SlideShare una empresa de Scribd logo

Seguridad en los videojuegos - GoD Mode

Zink Security
Zink Security
Tecnología
1 de 45
Descargar para leer sin conexión
Agenda I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar…
¿Quiénes somos? • Juan Antonio Calles (@jantonioCalles) • Jefe de Proyectos de Seguridad en everis • www.flu-project.com • elblogdecalles.blogspot.com
¿Quiénes somos? • Pablo González (@fluproject) • Responsable de Seguridad en Informática 64 • www.flu-project.com • www.seguridadapple.com • www.windowstecnico.com
Antecedentes
¡Se pueden hacer las cosas bien! 
Entrevista a Carles Pons, director de tecnología de Akamon Entertainment (mundijuegos.com) • 9 millones de usuarios registrados • Presencia en más de 7 países • Funcionando en varios idiomas. http://www.securityartwork.es/2013/02/20/entrevista-a-carles-pons-director-de- tecnologia-de-akamon-entertainment/
¿Qué tipos de ataques son los más generalizados? Tenemos bastante variedad, aunque nada distintos de los que suelen ocurrir otras plataformas online: perfiles falsos para suplantar a usuarios, robo de cuentas, intentos de phishing, intentos de recargar fichas de forma fraudulenta, ataques de fuerza bruta… Con tantos usuarios ¿cómo detectáis y actuáis ante posibles “tramposos” cuando no se está recibiendo un ataque puramente tecnológico? Tenemos un equipo de gestión de usuarios y soporte al cliente que rápidamente detecta los intentos de hacer trampas, y en ese caso siempre procedemos con el bloqueo de los tramposos
Prácticamente todo el negocio de Akamon depende de vuestros juegos los cuales están hechos en Flash. Recuerdo que hace pocos años casi todos estos juegos podían “trampearse” con relativa facilidad a base de modificar variables con Cheat Engine, descompiladores de Flash, manipulando las peticiones, etc. ¿Cuál es el panorama actual de la tecnología Flash con respecto a la seguridad de las aplicaciones? Hoy en día este tipo de problemas ya no existen. Basta con mover toda la lógica de los juegos a la parte del servidor por lo que cualquier petición o valor que se manipule en el cliente, a la hora de validarse en el servidor se detectará y corregirá. Desde el reparto de cartas, el número de tiradas, los valores que sacan los dados, el número de casillas a moverse,… todo se calcula en el servidor por lo que está a salvo de este tipo de ataques.
Pero también se pueden hacer muy mal… 
¿Me lo puede decir en pesetas?
Distintos ámbitos
Las medidas de seguridad dependerán de… Web Escritorio
Juego Web Web Escritorio
Web • Mismas medidas de seguridad que en un portal web, compras online, etc. • Validación de parámetros en servidor en vez de en cliente • Bastionado de servidores o Eliminación de servicios innecesarios o Cuentas sin privilegios de administración o Bloqueo de USBs, prohibidas las grabadoras o Etc. • Separación de actividades por servidores o Servidor de aplicaciones o Servidor de bbdd o Etc.
Web • Protección Anti-DoS y ante ataques de fuerza bruta • Arquitectura dimensionada a las necesidades • Actualizaciones periódicas de la infraestructura • Antivirus • Filtros de inyecciones web: o XSS o Xpath Injection o Blind Injection o CSRF o Path traversal o SQL Injection o Etc.
Web ¿SQL Injection? ¿¿Ezoo ke ee??
Web
Web
Ganar siempre al Apalabrados • Suplantación de la cookie del contrincante, si estamos en la misma red • Hacer jugadas malas • Pedir rendirse • Pedir pasar turno :P
Ganar siempre al Mezcladitos • Si interceptamos las peticiones con un proxy podemos modificar la petición, para hacer uso de las letras que más nos convengan. • Ocurre porque no hay una validación adecuada en el lado del servidor
Juego Escritorio Web Escritorio
Escritorio • Protección frente a vulnerabilidades de código: o No hay XSS, CSRF, Path traversal, etc. o Pero sí hay inyecciones (SQL Injections, Xpath, etc.) o Buffer overflow (Ej. Exploits Xbox, Wii, etc.) • Cifrado de datos o Contraseñas o Variables importantes del juego • Ofuscación de código o Dificultando la vida a los reversers • Cuidado con la Ram… ¡leches! o Demo HxD
A jugar…
Recuperando una clave de un videojuego
Recuperando una clave de un videojuego
Recuperando la clave con Net Reflector
Recuperando la clave con Net Reflector
Validando la clave
Recuperando la clave con Net Explorer
Recuperando la clave con Net Reactor
Recuperando la clave con Net Reactor
¿Soluciones? • Ofuscar el código: o Por ejemplo, con Eazfuscator o NetReactor (.Net) • Intentar separar el contenido de una cadena en partes y cifrarlas por separado: o Ej. Malo: password = 123456; o Ej. Bueno: p1 = 123; P2 = 456; p1=cifrar(p1); p2=cifrar(p2); password=p1+p2;
Eazfuscator
Modificando balas en el CS
Recomendaciones de desarrollo seguro • Uso de OWASP Top 10 y OWASP Testing Guide • Tu app con interacción web: – Filtrado de parámetros • Evitar SQL Injection • Evitar XSS • Evitar LFI/RFI – Gestión de cookies • HTTPs (Only) – Almacenamiento/envío de valores de manera segura • Cifrados, conexión segura, certificados, etc.
Recomendaciones de desarrollo seguro • Lógica en el cliente (error) – El servidor debe validar cada interacción!!!! • En el cliente – Almacenamiento de claves seguro (cifrado) – Envío de claves y cookies seguro (HTTPs) – Utilizar mecanismos seguros para borrar valores en la RAM (problema en Android) – Evitar claves inseguras en registro (Windows) – Cookies no permanentes
Recomendaciones de desarrollo seguro • Actualizaciones en los componentes como – Flash – Java Hace poco… Owned!
Nueva patente anti-pirateria
www.flu-project.com @fluproject @jantonioCalles Grupo Flu Project Grupo Flu Project Feeds.feedburner.com/FluProject
Seguridad en los videojuegos - GoD Mode

