全球電子游戲市場價(jià)值超過1,000億美元,F(xiàn)在開發(fā)的最復(fù)雜的軟件中有一些是專門面向視頻游戲行業(yè)。這些軟件的開發(fā)會(huì)使用到客戶端、服務(wù)器、Web組件、支付、社交媒體互動(dòng)和虛擬市場 -- 每個(gè)環(huán)節(jié)都需要確保安全。視頻游戲是黑客攻擊的目標(biāo),尤其是他們會(huì)通過作弊和盜版牟利。
有鑒于此,新思科技高級(jí)技術(shù)文章撰寫人Fred Bals與新思科技首席安全顧問Larry Trowell一起探討了電子游戲行業(yè)針對(duì)軟件安全的舉措,從中總結(jié)經(jīng)驗(yàn)。Larry Trowell曾經(jīng)從事游戲引擎編程、滲透測試游戲和游戲硬件方面的工作。
Fred Bals: 有人說電子游戲行業(yè)比許多其它行業(yè)更注重軟件安全性和可靠性。原因是什么呢?
Larry Trowell: 其中一個(gè)原因是他們必須每年都采用更強(qiáng)大的安全措施來與黑客作斗爭。他們不得不實(shí)施固件簽名認(rèn)證來對(duì)抗游戲模組,安裝反調(diào)試跟蹤軟件以推遲盜版和降低黑客攻擊的幾率,并通過運(yùn)行時(shí)完整性檢查以應(yīng)對(duì)作弊者。
電子游戲產(chǎn)業(yè)與其它行業(yè)有所不同的一點(diǎn)是,他們意識(shí)到不僅僅是產(chǎn)品受到攻擊,而是整個(gè)安全系統(tǒng)失效。他們的游戲會(huì)被盜版,作弊層出不窮,系統(tǒng)也會(huì)出現(xiàn)漏洞。游戲行業(yè)和其它行業(yè)的區(qū)別在于,他們?cè)诠舫晒笥袘?yīng)對(duì)計(jì)劃。他們?nèi)∠蛻舳丝刂、鎖定軟件、加密內(nèi)存 -- 他們會(huì)采取一切應(yīng)做的措施來保持安全。但更重要的是他們知道在上述措施不足以應(yīng)對(duì)攻擊時(shí)需要采取何種備用計(jì)劃。
Fred Bals: 所以與其它行業(yè)相比,電子游戲行業(yè)在軟件安全方面的表現(xiàn)還是要領(lǐng)先的?
Larry Trowell: 如果電子游戲被認(rèn)為是領(lǐng)先的,那是因?yàn)檫@個(gè)行業(yè)曾經(jīng)推動(dòng)軟件安全的技術(shù)突破。起初電子游戲需要防止盜版,所以開發(fā)了復(fù)雜的版權(quán)保護(hù)和反調(diào)試跟蹤軟件。這也使得多人游戲時(shí)的作弊行為有所減少。當(dāng)這些技術(shù)不能保證結(jié)果時(shí),電子游戲行業(yè)開始考慮在受到攻擊之后應(yīng)該怎么做,這是軟件行業(yè)中大多數(shù)人不做或者做得不夠好的事情。
Fred Bals: 電子游戲行業(yè)有哪些舉措是值得我們軟件安全領(lǐng)域借鑒的?
Larry Trowell: 電子游戲擁有許多安全功能,能在任何可以訪問敏感數(shù)據(jù)或功能的軟件中實(shí)施。
這里有些例子:
服務(wù)器端檢查
客戶端安全性總是會(huì)失效。這個(gè)教訓(xùn)來之不易,是從電子游戲行業(yè)多年來的經(jīng)驗(yàn)中得出。目前首選的解決方案是定期檢查他們所控制的服務(wù)器,以確保游戲沒有任何修改,按照他們?cè)O(shè)計(jì)好的模式運(yùn)行。
空中下載更新
這樣做可以發(fā)現(xiàn)漏洞。這些漏洞需要盡快修補(bǔ)好。如果強(qiáng)制更新可以提升用戶體驗(yàn),那最好采取這種方式。
反調(diào)試跟蹤
如果黑客可以逐行掃描代碼,他們很有可能會(huì)找到一種修改方法,從中獲利。調(diào)試保護(hù)可以幫助防止黑客入侵。
代碼混淆
代碼混淆并不能完全阻止惡意攻擊,而是拖延可能被攻擊的時(shí)間。黑客花越長時(shí)間去找到漏洞,軟件開發(fā)人員就有越多時(shí)間去發(fā)現(xiàn)漏洞并進(jìn)行修復(fù)。
運(yùn)行完整性檢查
這不僅可以幫助軟件開發(fā)人員對(duì)抗盜版,還能阻止惡意軟件注入,以防黑客利用游戲平臺(tái)侵害用戶利益。盜版和惡意軟件攻擊都會(huì)嚴(yán)重影響公司聲譽(yù)。
最后,要明白安全性是需要成本投入的。并非每個(gè)客戶/用戶都希望增加安全性。但是安全是重要且必要的。將增加產(chǎn)品安全性的成本降到最低的唯一方法是從設(shè)計(jì)之初就將安全納入其中。開發(fā)人員要了解所要部署的安全技術(shù),確保產(chǎn)品順利運(yùn)行時(shí)也有安全保障。如果發(fā)現(xiàn)其中一種技術(shù)存在問題,那么需要確定另一種技術(shù)是否可以提供類似的安全性,且問題較少。
