(In)security of Online-Games - Ruhr
Transcription
(In)security of Online-Games - Ruhr
(In)security of Online-Games Seminar am Lehrstuhl für Systemsicherheit Wintersemester 2009/2010 Bastian Bartels Ruhr-Universität Bochum 23. April 2010 Zusammenfassung Mit stark zunehmender Verbreitung von Onlinespielen werden auch die Angriffe auf diese immer ausgereifter und lukrativer. Als Angriff werden in dieser Arbeit jegliche Angriffe auf Onlinespiele bezeichnet, also sowohl Cheats, als auch Exploits jeglicher Art. Ziel ist es, eine Übersicht über die Sicherheitslage von Computerspielen zu vermitteln, um das Angriffsrisiko besser einschätzen zu können. Neben einem Blick auf die juristische Lage werden die Motivationen der Angreifer, Hersteller und Spieler beleuchtet. Als Kernthema wird der Versuch einer einheitlichen Klassifizierung der häufigsten aktuellen Angriffstechniken unternommen, wobei jede Angriffsart anhand eines Beispiels illustriert wird. 1 1 VORWORT 1 2 Vorwort Bereits vor über 30 Jahren wurde das erste Onlinespiel [uRT78] namens MUD (Multi User Dungeon) veröffentlicht. Spieler konnten nun neben den zu der Zeit eher schlichten Computergegnern über Computernetzwerke gegen andere menschliche Spieler antreten, was zu einem neuartigen Spielerlebnis führte. Heutzutage präsentieren sich Onlinespiele in immer realistischerer 3D-Grafik und bieten zigtausenden von Spielern eine virtuelle Plattform, die zunehmend genauer der realen Welt nachempfunden ist. So bieten aktuelle Onlinewelten virtuelle Währungen an, deren Beträge man bei entsprechendem Umrechnungskurs in echte Währungen wie Euro oder Dollar umtauschen kann. Aber auch Bereiche wie Politik, Kunst und Erotik können mittlerweile in Onlinespielen ausgelebt werden. Aus den kleinen Spielen von damals sind hochverfügbare verteilte Echtzeitsysteme geworden, die man heutzutage allgemein als Massively Multiplayer Online Game, kurz MMOG, bezeichnet. Dieses Genre erfreut sich nicht nur bei Kindern und Jugendlichen, sondern auch bei Erwachsenen immer höherer Beliebtheit, sodass die Spieleindustrie 2009 nach einem jährlichen Wachstum von 18 Prozent einen stolzen Marktwert von rund 12,7 Mrd. Dollar präsentieren konnte [gev]. Neben den einmaligen hohen Entwicklungskosten müssen die Entwickler auch die laufenden Kosten decken, sodass fast alle dieser Spiele das Entrichten einer monatlichen Abogebühr verlangen. Bekanntester Vertreter der MMOGs aus dem Genre der Rollenspiele1 stellt Activion Blizzards World of Warcraft dar. Ende 2008 meldete das Unternehmen weltweit rund 12 Millionen Abonnenten. Allein durch die Abogebühren nimmt das Unternehmen jährlich rund 2,37 Milliarden USD ein. Um angesichts der zunehmenden Beliebtheit und des daraus resultierenden Marktwachstums wettbewerbsfähig zu bleiben, versuchen die Entwickler ihre Spiele mit attraktiven Features aufzuwerten. Infolgedessen nimmt die Komplexität und Unübersichtlichkeit der Spiele derart zu, dass die Entwickler teilweise selbst die Kontrolle über ihre Schöpfungen verlieren [Rei05]. Das starke Wachstum der Spieleranzahl verbunden mit der Zunahme der Komplexität und einem in dem Bereich noch mangelnden Sicherheitsbewusstsein führt zu einem hohen und zugleich stark unterschätzten Angriffsrisiko. Neben Angriffen auf die Spielmechanik gewinnen zunehmend Angriffe an Attraktivität, die eine Kompromittierung des gesamten PCs nach sich ziehen. Ein Ziel dieser Arbeit ist es daher durch das Beleuchten des Zusammenspiels aus Schwachstellen, Motivationen, Angriffsvektoren und rechtlicher Ungewissheit, die Sensibilisierung des Sicherheitsbewusstseins bezüglich moderner Onlinespiele zu erhöhen. 1 MMORPG, das RP steht für Role Play, zu deutsch Rollenspiel 2 2 MOTIVATIONEN DER BETEILIGTEN 3 Motivationen der Beteiligten Das Verstehen von Angriffen auf Computerspiele setzt das Verstehen der Motivationen aller Beteiligten voraus. Dieses Zusammenspiel der Motivationen ist in Abbildung 1 auf Seite 3 veranschaulicht. Beispielsweise häufen sogenannte Chinafarmer Spielgüter an und Abbildung 1: Visualisierung des Zusammenspiels der Motivationen der Beteiligten veräußern sie auf internationalen Verkaufsplattformen wie zum Beispiel beim Broker IGE [ige]. Als Chinafarmer werden hauptsächlich von zu Hause weggelaufene chinesische Minderjährige bezeichnet, die von Firmen mit einem für diese Verhältnisse hohen Monatsgehalt zum professionellen Computerspielen geködert werden. Diese Jugendlichen spielen in der Regel 336 [chi] Stunden pro Monat und haben - ob mit oder ohne Einsatz illegaler Techniken [Bar05] - einen von den anderen Spielern nicht gewollten Einfluss auf die Spielbalance. Beispielsweise kann es zu Inflationen der Spielwährung kommen. Dies wirkt sich motivationsmindernd auf die ehrlichen Spieler aus, weswegen der Hersteller gezwungen ist, Spielkonten der Chinafarmer zu schließen, um kein Abspringen von Abonnementen und daher Kapitaleinbußen hinnehmen zu müssen. Infolgedessen würden aber auch Arbeitsplätze in China abgebaut. Dieses komplexe Zusammenspiel der Motivationen und die Tragweite der Konsequenzen, sollen im Folgenden aus Sicht des Angreifers, des Herstellers und des Spielers beleuchtet werden. 2 MOTIVATIONEN DER BETEILIGTEN 2.1 4 Motivationen der Angreifer Die Motivationen der Angreifer können in spielbezogene und lebensbezogene Motivationen unterteilt werden. Spielbezogene Motivationen sind rein spielbezogene Ziele, die keine Auswirkungen auf das echte Leben des Angreifers haben. Dazu zählt in erster Linie das Anhäufen von Spielgeld, kostbaren virtuellen Gegenständen und dem Ausbau der Spielfigur mit Hilfe von Erfahrungspunkten, auch als Leveling bezeichnet. Beispielsweise erfährt der Spieler eines Drachentöter-Charakters in Ultima Online besonderes Ansehen, da er in dem Spiel Unmegen des raren Wyrm-Leders angehäuft hat. Ein Angreifer kann nun die Motivation haben, diesen ehrwürdigen spielbezogenen Status auf einen seiner Spielfiguren übertragen zu wollen - und zwar ohne den von der Spiel-Engine geforderten Einsatz an Zeit und Mühe zu investieren. Lebensbezogen sind Motivationen des Angreifers, die sich auf dessen reales Leben beziehen. Bei diesen geht es den Angreifern auf Onlinespiele hauptsächlich um Geld. Wenn man eine Spielwährung in echtes Geld umtauschen kann, scheint es