Recomendados

Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
Marc Pàmpols
 
Videojuegos Y Educacion
Videojuegos Y EducacionVideojuegos Y Educacion
Videojuegos Y Educacion
Ainhoa Ezeiza
 
Presentacion de videojuegos
Presentacion de videojuegosPresentacion de videojuegos
Presentacion de videojuegos
Jose Lopez Gutierrez
 
Videojuegos
Videojuegos Videojuegos
Videojuegos
Soranyelli Perera Gutiérrez
 
Videojuegos ventajas y desventajas
Videojuegos ventajas y desventajasVideojuegos ventajas y desventajas
Videojuegos ventajas y desventajas
Bryan Cachipuendo
 
Powe point video juegos
Powe point video juegosPowe point video juegos
Powe point video juegos
carlos_rome
 
Ensayo sobre los videojuegos
Ensayo sobre los videojuegosEnsayo sobre los videojuegos
Ensayo sobre los videojuegos
Anderson Rodriguez Romero
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 

Recomendados

Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
Marc Pàmpols
 
Videojuegos Y Educacion
Videojuegos Y EducacionVideojuegos Y Educacion
Videojuegos Y Educacion
Ainhoa Ezeiza
 
Presentacion de videojuegos
Presentacion de videojuegosPresentacion de videojuegos
Presentacion de videojuegos
Jose Lopez Gutierrez
 
Videojuegos
Videojuegos Videojuegos
Videojuegos
Soranyelli Perera Gutiérrez
 
Videojuegos ventajas y desventajas
Videojuegos ventajas y desventajasVideojuegos ventajas y desventajas
Videojuegos ventajas y desventajas
Bryan Cachipuendo
 
Powe point video juegos
Powe point video juegosPowe point video juegos
Powe point video juegos
carlos_rome
 
Ensayo sobre los videojuegos
Ensayo sobre los videojuegosEnsayo sobre los videojuegos
Ensayo sobre los videojuegos
Anderson Rodriguez Romero
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 
Más responsabilidad y seguridad en tus datos
Más responsabilidad y seguridad en tus datosMás responsabilidad y seguridad en tus datos
Más responsabilidad y seguridad en tus datos
scr33d
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
Marcos Harasimowicz
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
Gonzalo Vigo
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio Electrónico
René Olivo
 
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
Websec México, S.C.
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
RootedCON
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
Websec México, S.C.
 
Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos
Eduardo Castro
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
Nominalia
 
Arquitecturas Escalables para Aplicaciones Web - Egdares Futch, UNITEC
Arquitecturas Escalables para Aplicaciones Web - Egdares Futch, UNITECArquitecturas Escalables para Aplicaciones Web - Egdares Futch, UNITEC
Arquitecturas Escalables para Aplicaciones Web - Egdares Futch, UNITEC
Alejandro Corpeño
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
VOIP2DAY
 
Hacking Web: Attacks & Tips
Hacking Web: Attacks & TipsHacking Web: Attacks & Tips
Hacking Web: Attacks & Tips
Iván Sanz de Castro
 
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Oskar Laguillo
 
BSides Panama 2022
BSides Panama 2022BSides Panama 2022
BSides Panama 2022
Mauricio Velazco
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
4v4t4r
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Sucuri
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
Jaime Andrés Bello Vieda
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
7th_Sign
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP
7th_Sign
 
Sicsti hacking
Sicsti hackingSicsti hacking
Sicsti hacking
Mackaber Witckin
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
Zink Security
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética
Zink Security
 

Más contenido relacionado

Similar a Seguridad en los videojuegos - GoD Mode

Más responsabilidad y seguridad en tus datos
Más responsabilidad y seguridad en tus datosMás responsabilidad y seguridad en tus datos
Más responsabilidad y seguridad en tus datos
scr33d
 
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
Websec México, S.C.
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Sucuri
 

Similar a Seguridad en los videojuegos - GoD Mode (20)

Más responsabilidad y seguridad en tus datos
Más responsabilidad y seguridad en tus datosMás responsabilidad y seguridad en tus datos
Más responsabilidad y seguridad en tus datos
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio Electrónico
 
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
 
Arquitecturas Escalables para Aplicaciones Web - Egdares Futch, UNITEC
Arquitecturas Escalables para Aplicaciones Web - Egdares Futch, UNITECArquitecturas Escalables para Aplicaciones Web - Egdares Futch, UNITEC
Arquitecturas Escalables para Aplicaciones Web - Egdares Futch, UNITEC
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
 
Hacking Web: Attacks & Tips
Hacking Web: Attacks & TipsHacking Web: Attacks & Tips
Hacking Web: Attacks & Tips
 
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
 
BSides Panama 2022
BSides Panama 2022BSides Panama 2022
BSides Panama 2022
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Sicsti hacking
Sicsti hackingSicsti hacking
Sicsti hacking
 

Más de Zink Security

Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
Zink Security
 

Más de Zink Security (11)

Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética
 
Wargames in your university
Wargames in your universityWargames in your university
Wargames in your university
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink Security
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
 
Cosas que hacer en la biblioteca - flu project
Cosas que hacer en la biblioteca - flu projectCosas que hacer en la biblioteca - flu project
Cosas que hacer en la biblioteca - flu project
 
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
 
Diapositivas ponencia Flu Project en la JITICE 2011
Diapositivas ponencia Flu Project en la JITICE 2011Diapositivas ponencia Flu Project en la JITICE 2011
Diapositivas ponencia Flu Project en la JITICE 2011
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (12)

How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Seguridad en los videojuegos - GoD Mode

