全球電子游戲市場價值超過1,000億美元,F(xiàn)在開發(fā)的最復(fù)雜的軟件中有一些是專門面向視頻游戲行業(yè)。這些軟件的開發(fā)會使用到客戶端、服務(wù)器、Web組件、支付、社交媒體互動和虛擬市場 -- 每個環(huán)節(jié)都需要確保安全。視頻游戲是黑客攻擊的目標(biāo),尤其是他們會通過作弊和盜版牟利。
有鑒于此,新思科技高級技術(shù)文章撰寫人Fred Bals與新思科技首席安全顧問Larry Trowell一起探討了電子游戲行業(yè)針對軟件安全的舉措,從中總結(jié)經(jīng)驗。Larry Trowell曾經(jīng)從事游戲引擎編程、滲透測試游戲和游戲硬件方面的工作。
Fred Bals: 有人說電子游戲行業(yè)比許多其它行業(yè)更注重軟件安全性和可靠性。原因是什么呢?
Larry Trowell: 其中一個原因是他們必須每年都采用更強大的安全措施來與黑客作斗爭。他們不得不實施固件簽名認(rèn)證來對抗游戲模組,安裝反調(diào)試跟蹤軟件以推遲盜版和降低黑客攻擊的幾率,并通過運行時完整性檢查以應(yīng)對作弊者。
電子游戲產(chǎn)業(yè)與其它行業(yè)有所不同的一點是,他們意識到不僅僅是產(chǎn)品受到攻擊,而是整個安全系統(tǒng)失效。他們的游戲會被盜版,作弊層出不窮,系統(tǒng)也會出現(xiàn)漏洞。游戲行業(yè)和其它行業(yè)的區(qū)別在于,他們在攻擊成功后有應(yīng)對計劃。他們?nèi)∠蛻舳丝刂、鎖定軟件、加密內(nèi)存 -- 他們會采取一切應(yīng)做的措施來保持安全。但更重要的是他們知道在上述措施不足以應(yīng)對攻擊時需要采取何種備用計劃。
Fred Bals: 所以與其它行業(yè)相比,電子游戲行業(yè)在軟件安全方面的表現(xiàn)還是要領(lǐng)先的?
Larry Trowell: 如果電子游戲被認(rèn)為是領(lǐng)先的,那是因為這個行業(yè)曾經(jīng)推動軟件安全的技術(shù)突破。起初電子游戲需要防止盜版,所以開發(fā)了復(fù)雜的版權(quán)保護(hù)和反調(diào)試跟蹤軟件。這也使得多人游戲時的作弊行為有所減少。當(dāng)這些技術(shù)不能保證結(jié)果時,電子游戲行業(yè)開始考慮在受到攻擊之后應(yīng)該怎么做,這是軟件行業(yè)中大多數(shù)人不做或者做得不夠好的事情。
Fred Bals: 電子游戲行業(yè)有哪些舉措是值得我們軟件安全領(lǐng)域借鑒的?
Larry Trowell: 電子游戲擁有許多安全功能,能在任何可以訪問敏感數(shù)據(jù)或功能的軟件中實施。
這里有些例子:
服務(wù)器端檢查
客戶端安全性總是會失效。這個教訓(xùn)來之不易,是從電子游戲行業(yè)多年來的經(jīng)驗中得出。目前首選的解決方案是定期檢查他們所控制的服務(wù)器,以確保游戲沒有任何修改,按照他們設(shè)計好的模式運行。
空中下載更新
這樣做可以發(fā)現(xiàn)漏洞。這些漏洞需要盡快修補好。如果強制更新可以提升用戶體驗,那最好采取這種方式。
反調(diào)試跟蹤
如果黑客可以逐行掃描代碼,他們很有可能會找到一種修改方法,從中獲利。調(diào)試保護(hù)可以幫助防止黑客入侵。
代碼混淆
代碼混淆并不能完全阻止惡意攻擊,而是拖延可能被攻擊的時間。黑客花越長時間去找到漏洞,軟件開發(fā)人員就有越多時間去發(fā)現(xiàn)漏洞并進(jìn)行修復(fù)。
運行完整性檢查
這不僅可以幫助軟件開發(fā)人員對抗盜版,還能阻止惡意軟件注入,以防黑客利用游戲平臺侵害用戶利益。盜版和惡意軟件攻擊都會嚴(yán)重影響公司聲譽。
最后,要明白安全性是需要成本投入的。并非每個客戶/用戶都希望增加安全性。但是安全是重要且必要的。將增加產(chǎn)品安全性的成本降到最低的唯一方法是從設(shè)計之初就將安全納入其中。開發(fā)人員要了解所要部署的安全技術(shù),確保產(chǎn)品順利運行時也有安全保障。如果發(fā)現(xiàn)其中一種技術(shù)存在問題,那么需要確定另一種技術(shù)是否可以提供類似的安全性,且問題較少。
