MTI
Veszélyben az Xbox 360 felhasználói
Miután az újabb generációs játékkonzolok felléptek az internetre, ugyanazzal a problémával szembesülnek, mint amely korábban csak a vállalati és magánfelhasználói PC-s internetes hálózatokat jellemezte: a hackerek támadásaival.
A torontói SecTor biztonsági konferencián Chris Boyd, a Facetime biztonsági kutatóintézet igazgatója részletesen ecsetelte azt a tengernyi módszert, amellyel a hackerek a Microsoft Xbox 360 konzol játékosait támadják. Bár az Xbox piaci részesedése nem a legnagyobb, mégis a hackerek egyik jelentősebb célpontja. Az igazgató szerint ennek okai egyszerűek: az Xbox internetes szolgáltatásának, a Live-nak több mint 17 millió előfizetője van, és a szolgáltatásért havonta - többek között bankkártyával - lehet fizetni. Az Xbox Live sokféle online terméket és szolgáltatást kínál, éppen ezért a játékosok felhasználói fiókjai egyre közkedveltebb szegletét képezik az internetes feketepiacnak.
A támadók célpontjaikat a nyilvános információk alapján értékelik ki. Az Xbox-felhasználók pontokat szereznek a játékokban, azokból áll össze a játékosokat rangsoroló pontrendszer. Minél magasabb pontszámot ér el egy felhasználó a rendszeren belül, annál értékesebb célpontnak tekinthető. Ráadásul nem is könnyű az eredményt titokban tartani. Az Xbox titkosítási beállításainál nem lehet elrejteni a megszerzett pontokat, csupán a nemrég lejátszott játékok listájánál nyílik erre mód. Ezenfelül a Mygamercard.net révén a magas eredményeket elért játékosok még inkább látványos célponttá válnak, ugyanis ez az internetes szolgáltatás sokféle helyen (például fórumokon, e-mailek végén) megjeleníti a felhasználók pontszámait.
Miután a támadók beazonosították célpontjaikat, sokféle metódust alkalmazhatnak arra, hogy megpróbálják átvenni az irányítást a felhasználói fiók fölött. Az internetes szakzsargonban elterjedt angol kifejezés: a social engineering a csalások legegyszerűbb, de legalattomosabb módjára utal. A bűnözők manipulációjának célja, hogy a felhasználó véletlenül vagy önszántából kifecsegje a hozzáféréshez szükséges bizalmas adatokat.
Boyd olyan esetekről is mesélt, amelyek során a támadók a Microsoft terméktámogatási központját is felhívták, azt állítva, hogy ők a fióktulajdonosok, amit a nyilvánosan is látható információkkal támasztottak alá. Egy másik támadási módszer az adathalászat (phishing), amelynek segítségével az Xbox üzenetközvetítő rendszerén keresztül a hackerek a Microsoft nevében olyan, hivatalosnak látszó leveleket küldözgetnek, amelyek jutalmat ígérnek azoknak, akik megadják felhasználói nevüket és jelszavukat.
Gyakoriak még a szolgáltatás részleges vagy teljes megbénítását célzó úgynevezett Denial of Service (DoS) támadások, amelyek az Xbox Live esetében úgy működnek, hogy az üzenetküldő rendszeren keresztül ismeretlenek barátkérő figyelmeztetésekkel zaklatják a felhasználókat. A DoS-támadások alkalmával egy szervert olyan sok kéréssel bombáznak, hogy a rendszer a feladatokat egyszerűen nem képes ellátni, és legrosszabb esetben összeomlik.
A Microsoft a problémát felismerve korlátozta az egyszerre kiküldhető barátkérő üzenetek számát, a felhasználók pedig úgy védekezhetnek, hogy az üzenetküldő állapotát "Nem vagyok a számítógépnél" módba állítják. Az igazgató azt tanácsolja minden Xbox Live felhasználónak, hogy távolítsa el a profilhoz mentett bankkártya-információkat. Ezekre az adatokra az előfizetés automatikus megújítása miatt van szükség, ha a felhasználó ezt a kényelmi szolgáltatást nem kívánja igénybe venni, máris biztonságban érezheti magát. A csalók megtévesztése érdekében a valótlan információkat kitöltött Xbox Live profillal még inkább csökken a sebezhetőség veszélye.
A Microsoft és a biztonsági cégek sem tudnak hatékony megoldást a felhasználók egymás közötti peer-to-peer (P2P) fájlcserélésnél fellépő biztonsági rések ellen, mert az adatfolyam közvetlenül a felhasználók között zajlik, így egyedül a bizalmatlanság lehet a támadásokkal szembeni legjobb védekezés. Magyarországon a személyes információk rossz kezekbe kerülése kevésbé fenyegeti a felhasználókat, ugyanis hivatalosan itthon mind a mai napig nem érhető el az Xbox Live, jóllehet a területi korlátozás egy külföldi cím megadásával megkerülhető.
