守衛電子遊戲安全 從軟體安全性做起

作者：新思科技高級技術文章撰寫人Fred Bals

近年來，中國電子遊戲，特別是手游，迅速發展。2017年中國網路遊戲市場收入已經達到千億人民幣級別，而且將持續增長。面對這個巨大的市場，除了眾多遊戲公司，還有另外一個群體也想分一杯羹。他們會通過「外掛」，盜版等手段獲取利益。遊戲研發和出版公司也在不斷採取應對措施。新思科技對此表示：無論是在視頻遊戲還是其它行業中，保護收益和聲譽的最佳方式是主動將安全性構建到軟體開發生命周期中。

全球電子遊戲市場價值超過1,000億美元

現在開發的最複雜的軟體中有一些是專門面向視頻遊戲行業。這些軟體的開發會使用到客戶端、伺服器、Web組件、支付、社交媒體互動和虛擬市場 —— 每個環節都需要確保安全。視頻遊戲是黑客攻擊的目標，尤其是他們會通過作弊和盜版牟利。

有鑒於此，新思科技高級技術文章撰寫人Fred Bals與新思科技首席安全顧問Larry Trowell一起探討了電子遊戲行業針對軟體安全的舉措，從中總結經驗。Larry Trowell曾經從事遊戲引擎編程、滲透測試遊戲和遊戲硬體方面的工作。

Fred Bals: 有人說電子遊戲行業比許多其它行業更注重軟體安全性和可靠性。原因是什麼呢？

Larry Trowell: 其中一個原因是他們必須每年都採用更強大的安全措施來與黑客作鬥爭。他們不得不實施固件簽名認證來對抗遊戲模組，安裝反調試跟蹤軟體以推遲盜版和降低黑客攻擊的幾率，並通過運行時完整性檢查以應對作弊者。

電子遊戲產業與其它行業有所不同的一點是，他們意識到不僅僅是產品受到攻擊，而是整個安全系統失效。他們的遊戲會被盜版，作弊層出不窮，系統也會出現漏洞。遊戲行業和其它行業的區別在於，他們在攻擊成功後有應對計劃。他們取消客戶端控制、鎖定軟體、加密內存 —— 他們會採取一切應做的措施來保持安全。但更重要的是他們知道在上述措施不足以應對攻擊時需要採取何種備用計劃。

Fred Bals: 所以與其它行業相比，電子遊戲行業在軟體安全方面的表現還是要領先的？

Larry Trowell: 如果電子遊戲被認為是領先的，那是因為這個行業曾經推動軟體安全的技術突破。起初電子遊戲需要防止盜版，所以開發了複雜的版權保護和反調試跟蹤軟體。這也使得多人遊戲時的作弊行為有所減少。當這些技術不能保證結果時，電子遊戲行業開始考慮在受到攻擊之後應該怎麼做，這是軟體行業中大多數人不做或者做得不夠好的事情。

Fred Bals: 電子遊戲行業有哪些舉措是值得我們軟體安全領域借鑒的？

Larry Trowell: 電子遊戲擁有許多安全功能，能在任何可以訪問敏感數據或功能的軟體中實施。

這裡有些例子：

伺服器端檢查

客戶端安全性總是會失效。這個教訓來之不易，是從電子遊戲行業多年來的經驗中得出。目前首選的解決方案是定期檢查他們所控制的伺服器，以確保遊戲沒有任何修改，按照他們設計好的模式運行。

空中下載更新

這樣做可以發現漏洞。這些漏洞需要儘快修補好。如果強制更新可以提升用戶體驗，那最好採取這種方式。

反調試跟蹤

如果黑客可以逐行掃描代碼，他們很有可能會找到一種修改方法，從中獲利。調試保護可以幫助防止黑客入侵。

代碼混淆

代碼混淆並不能完全阻止惡意攻擊，而是拖延可能被攻擊的時間。黑客花越長時間去找到漏洞，軟體開發人員就有越多時間去發現漏洞並進行修復。

運行完整性檢查

這不僅可以幫助軟體開發人員對抗盜版，還能阻止惡意軟體注入，以防黑客利用遊戲平台侵害用戶利益。盜版和惡意軟體攻擊都會嚴重影響公司聲譽。

軟體質量與安全

最後，要明白安全性是需要成本投入的。並非每個客戶/用戶都希望增加安全性。但是安全是重要且必要的。將增加產品安全性的成本降到最低的唯一方法是從設計之初就將安全納入其中。開發人員要了解所要部署的安全技術，確保產品順利運行時也有安全保障。如果發現其中一種技術存在問題，那麼需要確定另一種技術是否可以提供類似的安全性，且問題較少。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！