Seorang Geek Keamanan Komputer Pergi ke Las Vegas
Las Vegas:
Perspektif IS pada Mesin Slot Baru
Perjalanan baru-baru ini ke Las Vegas memicu “momen aha”. Setelah saya mengatasi keterkejutan awal tentang betapa banyak hal telah berubah sejak hari-hari ketika saya sering bepergian ke Vegas (saya adalah salah satu dari ribuan orang yang biasa menghadiri acara COMDEX), saya memberanikan diri kembali ke lantai permainan. Selain memiliki lebih banyak meja poker daripada yang saya ingat dari 8 tahun yang lalu, hal yang mengejutkan saya adalah bahwa mesin slot berubah. Di mana dulu lantai permainan penuh dengan “jing, jing, jing” koin yang mengenai nampan logam dari mesin slot, sekarang ada pembaca kartu magnetik, pemindai kode batang, dan mesin terpisah yang mengubah uang kertas menjadi “kredit” dan kembali lagi. . Uang dikonversi ke bit digital, dicetak pada kartu berkode batang yang dipasang pemain ke mesin slot dan “semua pembayaran hanya dengan slip pembayaran”. Industri Game telah menjadi teknologi tinggi dan seperti semua perusahaan yang memiliki sumber daya informasi yang berharga, mereka perlu melindunginya. Bayangkan sejenak bisa “mengendus” lalu lintas di kabel antara lantai permainan dan pusat data kasino! Faktanya, saya sangat tertarik dengan gaya baru mesin slot sehingga saya mencurahkan sebagian besar sore untuk meneliti “Game Berbasis Server” QQ188.
Ternyata Server Based Gaming (SBG) adalah tren terbaru dalam mesin slot dan tidak baru seperti yang saya kira, sudah ada sejak tahun 2006. Jika pikiran Anda seperti saya, Anda sudah memikirkan implikasi keamanan dari belok. berdiri sendiri, mesin slot yang sepenuhnya otonom ke dalam terminal komputer. Tentu saja slot yang berdiri sendiri bukan tanpa masalah, tetapi mendigitalkan data keuangan dan mengirimkannya melalui jaringan memiliki serangkaian kekhawatiran unik yang akan dibuktikan oleh lembaga keuangan mana pun. Menyimpan data di server terpusat adalah Praktik Terbaik Keamanan 101 dan hanya sedikit yang bisa membantah kebijaksanaannya. Namun, masalahnya menjadi lebih rumit ketika kita mempertimbangkan bahwa kasino memiliki ratusan, bahkan mungkin seribu, mesin slot yang tersebar di ratusan ribu kaki persegi luas lantai. Masalah keamanan awal berkaitan dengan transmisi data: jenis kabel apa yang digunakan (serat adalah yang paling aman tetapi juga paling mahal dan memerlukan peralatan jaringan khusus); apakah mesin itu sendiri bahkan disambungkan untuk menerima serat atau sambungan Cat 5; apakah setiap mesin “dijalankan di rumah” atau dikonsolidasikan pada sakelar yang terletak di salah satu lemari terkunci di bawah mesin slot; jika kabel Cat 5 digunakan, tindakan pencegahan apa yang dilakukan untuk mencegah seseorang “mengendus” kebocoran data elektronik dari kabel; karena pemain diberikan “kartu uang tunai” dengan kode batang di atasnya, algoritma enkripsi apa yang digunakan untuk mencegah pemain mengubah data untuk meningkatkan “pembayaran” mereka? Industri Game memiliki sejarah panjang dalam menarik penjahat yang sangat pintar (ingat siswa dari MIT yang memenangkan $ 10 juta?). Saya bertanya-tanya berapa lama sebelum sekelompok individu yang berbakat secara intelektual dan termotivasi secara moneter berfokus pada SBG. Faktanya, sebuah studi baru-baru ini yang disponsori oleh National Indian Gaming Commission (NIGC) telah mengidentifikasi beberapa area yang menjadi perhatian SBG.
Temuan NIGC terdengar sangat familiar bagi semua profesional keamanan yang bertugas melindungi sumber daya data perusahaan. Kekhawatiran tentang akses tidak sah, deteksi intrusi, respons insiden, kurangnya kebijakan keamanan, dan rencana pemulihan bencana adalah hal biasa di semua lingkungan Keamanan Informasi. Tindakan proaktif apa yang diambil untuk melindungi jaringan? Apakah Tes Penetrasi yang disponsori secara internal dilakukan? Tantangan melindungi ratusan atau ribuan aset komputer, mengasuransikan Ketersediaan aset dan menjaga Integritas data dari aset ini juga merupakan kekhawatiran sehari-hari bagi CISO. Apa yang membuat Industri Game berbeda adalah jika salah satu dari aset ini dikompromikan, kerugian finansial bisa mencapai jutaan dolar, dan kemungkinan serangan tidak hanya akan menargetkan satu mesin. Dan tidak seperti penipuan kasino di masa lalu, dengan data sekarang disimpan secara elektronik, penyerang tidak harus hadir secara fisik. Kasino sekarang tunduk pada risiko yang sama dengan lembaga keuangan.