A torontói SecTor biztonsági konferencián Chris Boyd, a Facetime biztonsági kutatóintézet igazgatója részletesen ecsetelte azt a tengernyi módszert, amellyel a hackerek a Microsoft Xbox 360 konzol játékosait támadják. Bár az Xbox piaci részesedése nem a legnagyobb, mégis a hackerek egyik jelentősebb célpontja. Az igazgató szerint ennek okai egyszerűek: az Xbox internetes szolgáltatásának, a Live-nak több mint 17 millió előfizetője van, és a szolgáltatásért havonta - többek között bankkártyával - lehet fizetni. Az Xbox Live sokféle online terméket és szolgáltatást kínál, éppen ezért a játékosok felhasználói fiókjai egyre közkedveltebb szegletét képezik az internetes feketepiacnak.
A támadók célpontjaikat a nyilvános információk alapján értékelik ki. Az Xbox-felhasználók pontokat szereznek a játékokban, azokból áll össze a játékosokat rangsoroló pontrendszer. Minél magasabb pontszámot ér el egy felhasználó a rendszeren belül, annál értékesebb célpontnak tekinthető. Ráadásul nem is könnyű az eredményt titokban tartani. Az Xbox titkosítási beállításainál nem lehet elrejteni a megszerzett pontokat, csupán a nemrég lejátszott játékok listájánál nyílik erre mód. Ezenfelül a Mygamercard.net révén a magas eredményeket elért játékosok még inkább látványos célponttá válnak, ugyanis ez az internetes szolgáltatás sokféle helyen (például fórumokon, e-mailek végén) megjeleníti a felhasználók pontszámait.
Miután a támadók beazonosították célpontjaikat, sokféle metódust alkalmazhatnak arra, hogy megpróbálják átvenni az irányítást a felhasználói fiók fölött. Az internetes szakzsargonban elterjedt angol kifejezés: a social engineering a csalások legegyszerűbb, de legalattomosabb módjára utal. A bűnözők manipulációjának célja, hogy a felhasználó véletlenül vagy önszántából kifecsegje a hozzáféréshez szükséges bizalmas adatokat.
Boyd olyan esetekről is mesélt, amelyek során a támadók a Microsoft terméktámogatási központját is felhívták, azt állítva, hogy ők a fióktulajdonosok, amit a nyilvánosan is látható információkkal támasztottak alá. Egy másik támadási módszer az adathalászat (phishing), amelynek segítségével az Xbox üzenetközvetítő rendszerén keresztül a hackerek a Microsoft nevében olyan, hivatalosnak látszó leveleket küldözgetnek, amelyek jutalmat ígérnek azoknak, akik megadják felhasználói nevüket és jelszavukat.
Gyakoriak még a szolgáltatás részleges vagy teljes megbénítását célzó úgynevezett Denial of Service (DoS) támadások, amelyek az Xbox Live esetében úgy működnek, hogy az üzenetküldő rendszeren keresztül ismeretlenek barátkérő figyelmeztetésekkel zaklatják a felhasználókat. A DoS-támadások alkalmával egy szervert olyan sok kéréssel bombáznak, hogy a rendszer a feladatokat egyszerűen nem képes ellátni, és legrosszabb esetben összeomlik.
A Microsoft a problémát felismerve korlátozta az egyszerre kiküldhető barátkérő üzenetek számát, a felhasználók pedig úgy védekezhetnek, hogy az üzenetküldő állapotát "Nem vagyok a számítógépnél" módba állítják. Az igazgató azt tanácsolja minden Xbox Live felhasználónak, hogy távolítsa el a profilhoz mentett bankkártya-információkat. Ezekre az adatokra az előfizetés automatikus megújítása miatt van szükség, ha a felhasználó ezt a kényelmi szolgáltatást nem kívánja igénybe venni, máris biztonságban érezheti magát. A csalók megtévesztése érdekében a valótlan információkat kitöltött Xbox Live profillal még inkább csökken a sebezhetőség veszélye.
A Microsoft és a biztonsági cégek sem tudnak hatékony megoldást a felhasználók egymás közötti peer-to-peer (P2P) fájlcserélésnél fellépő biztonsági rések ellen, mert az adatfolyam közvetlenül a felhasználók között zajlik, így egyedül a bizalmatlanság lehet a támadásokkal szembeni legjobb védekezés. Magyarországon a személyes információk rossz kezekbe kerülése kevésbé fenyegeti a felhasználókat, ugyanis hivatalosan itthon mind a mai napig nem érhető el az Xbox Live, jóllehet a területi korlátozás egy külföldi cím megadásával megkerülhető.