seguridad en los videojuegos god mode
DESCRIPTION
Como evitar ataques en los juegosTRANSCRIPT
![Page 1: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/1.jpg)
![Page 2: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/2.jpg)
Agenda
I. Presentación
II.Antecedentes
III.Distintos ámbitos
IV.A jugar…
![Page 3: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/3.jpg)
¿Quiénes somos? • Juan Antonio Calles
(@jantonioCalles)
• Jefe de Proyectos de Seguridad en everis
• www.flu-project.com
• elblogdecalles.blogspot.com
![Page 4: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/4.jpg)
¿Quiénes somos?
• Pablo González (@fluproject)
• Responsable de Seguridad en Informática 64
• www.flu-project.com
• www.seguridadapple.com
• www.windowstecnico.com
![Page 5: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/5.jpg)
Antecedentes
![Page 6: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/6.jpg)
¡Se pueden
hacer las
cosas bien!
![Page 7: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/7.jpg)
Entrevista a Carles Pons, director de tecnología de Akamon Entertainment (mundijuegos.com)
http://www.securityartwork.es/2013/02/20/entrevista-a-carles-pons-director-de-tecnologia-de-akamon-entertainment/
• 9 millones de usuarios registrados
• Presencia en más de 7 países
• Funcionando en varios idiomas.
![Page 8: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/8.jpg)
¿Qué tipos de ataques son los más generalizados? Tenemos bastante variedad, aunque nada distintos de los que suelen ocurrir otras plataformas online: perfiles falsos para suplantar a usuarios, robo de cuentas, intentos de phishing, intentos de recargar fichas de forma fraudulenta, ataques de fuerza bruta… Con tantos usuarios ¿cómo detectáis y actuáis ante posibles “tramposos” cuando no se está recibiendo un ataque puramente tecnológico? Tenemos un equipo de gestión de usuarios y soporte al cliente que rápidamente detecta los intentos de hacer trampas, y en ese caso siempre procedemos con el bloqueo de los tramposos
![Page 9: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/9.jpg)
Prácticamente todo el negocio de Akamon depende de vuestros juegos los cuales están hechos en Flash. Recuerdo que hace pocos años casi todos estos juegos podían “trampearse” con relativa facilidad a base de modificar variables con Cheat Engine, descompiladores de Flash, manipulando las peticiones, etc. ¿Cuál es el panorama actual de la tecnología Flash con respecto a la seguridad de las aplicaciones? Hoy en día este tipo de problemas ya no existen. Basta con mover toda la lógica de los juegos a la parte del servidor por lo que cualquier petición o valor que se manipule en el cliente, a la hora de validarse en el servidor se detectará y corregirá. Desde el reparto de cartas, el número de tiradas, los valores que sacan los dados, el número de casillas a moverse,… todo se calcula en el servidor por lo que está a salvo de este tipo de ataques.
![Page 10: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/10.jpg)
Pero también se
pueden hacer
muy mal…
![Page 11: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/11.jpg)
![Page 12: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/12.jpg)
![Page 13: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/13.jpg)
¿Me lo puede decir en pesetas?
![Page 14: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/14.jpg)
Distintos ámbitos
![Page 15: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/15.jpg)
Las medidas de seguridad
dependerán de…
Escritorio Web
![Page 16: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/16.jpg)
Juego Web
Escritorio Web
![Page 17: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/17.jpg)
Web • Mismas medidas de seguridad que en un portal web, compras
online, etc.
• Validación de parámetros en servidor en vez de en cliente • Bastionado de servidores
o Eliminación de servicios innecesarios o Cuentas sin privilegios de administración o Bloqueo de USBs, prohibidas las grabadoras o Etc.
• Separación de actividades por servidores
o Servidor de aplicaciones o Servidor de bbdd o Etc.
![Page 18: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/18.jpg)
Web • Protección Anti-DoS y ante ataques de fuerza bruta
• Arquitectura dimensionada a las necesidades
• Actualizaciones periódicas de la infraestructura
• Antivirus
• Filtros de inyecciones web:
o XSS o Xpath Injection o Blind Injection o CSRF o Path traversal o SQL Injection o Etc.
