Seguridad en los videojuegos

TF

Captura de pantalla 2013-03-04 a la(s) 10.21.21 PM

Phishing, spoofing, pharming,… son algunos de los muchos casos de ataques cibernéticos más frecuentes. La seguridad para detectarlos e intentar evitarlos preocupa y mucho a los más de 600 desarrolladores que se citaron en la segunda edición del TechFest.



Pablo González y Juan Antonio Calles, ambos ponentes y profesionales de la informática, aseguraron que pese a lo que se podría pensar se pueden hacer bien las cosas y no hay que infravalorar la importancia que tiene trabajar por la seguridad. Aunque es muy costoso se mencionaron ejemplos de buen trabajo en el campo como la empresa española Akamon Entertainemen (presencia en 7 país con más de 9 millones de usuarios). De hecho, desde hace un tiempo se han notado mejoras, es el caso de los juegos en Flash que antaño eran fácilmente manipulables por los jugadores.

Al mismo tiempo las grandes compañías como Sony lo hacen realmente mal. En este último caso no prestar la suficiente atención les podrá costar la friolera de 1.010 millones de euros al detectar que un intruso se había colado en el sistema online de PlayStation.

Una vez metidos en faena se nos comentó que la seguridad dependerá de la naturaleza del juego que se esté desarrollando según sea web o para escritorio.

Seguridad en aplicaciones web

Captura de pantalla 2013-03-04 a la(s) 10.21.57 PM

En el primer caso es fundamental que la validación de los parámetros sea en servidor en lugar de en cliente o que los posibles servicios sean los menos posibles.
También hay que considerar protección Anti-DoS, arquitectura dimensionada a las necesidades, actualizaciones periódicas de la infraestructura, antivirus, filtros de inyecciones web (entre los que destacan XSS o Xpath Injection)

Para que la ponencia no se hiciera excesivamente pesada se nos expusieron varios casos prácticos uno de los que más nos llamaron la atención, fue el referido a una aplicación muy popular en los últimas tiempos.

Cómo ganar siempre a Apalabrados o al Mezcladitos

Si interceptamos las peticiones con un proxy podemos modificar la petición, para hacer uso de las letras que más nos convengan.
Ocurre porque no hay una validación adecuada en el lado del servidor.

Seguridad en aplicaciones de escritorio

Captura de pantalla 2013-03-04 a la(s) 10.21.37 PM

En el caso de que los videojuegos en lugar de desarrollarse en el entorno web se descarguen en local y se jueguen desde el escritorio aunque no lo parezca también se hace muy necesario guardar mucha protección frente a vulnerabilidades de código, para ello nos comentaron que hay que evitar el buffer overflow (Ej. Exploits Xbox, Wii, etc.) o las inyecciones (SQL Injections, etc.)

Una de las medidas más efectivas es el cifrado de datos, ya sea mediante contraseñas o variables importantes del juego. Algo similar es la ofuscación del código de forma que se dificulta la vida a los reversers. También llamaron la atención en cuidar, intentar no dañar en exceso, la Ram, lo que se hace en muy pocas ocasiones.

Eazfuscator o NetReactor (.Net) son buenos ejemplos para el cifrado o la ofuscación del código. Se nos mostró un caso práctico y se remarcó la importancia de establecer contraseñas completas. En lugar de 12456, divirla en dos: p1 = 123; P2 = 456; p1=cifrar(p1); p2=cifrar(p2); password=p1+p2.

Para ilustrarnos se nos puso el ejemplo de modificar parámetros del shooter Counter Strike.

Cómo modificar balas en Counter-Strike

Preguntas

Para terminar con la crónica os ofrecemos una entrevista en exclusiva de Juan Antonio Calles para EcoPer en la Red.

Contestó con mucha amabilidad las preguntas de un servidor, desde aquí, muchas gracias.

juan.antonio..callesTrabaja como Consultor Senior de Seguridad de la Información en Everis, Ingeniero en Informática de Sistemas, Postgrado en Tecnologías de la Información y Sistemas Informáticos y Postgrado en Ingeniería de Sistemas de Decisión, actualmente realizando un Doctorado en Informática sobreSeguridad de la Información. Certified Hacking Forensic Investigator (CHFI v8) por Ec-Council, CISA por la Isaca, ITIL v3 por EXIN, Dlink Certified y FTSAI. Es miembro de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI). Es ponente habitual en diversos foros y congresos de de seguridad a nivel nacional, entre los que se encuentran No cON Name y RootedCon. (vía: Flu-Proyect.com) Su blog: El Blog de Calles.

¿Qué te llevó a formar este proyectos?

Flu Project es un proyecto que nació de una idea. Allá por el verano de 2009, Pablo propuso desarrollar un troyano educativo, para contarlo en los cursos y charlas que impartimos y por el mero hecho de aprender algo nuevo, ya que hasta el momento el malware era una rama de la seguridad que no habíamos tocado mucho. Tuvimos un año complicado de trabajo y hasta el verano de 2010 no llevamos a cabo la idea. El núcleo de Flu lo desarrollamos realmente en 2 tardes, y la primera versión estable en una semana. Decidimos hacerlo en .Net y PHP ya que eran lenguajes que todo el mundo iba a entender fácilmente, por su fin educativo. Actualmente tenemos una versión en C bastante potente para uso policial. Era un troyano verde aún, todavía no teníamos el logotipo y se nos ocurrió montar una comunidad online para desarrollarlo con otras personas que estuviesen interesadas. Así surgió Flu Project en Diciembre de 2010. Durante el primer mes de vida ya se fueron definiendo el resto de cosas que componen Flu Project, cómo su blog, que hasta el momento es lo más valorado por la gente, el desarrollo de otras herramientas cómo Flunym0us, FluBlocker, Liberad a Wifi y otros proyectos que iremos presentando próximamente, nuestros foros, los retos hacking, las secciones de utilidades, libros, etc.

