Video game & Security, a new opportunity? Gaming platform primary target for cyber attacks. (EN/IT)

English version

Which could be a critical objective to choose if we evaluate media coverage of the event, complexity and effort necessary to the success of the attack, the audience involved, access to resources
used in turn for further offenses? Personally, I have many doubts …  a gaming platform!  Yesterday on a national newspaper has been published an interesting article regarding the high profits made in the gaming market.
To do dishes and number, the last chapter in the saga of Call of Duty sold in just 24 hours between the U.S. and England over 6.5 million copies grossing more than $ 400 million.

A good question to ask is,  but these gentlemen are together honing their security processes? Are They able to protect their assets from attacks that could with relatively low effort gain access to computing platforms with a devastating offensive power? I would answer “Of course, it is obvious”, but what happened on several occasions to Sony is the demonstration that the reality is far from what aupicabile.
Consider also that gaming market is one of the most critical in terms of security for the following reasons:

• not easy to manage complex infrastructure, with significant computing power, and very attractive to hackers for the chance to use in attacks.
• availability of a large amount of payment information (e.g.  Credit card numbers and info about their owners).
• Large diffusion of mobile devices with specific security issues.
• issues related to piracy management and more generally related to DRM (“Digital Rights Management”).

A study conducted about one year ago showed that 80% of organizations that provide gaming services not keep track of those who use game consoles in the workplace, thus making impossible to trace the activities related to the possible source of attack. After sony Event, something is changed.  According to the main security firm safety of users playing online console is exposed to significant risks more or less serious. For example, exposing a user’s online esposing their IP address, increasing the possibility that it may be the target of an attack of DDoS type, which can make the connection unusable by the organization.

Who move this attacks? Unhappy Players with the service or criminals.

Finally, we can consider the exposure to social engineering and phishing attacks,  whose purpose is to get information as usernames, passwords and other user sensible data via chat forums, email and in-game speech.

It is easy to realize that the magnates of this thriving industry have a long road before to reach the goal, a security condition acceptable for both the provider and final users.

(3L3V3N)

Italian version

Quale obiettivo critico scegliere per un attacco informatico valutando esposizione mediatica dell’evento, complessità dell’attacco ed effort necessario al successo, platea coinvolta, accesso a risorse utilizzabile a loro volta per ulteriori offese. Personalmente non ho molti dubbi, una piattaforma di gaming. Prioprio ieri su un quotidiano nazionale è apparso il titolo “Anche Hollywood si arrende ora comandano i videogame” in cui si descrive l’ascesa economica senza pari degli incassi del mercato dei video giochi. Per fare qualche numero, l’ultimo capitolo della saga di Call of Duty in sole 24 ore ha venduto fra Usa e Inghilterra oltre 6.5 milioni di copie incassando più di 400 milioni di dollari. Avatar di James Cameron si era fermato a 77. Ecco come gli eredi di Lara Croft stanno surclassando Hollywood. Domanda lecita da porsi, ma questi signori stanno di pari passo affinando i loro processi di sicurezza? Sono in grado di proteggere i propri asset da attacchi che potrebbero con sforzo relativamente contenuto avere accesso a piattaforme di calcolo con potenza offensiva devastante se utilizzate a loro volta per muovere un offesa verso terzi? Vorrei rispondere “Certamente, è ovvio”, ma quanto accaduto a più riprese alla Sony è la dimostrazione che la realtà è ben lontana da quanto auspicabile. Consideriamo inoltre che proprio il settore gaming è tra quelli più critici sotto il profilo della sicurezza per i seguenti motivi:

• Infrastrutture complesse di non semplice gestione, dotate di capacità di calcolo notevoli, e molto  appetibili agli hacker per la possibilità di utilizzo in attacchi
• Disponibilità di una grande quantita di informazioni relative ai pagamenti (e.g. numeri di carta di  credito ed info relative ai titolari)
• Problematiche relative alla pirateria ed alla gestione più in generale del DRM “Digital rights management”
• Largo utilizzo di dispositivi mobili con annesse problematiche specifiche di sicurezza.

Uno studio condotto circa un anno fa dimostrò che 80% delle organizzazioni che erogano servizi di gaming non mantenevano traccia di chi utilizza game console all’interno del workplace, rendendo di fatto impossibile tracciare le attività inerenti la possibile fonte di attacco. Dopo l’attacco alla Sony fortunatamente qualcosa è cambiato. Secondo le principali firme in materia sicurezza gli utenti delle console giocando online si espongono a notevoli rischi più o meno seri. Ad esempio un utente on line espone il proprio IP address, aumentando la possibilità che possa essere bersaglio di un attacco di tipo DDoS attacks.

Questi tipi di attacchi potrebbero essere utilizzati da utenti scontenti del servizio o da veri e propri criminali che di fatto hanno come obiettivo quello di rendere non operativa l’infrastruttura. Si consideri infine l’esposizione ad attacchi di social engineering e phishing il cui scopo è quello di recuperare il maggior numero di informazioni come username, passwords ed altri dati sensibili dell’utente attraverso chat, forums, in-game speech ed email.

Facile rendersi conto che i magnati di questa fiorente industria hanno dinanzi una lunga e tortuosa strada da percorrere prima di giungere alla meta, una condizione di sicurezza accettabile per chi eroga e chi fruisce dei servizi di piattaforme di gaming.

http://infosecmedia.org/sonys-hack-history/

http://www.enterprise-security-today.com/story.xhtml?story_id=80972&full_skip=1

http://www.scmagazineus.com/hacker-group-raids-sony-pictures-in-latest-breach/article/204379/

http://www.infosecurity-magazine.com/view/8786/sunbelt-warns-on-game-console-security-risks-/