Seorang Geek Keamanan Komputer Pergi ke Las Vegas

Las Vegas:
Perspektif IS tentang Mesin Slot Baru

Perjalanan baru bandar togel terbaik di asia -baru ini ke Las Vegas memicu “momen aha”. Setelah saya mengatasi keterkejutan awal tentang betapa banyak hal telah berubah sejak hari-hari ketika saya sering bepergian ke Vegas (saya adalah salah satu dari ribuan orang yang biasa menghadiri acara COMDEX), saya memberanikan diri kembali ke lantai permainan. Selain memiliki lebih banyak meja poker daripada yang saya ingat dari 8 tahun yang lalu, hal yang mengejutkan saya adalah bahwa mesin slot berubah. Di mana dulu lantai permainan penuh dengan “jing, jing, jing” koin yang mengenai nampan logam mesin slot, sekarang ada pembaca kartu magnetik, pemindai kode batang, dan mesin terpisah yang mengubah uang kertas menjadi “kredit” dan kembali lagi. . Uang dikonversi ke bit digital, dicetak pada kartu berkode batang yang dipasang pemain ke mesin slot dan ”

Ternyata Server Based Gaming (SBG) adalah tren terbaru dalam mesin slot dan tidak baru seperti yang saya kira, sudah ada sejak tahun 2006. Jika pikiran Anda seperti saya, Anda sudah memikirkan implikasi keamanan dari belok. berdiri sendiri, mesin slot yang sepenuhnya otonom ke dalam terminal komputer. Tentu saja slot yang berdiri sendiri bukan tanpa masalah, tetapi mendigitalkan data keuangan dan mengirimkannya melalui jaringan memiliki serangkaian kekhawatiran unik yang akan dibuktikan oleh lembaga keuangan mana pun. Menyimpan data di server terpusat adalah Praktik Terbaik Keamanan 101 dan hanya sedikit yang bisa membantah kebijaksanaannya. Namun, masalahnya menjadi lebih rumit ketika kita mempertimbangkan bahwa sebuah kasino memiliki ratusan, bahkan mungkin seribu, mesin slot yang tersebar di ratusan ribu kaki persegi luas lantai. Masalah keamanan awal berkaitan dengan transmisi data: jenis kabel apa yang digunakan (serat adalah yang paling aman tetapi juga paling mahal dan memerlukan peralatan jaringan khusus); apakah mesin itu sendiri bahkan disambungkan untuk menerima serat atau sambungan Cat 5; apakah setiap mesin “dijalankan di rumah” atau dikonsolidasikan pada sakelar yang terletak di salah satu lemari terkunci di bawah mesin slot; jika kabel Cat 5 digunakan, tindakan pencegahan apa yang dilakukan untuk mencegah seseorang “mengendus” kebocoran data elektronik dari kabel; karena pemain diberikan “kartu pembayaran” dengan kode batang di atasnya, algoritma enkripsi apa yang digunakan untuk mencegah pemain mengubah data untuk meningkatkan “pembayaran” mereka ? Industri Game memiliki sejarah panjang dalam menarik penjahat yang sangat pintar (ingat siswa dari MIT yang memenangkan $ 10 juta?). Saya bertanya-tanya berapa lama sebelum sekelompok individu yang berbakat secara intelektual dan termotivasi secara moneter berfokus pada SBG. Faktanya, sebuah studi baru-baru ini yang disponsori oleh National Indian Gaming Commission (NIGC) telah mengidentifikasi beberapa area yang menjadi perhatian SBG.

Temuan NIGC terdengar sangat familiar bagi semua profesional keamanan yang bertugas melindungi sumber daya data perusahaan. Kekhawatiran tentang akses tidak sah, deteksi intrusi, respons insiden, kurangnya kebijakan keamanan, dan rencana pemulihan bencana adalah hal biasa di semua lingkungan Keamanan Informasi. Tindakan proaktif apa yang diambil untuk melindungi jaringan? Apakah Tes Penetrasi yang disponsori secara internal dilakukan? Tantangan melindungi ratusan atau ribuan aset komputer, mengasuransikan Ketersediaan aset dan menjaga Integritas data dari aset ini juga merupakan kekhawatiran sehari-hari bagi CISO. Apa yang membuat Industri Game berbeda adalah jika salah satu dari aset ini disusupi, kerugian finansial bisa mencapai jutaan dolar, dan kemungkinannya adalah serangan tidak hanya menargetkan satu mesin. Dan tidak seperti penipuan kasino di masa lalu, dengan data sekarang disimpan secara elektronik, penyerang tidak harus hadir secara fisik. Kasino sekarang tunduk pada risiko yang sama dengan lembaga keuangan.

Biarkan diri Anda membayangkan skenario “Oceans 131/2”. Jackpot mesin slot progresif adalah $ 14 juta. Teknisi yang tidak puas di pabrik mesin slot mempertahankan “pintu belakang” ke slot SBG untuk menghemat waktu mengemudi dan perjalanan panjang melalui kasino ke mesin tertentu. Kaki tangan ada di tempat memutar roda dan kehilangan dolar demi dolar di slot progresif. Pada saat tertentu, teknisi mendorong “pembaruan perangkat lunak” yang tidak sah ke slot yang mengubah perangkat lunak tiket tunai. Kaki tangan sekarang menguangkan dan menerima tiket yang diubah yang menunjukkan $ 10.000 bukan $ 10. Teknisi kemudian mengganti perangkat lunak asli dan penipuan pindah ke slot lain, kasino lain, kota lain. Dengan hanya sekitar 6 produsen mesin slot di AS, kemungkinan ”

Tapi lebih mungkin dan lebih sedikit “Hollywood-esque” akan menjadi jenis pelanggaran keamanan yang sama yang terjadi pada tingkat yang mengkhawatirkan di industri reguler. Sekelompok peretas menemukan alamat IP yang menarik dan mulai menjelajah. Mungkin alamat IP milik pabrikan mesin slot yang memungkinkan mereka masuk ke LAN pabrikan. Atau mungkin alamat IP milik mesin slot itu sendiri. Atau bayangkan jika IP milik server yang menampung informasi untuk semua mesin SBG di kasino. Lode ibu! Selain harta karun informasi yang terkandung dalam segmen jaringan game, dapatkah penyerang terhubung ke segmen hotel dan layanan makanan dari infrastruktur kasino? Jika demikian, mereka akan memiliki akses ke rim data PII sebagai data kartu kredit. Seperti yang diketahui oleh setiap penggemar game, “paus” adalah darah kehidupan kasino dan multi-miliarder ini memiliki kartu kredit dengan batas pengeluaran yang sangat tinggi (kartu hitam American Express benar-benar menakjubkan untuk dilihat). Kompromi data skala ini akan menjadi bencana bagi fasilitas game.

Mempertahankan infrastruktur unik seperti itu menghadirkan tugas yang menakutkan. Sumber daya perusahaan perlu dialokasikan, kebijakan perlu ditulis dan diterapkan di area yang sebelumnya tidak memerlukannya, dan karyawan perlu dididik tentang ancaman baru. Mungkin yang paling penting adalah mempertahankan pemeriksaan latar belakang karyawan (baik di kasino itu sendiri maupun untuk pihak ketiga) yang memiliki akses ke server dan mesin SBG. Dan risiko ini selain risiko “normal, setiap hari” menjalankan pusat data di mana jutaan dolar secara rutin terbang melintasi kabel jaringan. Profesional Keamanan Informasi untuk kasino Las Vegas pasti sangat sibuk.