全球電子游戲市場(chǎng)價(jià)值超過(guò)1,000億美元。現在開(kāi)發(fā)的最復雜的軟件中有一些是專(zhuān)門(mén)面向視頻游戲行業(yè)。這些軟件的開(kāi)發(fā)會(huì )使用到客戶(hù)端、服務(wù)器、Web組件、支付、社交媒體互動(dòng)和虛擬市場(chǎng) -- 每個(gè)環(huán)節都需要確保安全。視頻游戲是黑客攻擊的目標,尤其是他們會(huì )通過(guò)作弊和盜版牟利。
有鑒于此,新思科技高級技術(shù)文章撰寫(xiě)人Fred Bals與新思科技首席安全顧問(wèn)Larry Trowell一起探討了電子游戲行業(yè)針對軟件安全的舉措,從中總結經(jīng)驗。Larry Trowell曾經(jīng)從事游戲引擎編程、滲透測試游戲和游戲硬件方面的工作。
Fred Bals: 有人說(shuō)電子游戲行業(yè)比許多其它行業(yè)更注重軟件安全性和可靠性。原因是什么呢?
Larry Trowell: 其中一個(gè)原因是他們必須每年都采用更強大的安全措施來(lái)與黑客作斗爭。他們不得不實(shí)施固件簽名認證來(lái)對抗游戲模組,安裝反調試跟蹤軟件以推遲盜版和降低黑客攻擊的幾率,并通過(guò)運行時(shí)完整性檢查以應對作弊者。
電子游戲產(chǎn)業(yè)與其它行業(yè)有所不同的一點(diǎn)是,他們意識到不僅僅是產(chǎn)品受到攻擊,而是整個(gè)安全系統失效。他們的游戲會(huì )被盜版,作弊層出不窮,系統也會(huì )出現漏洞。游戲行業(yè)和其它行業(yè)的區別在于,他們在攻擊成功后有應對計劃。他們取消客戶(hù)端控制、鎖定軟件、加密內存 -- 他們會(huì )采取一切應做的措施來(lái)保持安全。但更重要的是他們知道在上述措施不足以應對攻擊時(shí)需要采取何種備用計劃。
Fred Bals: 所以與其它行業(yè)相比,電子游戲行業(yè)在軟件安全方面的表現還是要領(lǐng)先的?
Larry Trowell: 如果電子游戲被認為是領(lǐng)先的,那是因為這個(gè)行業(yè)曾經(jīng)推動(dòng)軟件安全的技術(shù)突破。起初電子游戲需要防止盜版,所以開(kāi)發(fā)了復雜的版權保護和反調試跟蹤軟件。這也使得多人游戲時(shí)的作弊行為有所減少。當這些技術(shù)不能保證結果時(shí),電子游戲行業(yè)開(kāi)始考慮在受到攻擊之后應該怎么做,這是軟件行業(yè)中大多數人不做或者做得不夠好的事情。
Fred Bals: 電子游戲行業(yè)有哪些舉措是值得我們軟件安全領(lǐng)域借鑒的?
Larry Trowell: 電子游戲擁有許多安全功能,能在任何可以訪(fǎng)問(wèn)敏感數據或功能的軟件中實(shí)施。
這里有些例子:
服務(wù)器端檢查
客戶(hù)端安全性總是會(huì )失效。這個(gè)教訓來(lái)之不易,是從電子游戲行業(yè)多年來(lái)的經(jīng)驗中得出。目前首選的解決方案是定期檢查他們所控制的服務(wù)器,以確保游戲沒(méi)有任何修改,按照他們設計好的模式運行。
空中下載更新
這樣做可以發(fā)現漏洞。這些漏洞需要盡快修補好。如果強制更新可以提升用戶(hù)體驗,那最好采取這種方式。
反調試跟蹤
如果黑客可以逐行掃描代碼,他們很有可能會(huì )找到一種修改方法,從中獲利。調試保護可以幫助防止黑客入侵。
代碼混淆
代碼混淆并不能完全阻止惡意攻擊,而是拖延可能被攻擊的時(shí)間。黑客花越長(cháng)時(shí)間去找到漏洞,軟件開(kāi)發(fā)人員就有越多時(shí)間去發(fā)現漏洞并進(jìn)行修復。
運行完整性檢查
這不僅可以幫助軟件開(kāi)發(fā)人員對抗盜版,還能阻止惡意軟件注入,以防黑客利用游戲平臺侵害用戶(hù)利益。盜版和惡意軟件攻擊都會(huì )嚴重影響公司聲譽(yù)。
最后,要明白安全性是需要成本投入的。并非每個(gè)客戶(hù)/用戶(hù)都希望增加安全性。但是安全是重要且必要的。將增加產(chǎn)品安全性的成本降到最低的唯一方法是從設計之初就將安全納入其中。開(kāi)發(fā)人員要了解所要部署的安全技術(shù),確保產(chǎn)品順利運行時(shí)也有安全保障。如果發(fā)現其中一種技術(shù)存在問(wèn)題,那么需要確定另一種技術(shù)是否可以提供類(lèi)似的安全性,且問(wèn)題較少。
