Z rekordową sprzedażą 4 milionów kopii w pierwszym tygodniu od premiery gra Watch Dogs stała się niekwestionowanym hitem. Wszystko to dzięki dużej grywalności, ciekawemu scenariuszowi oraz dość nietypowemu pomysłowi na całość. Mechanika całej gry opiera się na hakowaniu urządzeń działających w inteligentnym mieście – takich jak bankomaty, bramy, światła drogowe, kamery monitoringu – w celu osiągnięcia założonych celów. Deweloperzy z Ubisoft chcieli, by scenariusz gry był tak realistyczny, jak to tylko możliwe i dlatego umożliwili graczom tylko na haking, który – przynajmniej teoretycznie – jest wykonalny w prawdziwym świecie. W tym celu twórcy gry skontaktowali się z ekspertami z Kaspersky Lab i poprosili o ocenę scenariusza pod kątem wiarygodności oraz o naniesienie odpowiednich zmian. Teraz, gdy gra jest już przez jakiś czas w sprzedaży, wielu graczy pyta, jak hakowanie w grze ma się do rzeczywistości i czy takie możliwości faktycznie istnieją. Postanowiliśmy zapytać o to Igora Szołmenkowa, eksperta ds. bezpieczeństwa z Kaspersky Lab.
W jakim stopniu hakowanie pokazane w grze jest zbliżone do rzeczywistych możliwości?
Mimo że sporo hakowania pokazanego w grze bardzo przypomina to, co dzieje się w rzeczywistości, ciągle mamy do czynienia z grą, swego rodzaju symulacją. Musimy pamiętać, że Watch Dogs nie uczy nas hakowania, a jedynie pozwala odczuć, jak potężne może to być narzędzie.
Do włamań pokazanych w grze, które występują w rzeczywistości, należą:
- przechwytywanie danych (np. podsłuchiwanie haseł i pakietów Wi-Fi na Androidzie),
- włamywanie się do bankomatów i terminali płatniczych (np. szkodliwe programy zainstalowane w bankomatach, kontrolowane przez SMS-y),
- hakowanie samochodów (zademonstrowali to badacze Charlie Miller i Chris Valasek),
- kontrolowanie świateł drogowych (np. zhakowane światła drogowe w Nowym Jorku).
#Watchdogs vs. prawdziwy świat – czy hakowanie pokazane w grze jest możliwe w rzeczywistości? Zobaczcie sami.
Tweet
Czy rzeczywiście można dokonać wszystkich tych włamań przy użyciu telefonu?
W prawdziwym życiu hakowanie wymaga o wiele więcej przygotowań i nie wystarczy do tego kilka kliknięć czy wykorzystanie gotowych exploitów.
Przykładem może być włamanie do bankomatu – cyberprzestępca musi przygotować pendrive’a z exploitem i szkodliwym programem. Po podpięciu go do bankomatu – co samo w sobie nie jest proste i wymaga fizycznego dostępu do maszyny – exploit umożliwia uzyskanie dostępu do systemu i uruchomienie szkodliwej aplikacji. Może to być np. backdoor kontrolujący system operacyjny bankomatu. Dopiero w tym momencie można uznać, że bankomat został zhakowany i atakujący mogą do woli wyciągać z niego pieniądze. Ostateczny etap – samo wyciągnięcie pieniędzy – może zostać zainicjowany z poziomu telefonu.
Czy cyberprzestępcy mogą wykorzystać Watch Dogs jako inspirację i swego rodzaju podręcznik jak hakować i kontrolować duże miasta?
Mam nadzieję, że dzięki grze ludzie zaczną więcej myśleć o problemach bezpieczeństwa w dużych miastach, których funkcjonowanie w dużej mierze uzależnione jest od rozmaitych systemów operacyjnych. Sama gra jest jedynie interesującą symulacją, która pokazuje, co może się stać, gdy nowoczesna technologia trafia w ręce nieodpowiednich osób.
Czy możesz wymienić jeden incydent bezpieczeństwa z prawdziwego świata, który jest według ciebie najbardziej przerażający?
Większość włamań pokazanych w grze dotyczy ataków na zautomatyzowane systemy kontroli. Jest to nowy i niepokojący trend, który rozpoczął się kilka lat temu, wraz z pojawieniem się robaka Stuxnet, który uderzył w przemysłowe systemy kontroli. Niszcząc sprzęt w elektrowni Stuxnet pokazał, jak program komputerowy może wywrzeć wpływ na fizyczny świat. I właśnie to widzimy w grze. Ten scenariusz jest coraz bardziej realistyczny.
Jakie jest prawdopodobieństwo cyberataku na grę online?
