¿Pueden los mods de juego crear vulnerabilidades de desbordamiento de tampón?
https://stackoverflow.com//questions/21032142
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
No, por lo general, no publico en los foros porque normalmente puedo encontrar ninguna respuesta que necesito usando Google. Sin embargo, cada búsqueda que estoy ejecutando es darme resultados muy específicos, como las vulnerabilidades de desbordamiento de búfer que ya existen para un juego o sistema específico que no es lo que necesito.
Tengo una red doméstica que incluye Windows Server 2008 R2 y mi hijo quiere iniciar un servidor Minecraft, que, por supuesto, quiero darle acceso completo para que pueda aprender. Sin embargo, sé que cada juego es "moddable" y usa mapas personalizados y similares en muchos de sus juegos.
Mi preocupación es que voy a crear riesgos de seguridad en mi red basada en la programación inexperta. Le dará la capacidad de instalar y crear mods en mi servidor potencialmente abiertos vulnerabilidades (fuera de los puertos de Minecraft abiertos) debido a la posible inexperiencia de las personas que realmente escriben los mods? ¿O los mods simplemente simplemente no funcionan de esa manera y no puedo encontrar una respuesta a mi pregunta porque está retrasado y nadie realmente programas un mod lol?
Solución
Depende de la forma en que funciona el sistema MOD para el juego, y si el juego en sí está sandboxed. Es importante destacar que ningún software es perfectamente seguro. Tienes que decidir qué nivel de seguridad y confiabilidad con la que estás contento.
Hay varias formas en que un mod podría exponer una vulnerabilidad:
- El juego podría permitir el acceso a MOD a un conjunto de acciones inadecuadamente permisivas, como el acceso al sistema de archivos. Esto puede incluir al desarrollador, no de arena, el mod correctamente.
- El MOD podría explotar una vulnerabilidad en la API del juego para acceder a las acciones, el desarrollador del juego no pretendía. Esto sería debido a un error en la API.
- El MOD podría explotar una vulnerabilidad en el motor de idioma (por ejemplo, Java tiene una larga historia de vulnerabilidades de seguridad).
- El mod en sí podría ser vulnerable al ataque, y podría hacerse lanzar uno de los ataques anteriores.
Si el sistema de modificación está basado en script o vm, como LUA, JavaScript o Java, me sentiría Relativamente Seguro Instalación de mods (siempre que el juego tenga una API / Sandbox) bien implementada), Porque las explotaciones 2-4 son relativamente poco probables.
(Mi comprensión de nativa Code Mods / Plugins es limitada, pero estoy bastante seguro de que debe confiar en un mod nativo si desea ejecutarlo. Incluso si lo hace, todavía puede ser explotable.)
Mi comprensión de Minecraft Mods es que están escritos en Java. Mi sentimiento sobre los chicos de Mojang es que saben lo que están haciendo, así que me sorprendería si su API mod no es excepcionalmente bien diseñada e implementada. Dicho esto, la instalación de MODS necesariamente introduce un riesgo de seguridad.
Si este riesgo es inaceptable, puede reducirlo introduciendo profundidad al sistema. ¿Por qué no, digamos, ejecute su servidor Minecraft en una máquina virtual, con acceso limitado a la red (solo los puertos requeridos, por ejemplo)? De esa manera, el impacto de las vulnerabilidades se reduce enormemente.
Recomendaría crear una VM de Ubuntu en VirtualBox (porque ambos están libres como en cerveza), pero puede instalarlo en cualquier sistema operativo con el sistema operativo.
Otros consejos
Las vulnerabilidades de invadición de tampón están asociadas con los lenguajes de programación que permiten el acceso a la memoria sin marcar.Minecraft está escrito en Java, un idioma que no es susceptible a los excesos de amortiguamiento, por lo que es muy poco probable que un mod de Java pura exhibiera algo que se asemeja a este tipo de vulnerabilidad.
Naturalmente, los programas en Java aún pueden ser vulnerables a otros tipos de problemas de seguridad, ya sea contra el juego en sí (por ejemplo, ha habido explotaciones de inicio de sesión de la cuenta de juego contra los servidores Minecraft) o en contra del servidor (no estoy al tanto de cualquier conocidoCasos de esto para Minecraft, pero siempre es posible).Las mitigaciones habituales para los servidores de ejecución se aplican, por ejemplo, bloquear el acceso a la red a buenos IPs si es posible, ejecute el servidor como usuario limitado y así sucesivamente.
