今天的線上遊戲警示著明天的安全問題。
如果你希望有機會,可以看一眼軟體威脅和安全的未來,沒有什麼更比得上另一個虛幻世界—線上遊戲。
曾經獨樹一幟的《龍與地下城》(Dungeons & Dragons)遊戲,讓愛好者還是有非常多的時間要被打發;線上遊戲,像是《魔獸世界》(World of Warcraft)、《星戰前夜》(EVE Online)以及《魔戒Online》(The Lord of the Rings Online),超越各年齡人口地吸引了不計其數的玩家,幫開發設計者,創造了數億美元的收入。《魔獸世界》已經有超過9佰萬個註冊玩家,甚至,非固定的玩家也都很樂意,每個月花上數百、或數千美元在臨時加入遊戲的申請費、交易手續費,以及購買裝備的費用上。
無可避免地,這些在夢幻世界裡穿梭的美元、歐元、日幣,正吸引著線上那些技術型罪犯的眼光,虎視眈眈的找個冤大頭。駭客已經開始為目標量身訂做,撰寫木馬程式和鍵盤側錄軟體,以盜取玩家的帳號資料,然後用來騙取銀行帳號和提款,或是用來販賣線上遊戲中的人物和寶物。這是真實的情境,而且早已在玩家和遊戲開發者之間,帶來一些嚴重的安全問題。同時,這些問題也已被帶到企業中,安全人員被迫對抗—這些因為員工使用公司電腦玩線上遊戲,而連帶進來的風險。
但是惱人的不只是遊戲的安全問題。更嚴重的是,專家表示,這些問題說明了企業安全環境的未來—應用設備採遠端控制方式逐漸增加,並且是建立在諸如AJAX、JavaScript和XML等技術的環境裡。假如當前的現象是一個警示訊號,那麼未來將是嚴峻的。
「我們的軟體系統,正轉換到一個極其分散的新架構。因為人們選擇了服務導向的架構,新一代應用將會看起來,就像今天我們所看到的—多人線上角色扮演遊戲一樣」 Gary McGraw表示—Cigital軟體安全公司的CTO(技術長),以及有關線上遊戲安全一書《Exploiting Online Games》的合著者。“大多數開發軟體的人,不會以安全人員的思考模式思考。以前,總是圍繞在網路安全議題,現在,差不多是讓軟體運作更好的時候了。《魔獸》有9佰萬用戶,以及任何人時段都有40萬人次在線上。那樣聽起來,像極了是服務導向架構(SOA,Service Oriented Architecture)的設計”。
結構問題
大多數的多人線上角色扮演遊戲,像是《魔獸世界》,會安裝大量的用戶端軟體在使用者的電腦,以連結到此遊戲在遠端的其中一台伺服器。那是一個很簡明的架構,除了在此遊戲中成千上萬的玩家,全部需要在同一時間、去看同一個遊戲活動。
「安全的模式必需介入,並試著控制遊戲的狀態,」McGraw 說,「但唯一的方式是,解開遊戲程式的一部分,並將其安裝在每個使用者的電腦上。假如不用考慮安全問題的話,這樣做看起來的確是一個好點子;但如果你意識到,使用者可能試圖在這個程式上動手腳的話,那這便是個壞主意了」。
那架構很像正在建立相關應用程式的公司,如Google或其他某些公司。Google所提供的許多服務,例如Gmail和Google Docs都是以網路為基礎的;但其它像是Google Desktop,則是安裝在使用者的PC,收集大量的資料,並與Google伺服器保持溝通狀態。這種模式,必須在應用伺服器與使用者PC之間,有高度的信任關係,麻煩的是,假如使用者不懷好意的話。
「一般的安全人員都可以用很清晰的方式,來談論信賴問題,但若是要把一個多功能客戶系統(fat client)放在攻擊著的PC上,就有嚴重的信賴模式問題,」McGraw表示。「這個你放在攻擊者PC上的軟體,已超過信賴界限」。
網路服務
同時,隨著供應商的領導—例如,Salesforce.com 、NetSuite、Microsoft,和其他主要的軟體供應商,他們正在開發許多可利用的應用,像是網路服務(Web service),譬如,Microsoft Office就可以線上使用。這個轉變中的架構,使安全問題對應用程式開發人員,和企業安全人員來說,形成了另一個挑戰;因為他們大多比較習慣對付網路安全方面的挑戰,及修補桌面應用程式,更勝於處理分散式應用。
「將來,弱點程式攻擊(exploits)有可能會攻擊您的線上遊戲系統與 web應用程式,」Avi Rubin表示—他是約翰?霍普金斯大學(The Johns Hopkins University)教授,也是Independent Security Evaluators資安顧問公司的創立者。「驗證(Authentication),在現今環境中變得更加重要了;因為資料是被儲存於網路上,假如有人可以取得你的證明資料,然後闖入儲存你所有資料的應用程式中,那是一個非常嚴重的問題。應用程式是一個很大的攻擊目標」。