Takie ryzyko istnieje, a prawdopodobieństwo ataku zależy od rodzaju gry oraz tego, jak zachowujesz się w samej grze oraz w prawdziwym życiu. Od ponad 10 lat trojany potrafią kraść np. wirtualne dobra z profili graczy. Obecnie, szkodliwe programy są niewiarygodnie elastyczne i posiadają wiele możliwości kradzieży informacji z rozmaitych dziedzin życia cyfrowego: ten sam szkodnik może kraść hasła do Skype’a i jednocześnie dane logowania do kont w różnych grach online.
Cyberprzestępcy atakują nie tylko graczy, ale i twórców gier. Oczywiście, cel ataków jest inny – w przypadku deweloperów przestępcy polują na własność intelektualną i wykradają certyfikaty cyfrowe, które pozwalają im na uruchamianie nielegalnych serwerów obsługujących gry online.
W trybie multiplayer Watch Dogs, gdy wykonywane jest deszyfrowanie danych, proces może zostać przyspieszony poprzez zmniejszenie odległości między graczami. Czy taka sytuacja może mieć miejsce w rzeczywistości? Słyszałem, że urządzenia cyfrowe mogą się łączyć bezprzewodowo i w ten sposób zwiększać swoją moc obliczeniową. Czy to prawda?
To prawda. Istnieją procesy obliczeniowe, które można wykonać szybciej, gdy użyte zostaną zasoby wielu urządzeń jednocześnie. Zadaniem takim jest np. łamanie hasła. Istnieją nawet gotowe aplikacje pozwalające na rozłożenie obciążenia na wiele urządzeń. Nie jest także dużym problemem napisanie programu, który wykorzysta zasoby urządzeń znajdujących się w zasięgu sieci bezprzewodowej.
Jaka jest największa przeszkoda stojąca na drodze stworzenia prawdziwego „inteligentnego miasta”, takiego jak to pokazane w Watch Dogs?
Problemy natury technologicznej nie są tutaj najważniejsze – chodzi raczej o prawa administracyjne. W wirtualnym Chicago z Watch Dogs wszystkie światła drogowe, rurociągi gazowe, bankomaty, kamery monitoringu, mosty itp. są podłączone do tej samej sieci. To oznacza, że jedna organizacja jest odpowiedzialna za całą infrastrukturę i centrum danych.
W prawdziwym świecie każdy z tych systemów jest obsługiwany przez różne organizacje. Jako przykład mogą posłużyć bankomaty – każdy bank ma swoją sieć. Zatem, największą przeszkodą w rzeczywistym świecie byłoby najprawdopodobniej zunifikowanie tych wszystkich firm i organizacji w jedną wielką infrastrukturę.
Z drugiej strony, taka unifikacja sprawia, że konsekwencje potencjalnego ataku mogą być znacznie poważniejsze. Pozytywnym aspektem jest natomiast to, że ujednoliconą strukturę można znacznie łatwiej zabezpieczyć. Istnieje takie pojęcie jak „powierzchnia ataku” – im mniej firm, tym mniej serwerów i tym samym mniejsza powierzchnia ataku. Innymi słowy, środki ochrony mogą zostać skoncentrowane na jednym centrum danych, co pozwoli na zużycie mniejszej ilości zasobów.
Mówi się, że współczesny sprzęt wykorzystywany do hakowania wymaga minimalnego budżetu, a mimo tego może zostać wykorzystany do włamywania się do całej infrastruktury krytycznej miast. Co o tym sądzisz?
Mówienie o hakowaniu ‚całej infrastruktury miast’ jest obecnie pozbawione sensu – jak wspomniałem wcześniej w prawdziwym świecie nie istnieje coś takiego jak jedna wielka sieć kontrolująca wszystko – bankomaty, światła drogowe, mosty, elektrownie itp. Co do samego sprzętu wykorzystywanego do hakowania – jest sporo racji w tym, co piszesz. Cyberprzestępca może z powodzeniem korzystać z najzwyklejszego starego peceta w cenie kilkuset złotych. Tak naprawdę wszystko, czego potrzeba to zwyczajny komputer, wiedza o narzędzia, które w wielu przypadkach można znaleźć za darmo w Sieci.
Jakie urządzenie mobilne nadaje się najbardziej do hakowania?
Działania pokazane w grze wymagałyby smartfona ze specjalnymi uprawnieniami dostępu do systemu operacyjnego – coś w rodzaju zrootowanego urządzenia z Androidem lub iPhone’a po jailbreaku. Taki sprzęt pozwala na zmianę adresu MAC karty sieciowej smartfona oraz na wiele innych działań, które umożliwiają działanie na głębszych warstwach sieci. Warto jednak zwrócić uwagę na to, że najważniejszy jest tutaj nie rodzaj sprzętu, ale raczej zestaw aplikacji i wyspecjalizowanych narzędzi.
Jak sądzisz, czy w przyszłości może dojść do sytuacji, gdzie jedna firma będzie kontrolowała całe miasto, a mała grupa hakerów będzie mogła włamać się do jej systemu?