nicht verwunderlich, dass es Menschen gibt, die durch eine Anhäufung von Spielgeld zu realem Reichtum kommen möchten. Beispielsweise sind 160 Goldstücke in World Of Warcraft derzeit etwa einen Euro wert [ige]. Ein Angreifer hat demzufolge entweder die Motivation unter Benutzung jeglicher illegaler Techniken in kürzester Zeit möglichst viel Spielgeld zu verdienen, um es dann in Bares umzuwandeln. Oder er forciert die Kompromittierung des gesamten Spielercomputers, um sich mit Hilfe der darauf enthaltenen Informationen zu bereichern. Da spielinterne Güter heutzutage teilweise für sechsstellige Beträge [Kan09, S. 24] den Besitzer wechseln, ist sogar ein Anhäufen virtueller Utensilien jeglicher Art höchst lukrativ - so lukrativ, dass hinter viele heutiger Angriffe gesamte Industriezweige stecken. Eine weitere lebensbezogene Motivation der Angreifer ist die technische Herausforderung und das Ansehen in der Szene, wenn ein eigener möglichst raffinierter und mächtiger Angriff erfolgreich war. 2.2 Motivationen der Hersteller Die Hauptmotivation der Hersteller ist das Profitstreben durch das Halten und Ausbauen der Marktposition. Erreicht werden kann dies durch das Gestalten von Produkten, die eine hohe Attraktivität und Kundenbindung bieten. Durch die große Konkurrenz bleibt folglich wenig Zeit für die Entwicklung hochkomplexer Spielprojekte. Die Attraktivität der Spiele soll durch Verbesserung der Grafik und das Hinzufügen von Features gesteigert werden. Die Kundenbindung wird durch das Aufrechterhalten der Langzeitmotivation gefördert. Dies führt zu einem wichtigen Punkt: Das Hinzufügen von Features führt zu einer Zunahme des Komplexitätsgrades der Spielsoftware und damit zu einer Vergrößerung dessen Angriffsfläche. Die Spielhersteller integrieren Plugin-Syteme, Programmierschnittstellen, spielinternen Skriptsprachen oder die Untersützung diverser Medien- und Dateiformate in ihre Produkte [BCLM09, S. 14ff.]. Durch das Zugreifen auf Fremdbibliotheken wird Entwicklungszeit gespart und der Releasetermin vorverschoben, um z.B. noch am Weihnachtsgeschäft mitzuverdienen. Auf den ersten Blick steigert dies zwar die Attraktivität des Produktes und damit den Absatz, genauer betrachtet sind allerdings massive Qualitätseinbußen die Folge. Durch die hohe Komplexität schleichen sich unbemerkte Fehler in 2 MOTIVATIONEN DER BETEILIGTEN 5 das Endprodukt ein. Plugin-Systeme mutieren schnell zu universellen Einfallstoren, wenn der von beliebigen Benutzern generierte Code vor Veröffentlichung nicht entsprechenden Prüfverfahren unterzogen wird. Bedenkt man die wachsende Beliebtheit und damit die hohe Anzahl an Mitspielern und potentiellen Opfern, wird das Ausnutzen dieser Fehler immer interessanter und lukrativer. Da jegliches Ausnutzen von Fehlern negative Auswirkungen auf die Motivation der Spieler hat, läuft dies dem Ziel der Kundenbindung zuwider. Das Erhöhen der Attraktivität schließt die Kundenbindung demnach nur dann nicht aus, wenn gleichermaßen in die Sicherheit investiert wird - der zusätzliche Fokus auf die Sicherheit verlängert jedoch den Entwicklungsprozess und dessen Kosten. Das ist der Grund, warum der Sensibilisierungsprozess für Sicherheit in diesem Bereich noch in den Kinderschuhen steckt. Eine weitere Motivation der Hersteller, die der Profitsicherung untergeordnet werden kann, ist das Verfassen juristischer Rahmenbedingungen durch strikte Allgmeine Geschäftsbedingungen (AGB) und Nutzungsbedingungen (Terms Of Use, Terms Of Service), um die Rechte am Spiel zu sichern und sich vor Klagen jeglicher Art zu schützen. Obwohl der Trend dahin geht, dass der Spieler echter Eigentümer seiner erzeugten virtuelle Objekte werden kann, wie es unter anderem beim MMOG SecondLife beworben wird [Kan09, S. 25], hat das Entziehen dieser Rechte viele Vorteile für den Hersteller. Denn wenn der Hersteller jede Spielfigur und dessen virtuelle Errungenschaften wie Fremdbesitz behandeln muss, entstehen neben der hohen Kosten für die Sicherung der bestehenden Daten auch die Gefahr des Zahlens hoher Ausgleichsforderungen bei einem Ausfall der Server oder bei Datenverlust. Folglich ist die einfachere und bei weitem günstigere Alternative das Verfassen von juristischen Richtlinien, die sämtlichen virtuellen Besitz dem Hersteller zusprechen. Der Spieler muss diesen Richtlinien jedoch zustimmen, um am Spiel teilnehmen zu dürfen - was sich aber in der Praxis als problemlos herausstellt, da die ellenlangen Regelwerke kaum gelesen werden. Dies hat wiederum negative Konsequenzen für die Motivation der Spieler. Warum sollte Lebenszeit und Geld in eine Spielfigur investiert werden, die nach Belieben des Herstellers kommentarlos gelöscht werden darf? Aus Sicht des Spielers scheint es sinnlos zu sein, mit mühseliger kreativer Arbeit oder unter Einsatz immenser Zeit, eigene Gegenstände zu erstellen oder Reichtum anzuhäufen, wenn diese Werte nicht gesichert sind. 2.3 Motivationen der Spieler Generell ist die Motivation eines Spielers vordergründig das Spielerlebnis, also die Freude am Spiel und das Verbuchen von Spielerfolgen. Dazu gehört auch der Wettbewerb mit anderen Spielern, der z.B. durch Duelle oder den Vergleich von Ausrüstungen erfolgt. Bei vielen Onlinespielen kommt jedoch eine weitere wesentliche Komponente hinzu. Spieler investieren in diese Spiele dauerhaft Zeit und Geld und bauen sich neben ihrer Spielfigur mit ihren Gegenständen, Geld und Erfahrungspunkten einen sozialen Status und ein Image auf. Eine zweite Motivation ist neben dem Spielspaß daher das Schützen der investierten Werte in das Spiel. Dieses Wertesystem wird durch jegliche Art von Angriffen verzerrt, was ein Absinken der Motivation der Spieler zur Folge hat und dem Herstellerziel der Wahrung der Langzeitmotivation zuwiderläuft. Daher sollten Spieler ein hohes Interesse an der Sicherheit des Spiels 3 JURISTISCHER RAHMEN 6 haben - auch wenn sich heutzutage wenige Spieler darüber bewusst sind, dass Onlinespiele als Einfallstor für die Kompromittierung ihrer PCs dienen kann. 3 Juristischer Rahmen Da Spielwährung und -gegenstände heutzutage einen Wert in der realen Welt darstellen können, ist die logische Konsequenz, dass sowohl die Gerichte, als auch der Staat eine schützende und regulierende Funktion wahrnehmen müssen. Und obwohl der US Congress bereits in Erwägung zieht, die Versteuerung virtuellen Eigentums einzuführen [Kan09, S. 23], ist die Besitzfrage - also die Frage, ob der Hersteller oder der Spieler Eigentümer der vom Spieler erzeugten oder erworbenen Güter ist - noch ungeklärt. Befürworter des Spieler-Eigentums argumentieren [Kan09, S. 23], dass es der Förderung der Kreativität zu Gute käme, wenn Spieler Besitzansprüche an virtuellen Gegenständen juristisch geltend machen könnten. Gegner dieser Position halten jegliche Beschäftigung der Gerichte mit diesen Fragen für Zeitverschwendung. Im Folgenden sollen einige Fälle aufgezeigt werden. Der erste US Präzedenzfall entstand als Reaktion auf die virtuelle Enteignung von Marc Bragg in SecondLife [Kan09, S. 25f.]