Proteja-se: a segurança nos jogos é uma verdadeira batalha
Análise de dados por Camila Cabrera Camacho
Edição de texto por Maria Vlasak
Agradecimentos especiais a Chris Finch, Alan Evans, Dan Greer, Ken Eaton e Todd Loewenstein por sua experiência
O setor de jogos é, sem dúvida, um dos mais influentes do nosso tempo. Com 2,58 bilhões de jogadores de videogames em todo o mundo e um valor avaliado de US$ 184,4 bilhões, esse setor gigantesco continuará crescendo à medida que cada geração se torna mais dependente da tecnologia. Nesta série de posts do blog em três partes, exploraremos o maravilhoso mundo dos jogos de algumas perspectivas diferentes.
Neste primeiro post, vamos nos concentrar nos desafios de segurança analisando as estatísticas dos últimos 18 meses (janeiro de 2023 a junho de 2024).
No segundo post, vamos falar sobre 3D e sobre as pessoas por trás dos jogos (em ambos os lados da tela).
☁️ No terceiro e último post, a série terminará com uma visão técnica dos jogos distribuídos em nuvem.
Estejam a postos, profissionais de segurança
Uma das coisas mais interessantes do setor de jogos é sua posição de segurança específica: há armadilhas cibernéticas em todos os lugares, tanto para os jogadores quanto para os desenvolvedores. O jogador médio é mais experiente em tecnologia do que a maioria dos consumidores de outros setores, o que significa que uma “ameaça interna” no setor de jogos pode vir de dentro da rede ou de dentro da sua realidade digital.
Esse setor também tem um perfil predominante e altamente específico de agente de ameaças: o encrenqueiro. Um streamer diz que não gosta de algo? O encrenqueiro desenvolverá um bot para derrubar a conexão do streamer. Um encrenqueiro também pode desenvolver confiança fingindo ser um aliado no jogo, só para depois enviar cargas ou URLs mal-intencionados pelo chat.
Diferentes aspectos de um grupo demográfico tecnologicamente experiente
O setor aprecia a abertura e a colaboração entre os jogadores, além de ter a mentalidade tecnológica que, pela sua natureza, representa uma antítese à difícil questão da segurança. Alguns comportamentos vistos como suspeitos ou mesmo mal-intencionados na esfera de segurança não apenas são comuns no setor dos jogos, mas também são adotados e incentivados; por exemplo, o uso de mods é parte integrante da cultura dos jogos, enquanto o uso de bots é considerado parte da experiência de jogos em alguns cenários.
A comunidade de segurança sabe muito bem que as mesmas táticas, técnicas e procedimentos que dão o charme à comunidade também podem ser usados para o mal. Pessoas interessadas em jogos e pessoas com conhecimentos técnicos se sobrepõem no diagrama de Venn, o que cria oportunidades para a quebra de regras e descobertas técnicas.
Isso também significa que as metas dos invasores podem ser diferentes, e essas diferenças influenciam as tendências de ataque. Além do mundo dos jogos, onde mais você pode usar bots para obter moedas em duas realidades diferentes? Você pode até fazer isso ao mesmo tempo, se quiser.
Neste post, abordaremos os desafios de segurança que observamos no setor de jogos nos últimos 18 meses.
Pilhagem no mundo virtual — e fora dele
Além das preocupações cibernéticas entre jogadores, o setor de jogos ainda precisa lidar com todos os outros desafios de segurança. Todos sabemos que os invasores que agem pensando no dinheiro tentam explorar todas as opções possíveis para esse fim, e o setor é muito atraente em termos financeiros.
As ciberameaças nem sempre são de caráter técnico (como sabemos bem!), e comportamentos nefastos não são exclusivos dos invasores. Alguns direcionamentos de anúncios de jogos para dispositivos móveis podem ser vistos como mal-intencionados ou até mesmo antiéticos, embora não ilegais. Entretanto, é claro que isso vale para a publicidade em geral; não é algo específico do setor de jogos. Independentemente da intenção, os anúncios direcionados afetam os hábitos financeiros dos jogadores, que, por sua vez, influenciam os próximos objetivos dos invasores.