![Page 19: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/19.jpg)
Web
¿SQL Injection? ¿¿Ezoo ke
ee??
![Page 20: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/20.jpg)
Web
![Page 21: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/21.jpg)
Web
![Page 22: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/22.jpg)
Ganar siempre al Apalabrados
• Si interceptamos las peticiones con un proxy podemos modificar la petición, para hacer uso de las letras que más nos convengan.
• Ocurre porque no hay una validación adecuada en el lado del servidor
![Page 23: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/23.jpg)
Ganar siempre al Mezcladitos
![Page 24: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/24.jpg)
Juego Escritorio
Escritorio Web
![Page 25: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/25.jpg)
Escritorio
• Protección frente a vulnerabilidades de código: o Buffer overflow (Ej. Exploits Xbox, Wii, etc.) o Inyecciones (SQL Injections, etc.)
• Cifrado de datos
o Contraseñas o Variables importantes del juego
• Ofuscación de código
o Dificultando la vida a los reversers
• Cuidado con la Ram… ¡leches!
![Page 26: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/26.jpg)
A jugar…
![Page 27: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/27.jpg)
![Page 28: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/28.jpg)
Recuperando una clave de un
videojuego
![Page 29: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/29.jpg)
Recuperando una clave de un
videojuego
![Page 30: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/30.jpg)
Recuperando la clave con Net
Reflector
![Page 31: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/31.jpg)
Recuperando la clave con Net
Reflector
![Page 32: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/32.jpg)
Validando la clave
![Page 33: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/33.jpg)
Recuperando la clave con Net
Explorer
![Page 34: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/34.jpg)
Recuperando la clave con Net
Reactor
![Page 35: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/35.jpg)
Recuperando la clave con Net
Reactor
![Page 36: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/36.jpg)
¿Soluciones? • Ofuscar el código:
o Por ejemplo, con Eazfuscator o NetReactor (.Net)
• Intentar separar el contenido de una cadena en partes y cifrarlas
por separado:
o Ej. Malo:
o Ej. Bueno:
password = 123456;
p1 = 123; P2 = 456; p1=cifrar(p1); p2=cifrar(p2); password=p1+p2;
![Page 37: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/37.jpg)
Eazfuscator
![Page 38: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/38.jpg)
![Page 39: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/39.jpg)
Modificando balas en el CS
![Page 40: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/40.jpg)
Recomendaciones de desarrollo
seguro • Uso de OWASP Top 10 y OWASP Testing Guide
• Tu app con interacción web:
– Filtrado de parámetros • Evitar SQL Injection • Evitar XSS • Evitar LFI
– Gestión de cookies • HTTPs (Only)
– Almacenamiento/envío de valores de manera segura • Cifrados, conexión segura, certificados, etc.
![Page 41: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/41.jpg)
Recomendaciones de desarrollo
seguro
• Lógica en el cliente (error) – El servidor debe validar cada interacción!!!!
• En el cliente – Almacenamiento de claves seguro (cifrado)
– Envío de claves y cookies seguro (HTTPs)
– Utilizar mecanismos seguros para borrar valores en la RAM (problema en Android)
– Evitar claves inseguras en registro (Windows)
– Cookies no permanentes
![Page 42: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/42.jpg)
Recomendaciones de desarrollo
seguro
• Actualizaciones en los componentes como
– Flash
– Java
Hace poco… Owned!
![Page 43: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/43.jpg)
Nueva patente anti-pirateria
![Page 44: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/44.jpg)
www.flu-project.com
@fluproject @jantonioCalles
Grupo Flu Project
Grupo Flu Project
Feeds.feedburner.com/FluProject
![Page 45: Seguridad en Los Videojuegos God Mode](https://reader033.vdocumento.com/reader033/viewer/2022051517/5695d49d1a28ab9b02a2197c/html5/thumbnails/45.jpg)