¿En alguno de esos proyectos habéis colaborado con otras entidades?

A las pocas semanas de lanzar la comunidad Flu Project en la red, contactó con nosotros David Moreno, de la Asociación Anti-Depredadores, para una colaboración con el desarrollo de Flu-AD, una versión especial de Flu orientada a perseguir casos de Cibergrooming en Colombia. Y no pudimos rechazarla, la verdad que a ambos nos pareció una manera genial de poder colaborar con nuestros conocimientos en la materia y hacer algo por la causa. En la actualidad seguimos colaborando con ellos, la verdad que hacen un trabajo excepcional y digno de admirar y el apoyo que les damos es incluso poco en muchas ocasiones, así que aprovecho para hacer un llamamiento a todos los que quieran colaborar en la causa: Anti-depredadores.com. Y de esa primera colaboración han ido surgiendo varias nuevas con otras asociaciones y cuerpos policiales.

¿Qué objetivos marcaste en su inicio?, ¿se han visto cumplidos?

Cómo comentábamos en la pregunta anterior, el objetivo inicial se vio cumplido enormemente, no nos imaginábamos la repercusión que iba a tener nuestra idea inicial.

¿Quién está más concienciado de la seguridad, el jugador o el desarrollador?

Por desgracia, el desarrollador. El problema suele encontrarse siempre en la denominada capa 8 (haciendo referencia a las 7 capas del protocolo de comunicaciones OSI), es decir, el usuario final, que habitualmente no es una persona con grandes conocimientos en informática (y lógicamente no tiene por que tenerlos). Hace falta una formación previa en los colegios de seguridad informática. Eso evitaría muchos disgustos.

¿Qué anécdota puedes contarnos que haya surgido en el desarrollo de la actividad de este proyecto?

Anécdotas hay muchas, la verdad que lo más interesante es que nos ha permitido contactar con gente muy variopinta de todo el mundo y asistir a eventos muy importantes a nivel nacional e internacional.

¿Crees que tu charla atrapó el interés de los asistentes?

Eso esperamos, siempre solemos darle un toque de humor, sobretodo si exponemos a última hora del día, cuando la gente está ya cansada, así podemos atraer su interés fácilmente y transmitirles el mensaje de una manera amena y sencilla.

¿Crees que el nivel que se imparte en los grados de la URJC tienen el nivel suficiente para poder desarrollar videojuegos a nivel profesional?

Tanto en los grados de desarrollo de videojuegos, como en el resto de ramas de la informática (y casi de cualquier campo), nadie sale 100% preparado de la universidad para entrar en el mundo laboral, y nos atrevemos a decir que ni al 50%. Nada más salir de la carrera es habitual darse un bofetón con la realidad. Pero en un año es fácil actualizarse con todas las tecnologías existentes en el mercado, proveedores y adquirir los conocimientos necesarios para empezar a caminar solo, esa es la clave.

¿Crees que hay suficiente espíritu emprendedor entre los alumnos para implicarse en proyectos paralelos a la parte académica de la carrera?

Desde siempre, eran pocos los grupos de alumnos que se implicaban en actividades fuera de la carrera, es comprensible debido a que la carrera en sí conlleva un desgaste importante, que deja poco tiempo libre a lo largo del día. Pero es factible, solo hay que saber organizarse. Nosotros en paralelo hemos logrado llevar la carrera, hacer un máster, trabajar y aún nos quedaba tiempo para concebir nuestra vida personal, ¡al menos lo suficiente para que nuestras parejas no nos dejasen de hablar! y aquí seguimos vivos.

Podeis entrar en su web, en sus cuentas en twitter (@fluproject@jantonioCalles), en Facebook, en LinkedIn,…

Anuncios

4 pensamientos en “Seguridad en los videojuegos

  1. ¡Buena entrada, Fernán! Te felicito, sobre todo, por la entrevista a Juan Antonio Calles, extensa y con cuestiones variadas.
    Me ha llamado especialmente la atención el caso de Sony, hace un par de años. He buscado las informaciones que publicó El Mundo. Parece ser que el caso fue el siguiente: “Un desconocido tuvo acceso a los datos personales como nombre, dirección, cuenta de correo electrónico o fecha de nacimiento de 77 millones de usuarios en 59 países. También tuvo acceso a los nombres de usuario y contraseñas, según informó la empresa”.
    http://www.elmundo.es/elmundo/2011/04/27/navegante/1303859686.html
    http://www.elmundo.es/elmundo/2011/04/28/navegante/1303982635.html

    Visto lo visto, quizá haya que tomarse en serio estos asuntos de seguridad a los que incluso las grandes compañías conceden poca importancia.

    Elena Sánchez García (Economía y Periodismo)

  2. Buena entrada e impresionante exclusiva, y bastante interesante este “Flu Project” y su colaboración en la lucha contra el acoso sexual cibernético. Es cierto que la seguridad en la informática y en los videojuegos en particular es muy importante, y sí que creo que deben estar pendientes de ella tanto desarrolladores como usuarios. La verdad es que sobre este tema no tengo mucha idea, pero seguro que hay algunas anécdotas divertidas sobre juegos que han sufrido ataques…

    Daniel Revilla Serrano

  3. ¡Enorabuena Fernán! Como siempre, nos sorprendes con tus entradas. La verdas sobre este tema no sé mucho como para juzgar. Solo puedo decir que me alegra saber que se trabaj duro por luchar por la seguridad en informática, ya que en la red debes tener cuidado.
    Carmen Muñoz Puente

  4. Pingback: En otro orden de cosas… | El blog de @fernangh

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s