Jedna firma kontrolująca całe miasto… nie sądzę, by było to prawdopodobne. A przynajmniej nie leżałoby to w interesie biznesu – każda firma chce kontrolować swoje zasoby. Zatem idea przedstawiona w grze raczej nie jest realistyczna – przecież oddanie całkowitej kontroli w ręce jednej organizacji stoi w sprzeczności z zasadami zdrowej konkurencji.
Sama idea „inteligentnego miasta” jest coraz bliżej realizacji, jednak nawet w przypadku takich miast, infrastruktura będzie kontrolowana przez wiele firm i organizacji o różnym zakresie odpowiedzialności.
Czy fizyczne urządzenia do hakowania istnieją?
Oczywiście – istnieje ich całkiem sporo. Przykładem mogą być komputery o bardzo małych rozmiarach (wielkości ładowarki), które po wpięciu w gniazdko elektryczne łączą się z internetem lub siecią lokalną nie wzbudzając żadnych podejrzeń. Istnieje cała rodzina tych urządzeń (‚guru plug’, ‚dream plug’ itd.). Są to w pełni funkcjonalne pecety, które po podłączeniu mogą przeskanować sieć, wykryć występujące w niej luki i przygotować szczegółowy raport.
Czy istnieje różnica w hakowaniu komputera, a powiedzmy klimatyzacji czy świateł drogowych?
Wszystkie te urządzenia są w jakimś stopniu podłączone do sieci, może z wyjątkiem niektórych klimatyzatorów. Są one podłączone do komputerów lub kontrolerów, które z kolei są obsługiwane przez operatorów. To oznacza, że zhakowanie np. świateł drogowych wymaga włamania się do komputera danego operatora. To najbardziej racjonalne podejście i – w pewnym sensie – właśnie taka metoda jest stosowana w Watch Dogs.
Czy z gry zostały usunięte jakieś interesujące rodzaje hakowania?
Specjalizujemy się w walce z cyberprzestępczością oraz ludźmi, którzy chcą manipulować lub nadużywać systemów IT, dzięki czemu mogliśmy zaoferować twórcom gry konsultację techniczną odnośnie cyberdziałań zarówno podczas rozgrywki, jak i w całym scenariuszu. Otrzymaliśmy do wglądu wszystkie niezbędne informacje i przekazaliśmy swoje sugestie – co jest w porządku, co należałoby lekko zmienić, a co jest kompletnie niemożliwe do zrealizowania. Wszystko po to, by gra była realistyczna na poziomie technologicznym.
Nie usunęliśmy nic ze scenariusza. Ograniczyliśmy się do poprawienia kilku z zaproponowanych przez twórców ataków. Nie możemy jednak mówić za Ubisoft.
Jak to jest mieć tak obszerną wiedzę o wszystkich współczesnych i potencjalnych cyberzagrożeniach? Czy możecie spać spokojnie?
Tak, śpimy spokojnie. Wszystko jest okej 🙂 Oczywiście, mamy świadomość tego, że nie istnieje coś takiego jak całkowicie bezpieczny system, co z kolei oznacza, że udane ataki to tylko kwestia czasu, pieniędzy i chęci. Zawsze znajdą się jakieś luki w zabezpieczeniach. Nie można być pewnym bezpieczeństwa żadnego urządzenia – komputera, routera, sieci korporacyjnej, a nawet telewizora. Wiemy jednak jak działać, gdy dojdzie do ataku.
Czy istnieje baza danych, która pozwala na łatwe wyszukanie każdej osoby, tak jak w grze? A może taka baza właśnie powstaje?
Istnieje wiele takich baz i wszyscy je doskonale znacie. Nazywają się Facebook, LinkedIn, Twitter, NK.pl itp. Wystarczy tylko napisać program, który połączy dane zapisane w tych bazach na temat konkretnej osoby i mamy gotowy całkiem szczegółowy profil.
Obecnie nie trzeba być agentem służb specjalnych, by odnaleźć lub obserwować wybraną osobę. Istnieją nawet firmy które zajmują się szczegółową analizą publicznych danych pozostawianych przez ludzi w internecie. Tworzą one wirtualne profile w portalach społecznościowych i nakłaniają ludzi, by stali się ich znajomymi. Gdy liczba takich znajomych jest odpowiednio duża, firmy te uzyskują dostęp do profili setek tysięcy, a nawet milionów ludzi (w myśl zasady, że gdy zostanę Twoim znajomym, będę też widział profile innych Twoich znajomych).
Jak pewnie wiecie, istnieje teoria, wg. której dwie osoby wybrane losowo z całej populacji na Ziemi można ze sobą połączyć w sześciu krokach. To oznacza, że wystarczy tylko kilku znajomych, by znaleźć dowolną osobę w Sieci i jedyne, co pozostanie, to skorelowanie znalezionych informacji z prawdziwym światem. Istnieje wiele metod, które już są dostępne dla każdego z nas – geolokalizacja, rozpoznawanie twarzy lub głosu itp.