. Der Hersteller hatte sein Spielkonto kommentarlos gelöscht und Herrn Bragg bezichtigt, sich durch illegales Ausnutzen eines Fehlers Spielvorteile verschafft zu haben. Der Hersteller von SecondLife, Linden Research, hatte jedoch damit geworben [Kan09, S. 25], dass jeder Spieler realer Eigentümer seiner virtuellen Produkte sei. Bragg argumentierte daher, dass er Anrecht auf Ausgleichszahlungen in Höhe seiner entstandenen Verluste in Höhe von mehr als 8000 US Dollar, habe. Linden Daraufhin kam es zu einer außergerichtlichen Einigung und Braggs Account wurde wiederhergestellt. Im Fall Eros LLC gegen John Doe ging es um ein spezielles Bett in SecondLife. Mit diesem Bett war es möglich, seine Spielfigur verschiedenste sexuelle Praktiken durchführen zu lassen. Eros LLC hatte dieses Bett entworfen und profitbringend verkauft, denn auch SecondLifes Linden Dollar können direkt in echtes Geld umgetauscht werden. Ein texanischer Teenager namens Volkov Cattaneo hatte unter dem Pseudonym John Doe die Idee dieses Betts kopiert und war dabei, es ebenso im Spiel zu veräußern. Einige Montate später klagte Eros gegen Rase Kenzo - dieses Mal mit fünf der meist bekannten Designer von virtuellen Gegenständen in SecondLife. Ein weiterer Präzedenzfall bezog sich auf World of Warcraft und sollte klären, ob Antonio Hernandez den Verstoß eines anderen Spielers (IGE) gegen die EULA vor Gericht geltend machen könne [Dur08]. Danach nahm die Anzahl der Fälle drastisch ab, da nur wenige Spieler genügend Geld verdienten, um vor Gericht zu klagen. Der berühmte amerikanische Möbeldesigner Herman Miller beschritt einen anderen Weg: Anstatt Klage darüber zu erheben, dass Kopien seiner Möbelschöpfungen in SecondLife angeboten wurden, bot er seine echten Möbel selbst dort an. Dies hatte einigen Berichten nach zur Folge, dass Verstöße im Bezug auf seine Möbel daraufhin nachließen. Als Reaktion der Hersteller auf diese Verstöße gegen das Urheberrecht stellten diese entweder eine Benachrichtigungsfunktion zur Verfügung oder prüften jeden Upload eigenhändig auf mögliche Urheberrechtsverletzungen. Neben den Ansprüchen auf Eigentum an virtuellen Besitztümern und geistigem Eigentum 4 ANGRIFFSTECHNIKEN UND -VEKTOREN 7 war auch Zensur Gegenstand juristischer Diskussion. In The Sims Online wurde die virtuelle Zeitung The Alphaville Herald zensiert, weil dem Hersteller Electronic Arts ihr Inhalt missfiel. Alle diese Fälle haben gemeinsam, dass es zwar zu außergerichtlichen Einigungen oder vereinzelten Urteilen kam, aber keine neuen Gesetze erlassen wurden, die mehr Klarheit in diese juristische Grauzone gebracht hätten. 4 Angriffstechniken und -vektoren In diesem Abschnitt werden zuerst die klassischen Netzwerkmodelle aktueller MMOG erläutert. Anschließend werden die häufigsten Angriffsvektoren auf Onlinespiele anhand der Abbildung 2 auf Seite 7 klassifiziert. Jede Angriffsklasse, außer die der Sprungbrettangriffe (siehe Kapitel 4.6 auf Seite 14) entspricht hierbei einem roten Pfeil. Die gestrichelten roten Pfeile kennzeichen Angriffsarten, die nicht Gegenstand dieser Arbeit sind. Abbildung 2: Mögliche Angriffsvektoren für Angreifer Wie die Abbildung 2 auf Seite 7 zeigt, sind nicht nur die inneren Komponenten eines MMOGs, sondern auch all diejenigen, mit denen das Spiel mit seiner Umwelt in Verbindung steht, angreifbar. 4 ANGRIFFSTECHNIKEN UND -VEKTOREN 4.1 8 Client-Server und Peer-To-Peer Grundlegend kommt bei einem MMOG eines der beiden klassischen Netzwerkmodelle zum Einsatz: Entweder Client-Server oder Peer-To-Peer. Bei einem Client-Server-MMOG läuft die gesamte Kommunikation zwischen Client und Server ab. Jeder Mitspieler stellt hier einen Client dar und hat eine Verbindung zum Server aufgebaut. Über diese Verbindung werden Spielinformationen, wie z.B. Koordinaten, über ein spieleigenes Protokoll zu einem Server transportiert. Der Server hat die Möglichkeit, die einkommenden Daten der Clients zu filtern oder zu verwerfen. Danach verarbeitet er sie und sendet seine Antworten an die betreffenden Clients zurück. Da bei diesem Modell jegliche Daten zum Server übermittelt werden müssen, stellt dieser den Single Point of Failure dar, was der größte Nachteil dieses Modells ist. Außerdem sind MMOGs nur im Rahmen restriktiver Echtzeitanforderungen spielbar, weshalb die Bearbeitung der Daten in möglichst kurzer Zeit geschehen muss. Um aus Sicherheitsgründen auszuschließen, dass manipulierte Pakete in den Datenverkehr eingeschleust werden, ist es nötig, in effizienter Weise überprüfen zu können, ob ein Paket authentisch und integer ist oder nicht. Diese Anforderung stellt heutzutage ein großes Problem dar. Abbildung 3: Client-Server Netzwerkmodell Bei den seltener vorkommenden P2P-MMOG hingegen kommunizieren die Spielclients untereinander. Jedes Spielprogramm bietet Client- und Serverfunktionalität und muss daher mit den o.a. Filterfunktionenen ausgestattet sein. Abbildung 4: Peer-To-Peer Netzwerkmodell Egal ob Client-Server oder P2P - beide Modelle haben sicherheitskritisch betrachtet den Nachteil, dass sich zumindest Teile der Spielsoftware auf Systemen der Spieler befinden. Wegen der hohen und weiterhin stark anwachsenden Verbreitung dieser Spiele wird es 4 ANGRIFFSTECHNIKEN UND -VEKTOREN 9 daher immer einen Prozentsatz an ausreichend technisch versierten Spielern geben, die Fehler in den Spielprogrammen finden und ausnutzen werden. 