Advarer mot spillfarer

Advarer mot spillfarer

- Det er på tide å tenke sikkerhet rundt spillkonsollene, sier sikkerhetsekspert.

LONDON/OSLO: Jepp. Dette er en sak om spillkonsollsikkerhet. Som ikke har fått så mye oppmerksomhet i sikkerhetsbransjen. Faktisk var RSAs London-konferanse her forleden muligens den første it-sikkerhetskonferanse som har hatt dette på agendaen.

Spillkonsoller er utbredt. I private hjem mest, men også på arbeidsplassen. Og det kan få konsekvenser. Fordi, når alt kommer alt, er spillkonsoller en form for pc som kobles opp mot nettverket.

- Det finnes like mange trusler i en spillkonsoll som på en typisk pc.

Christopher Boyd fra GFI Software har sett på temaet over de siste par årene. Selv har han et rom fylt til randen av konsoller fra de fleste tidsepoker, blant kuriositetene ikke mindre sju Sega Dreamcast.

Mange har konsoll, få har kontroll

Det er solgt 87 millioner Nintendo Wii på verdensbasis. 55 millioner Xbox 360. 51 millioner Playstation 3. Det finnes 77 millioner abonnenter i Playstation Network (PSN). 30 millioner hos Xbox Live.

En undersøkelse blant 200 beslutningstakere utført av GFI Software i 2010 viser videre at 49 prosent har en spillkonsoll på arbeidsplassen. 44 prosent av disse har dem koblet mot nett. Men fire av ti har ingen aning om sikkerhetstruslene. Og åtte av ti aner ikke hvem som egentlig bruker konsollen. Disse tallene sier ikke noe om hva ansatte har av spill på pc-en, som kommer i tillegg.

Det har vært flere angrep mot spillbransjen, bare i år. I april ble 70 millioner av PSN-brukerne kompromittert. 14. mai ble Eidos Montreal, som står bak spill som Deus Ex, kompromittert, 25.000 epostadresser ble knabbet. Epic, med spill som Gears of War, hadde innbrudd 6. juni der epostadresser og krypterte passord forsvant. For å spole litt frem kan Boyd liste opp hele seks sikkerhetsbrudd i spillselskaper, alle i juni.

Verdifulle konti

Og så kommer selve konsollen. Den kommer gjerne med innstillingsmuligheter for bedre sikring, for eksempel nettverksinnstillinger og hvorvidt det skal være tilgang til webkamera, men det er få som leser instruksjonen.

Fysisk sikkerhet til side, finnes det en hel underverden der det skjer salg av brukernavn og passord til de ulike konsollnettverkene. Som regel er det slik at jo eldre brukernavnet er, jo mer verdi har det på svartmarkedet. Jo mer poeng en spillkonto har, jo bedre ære er det i kontoen og jo større verdi har den. Og poengene går alltid opp jo mer folk spiller.

- Spillkontoer er en etablert handelsvare. Skurkene vil gjerne ha kontoen din, fastslår Boyd.

Det er heller ikke noe problem for skurkene å finne ut hvilke kontoer som har verdi verdt å stjele. På nettets ulike forum står det sort og hvitt. Du kan kontrollere mye i forumene, men det er en ting du ikke kan fjerne, og det er skåren.

Nettfisk til lunsj

Det finnes mange måter å stjele spillkontoer på. Stort sett fungerer de samme medtodene som brukes for å stjele Gmail-kontoer, det vil si for eksempel nettfisking. Eller sosial manipulering over telefon. En tyv kan potensielt finne på å ringe Microsoft og hevde passordet er glemt.

Konsollen har også blitt brukt til å lure folk til installasjon av ondsinnet programvare eller trikse dem til å gå fem på et nettfiskingstriks. Det går også an å utgi seg for å være andre spilliere, selv uten å ha stjålet kontoen. En spillutvikler opplevde en gang at noen på ”hans vegne” ga beskjed i et spill om at spillerne kunne få gratis poeng ved å registrere seg på en side. En nettfiskeside, selvfølgelig.

- Folk faller for de dummeste ting, sier Boyd.

Det finnes til og med nettfiskesider som er skreddersydd i angrepsform mot spillbrukere. Her setter skurkene seg ned og spiller spillet selv og finner de vanskelige delene av det. De vet at spillerne vil Google for å finne frem en løsning, og de tilbyr en løsning. En løsning med innbakt nettfiske, selvfølgelig.

Med nettfisking kan de også ende opp med å få tilgang til andre kontoer; bedriftens epost, den ansattes Gmail, Facebook, Twitter også videre, fordi svært mange bruker samme passord over hele fjøla.

Kjipt å kødde med kidsa

Når en 30-åring i bedriften er helt inne i spillet og banner til motstanderen på andre siden av kloden som nettopp drepte ham, kan det oppstå trøbbel.

Det kan jo godt hende personen på andre siden av kloden er en 13-åring med ok it-kunnskaper som er lysten på et motangrep - en "script-kiddie", som noen kaller slike. Det finnes måter å spore opp ip-en til motstanderen på, og da kan bedriften plutselig risikere tjenestenektsangrep eller trafikkforgifting.

Det begynner å dukke opp egne botnett dedikert til tjenestenektsangrep med formål å forhindre motstanderen fra å spille. Biozombie for eksempel. Og Darkddoser. Det koster bare noen få dollar.

En slik hevngjerrig person kan også uten altfor store besværligheter potensielt klare å endre navnet på karakteren som spiller. En utvikler opplevde en gang at navnet på karakteren hans plutselig var «Fuck». Det kan bli pinlig om bedriftsspillprofilen din plutselig heter ”Computerworld er noe ordentlig dritt”.

I tillegg har folk gjerne ting som Facebook og Twitter på sine spillkonsoller. Når hackeren klarer å få fatt på brukernavn og passord, er det bare å håpe at det ikke er bedriftens Twitter-konto som ligger med passordet lagret på konsollen.

Og så har du ulike spammere. Programmer som sender tusenvis av venneforespørsler til spillkontoen, som det vil ta hundrevis av minutter å fjerne. Noen ganger blir det så overveldende at konsollen rett og slett krasjer. Eller spammere som forsøker å logge inn tusenvis av ganger, helt til du av sikkerhetsmessige årsaker blir utelåst av kontoen.

"Smil", du er på Youtube

Så hvordan rydder du opp i alt dette? Boyd råder folk til å rett og slett opprette en spillkonsollansvarlig i bedriften. Videre bør konsollen ha påslått foreldrekontrollfuksjon for å ha passordkontroll, og kontonavnet bør ikke inneholde firmanavnet.

- Det kan bli pinlig når du ypper med en 14-år gammel script-kiddie, sier Boyd, som råder til å generelt sett holde lav profil innad i spill. Bedriftsnavn i kontoen kan også gjøre deg til et mer hett mål, fordi det er kulere å hacke et selskap enn en privatperson.

Ifølge Boyd er Wii den minst utsatte konsollen blant de tre store.