„Steam“ kovos su kenkėjiškomis programomis pasitelkiant SMS patvirtinimus

parašė Ugnius Kiguolis - - 2023-10-27

„Valve“ imasi veiksmų prieš kenkėjiškas programas „Steam“ atnaujinimuose

„Steam“ bando kovoti su kenkėjiškomis programos „Steam“ siekia užtikrinti vartotojų saugumą

Žaidėjų bendruomenei kilo nerimas dėl „Steam“, gerai žinomoje žaidimų platformoje, atsiradusios pavojų keliančios tendencijos. Platforma susidūrė su kenkėjiškų atnaujinimų gausa, kuriuose pilna kenkėjiškų programų, todėl daugelis vartotojų susiduria su įsibrovimu į jų įrenginius. „Steam“ kūrėjas „Valve“ nusprendė nepalikti šios problemos likimo valiai ir kuo greičiau kovoti su akivaizdžia saugumo spraga.

Norėdami platinti savo žaidimus ir programinę įrangą „Steam“ platformoje, kūrėjai ir leidėjai naudoja įrankių ir paslaugų derinį, vadinamą „Steamworks“. Tai įgalina kelių žaidėjų režimą, vaizdo transliaciją, pasiekimus, balso ir pokalbių funkcijas žaidime, mikrotransakcijas, statistiką, išsaugojimą debesyje ir bendruomenės sukurto turinio bendrinimą („Steam Workshop“). Jis taip pat palaiko skaitmeninių teisių valdymą (DRM).

Daugelis kūrėjų ir leidėjų sulaukė sėkmės platindami savo produkciją daugiausia dėl „Steamworks“, kuris padėjo, jog jų žaidimus žaistų milijonai žaidėjų visame pasaulyje. Tačiau didžiulė galia taip pat susijusi su didele atsakomybe, o dabartinis kenkėjiškų atnaujinimų srautas sukėlė klausimų apie tokios ekosistemos saugumą.

Kenkėjiškų programų grėsmė ir „Valve“ atsakas

2023 metų rudens pradžioje pasirodė naujienos apie pažeistas „Steamworks“ paskyras. Užpuolikai įsilauždavo į šias paskyras ir teikdavo atnaujinimus, užkrėstus kenkėjiškomis programomis, o tai kėlė pavojų „Steam“ vartotojų saugumui.

„Valve“ greitai suvaldė žalą, užtikrindama žaidimų bendruomenę, kad atakos paveikė tik nedidelę dalį žaidėjų ir kad visi buvo tinkamai informuoti apie galimą pažeidimą. Norėdami išvengti panašių situacijų ateityje, „Valve“ specialistai suprato, kad reikalingas stipresnis apsaugos mechanizmas.

Šios saugumo problemos sprendimas, kurį sugalvojo „Valve“, yra naujoji SMS žinutėmis pagrįsta saugumo patikra žaidimų kūrėjams. Kūrėjai turi sėkmingai užbaigti šį SMS žinute pagrįstą patvirtinimą nuo 2023 metų spalio 24 dienos. Patvirtinimo reikia kiekvieną kartą, prieš paskelbiant bet kokius numatytosios leidimo šakos naujinimus.

Šis saugumo reikalavimas bus taikomas ne tik naujinimams, bet ir bet kokiems bandymams įtraukti naujų vartotojų į „Steamworks“ partnerių grupę – tai yra papildomas platformos saugumo sluoksnis. Norėdami pridėti papildomą saugumo sluoksnį, grupės administratoriai dabar turi patvirtinti šias operacijas naudodami SMS kodus.

SMS patvirtinimo aspektai ir pasvarstymai apie ateitį

Remiantis „Valve“ pareiškimu^[1], norint įjungti SMS patvirtinimą, „Steamworks“ paskyros turi būti susietos su telefono numeriu. Šiuo atnaujinimu bandoma sustiprinti platformos saugumą ir apsaugoti vartotojus bei kūrėjus:

Kaip saugumo naujinimo dalis, bet koks „Steamworks“ paskyros nustatymas veikia pagal numatytąjį/viešą išleistos programos skyrių, ir privalės turėti telefono numerį, susietą su jų paskyra, kad „Steam“ galėtų išsiųsti jums patvirtinimo kodą prieš tęsiant darbą.

„Valve“ yra įsipareigoję toliau stiprinti „Steam“ saugumą ir neketina tenkintis tik paprastu patvirtinimu SMS žinutėmis. Ateityje jie planuoja išplėsti šį reikalavimą ir įtraukti daugiau „Steamworks“ veiksmų, pabrėždami savo įsipareigojimą palaikyti saugią žaidimų aplinką.

Net „SetAppBuildLive“ API naudotojams „Steam“ ėmėsi veiksmų, kad padidintų saugumą bendrąja prasme. Ypač keičiant numatytąją išleistos programinės įrangos šaką, mat kūrėjai dabar turės pateikti „steamID“ veiksmo patvirtinimui. Šia atsargumo priemone siekiama sustabdyti neteisėtus žaidimų atnaujinimų pakeitimus.

Nepaisant šių aktyvių veiksmų, kai kurie programuotojai ir pramonės profesionalai mano, kad SMS žinutėmis pagrįsta autentifikavimo sistema^[2] gali turėti tam tikrų trūkumų. Vienas žaidimų kūrėjas, „Benoît Freslon“^[3], patyrė siaubingą patirtį, kai tapo informaciją vagiančios kenkėjiškos programos atakos auka. Jo prisijungimo duomenys buvo pavogti naudojant tokią programą, kuri leido užpuolikui išleisti kenkėjišką vaizdo žaidimo „NanoWar: Cells VS Virus“ naujinimą.

Kol tokenai nebuvo atšaukti arba nesibaigė, užpuolikai turėjo prieigą prie „Freslon“ paskyrų, o tai suteikė jiems galimybę siųsti kenkėjiškus žaidimo atnaujinimus neatsargiems žaidėjams. Dviejų veiksnių autentifikavimas (2FA) SMS žinutėmis nėra tobulas. Jis yra pažeidžiamas SIM keitimo atakomis, kai kibernetiniai nusikaltėliai gali perkelti žaidimo kūrėjo telefono numerį į kitą SIM kortelę ir taip apeiti SMS žinutėmis pagrįstą saugos funkciją.

Daugelis ekspertų pataria naudoti sudėtingesnius autentifikavimo metodus, įskaitant autentifikavimo programas arba fizinius saugos raktus, kad būtų žymiai sustiprintas „Steam“ saugumas. Šie metodai yra pranašesni, ypač projektams su didelėmis bendruomenėmis, nes jie užtikrina aukštesnį apsaugos lygį ir yra atsparesni įvairioms kibernetinėms atakoms.

Apie autorių

Ugnius Kiguolis - Virusų šalinimo ekspertas

Ugnius Kiguolis yra profesionalus virusų tyrėjas ir tinklalapio Virusai.lt įkūrėjas bei vyriausiasis redaktorius. Ugnius sukūrė Virusai.lt portalą 2004 metais, norėdamas informuoti visuomenę apie kibernetinius nusikaltimus.

Susisiekite su Ugnius Kiguolis
Apie kompaniją Esolutions

Šaltiniai

^ Coming Soon: Security improvements for managing builds and Steamworks users. Steamcommunity. Steamworks Development Events.
^ Teju Shyamsundar. What Is SMS Authentication and Is It Secure?. Okta. Blog.
^ Arnaque : hack Discord au test de jeu vidéo (piratage). Videogamecreation. Personal Blog.