4.2 Grundsätzliche Angriffe Grundsätzliche Angriffe sind universelle Angriffstechniken die in so vielen Computerbereichen zu finden sind, dass eine Kategorisierung nicht sinnvoll erscheint. Beispielsweise können per Social Engineering oder mit einem Keylogger Daten eines Benutzers ausspioniert werden. Diese Daten müssen jedoch nicht zwangsläufig Anmeldedaten für ein Onlinespiel sein. Auch Spam-Nachrichten sind für viele Menschen ein alltägliches Problem, was sich heutzutage schon längst auf Onlinespiele übertragen hat. Beispielsweise gibt es Anti-Spam-Plugins für WoW, die unerwünschte Werbebotschaften durch Filtertechniken zu unterbinden versuchen [spa08a] [spa08b]. Kollaborative Angriffe (Englisch: ’collusion cheating’ [YR09, S. 39]) erfordern die Zusammenarbeit mehrerer Spieler zur Beschaffung eines unfairen Vorteils. Ghosting, Stacking und Win Trading zählen z.B. zu dieser Art von Angriffen [wik]. Beim Ghosting schaut ein Spieler als Beobachter im sogenannten Observer-Modus dem Spielgeschehen zu und übermittelt heimlich2 Informationen zu seinem Verbündeten, der selbst aktiv am Spiel teilnimmt und diese Informationen zu seinem Vorteil einsetzt. Stacking bezeichnet das Zusammenstellen eines Spielteams mit unfairer Konstellation. Beispielsweise wird ein Team lediglich aus Profispielern aufgebaut, damit dieses jede Partie für sich entscheidet. Win Trading war eine weit verbreitete Betrugsmethode im Spiel Starcraft [YR09, S. 39,43], einem Echtzeitstrategiespiel von Blizzard Entertainment, das man online über das Battle.net spielen konnte. Bei diesem Spiel konnte man sich in einer Rangliste nach oben kämpfen, wobei für jeden Sieg Punkte verteilt wurden. Zwei verbündete Spieler konnten nun abwechselnd absichtlich gegeneinander gewinnen bzw. verlieren und auf diese Weise peu a peu in der Rangliste aufsteigen. 4.3 Spielweltbezogene Angriffe Als spielweltbezogene Angriffe seien alle Angriffe bezeichnet, die im Rahmen der Spielumgebung stattfinden. Abbildung 5 auf Seite 10 zeigt den Angriffsvektor. Häufigste Vertreter sind hier neben allgemeinem Ausnutzen von Fehlern der Spielwelt das Duping und Griefing. Duping nennt man das Verdoppeln oder sogar Vervielfachen von Spielgegenständen. Dies geschieht sowohl unter Ausnutzung von spielweltbezogenen, als auch von spielclientbezogenen Schwachstellen. Oft wird bei diesem Angriff eine Fehlersituation reproduziert, aufgrund dessen der Server ein Rollback zu einem früheren Zeitpunkt durchführt. Durch gute zeitliche Koordinierung oder Erzeugen von hoher Netzlast für den Server ist es bei Item-Transfers zwischen zwei oder mehreren Spielfiguren auf diese Weise möglich, dass sich ein abgelegter Gegenstand nach erfolgtem Rollback im Inventar aller beim Transfer involvierten Spieler befindet. Griefing kennzeichnet laut [FK04] das sinnlose Zerstören des Spielspaßes anderer Mitspieler. Dies hat zwar wenig mit den besprochenen hauptsächlichen Motivationen der Angreifer zu tun, wirkt sich jedoch stark auf die Langzeitmotivation der Spieler aus. 2 meist per VOIP oder verdeckter Textnachricht 4 ANGRIFFSTECHNIKEN UND -VEKTOREN 10 Abbildung 5: Spielweltbezogene Angriffe 4.4 Spielclientbezogene Angriffe Ein spielclientbezogener Angriff ist ein Angriff, der Schwächen oder Unzulänglichkeiten des Spielclients ausnutzt. In dieser Rubrik seien zeitbezogene Angriffe, User Settings und Automatisierungsangriffe näher erläutert, veranschaulicht durch Abbildung 6 auf Seite 11. Zeitbezogene Angriffe sei ein Oberbegriff für Techniken, die eine unfaire Nutzung der Zeit ermöglichen, Dazu zählen u.a. Sharing, Mehrfachlogin und die Verwendung von Speedhacks. Beim Sharing teilen sich mehrere Spieler einen Account3 um diesen möglichst zeiteffizient (24 Stunden pro Tag) zu nutzen. Beim Mehrfachlogin loggt sich der Angreifer gleichzeitig in mehrere Spielkonten ein, um zur selben Zeit mehrere Charaktäre auf unterschiedlicher Konten zur gleichen Zeit zu steuern. Kauft er sich dafür sogar mehrere PCs und Monitore, die allesamt mit einer einzelnen Maus und Tastatur gesteuert werden, nennt man diese Form des Mehrfachlogins auch Multiboxing. Die Verwendung von Speedhacks wirkt sich zwar auch auf die Zeit aus, allerdings passen sie besser in die Kategorie Speicherbezogene Angriffe und werden dort (Kapitel 4.5 auf Seite 12) näher beschrieben. Custom Settings sind eigentlich nur persönliche Spieleinstellungen. Durch extreme Clienteinstellungen können jedoch gravierende Spielvorteile entstehen: In nächtlichen Spiellandschaften kann ein Angreifer durch das Erhöhen des Gamma- oder Brightness Levels beispielsweise andere Spieler in der Dunkelheit erkennen. In Quake 1 waren sogar die 3 Spielkonto 4 ANGRIFFSTECHNIKEN UND -VEKTOREN 11 Abbildung 6: Spielclientbezogene Angriffe Texturen veränderbar, was zur Folge hatte, dass einige Clans spezielle Texturen für ihre Mitstreiter entwarfen, sodass diese vor wirklich jedem Hintergrund hervorstachen. Eine weitere beliebte Anpassung besteht in dem Heruntersetzen der Detailstufen. Der Angreifer verzichtet hier auf schöne Darstellungen und effektbeladene Explosionen, um eine bessere Übersicht über das Spielgeschehen zu behalten. Als letzte Anpassung sei hier das Verwenden von kryptischen Spielernamen genannt. In vielen Spielen muss man den exakten Namen eines Spielers eingeben, den man als Spielleiter aus einer Partie entfernen oder stumm stellen möchte. Ist der Name jedoch nicht ohne weiteres eintippbar, erhöhen sich die Chancen des Angreifers mit anderen Vergehen durchzukommen, ohne von der Spielpartie temporär oder endgültig ausgeschlossen zu werden. Bei Automatisierungsangriffen versucht der Angreifer langatmige immer wiederkehrende Spielhandlungsschritte mit Hilfe eigener Programme oder speziell für diesen Zweck entwickelter Software zu automatisieren. Dadurch wird das fließbandmäßige Töten von Monstern, oder Lösen von Quests4 - was man auch als Grinden [wow06] bezeichnet, verringert oder sogar vermieden. Neben kleineren skriptingbasierten Automatisierungen, wie z.B. dem Legen von Spielaktionen auf einzelne Tasten mit Hilfe von Macros, wird das Verwenden von Bot-Zusatzprogrammen immer populärer. Bots sind eigenständige Programme, die raffiniertere Automatisierungsaufgaben erfüllen sollen. Mit ihrer Hilfe können langweilige, immer wiederkehrende Tätigkeiten voll automatisiert und somit ohne jegliche Interaktion des Spielers durchgeführt werden. 