Rischi per la sicurezza di Mods di gioco

Naviga le tue risposte
2

Ho letto il seguente post e anche se le domande erano specifiche per SkyRim, la risposta più generale era che dipendeva dal gioco. Volevo porre una domanda più generica ai membri della sicurezza.

La preoccupazione principale sembrava essere il tipo di estensione del file e il linguaggio utilizzato per la mod. Avevo l'impressione che qualsiasi codice possa fare quasi tutto ciò che gli piace, quindi non sono sicuro di come la lingua sarebbe importante. Inoltre, capisco che un eseguibile è più pericoloso di un semplice file di configurazione basato sul testo.

  1. Quanto sono pericolose le mod di gioco, la lingua e il tipo di file contano, e come posso decidere per ogni singolo gioco?
  2. Inoltre, la malignità / sfruttabilità dipende dal file mod che sto scaricando, o dal tipo di file che il mod-file sta modificando?
  3. Un AV decente con firme / euristiche raccoglierà un carico utile malevolo?
  4. Le mod possono essere esaminate in un debugger (OllyDBG) o in un altro strumento (quale tipo)?

In somma: come posso modificare in modo sicuro?

    
posta user58446 09.02.2015 - 12:11
fonte

3 risposte

6

Le mod possono certamente essere utilizzate come vettori di infezione. Molto dipende da una questione di fiducia. Una mod con decine di migliaia di download e nessuno che suggerisce di aver avuto problemi è probabile che sia OK (anche se ancora nessuna garanzia!).

In un mondo ideale:

  • Ove possibile, evita le mod che hanno un programma di installazione. Ci sono alcune situazioni che questo non può essere fatto, ma le mod con installatori sono probabilmente la più grande minaccia. Molti utenti faranno felicemente clic su una richiesta di privilegi amministrativi da un programma di installazione.
  • Scarica le mod da fonti attendibili. Assicurati di scaricare sempre la mod mentre il creatore l'ha rilasciata, e non respinta da nessun altro!
  • Controlla le sezioni dei commenti per la mod e fai una rapida ricerca su google con parole chiave come "virus".
  • Come nella prima sezione di questa risposta, preferisci le mod popolari a quelle con quasi tutti i download.

Non è possibile rispondere a sezioni della tua domanda con informazioni utili, poiché ci sono così tanti diversi tipi di mod disponibili con grandi differenze tra loro. Tuttavia, generalizzando:

How dangerous are gaming mods, does language and file-type matter, and how can I decide these for each individual game?

Quanto è lungo un pezzo di spago? Le mod possono essere molto pericolose o non pericolose affatto. Il tipo di file è certamente importante. Le mod che sostituiscono semplicemente le trame, o aggiungono nuovi modelli, ecc., Sono improbabili che causino problemi. Le mod che usano gli installer .exe sono qualcosa di cui diffidare.

Does the maliciousness/exploitability depend on the mod file I am downloading, or the type of files the mod-file is modifying?

Entrambi. Se la mod che stai scaricando è un .exe, è un rischio maggiore rispetto a se è un .zip o .rar (in generale). Se il file mod sostituisce solo alcune trame o file di configurazione, è un rischio molto inferiore rispetto a quello che sostituisce l'eseguibile del gioco ...

Will a decent AV with signatures/heuristics pick up a malicious payload?

Speriamo, ma non fare affidamento su di esso.

Can mods be examined in a debugger (OllyDBG) or other tool (which type)?

Ancora una volta, ciò dipenderà da cosa è la mod e da cosa fa. È certamente possibile controllare i file .exe in un debugger, ma sinceramente non li eseguirò affatto. Oppure eseguili in modalità sandbox in una VM se devi eseguirli veramente per controllarli in un debugger.

    
risposta data 09.02.2015 - 12:28
fonte
1

Esistono diversi tipi di mod.

  • Modifiche che aggiungono o sostituiscono file di contenuti di gioco come immagini, modelli o mappe. Questi di solito dovrebbero essere innocui, a meno che non sfruttino un bug nel motore di gioco che gestisce queste risorse.
  • Modifiche che aggiungono la logica di gioco sotto forma di script. Molti giochi hanno un motore di scripting che consente alle mod di eseguire una logica programmata limitata. A volte questi motori di scripting sono molto potenti e non correttamente sandbox, quindi permettono ai mod di fare cose che una mod non dovrebbe fare, come ad esempio accedere a file che non fanno parte del gioco e aprire connessioni di rete.
  • Modifiche che sostituiscono o sostituiscono l'eseguibile del gioco. Questi sono sempre pericolosi, perché possono trasformare il gioco eseguibile in malware quando lo desiderano. Fai attenzione anche a tutte le mod che vengono fornite con .DLL, perché contengono anche codice binario che viene eseguito nel contesto dell'eseguibile del gioco.
  • Mod che hanno un componente eseguibile. Questo può essere un programma di installazione che viene eseguito una sola volta o un programma complementare che viene eseguito mentre il gioco è in esecuzione. Inutile dire che anche questi sono privilegiati per fare tutto ciò che vogliono.
risposta data 09.02.2015 - 15:43
fonte
1

Ho intenzione di gettare un pezzo di paranoia qui (semplicemente a causa di cose che ho fatto di recente sull'hardware della console), mentre il contenuto eseguibile diretto sta sicuramente rendendo la vita molto facile per un attaccante che non è l'unico vettore, tutto ci vuole un buffer di controllo errato in un file di dati di giochi e all'improvviso si ha il potenziale per sfasciare lo stack. In un eseguibile che ha già un sacco di capacità su disco e rete, al di là della capacità del tuo joe medio potrebbe essere del tutto possibile prendere una "mappa" o un "modello" e leggere / scrivere file sul disco, aprendo le prese, forse scrivere sul registro di Windows, magari installando un keylogger o chissà cosa.

È solo un piccolo passo da li per eseguire il proprio codice anziché le chiamate di funzioni distrutte in detto gioco. E poi hai la proprietà completa di un utente di un determinato sistema

    
risposta data 09.02.2015 - 17:07
fonte

Leggi altre domande sui tag

3DES è obsoleto per l'elaborazione del codice di autenticazione dei messaggi? Metodi di analisi della cripta per rompere o trovare debolezza in un algoritmo di crittografia? [chiuso]