Assinaturas
As editoras de jogos podem ter de gastar milhões de dólares para desenvolver uma criação do tipo Triplo-A (AAA), e esse custo chega ao consumidor. A diferença entre US$ 60 e US$ 70 por produto não é insignificante, e pode afetar a decisão de jogadores preocupados com seu orçamento sobre a compra (ou não) de um jogo, especialmente com a variedade de serviços de assinatura disponíveis.
Assim como em gêneros de mídia semelhantes, os serviços de assinatura são dominantes no mundo dos jogos. O grande número de jogos no mercado faz com que seja financeiramente inviável comprá-los em sua totalidade. Incluindo opções móveis, existem vários serviços de assinatura de jogos disponíveis hoje, todos lutando por uma parte desse bolo de US$ 11,7 bilhões de dólares.
Aritmética de ataque
Vamos fazer os cálculos: mais serviços de assinatura = mais contas de usuário = mais oportunidades para ataques de preenchimento de credencial ou violações de contas. E com mais marcas passivas de apropriação indevida, há mais conteúdo a ser imitado em campanhas de phishing ou outros golpes.
O excesso de assinaturas é real e custa caro. Há também a questão de espaço de armazenamento físico ou virtual a ser considerada.
Os ataques de DDoS da camada 7 ganham força
Os ataques de negação de serviço distribuída (DDoS) da camada 7 aumentaram 94% ano a ano. Os números dos ataques permanecem altos: em 4 dos 18 meses analisados (junho, agosto e dezembro de 2023 e maio de 2024), foram observados mais de 25 bilhões de ataques de DDoS da camada 7 ao longo de cada um desses únicos meses (Figura 1).
Fig. 1: ataques de DDoS da camada 7 por mês
Os meses de janeiro a março de 2023 tiveram o menor número de ataques da camada 7, com menos de 15 bilhões de ataques mensais cada. A trajetória ascendente desse vetor é impressionante: fevereiro de 2024 teve o menor número de ataques mensais em 2024 até agora, com mais de 19 bilhões, o que significa que o menor número de ataques mensais em 2024 até o momento ainda é maior do que o número de ataques em janeiro, fevereiro, março e abril de 2023.
Ataques da camada 7 assolam a APJ
Considerando que a região Ásia-Pacífico e Japão (APJ) teve a maior receita global do setor de jogos em 2023 (US$ 85,8 bilhões) e que os 179 bilhões de jogadores apenas nessa região representam 23% da população, o impacto da APJ no setor é colossal.
Neste ano, a formidável região APJ bateu seu recorde de ataques de DDoS da camada 7: 186 bilhões nos últimos 18 meses (Figura 2).
Fig. 2: ataques de DDoS da camada 7 por região, de 1º de janeiro de 2023 a 30 de junho de 2024
O momento certo para solicitações de bots
Não se pode falar sobre segurança sem falar sobre bots; eles são predominantes em praticamente todos os setores. No entanto, os objetivos de criadores de botnets podem diferir muito nos jogos em comparação aos setores financeiros (ou outros), e o papel que o bot busca desempenhar pode nos ajudar a determinar muitas coisas sobre o próprio criador de um botnet .
A época do ano é outro fator relevante no comportamento dos invasores. Os períodos a seguir parecem estar especialmente propensos a solicitações de bots.
Janeiro e junho
As solicitações de bots tiveram um crescimento de 391% do primeiro trimestre de 2023 ao primeiro trimestre de 2024. Essa marca foi atingida cedo — 2024 começou com um número recorde de solicitações de bots no setor de jogos: 147 bilhões. Em um mês (Figura 3).
Fig. 3: solicitações de bots direcionadas a jogos por mês
Junho teve um número parecido com o de janeiro (145 bilhões), mais que o triplo do índice de junho de 2023. Para colocar esses números em perspectiva: durante todo o período observado, a região da Europa, Oriente Médio e África (EMEA) teve apenas 59 bilhões de solicitações de bots (Figura 4).
Fig. 4: solicitações de bots por região nos últimos 18 meses
Primeiro e segundo semestre
Como a promoção de verão (no Hemisfério Norte) do Steam sempre acontece em junho e julho, é provável que esses dois meses continuem tendo um grande volume de tráfego de bots. Essa teoria se respalda na tendência reproduzida nos meses de dezembro de 2023 e janeiro de 2024, período das promoções de inverno do Steam. Essa teoria também se baseia no fato de que a maioria das solicitações de bots vieram da América do Norte — 845 bilhões, para ser exato.
