Компьютерра - Журнал "Компьютерра" №710 Страница 12

Кроме того, Хоглунд и Макгроу выдвигают еще несколько веских, по их мнению, доводов относительно полезности своей работы. Во-первых (этот аспект многократно подчеркивается и другими авторами по самым разным поводам), в виртуальных мирах игр ныне крутятся реальные и весьма большие деньги. Во-вторых, огромное множество игроков по сию пору совершенно не в курсе, каковы подлинные масштабы жульничества. И в-третьих, безопасность программ для онлайновых игр имеет не просто много, а очень много критически важных моментов, которые напрямую связаны с проблемами безопасности других, более важных разновидностей программного обеспечения.

Как практикующие эксперты по компьютерной безопасности, авторы книги уверены, что для всестороннего понимания системы надо знать не только как она работает, но и как она ломается. Единственный же путь к этому - выявлять и досконально изучать все слабые места системы.

Завтра

Массивно-распределенные онлайновые игры имеют чрезвычайно сложное программное обеспечение. Благодаря гигантскому числу пользователей это ПО постоянно проверяет на прочность распределенные клиент-серверные архитектуры. Поскольку почти любое современное ПО в конечном счете становится массивно-распределенным, сегодняшние игры - это завтрашний день остальных программ.

Предисловие, вступление и первая глава "Эксплуатации онлайновых игр" дают развернутое объяснение причин, побудивших авторов взяться за описание средств и методов жульничества. Хоглунд и Макгроу принадлежат к довольно узкой группе специалистов, умеющих работать в стиле "хакинг для защиты". Подробно исследуя всевозможные уязвимости систем, они выпустили уже несколько книг об эксплуатации слабостей защиты программного обеспечения. По всеобщему признанию это весьма полезные руководства для тех, кто пытается строить надежные, хорошо защищенные программы.

Итак, почему же на сей раз особое внимание авторы уделили играм? Прежде всего потому, что уже сформировалась крупная виртуальная экономика, которая на множестве направлений пересекается с "реальной" экономикой и оперирует вполне реальными деньгами. С тех пор, как геймеры начали продавать ценимые в играх способности, "игровое золото" и даже целиком персонажей, объекты игр обрели конкретную денежную стоимость в реальном мире. Одновременно мир игр, вроде World of Warcraft, EverQuest и онлайнового покера, привлек интерес и криминального мира. Торговля игровыми объектами ныне тесно переплетена с онлайновым мошенничеством, хищениями персональных данных и отмыванием денег. Так, в разгар финальных игр Суперкубка по американскому футболу сайты главных стадионов США были заражены троянцем, который наряду с кражей финансовой и персональной информации пользователей целенаправленно искал и похищал из компьютеров данные аккаунтов участника World of Warcraft.

Вторая глава ("Хакинг") содержит развернутое обсуждение разнообразных способов манипуляции играми. Большинство этих способов изложено на концептуальном уровне, хотя некоторые вещи разбираются очень подробно и с примерами, включая макрокоды и подпрограммки на языке C. Здесь же анализируются контрмеры, применяемые в играх для борьбы с жульничеством, и несколько популярных способов для обхода этих контрмер.

Глава три ("Деньги") на конкретных примерах исследует работу виртуальной экономики игровых миров. И хотя в предисловии подчеркивается важность экономического аспекта, в самой книге об этом говорится скупо. Впрочем, необъятное, как известно, объять нельзя.

Не может похвастать широтой охвата и глубиной и четвертая глава ("Адвокаты"), в которой собраны сведения об американских законах, регулирующих копирайт и смежные области защиты интеллектуальной собственности, а также рассмотрены всевозможные юридические и технические зацепки, встраиваемые разработчиками ПО в EULA (End User License Agreement, лицензионное соглашение конечного пользователя).

Пятая глава посвящена ошибкам в программном обеспечении игр. Точнее, тому, каким образом геймеры могут использовать баги в собственных целях - для взаимодействия со сложными функциями и состояниями игры.

В главе шестой разбираются инструменты и техники, применяемые для манипуляций клиентским программным обеспечением. С определенными оговорками можно утверждать, что содержание главы - это та самая суть, ради которой и была написана книга. Ибо именно с толстого (то есть функционально продвинутого) клиента идет подавляющее большинство злоупотреблений и манипуляций слабостями игровой системы. Глава в изобилии насыщена примерами и кодами на языке Си; в данном контексте это вполне оправданно.