4 Aufgabe, die ein Spieler im Spiel erfüllen kann, um mit Erfahrungspunkten, Spielgeld, usw. belohnt zu werden 4 ANGRIFFSTECHNIKEN UND -VEKTOREN 12 Während in Echtzeitstrategiespielen wie Warcraft oder Starcraft hauptächlich HostingBots benutzt wurden und im Bereich der 3D-Shooter vornehmlich Bots zur Verbesserung des Zielens eingesetzt wurden, ist das größte Problem der aktuellen MMOGs die Bekämpfung der Nutzung von Farming-Bots. Mit Hilfe dieser Bots können Spielfiguren vollautomatisch durch riesige Onlinewelten gesteuert werden. So ist es möglich, 24 Stunden pro Tag Spielgüter wie Geld, Erfahrungspunkte oder Ausrüstungsgegenstände anzuhäufen und gewinnbringend zu veräußern. 4.4.1 Beispiel: Farming in WoW Zur Bewältigung seiner Aufgaben sammelt der Bot Informationen über die aktuelle Umgebung der Spielfigur und trifft die Entscheidung für die nächste durchzuführende Aktion, die als Tastatur- oder Mauseingabe an den Client gesendet wird. Eine interessante Technik, um auf die Umgebung der Spielfigur zu reagieren, ist aus World of Warcraft bekannt. WoW bietet eine eigene skriptingbasierte API an, mit der Add-Ons für das Spiel geschrieben werden können. Diese API bietet Funktionen an, mit denen Spielinformationen bequem abgefragt werden können. Zum Nachteil der Botprogrammierer ist die Verwendung der API aus Sicherheitsgründen begrenzt - es ist damit keine Einflussnahme auf die Kontrolle der Spielfigur möglich. Die Botprogrammierer umgingen diese Restriktion folgendermaßen [MKKP09, S. 30]: Sie schrieben ein Add-On, das die Informationen in Form von farbkodierten Pixeln auf dem Spielbildschirm darstellt. Eine separates Automatisierungsskript (z.B. AutoIT oder Autohotkey) liest diese Pixel aus, dekodiert sie und sendet entsprechende Reaktionen der Spielfigur, wie z.B. einen Bewegungsbefehl, als Eingaben an den Spielclient. Ein größeres Problem für die Ersteller von Farming-Bots ist das möglichst originalgetreue Umsetzen eines Bewegungsbefehls. Der genaue Pfad, auf dem sich ein Spielcharakter nämlich normalerweise nach Geben eines Bewegungsbefehls fortbewegt, wird vom Client erst nach dem Klicken des Spielers berechnet. Und zwar unter Einsatz intelligenter Routefinding-Algorithmen, um die Spielfigur möglichst effizient um Hindernisse herum zu manövrieren. Das Integrieren einer exakten Kopie in die Botsoftware erfordert das vollständige Offenlegen der Algorithmen. Da sich die Rekonstruktion mittels Reverse Engineering, also dem Zurückschließen vom kompilierten Spielclient auf die genauen Algorithmen, als zu aufwendig herausgestellt hat, basieren fast alle Farming-Bots auf festgelegten oder trainierten Wegpunkten. Diese Wegpunkte werden lediglich zum Aufsammeln der Kriegsbeute oder zum Angreifen eines Monsters verlassen. Bots verfügen häufig zusätzlich über weitere Exploits, die der Optimierung der Automatisierungsaufgaben dienen. 4.5 Speicherbezogene Angriffe Speicherbezogene Angriffe basieren auf dem Verändern von Werten im Arbeitsspeicher des Computers, siehe Abbildung 7 auf Seite 13. Neben Trainern sei hier auch auf Buffer Overflows eingegangen. Bei Ausführung eines Onlinespiels befindet sich dessen Programmcode im Arbeitsspeicher des Computers. Speedhacks und Trainer ändern Werte im Arbeitsspeicher dahingehend, dass sich ein Spielvorteil ergibt. Diese Angriffe sind deshalb möglich, weil die Spielclients häufig auf Integritätsprüfungen verzichten - im Speicher geänderte 4 ANGRIFFSTECHNIKEN UND -VEKTOREN 13 Abbildung 7: Speicherbezogene Angriffe Werte werden daher vom Spielclient als gegeben vorausgesetzt. Speedhacks sind in der Lage auf diese Weise Angriffs- oder Bewegungsgeschwindigkeiten einer Spielfigur zu vervielfachen. Trainer beinhalten oft Speedhacks und bieten noch weitere Möglichkeiten der Einflussnahme, wie z.B. dem Erhöhen von Gold und Erfahrung oder dem Aktivieren eines Unsterblichkeitsmodus. Einige Speedhacks und Trainer bedienen sich dabei der Technik des DLL Hookings. Dies bedeutet, dass Spielclients zum Testen, wielange eine Spielaktion dauert, selbst häufig auf Bibliothekenfunktionen zugreifen. Fängt man diesen Aufruf mit einem eigenen Programm ab und führt statt der originalen Bibliotheksfunktion eine selbst geschriebene Funktion aus, lassen sich beliebige Manipulierungen vornehmen. Bezogen auf Speedhacks könnte zum Beispiel immer die Hälfte der eigentlich vergangenen Zeit an den Aufrufer der Bibliotheksfunktion zurückgegeben werden. Die Funktion reagiert dann doppelt so schnell auf zeitabhängige Ereignisse. Buffer Overflows entstehen dann, wenn zuviele Daten in einen Programmpuffer festgelegter Größe geschrieben werden. Werden über diese Puffergrenze hinaus Daten in den Puffer geschrieben, überschreibt das Programm dahinterliegende Bereiche im Arbeitsspeicher. Durch das Injizieren von genaustens durchdachten Daten ist es über diese Angriffsvektoren möglich, eigenen Programmcode zur Ausführung zu bringen. Da der zur Ausführung gebrachte Programmcode mit denselben Ausführungsberechtigungen des angegriffenen Spielclients oder -servers läuft und unter Windows üblicherweise viele Benutzer mit Administratorberechtigungen eingeloggt sind, führt ein erfolgreicher Buffer Overflow Angriff in der Regel zur vollständigen Kompromittierung des verwundbaren Systems. 4 ANGRIFFSTECHNIKEN UND -VEKTOREN 4.6 14 Sprungbrettangriffe Heutzutage werden für einen erfolgreichen Angriff oft mehrere der oben beschriebenen Angriffsvektoren kombiniert, um das zugrunde liegende Betriebssystem zu kompromittieren. Diese Angriffe werden als Sprungbrettangriffe bezeichnet, da Schwachstellen in Spielwelt und -client nur als Sprungbrett zur Kompromittierung des Gesamtsystems dienen. Dies ist in Abbildung 8 auf Seite 14 illustriert. Abbildung 8: Sprungbrettangriffe Diese Art von Angriffen sollen anhand zweier Beispiele illustriert werden: SecondLife ermöglicht das Erzeugen von Spielobjekten und das Verknüpfen dieser selbst erstellten Objekte mit eigenen Multimediadateien. So kann ein Spieler dafür sorgen, dass jeder, der in der virtuellen Umgebung an seinem Objekt vorbei geht, ein Lied vorgespielt bekommt. Dieses Lied hat der Spieler selbst zuvor in das Spiel eingebunden. Es sei erwähnt, dass neben Musikdateien auch eigene Video- und Grafikdateien in das Spiel integrierbar sind. Damit ein Spielclient diese vom Nutzer eingestellte Musikdatei abspielen kann, wird diese von der QuickTime Bibliothek gerendert. Durch speziell präparierte Musikdateien, die eine Sicherheitslücke der QuickTime Parsing Engine ausnutzte [BCLM09, S. 16], war es möglich, einen Buffer Overflow zu provozieren und eigenen Code zur Ausführung zu bringen. Diese manipulierte Musikdatei muss sich dafür nicht auf SecondLife-Servern befinden sondern kann auch auf einem vom Benutzer kontrollierten Server liegen. Dies wird auch als Server-Bypassing bezeichnet. 