, die ihrerseits für beliebige weiterführende kriminelle Handlungen
missbraucht werden können, wie z.B. Spamversand, Malware- oder KinderpornographieDistribution. Der ahnungslose Spieler kann damit selbst Teil eines Angriffes werden, ohne
es zu wissen. Jegliche Spuren der Ermittlungsbeamten führen nur auf den Unschuldigen.
Folglich müssten Hersteller einen größeren Fokus auf Sicherheit legen, ohne das Fürchten um Einbußen der Verkaufzahlen. Sie sollten die Sicherheit höher priosisieren als das
Featurereichtum ihrer Spieletitel und strikte Sicherheitsüberprüfungen in ihre Qualitätssicherung integrieren. Dieses Streben nach höherer Sicherheit kollidiert jedoch mit dem Ziel
der Hersteller, die Kosten zu minimieren. Und kann erst erfolgen, wenn Spieler freiwillig
mehr Geld für Sicherheit investieren. Voraussetzung für die Investition in Sicherheit ist jedoch das bisher noch mangelhafte Bewusstsein dafür. Obwohl das Sicherheitsbewusstsein
bei älteren Netzanwendungen, wie Email und Web, schon gut ausgeprägt ist, befindet sich
der Sensibilisierungsprozess bezüglich der Onlinespiele noch im Anfangsstadium.
Ein zusätzlicher Aspekt, der einer Etablierung ganzheitlicher Sicherheit im Weg steht,
ist juristischer Natur. Heutzutage stellen die diskutierten Rechtsfragen immer noch eine
Grauzone dar. Mit klarer, einheitlicher gesetzlicher Regelung kann vorerst noch nicht gerechnet werden. Erst wenn jedoch weitere zukünftige Präzedenzfälle zu festen Gesetzen
in diesem Bereich führen, wird das Streben nach Sicherheit salonfähig. Da einige Hersteller [Kan09, S. 28] bereits lizensierbare Plattformen entwickeln, die einen Austausch
von Gegenständen und Werten zwischen verschiedenen Onlinewelten ermöglichen, verlieren Rechtsfragen nicht an Brisanz und sind in Zukunft immer mehr im Interesse der
Hersteller und Spieler.
Literatur
[Bar05]
David Barboza. Ogre to slay? outsource it to chinese. http://www.nytimes.
com/2005/12/09/technology/09gaming.htm, 2005.
[BCLM09] Stephen Bono, Dan Caselden, Gabriel Landau, and Charlie Miller. Reducing
the attack surface in massively multiplayer online role-playing games. IEEE
Security and Privacy, 7(3):13–19, 2009.
[chi]
Chinafarmer 12 std. arbeit pro tag.
81cmmJiHEGI.
http://www.youtube.com/watch?v=
LITERATUR
21
[dia]
Auswirkungen von cheats.
hack05.php.
[Dur08]
Benjamin Duranske. Hernandez v. ige settles. http://virtuallyblind.com/
2008/08/27/hernandez-ige-settles/, 2008.
[FK04]
Chek Yang Foo and Elina M. I. Koivisto. Defining grief play in mmorpgs:
player and developer perceptions. In ACE ’04: Proceedings of the 2004 ACM
SIGCHI International Conference on Advances in computer entertainment
technology, pages 245–250, New York, NY, USA, 2004. ACM.
[gev]
Wachstumsmarkt spielebranche.
http://www.gevestor.de/geldanlage/
details/article/wachstumsmarkt-spielebranche.html.
[ige]
The leading mmorpg services company. http://www.ige.com.
[Kan09]
Sean F. Kane. Virtual judgment: Legal implications of online gaming. IEEE
Security and Privacy, 7(3):23–28, 2009.
http://diablo3.ingame.de/hilfe/hackfaq/
[MKKP09] Stefan Mitterhofer, Christopher Kruegel, Engin Kirda, and Christian Platzer.
Server-side bot detection in massively multiplayer online games. IEEE Security
and Privacy, 7(3):29–36, 2009.
[Rei05]
Jeremy Reimer. Virtual plague spreading like wildfire in world of warcraft.
http://arstechnica.com/old/content/2005/09/5337.ars, 2005.
[rix01]
Writing ia32 alphanumeric shellcodes.
html?issue=57&id=15#article, 2001.
[spa08a]
Benutzer-review: Spammenot addon fà 14 r world of warcraft.
http://
mmoggames.wordpress.com/2008/01/13/nutzliche-addons-spammenot/,
2008.
[spa08b]
Offizielle webseite: Spammenot addon fà 41 r world of warcraft. http://wow.
curseforge.com/addons/spam-me-not/, 2008.
[uRT78]
Richard Bartle und Roy Thrubshaw. Mud1. http://british-legends.com/
history.htm, 1978.
[wik]
Cheating in online games. http://en.wikipedia.org/wiki/Cheating_in_
online_games.
[wow06]
Mmorpg-slang. http://forums.wow-europe.com/thread.html?topicId=
16042168&sid=3, 2006.
[YR09]
Jeff Yan and Brian Randell. An investigation of cheating in online games.
IEEE Security and Privacy, 7(3):37–44, 2009.
http://www.phrack.org/issues.