  • 1.
  • 3. ¿Quiénes somos? • Juan Antonio Calles (@jantonioCalles) • Jefe de Proyectos de Seguridad en everis • www.flu-project.com • elblogdecalles.blogspot.com
  • 4. ¿Quiénes somos? • Pablo González (@fluproject) • Responsable de Seguridad en Informática 64 • www.flu-project.com • www.seguridadapple.com • www.windowstecnico.com
  • 6. ¡Se pueden hacer las cosas bien! 
  • 7. Entrevista a Carles Pons, director de tecnología de Akamon Entertainment (mundijuegos.com) • 9 millones de usuarios registrados • Presencia en más de 7 países • Funcionando en varios idiomas. http://www.securityartwork.es/2013/02/20/entrevista-a-carles-pons-director-de- tecnologia-de-akamon-entertainment/
  • 8. ¿Qué tipos de ataques son los más generalizados? Tenemos bastante variedad, aunque nada distintos de los que suelen ocurrir otras plataformas online: perfiles falsos para suplantar a usuarios, robo de cuentas, intentos de phishing, intentos de recargar fichas de forma fraudulenta, ataques de fuerza bruta… Con tantos usuarios ¿cómo detectáis y actuáis ante posibles “tramposos” cuando no se está recibiendo un ataque puramente tecnológico? Tenemos un equipo de gestión de usuarios y soporte al cliente que rápidamente detecta los intentos de hacer trampas, y en ese caso siempre procedemos con el bloqueo de los tramposos
  • 9. Prácticamente todo el negocio de Akamon depende de vuestros juegos los cuales están hechos en Flash. Recuerdo que hace pocos años casi todos estos juegos podían “trampearse” con relativa facilidad a base de modificar variables con Cheat Engine, descompiladores de Flash, manipulando las peticiones, etc. ¿Cuál es el panorama actual de la tecnología Flash con respecto a la seguridad de las aplicaciones? Hoy en día este tipo de problemas ya no existen. Basta con mover toda la lógica de los juegos a la parte del servidor por lo que cualquier petición o valor que se manipule en el cliente, a la hora de validarse en el servidor se detectará y corregirá. Desde el reparto de cartas, el número de tiradas, los valores que sacan los dados, el número de casillas a moverse,… todo se calcula en el servidor por lo que está a salvo de este tipo de ataques.
  • 10. Pero también se pueden hacer muy mal… 
  • 11.
  • 12.
  • 15. Las medidas de seguridad dependerán de… Web Escritorio
  • 16. Juego Web Web Escritorio
  • 17. Web • Mismas medidas de seguridad que en un portal web, compras online, etc. • Validación de parámetros en servidor en vez de en cliente • Bastionado de servidores o Eliminación de servicios innecesarios o Cuentas sin privilegios de administración o Bloqueo de USBs, prohibidas las grabadoras o Etc. • Separación de actividades por servidores o Servidor de aplicaciones o Servidor de bbdd o Etc.
  • 18. Web • Protección Anti-DoS y ante ataques de fuerza bruta • Arquitectura dimensionada a las necesidades • Actualizaciones periódicas de la infraestructura • Antivirus • Filtros de inyecciones web: o XSS o Xpath Injection o Blind Injection o CSRF o Path traversal o SQL Injection o Etc.
  • 19. Web ¿SQL Injection? ¿¿Ezoo ke ee??
  • 20. Web
  • 21. Web
  • 22. Ganar siempre al Apalabrados • Suplantación de la cookie del contrincante, si estamos en la misma red • Hacer jugadas malas • Pedir rendirse • Pedir pasar turno :P
  • 23. Ganar siempre al Mezcladitos • Si interceptamos las peticiones con un proxy podemos modificar la petición, para hacer uso de las letras que más nos convengan. • Ocurre porque no hay una validación adecuada en el lado del servidor
  • 24. Juego Escritorio Web Escritorio
  • 25. Escritorio • Protección frente a vulnerabilidades de código: o No hay XSS, CSRF, Path traversal, etc. o Pero sí hay inyecciones (SQL Injections, Xpath, etc.) o Buffer overflow (Ej. Exploits Xbox, Wii, etc.) • Cifrado de datos o Contraseñas o Variables importantes del juego • Ofuscación de código o Dificultando la vida a los reversers • Cuidado con la Ram… ¡leches! o Demo HxD
  • 27.
  • 28. Recuperando una clave de un videojuego
  • 29. Recuperando una clave de un videojuego
  • 30. Recuperando la clave con Net Reflector
  • 31. Recuperando la clave con Net Reflector
  • 33. Recuperando la clave con Net Explorer
  • 34. Recuperando la clave con Net Reactor
  • 35. Recuperando la clave con Net Reactor
  • 36. ¿Soluciones? • Ofuscar el código: o Por ejemplo, con Eazfuscator o NetReactor (.Net) • Intentar separar el contenido de una cadena en partes y cifrarlas por separado: o Ej. Malo: password = 123456; o Ej. Bueno: p1 = 123; P2 = 456; p1=cifrar(p1); p2=cifrar(p2); password=p1+p2;
  • 38.
  • 40. Recomendaciones de desarrollo seguro • Uso de OWASP Top 10 y OWASP Testing Guide • Tu app con interacción web: – Filtrado de parámetros • Evitar SQL Injection • Evitar XSS • Evitar LFI/RFI – Gestión de cookies • HTTPs (Only) – Almacenamiento/envío de valores de manera segura • Cifrados, conexión segura, certificados, etc.
  • 41. Recomendaciones de desarrollo seguro • Lógica en el cliente (error) – El servidor debe validar cada interacción!!!! • En el cliente – Almacenamiento de claves seguro (cifrado) – Envío de claves y cookies seguro (HTTPs) – Utilizar mecanismos seguros para borrar valores en la RAM (problema en Android) – Evitar claves inseguras en registro (Windows) – Cookies no permanentes
  • 42. Recomendaciones de desarrollo seguro • Actualizaciones en los componentes como – Flash – Java Hace poco… Owned!
  • 44. www.flu-project.com @fluproject @jantonioCalles Grupo Flu Project Grupo Flu Project Feeds.feedburner.com/FluProject