4 ANGRIFFSTECHNIKEN UND -VEKTOREN 4.6.1 15 Beispiel: Age of Conan Das MMORPGs Age of Conan (AoC) beinhaltete gleich mehrere schwerwiegende Fehler [BCLM09, S. 17ff.], Die erste Schwachstelle ermöglichte das Ausführen einer Script- Abbildung 9: Angriff auf Age Of Conan - Aufbau sprache über das in der Abbildung 9 auf Seite 15 gezeigte Messaging System. Dies erlaubt einem Angreifer das Schicken von Hyperlinks mit gefälschten Namen und Zieladressen. Darüber hinaus ist es möglich, Spielbefehle direkt in das Messaging System einzugeben. Spielbefehlen muss ein Backslash vorangestellt werden, damit AoC sie von normalen Textnachrichten unterscheiden kann. Mit diesen Befehlen ist es beispielsweise möglich, dass die Spielfigur sich hinsetzt, wieder aufsteht oder die Hand zum Gruß erhebt. Damit ein Spieler nicht gezwungen ist, sich ständig wiederholende Abfolgen an Befehlen selbst einzugeben, bietet AoC die Möglichkeit, die auszuführenden Befehle untereinander in einer ASCII-Datei im Verzeichnis AgeOfConan/scripts zu speichern und über das Messaging System unter Angabe von dateiname direkt ausführen. Zusätzlich ist über das Messaging System sogenanntes Directory Traversal möglich. Das bedeutet, dass man dem auszuführenden Skript mehrere ../ voranstellen kann, um aus dem festgelegten Skriptverzeichnis AgeOfConan/scripts auszubrechen und beliebige andere Dateien auf dem Computer von dem Skripting-Parser ausführen zu lassen. Dies hatte drei schwerwiegende Folgen. Erstens war es mit Hilfe der Scripting-Hyperlinks möglich, einen getarnten Link an das Opfer zu schicken. Dieser Link enthielt einige Charakteranweisungen, die beim Klicken des Opfers auf diesen zur Ausführung gebracht wurden. Zweitens konnte man mittels der Directory Traversal Lücke ein Opfer eine wichtige Systemdatei ausgeben lassen. Bringt man das Opfer konkret dazu, folgendes Script auszuführen, schickt dessen Scripting Parser die nicht erkannten Charakteranweisungen als Textbot- 4 ANGRIFFSTECHNIKEN UND -VEKTOREN 16 schaften direkt für jeden lesbar an das Messaging System und damit in die Spielumgebung: /../../../../Users/<user>/AppData/Roaming/Intuit/Quicken/CONNLOG.TXT [BCLM09, S. 18]. Die dritte Möglichkeit nutzt einen weiteren Programmierfehler aus. Trifft der Script Parser auf eine Zeile mit mehr als 1024 Zeichen, kommt es zu einem Buffer Overflow. Die Buffer-Overflow-Schwachstelle hat wiederum zwei Angriffe zur Folge. Erstens ließ sich der Spielclient eines anderen Spielers zum Absturz bringen, indem man den Script-Parser dazu bewegte, eine Binärdatei zu parsen, die nicht über Zeilenumbrüche verfügt und somit einen Pufferüberlauf verursachte. Als Beispiel einfach die auszuführende Datei des Spiels selbst mittels /../AgeofConan.exe. Als zweite Angriffsmöglichkeit konnte eigener Programmcode zur Ausführung gebracht werden, was zu einer vollständigen Kompromittierung des Zielsystems führte. Im Folgenden wird ein mächtiger Angriff beschrieben, der alle beschriebenen Techniken geschickt kombiniert [BCLM09, S. 18f.]. Im ersten Schritt wird dem Opfer ein getarnter Link geschickt. Dieser Link öffnet eine speziell für diesen Zweck erstellte Webseite, die einen Cookie setzt. Dieser Cookie enthält unter anderem einen alphanumerisch kodierten [rix01]. Im zweiten Schritt wird dem Opfer ein weiterer gefälschter Link geschickt, der diesen Cookie mit Hilfe der Directory-Traversal Schwachstelle des Scripting-Parsers zur Ausführung bringt. Der Cookies ist so konstruiert, dass er die Buffer Overflow Schwachstelle des Scripting Systems ausnutzt. Dadurch wird der Decoderpart des Shellcodes zur Ausführung gebracht, der wiederum den eigentlichen Shellcode dekodiert und ausführt. Der Zweck des Shellcodes ist es, weiteren Code von einem vom Angreifer kontrollierten FTP-Server nachzuladen und ebenfalls zur Ausführung zu bringen. Die Abbildung 10 auf Seite 16 zeigt in stark vereinfachter Darstellung den Ablauf dieses Angriffs. Abbildung 10: Angriff auf Age Of Conan - Ablauf 5 AKTUELLE SICHERHEITSMAßNAHMEN 5 17 Aktuelle Sicherheitsmaßnahmen In diesem Abschnitt werden einige der in aktuellen Spielen eingesetzten Sicherheitsmaßnahmen diskutiert. Neben client- und serverseitigen Anti-Cheat-Programmen werden auch andere Ansätze zur Bekämpfung der Angriffe auf Onlinespiele erläutert. 5.1 Clientseitige Anti-Cheatprogramme Viele Angriffe werden durch die Verwendung illegaler Zusatzprogramme möglich gemacht. Die Spielehersteller setzen daher Anti-Cheat-Lösungen wie z.B. Warden oder Punkbuster ein5 . Warden ist ein von Blizzard Entertainment entwickeltes clientbasiertes AnticheatSystem. Es ist in fast alle Spieletiteln von Blizzard integriert und arbeitet im Hintergrund. Diese Arbeit besteht aus dem Aufspüren von Informationen über verdächtige Programme und der anschließenden Benachrichtigung an Blizzard. Dazu durchscannt dieses Programm den Arbeitsspeicher des Spielers nach möglichen Cheatprogrammen. Dies geschieht ähnlich wie bei Virenscannern auch mit Hilfe von Prüfsummen über bekannte Cheatprogramme, sogenannten Signaturen. Im Fall eines Verdachts liest dieses Programm den Code des vermeintlichen Cheatprogramms sowie Informationen über die CPU, die Festplatten, die laufenden Prozesse und sogar über geöffnete Emails, URLs und IP-Adressen aus dem Arbeitsspeicher aus, versieht sie mit einem Zeitstempel und schickt sie in feingranulierten Portionen6 an Server von Blizzard. Dort werden die Daten aggregiert und für eine weitere Analyse aufbereitet. Die Funktionsweise von Warden hat drei gravierende Nachteile. Zum einen läuft es clientbasiert und kann daher von Entwicklern von Cheatprogrammen beliebig analysiert werden. Zweitens arbeitet es signaturbasiert und ist daher immer einen Schritt hinter aktuellen Cheat-Tools. Und drittens werden personenbezogene