Седьмая глава ("Строительство ботов") тематически тесно связана с предыдущей и столь же насыщена строками С-кодов, используемых при создании программных роботов, жульничающих в играх ради преимуществ для своих владельцев.

Глава восьмая - это, можно сказать, другое ответвление главы шесть, направленное в сторону обратной инженерной разработки ПО. Здесь тоже рассмотрен разнообразный инструментарий, применяемый для вскрытия программ. Дается и весьма подробный обзор базовых функций ассемблера.

Девятая глава посвящена продвинутому хакингу игр. В ней главным образом разбирается модифицирование программ, управляющих работой клиента или альтернативного игрового сервера.

Финальная, десятая глава ("Безопасность программ превыше всего") предназначена, судя по всему, для красивого перехода от технических подробностей к выводам самого общего характера. Глава начинается несколько запоздалым заявлением о том, что главная цель книги - "понять важность безопасности в массивно-распределенных программных системах, имеющих миллионы пользователей". Эта цель, напомним, прописана в подзаголовке книги, однако за подробным разбором приемов хакинга углядеть ее не так-то просто. Чтобы компенсировать это упущение, глава 10, по сути дела, представляет собой краткий обзор множества полезных, но, строго говоря, общеизвестных основ в деле защиты программного обеспечения.

Еще

Для Хоглунда и Макгроу, авторов новой книги о хакинге онлайновых игр, это далеко не первая работа по компьютерной безопасности. Они уже выпустили с полдюжины книг, посвященных руткитам, безопасному программированию и взлому кодов. Подробности можно найти на сайтах www.buildingsecurityin.com и www.rootkit.com.

При рецензировании любой книги считается дурным тоном затевать разговор о том, чего в тексте нет. Ибо рецензия по определению должна быть посвящена тому, что в книге есть. Однако для данной статьи новое исследование о хакинге игр - это не столько тема рецензии, сколько наглядный повод обсудить общую ситуацию в мире компьютерной безопасности. А потому вполне уместно перечислить и те моменты, которые в книгу не вошли или обсуждаются лишь мимоходом.

Например, все технические главы работы посвящены тому, как серверы системы компрометируются со стороны клиентского ПО. Но нет почти ничего о том, как общие слабости игровой системы могут делать крайне уязвимыми для сетевых атак клиентскую сторону и компьютеры пользователей. Дыры в клиентском ПО могут открывать компьютер для проникновения шпионов, похищающих чувствительную информацию о пользователях либо прокладывающих путь другим вредоносным программам. В реальном мире есть множество такого рода проблем, тесно связанных с другими клиентскими программами, вроде средств для быстрых коммуникаций или пиринговых файлообменов.

Кроме того, за рамками книги осталось множество проблем, связанных именно с безопасностью массивно-распределенных систем, насчитывающих сотни тысяч одновременно играющих пользователей. Например, совсем не затронут социальный инжиниринг применительно к совместной работе больших групп людей. То же касается самозарождающихся (emergent, эмерджентных) новых свойств системы в целом, возникающих при взаимодействии простых функций, оперирующих на очень большом числе узлов. Не анализируется мощь согласованных действий пользователей в крупных распределенных системах. Наконец, нет ни слова о взаимосвязи между игровыми сетями и ботнетами, сетями вредоносных программных роботов, в последнее время ставшими головной болью для компьютерной безопасности.

Если же копнуть глубже, неизбежно возникнет вопрос о необходимости открытого обсуждения всех уязвимостей. Книга Хоглунда и Макгроу в этом отношении может служить образцом. В индустрии компьютерных игр, спору нет, ставки не столь высоки, как в авиации [см. врезку], однако возникающие и тут и там проблемы имеют много общего. Как и в авиации, разработчики делают серьезные финансовые вложения в успех и производительность своих систем. Однако и остальные участники ставят на кон достаточно много. Онлайновый виртуальный мир, подобный World of Warcraft, порождает собственную экономику, и постоянно расширяется круг людей, чье благосостояние полностью или частично зависит от заработков внутри игровых миров. Валюта игровых миров обменивается на доллары и евро. Экономисты по сию пору оживленно спорят о точном смысле и стоимости валового продукта в виртуальных пространствах, однако в смысле делания денег виртуальная экономика столь же реальна, как и купля-продажа акций на бирже.