Esses dois períodos (junho/julho e dezembro/janeiro) tendem a mostrar um aumento da atividade online durante temporadas de muitos gastos, tornando-os períodos lucrativos para as ações dos invasores. Os próprios jogadores, bem como as empresas de jogos, ficam especialmente sob um cerco digital nesses períodos.
Ataques a firewalls de aplicativos da Web
Os ataques na Web no setor de jogos cresceram 94% do primeiro trimestre de 2023 ao mesmo período de 2024. O aumento mais constante foi nos ataques a firewalls de aplicativos da Web (WAFs). Após a queda dramática em maio de 2023, é possível observar uma tendência ascendente consistente mês a mês. O mês de junho de 2024 apresenta o número mais alto até o momento, com 1 bilhão (Figura 5).
Fig. 5: ataques a WAFs no setor de jogos por mês
Maio e junho de 2024 tiveram aumentos alucinantes no ano passado, com 451% e 504%, respectivamente. Acreditamos que esses números continuarão subindo à medida que o uso de aplicativos e APIs aumenta.
Em detalhes: ataques tradicionais na Web
Quando detalhamos esses números ainda mais e analisamos apenas os ataques tradicionais na Web (SQLi [injeção de linguagem de consulta estruturada], CMDi [injeção de comando], LFI [injeção de arquivo local], XSS [cross-site scripting], RFI [inclusão de arquivo remoto] e SSRF [falsificação de solicitação no lado do servidor]), vemos que a SQLi foi a maior ameaça na Web para o setor de jogos durante o período observado, com mais de 700 milhões de ataques (Figura 6). Isso não está limitado às empresas de jogos: os ataques por SQLi podem ameaçar você como jogador também.
Fig. 6: ataques tradicionais na Web por tipo em jogos
A LFI tem crescido de forma consistente em todos os setores nos últimos anos. Ela pode levar a outros ataques baseados na Web (como XSS) e, em alguns casos, à execução remota de código. Certamente, é algo que uma editora de jogos deve considerar.
Os ataques por SQLi não ficaram apenas no topo, mas também foram os mais incrivelmente esporádicos, o que indica a natureza dos jogos. A Figura 7 traz um detalhamento mensal dos números mostrados na Figura 6, e a trajetória dos ataques por SQLi pode deixar você tão atordoado quanto em jogos em primeira pessoa cheios de movimentos bruscos.
Fig. 7: ataques tradicionais na Web em jogos por mês
No primeiro trimestre de 2023, houve um lançamento rápido de jogos que faziam parte do grupo de títulos atrasados pela covid-19. O adiamento contínuo das datas de lançamento como resultado da pandemia aumentou a demanda por esses jogos, o que provavelmente contribuiu com o grave aumento de SQLi durante o período. A natureza esporádica dos ataques por SQLi também pode explicar as diferenças nas metas dos invasores.
Aumento em ataques na Web na América do Norte com diferenças monumentais
Para os seres humanos, é difícil assimilar a diferença entre 1 milhão e 1 bilhão, sem contar na vastidão entre 332 milhões e quase 9 bilhões. Essa é a diferença combinada entre o número de ataques na Web nas regiões EMEA e APJ em comparação com a América do Norte entre 1º de janeiro de 2023 e 30 de junho de 2024 (Figura 8).
Fig. 8: ataques na Web por região entre 1º de janeiro de 2023 e 30 de junho de 2024
Créditos finais
Os jogos e outros gêneros "nerdísticos" muitas vezes inspiram inovações concretas em pequenas e grandes proporções. Do cosplay aos carros autônomos, os luxos e estilos de vida do mundo digital foram trazidos à realidade graças à comunidade de jogos.
Quanto mais digitais nossas vidas se tornarem, mais valioso será aperfeiçoar os conhecimentos em jogos, e isso pode ter efeitos positivos na sua carreira. Os videogames exigem um nível de curiosidade e solução de problemas que é absolutamente transferível para o sucesso corporativo, algo que tanto empresas quanto universidades estão percebendo e abordando.