Daten im Hintergrund an Blizzard gesendet, was die Privatsphäre des Spieler verletzt. Außerdem existieren simple Workarounds, wie z.B. dem Starten von WOW als Windows Gastbenutzer: Dies funktioniert deshalb, da jeder Prozess über einen anderen Prozess nur folgende Informationen herausfinden kann: • Anfangsadresse des Prozesses im Arbeitsspeicher • Prozess-ID • Fenstertitel (falls Fenster vorhanden) • Namen und Pfad der entsprechenden .exe-Datei Auf den eigentlichen Speicherbereich des Prozesses kann nur zugegriffen werden, wenn der zugreifende Prozess Debugrechte für den Prozess, auf den er zugreifen möchte, aktiviert. Das Aktivieren von Debugrechten ist allerdings dem Administrator vorbehalten. Startet man WOW also nicht mit den bei Windows üblichen Administrator- sondern nur mit Gastberechtigungen, kann der in WOW integrierte Wardenprozess keine Debugrechte für andere Prozesse beantragen und hat somit keine Möglichkeit, an deren Programmcode zu gelangen. Daher ist schonmal die erste oben genannte Information - die Anfangsadresse des Prozesses im Arbeitsspeicher - für Warden nutzlos. Warden kann daher lediglich die Prozess-ID, den Fenstertitel und Name sowie Pfad der ausführbaren Datei ermitteln. Da 5 6 http://de.wikipedia.org/wiki/Punkbuster Um das Spielerlebnis nicht durch stark erhöhte Netzlast negativ zu beeinträchtigen 5 AKTUELLE SICHERHEITSMAßNAHMEN 18 die Prozess-ID zufällig vergeben wird und Fenstertitel manipulierbar sind, stellen auch diese Informationen keine für Warden nutzbaren Kriterien dar. Der Name und Pfad der ausführbaren Datei kann ebenfalls leicht abgeändert werden, was eine Signaturprüfung an dieser Stelle unwirksam macht. Allerdings kann Warden ja trotzdem diesen möglicherweise abgeänderten Name und Pfad der Datei herausfinden und über das Einlesen der .exe-Datei an den Code gelangen. Um Warden auch diesen Zugriff zu verbieten, genügt es, dem Gastbenutzer alle Berechtigungen auf das Verzeichnis, in dem sich die ausführbare Datei befindet, zu entziehen. Alles in allem kann festgehalten werden, dass Warden durch die Anwendung zweier für jedermann ausführbarer Schritte umgangen werden kann - auf Kosten extremer Einschnitte in die Privatsphäre aller Spieler. 5.2 serverseitige Anti-Cheat-Lösungen Der Code eines serverseitigen Anti-Cheat-Programms wird auf dem Spielserver ausgeführt. Infolgedessen hat ein Angreifer keinen Zugriff darauf, es sei denn, er hat den Spielserver kompromittiert. Diese fehlende Einflussnahme des Spielers ist ein großer Vorteil im Bezug auf die Sicherheit. Allerdings eignen sich diese Lösungen nur zur Bekämpfung von Angriffen, die durch die vom Client an den Server übermittelten Daten aufspürbar sind. Dies impliziert wiederum, dass alle vom Client kommenden Daten besonders genau geprüft und gefiltert werden müssen. Um das Vervielfältigen von Gegenständen in Blizzards Hack-n-Slay-Titels Diablo 2 zu verhindern, entwickelte das Unternehmen zwei serverbasierte Dupescanner [dia]. Das unerlaubte Dupen von Gegenständen in Diablo führte dazu, dass alle vervielfachten Gegenstände dieselbe Item-ID7 besaßen wie der ursprüngliche Gegenstand, mit dem die Kopien angefertigt wurden. Der erste Scanner, Passive Ruststorm, sortierte einfach alle Gegenstände nach ihren Item-IDs und nach dem Erzeugungszeitstempel und überprüfte anschließend auf mehrfaches Vorkommen. Bei einem Fund wurden alle Gegenstände bis auf den ältesten gelöscht, da dieser ja der Originalgegenstand zu sein schien. Der zweite Scanner, Full Ruststorm, konnte sogar vervielfachte Gegenstände erkennen, die bereits zu neuen Gegenständen verarbeitet wurden. Er basierte ansonsten aber auf dem gleichen Erkennungsprinzip. Die Dupescanner hatten zwei gravierende Nachteile. Einerseits war der Scanvorgang so rechenintensiv, dass sie nur des nachts und nicht zu oft ausgeführt werden konnten, um das Spielerlebnis nicht zu beeinträchtigen. Der viel größere Nachteil resultierte daraus, dass bereits kopierte Gegenstände schon ihre Besitzer gewechselt hatten. Viele ahnungslose Spieler hatten über das spieleigene Handelssystem oder sogar mit echtem Geld gedupete Gegenstände erworben, die von Blizzard kommentarlos gelöscht wurden. Dieses Beispiel zeigt, wie heikel sich der Prozess der Erhöhung der Sicherheit gestaltet - Blizzard wollte durch Bekämpfung des Cheating die Motivation der Spieler erhöhen und erreichte das Gegenteil. Die serverbasierte Bekämpfung von Farming-Bots in MMORPG könnte durch ein Messen und Begrenzen der Spielzeit geschehen. Eine weitaus bessere Idee [MKKP09, S. 30ff.] 7 Eindeutige Identifikationsnummer eines virtuellen Gegenstandes 6 FAZIT UND AUSBLICK 19 beschreibt die Analyse der Wegpunkte eines Spielers. Die Bewegungsbefehle eines Spielers, die ständig an den Server übermittelt werden, beinhalten Koordinaten eines Pfades. Diese werden auf dem Spielserver aufgezeichnet und folgendermaßen aufbereitet: 1. Rekonstruieren der Route, also des gesamten Weges, den ein Spieler von A nach B zurücklegt, durch Verbinden der einzelnen Koordinaten 2. Vereinfachen der Kurven mit Hilfe des Douglas-Peucker line simplification algorithm durch Verringern der Knoten unter Einhaltung gewisser Toleranzen und somit Eliminieren von angehäuften Wegpunkten einer festen Koordinate 3. Wegpunktextrahierung mit einer angepassten Version des speziellen k-means Clusteralgorithmus 4. Erzeugung einer Route aus den Wegpunkten und Erkennen von Wiederholungen in der Wegpunktsequenz mit Hilfe von Erkenntnissen aus der Bioinformatik zum Analysieren langer DNA- oder Proteinketten 5. Aufbereiten der Ergebnisse und Entscheiden anhand von Metriken, ob Bot oder Spieler Diese Analysemethode ist universell einsetzbar und nicht auf spezielle Onlinespiele begrenzt. Außerdem lässt sich anhand der Metriken ziemlich präzise ermitteln, ob es sich um einen Bot oder einen echten Spieler handelt. 5.3 Weitere Methoden Neben der Kontrollfunktion durch Programme auf Server- und Clientseite kann diese auch durch Mitarbeiter des Herstellers wahrgenommen werden. Gamemaster beobachten für normale Spieler unsichtbar das Spielgeschehen und können verdächtige Spielhandlungen entdecken und entsprechende Konsequenzen ziehen. Des weiteren ist es möglich, Sicherheitsüberprüfungen durchzuführen - zum Beispiel für von Benutzern programmierte Plugins. Wegen des hohen Kostenfaktors wird heutzutage aber so gut es geht auf personalbasierte Kontrollmechanismen verzichtet. Ein Weg diese Kosten zu reduzieren ist durch Mithilfe der Spielergemeinschaft realisierbar, indem Benachrichtigungsfunktionen zur Verfügung gestellt werden. Spieler sind hier dazu angehalten, verdächtige Handlungen selbst aufzuspüren und zu berichten. Als letzten Punkt seien hier sichere Umgebungen genannt. Bei dieser Methode versuchen Hersteller ihre Spiele nur in einer vom Betriebssystem isolierten Umgebung zur Ausführung zu bringen. Ein Vorteil dieser Abschirmung liegt darin, dass Sprungbrettangriffe erschwert werden. Da diese sicheren Umgebungen jedoch genau wie der Spielclient häufig in Software realisiert sind, können Programmierfehler zu Ausbrüchen aus der Umgebung führen. 6 Fazit und Ausblick In Zukunft wird der Markt der Onlinespiele weiterhin wachsen und die Verlagerung gesellschaftlicher in virtuelle Bereiche ungebremst fortschreiten. Angriffe auf diese Welten LITERATUR 20 nehmen weiterhin zu und werden immer raffinierter und weitreichender. Neben Angriffen, deren Konsequenzen auf die negative Beeinflussung der Balance der Spielwelt beschränkt bleiben. existieren weitaus ernsthaftere Folgen - Folgen, die nichts mehr mit einem Spiel zu tun haben. Neuerdings nutzen organisierte Kriminelle Schwachstellen in Onlinespielen zur Kompromittierung ganzer Computersysteme. Dass aufgrund der hohen Popularität dieser Spiele damit Millionen von Menschen illegalen Machenschaften schutzlos ausgeliefert sind, scheint noch nicht bei der Spielerschaft angekommen zu sein. Und die Lukrativität der Angriffe ist unbestritten - neben Exploits zur spielweltbezogenen Anhäufung von Reichtum und anschließendem Umtausch in reale Währungen, nutzt ein Großteil der Spieler Homebanking und sorgt somit für weitere potentielle Einnahmequellen der Angreifer. Ganz zu schweigen von vielen anderen verwertbaren Informationen, wie Zugangsdaten zum PaypalAccount, usw. Mit der Kompromittierung ganzer Kolonien an Spielersystemen können Botnetze aufgebaut werden, die ihrerseits für beliebige weiterführende kriminelle Handlungen missbraucht werden können, wie z.B. Spamversand, Malware- oder KinderpornographieDistribution. Der ahnungslose Spieler kann damit selbst Teil eines Angriffes werden, ohne es zu wissen. Jegliche Spuren der Ermittlungsbeamten führen nur auf den Unschuldigen. Folglich müssten Hersteller einen größeren Fokus auf Sicherheit legen, ohne das Fürchten um Einbußen der Verkaufzahlen. Sie sollten die Sicherheit höher priosisieren als das Featurereichtum ihrer Spieletitel und strikte Sicherheitsüberprüfungen in ihre Qualitätssicherung integrieren. Dieses Streben nach höherer Sicherheit kollidiert jedoch mit dem Ziel der Hersteller, die Kosten zu minimieren. Und kann erst erfolgen, wenn Spieler freiwillig mehr Geld für Sicherheit investieren. Voraussetzung für die Investition in Sicherheit ist jedoch das bisher noch mangelhafte Bewusstsein dafür. Obwohl das Sicherheitsbewusstsein bei älteren Netzanwendungen, wie Email und Web, schon gut ausgeprägt ist, befindet sich der Sensibilisierungsprozess bezüglich der Onlinespiele noch im Anfangsstadium. Ein zusätzlicher Aspekt, der einer Etablierung ganzheitlicher Sicherheit im Weg steht, ist juristischer Natur. Heutzutage stellen die diskutierten Rechtsfragen immer noch eine Grauzone dar. Mit klarer, einheitlicher gesetzlicher Regelung kann vorerst noch nicht gerechnet werden. Erst wenn jedoch weitere zukünftige Präzedenzfälle zu festen Gesetzen in diesem Bereich führen, wird das Streben nach Sicherheit salonfähig. Da einige Hersteller [Kan09, S. 28] bereits lizensierbare Plattformen entwickeln, die einen Austausch von Gegenständen und Werten zwischen verschiedenen Onlinewelten ermöglichen, verlieren Rechtsfragen nicht an Brisanz und sind in Zukunft immer mehr im Interesse der Hersteller und Spieler. Literatur [Bar05] David Barboza. Ogre to slay? outsource it to chinese. http://www.nytimes. com/2005/12/09/technology/09gaming.htm, 2005. [BCLM09] Stephen Bono, Dan Caselden, Gabriel Landau, and Charlie Miller. Reducing the attack surface in massively multiplayer online role-playing games. IEEE Security and Privacy, 7(3):13–19, 2009. [chi] Chinafarmer 12 std. arbeit pro tag. 81cmmJiHEGI. http://www.youtube.com/watch?v= LITERATUR 21 [dia] Auswirkungen von cheats. hack05.php. [Dur08] Benjamin Duranske. Hernandez v. ige settles. http://virtuallyblind.com/ 2008/08/27/hernandez-ige-settles/, 2008. [FK04] Chek Yang Foo and Elina M. I. Koivisto. Defining grief play in mmorpgs: player and developer perceptions. In ACE ’04: Proceedings of the 2004 ACM SIGCHI International Conference on Advances in computer entertainment technology, pages 245–250, New York, NY, USA, 2004. ACM. [gev] Wachstumsmarkt spielebranche. http://www.gevestor.de/geldanlage/ details/article/wachstumsmarkt-spielebranche.html. [ige] The leading mmorpg services company. http://www.ige.com. [Kan09] Sean F. Kane. Virtual judgment: Legal implications of online gaming. IEEE Security and Privacy, 7(3):23–28, 2009. http://diablo3.ingame.de/hilfe/hackfaq/ [MKKP09] Stefan Mitterhofer, Christopher Kruegel, Engin Kirda, and Christian Platzer. Server-side bot detection in massively multiplayer online games. IEEE Security and Privacy, 7(3):29–36, 2009. [Rei05] Jeremy Reimer. Virtual plague spreading like wildfire in world of warcraft. http://arstechnica.com/old/content/2005/09/5337.ars, 2005. [rix01] Writing ia32 alphanumeric shellcodes. html?issue=57&id=15#article, 2001. [spa08a] Benutzer-review: Spammenot addon fà 14 r world of warcraft. http:// mmoggames.wordpress.com/2008/01/13/nutzliche-addons-spammenot/, 2008. [spa08b] Offizielle webseite: Spammenot addon fà 41 r world of warcraft. http://wow. curseforge.com/addons/spam-me-not/, 2008. [uRT78] Richard Bartle und Roy Thrubshaw. Mud1. http://british-legends.com/ history.htm, 1978. [wik] Cheating in online games. http://en.wikipedia.org/wiki/Cheating_in_ online_games. [wow06] Mmorpg-slang. http://forums.wow-europe.com/thread.html?topicId= 16042168&sid=3, 2006. [YR09] Jeff Yan and Brian Randell. An investigation of cheating in online games. IEEE Security and Privacy, 7(3):37–44, 2009. http://www.phrack.org/issues.