觀點

駭客止步!線上遊戲讓你玩出安全

2009 / 07 / 06
何依玟
駭客止步!線上遊戲讓你玩出安全
安全議題刻不容緩;線? 上遊戲已成為台灣重要數位內容產業。隨著駭客手法推陳出新,遊戲業者在推出新遊戲之餘,安全層面也不斷精益求精。

  近年來網路線上遊戲產業快速發展,IDC表示,2007年台灣線上遊戲市場營收達87億,較2006年成長15.2%,線上遊戲更從2005年~2007年,連續3年蟬連「台灣網友最常進行的網路娛樂活動」。然而安全問題層出不窮,警察機關每個月平均要接受百餘件線上遊戲衍生的刑案,竊盜、詐欺案件更以每年約2,000件的速度快速成長。根據北京新華網日前針對2008年上半年大陸線上遊戲玩家所做的調查報告顯示,鎖帳號、盜帳號及伺服器品質差等問題,是玩家對線上遊戲最在意之處。不只是玩家,線上遊戲私人伺服器盜賣的市場,亦日漸擴大;2008年4月間,台灣知名線上遊戲論壇《巴哈姆特》、《遊戲基地》相繼傳出遭大陸不肖業者發動DDoS攻擊,造成網站癱瘓、玩家無法連上網的情況;而事發原由是因其欲刊登利用模擬器架設網路線上遊戲「私人伺服器」供玩家使用的廣告遭拒。整起事件雖告一段落,但線上遊戲的安全疑慮卻未因而停息,遊戲業者內部員工監守自盜、大陸公司僱用駭客破解台灣網路線上遊戲程式等案件屢見不鮮,帳號、虛擬寶物遭盜及外掛程式等不法行為,躍上媒體版面更是家常便飯。

  對線上遊戲玩家而言,最大的隱憂就是不法人士透過網路,將木馬程式植入玩家遊戲帳號、假冒身分以竊取線上虛擬寶物將之變賣。因此,國內幾家知名的遊戲業者在推出新款遊戲吸引眾玩家的同時,各針對其遊戲,推出不同的防護機制,舉例來說,遊戲橘子的PlaySafe Card、遊戲新幹線的通訊鎖、華義OTP Token,各有不同的機制及使用付費機模式,讓玩家「玩的開心、玩的安心」,是業者極需重視的首要議題。

橘子捍衛玩家安全 堅持對的事

  遊戲橘子共推出PlaySafe Card、PlaySafeOTP及手機OTP3種保護機制。橘子一直以來都是駭客覬覦的目標。遊戲橘子企業資訊安全部經理丁瑋明指出,「我們像個大箭靶,這幾年來橘子成為駭客的眾矢之的,駭客網站公告就寫道,若攻進橘子的網站便能獲得優渥的賞金」,為了避免成為獵人屠殺的獵物,橘子對內不斷提昇伺服器和網路環境的安全;對外的部份,基於玩家遊戲的安全就是橘子的責任,橘子提出了多種的遊戲登入保護機制─PlaySafe Card、PlaySafe OTP及手機OTP供玩家選擇。

  橘子這幾年來陸續發生幾起資安事件,除了網站遭到駭客入侵,遊戲也曾受到DDoS攻擊,導致無法提供服務,這些過程都讓橘子學到不少教訓,也因此在遊戲的管理和營運上做了大幅度的調整,並強化系統和網路的安全性。橘子在公司內部導入PKI的機制,重要的系統以及遊戲管理端的登入都需要透過PKI來做認證;系統與網路的建置,也透過統一的規範,將可能的風險盡量降低;除此之外,每一次提供給玩家的遊戲程式,都需透過內部的標準程序測試後才能提供玩家下載,避免因為這些遊戲程式遭到病毒或是後門感染,導致玩家電腦也遭殃。丁瑋明說,「駭客對橘子而言確實是可敬的對手,但我們並無意與駭客做競爭,只是做我們該做的部份,提供玩家一個安全且充滿娛樂性的遊戲服務」

  為了對玩家遊戲安全表示負責,橘子針對目前熱門的遊戲─天堂及楓之谷推出了PlaySafe Card的安全機制,提供了遊戲帳號和密碼上較高的防護能力,也是目前兩岸業界唯一提供實體卡片的線上遊戲公司;玩家在使用PlaySafe Card後,帳密被盜機率大幅下降,在道具被盜用的可能性相對也變低。目前有使用PlaySafe Card而反應道具被盜的案件,除了人為因素外,盜號率幾乎為零。除了PlaySafe Card之外,另一款PlaySafe OTP和即將推出的手機OTP都針對遊戲登入提供了不同的安全機制,讓不願意使用PlaySafe Card的玩家,有其他的選擇。以上這些機制都不需要收取額外的月費,僅需採購卡片和讀卡機即可使用,屬一次性支出。

  由於坊間台灣的遊戲產品多半是代理韓國或日本廠商所製作的線上遊戲,基於台灣與大陸的網路環境不同於日韓,許多安全機制的問題在國外雖未曾發生,但極可能對台灣和大陸的線上遊戲市場造成威脅,因此在盜用和安全上的議題往往必須積極的與開發商進行溝通,才能成功將合宜的安全機制導入產品中;以橘子而言,在產品代理的初期便花了很多時間與開發商溝通討論安全議題,讓他們了解問題的嚴重性,以便在遊戲開發的過程中將安全機制考量進去。同時,開發商在每一次遊戲改版所提供的檔案,也都必須透過一定的機制交換和檢測,只要任何檔案一有病毒反應,都必須立即確認病毒來源,待釐清責任後才能進行後續的改版工作。丁瑋明說,因為國情的差異,原廠與代理商之間對安全的角度原本就有所不同,但基於維護玩家的權益與提供良好遊戲環境的使命,當橘子已對該版本的檔案安全性存有質疑時,當然必須堅持做到滴水不漏!站在業者的角度來看,絕不能因利益而放棄玩家的權益,該有的堅持還是要有!

  未來橘子會朝向將所有遊戲整合,在安全上有統一標準、機制,提供玩家更方便、多樣化的選擇。

遊戲新幹線1通電話 安全免付費

  遊戲新幹線推出通訊鎖保護機制。遊戲新幹線現在所開發代理的遊戲諸如魔獸世界、天龍八部、諸仙,皆使用通訊鎖做保護,該機制使用概念是以玩家個人手機號碼搭配遊戲帳號做認證,1個帳號可登記3支電話,玩遊戲前先撥打電話至業者,透過業者將帳號密碼開通,玩家需於60秒輸入帳號密碼,通訊鎖一旦註冊成功,遊戲帳號將立即被鎖定,其他人便無法竊取玩家的帳號進入遊戲。

  但使用通訊鎖時,玩家需撥打業者專線電話,方能開通帳號密碼,每次撥打的電話費由新幹線來負擔。遊戲新幹線科技營運長林榮一表示,「吃虧就是佔便宜」,玩家登入前所撥打的電話費用,全數由業者自行吸收,雖然1個月要接百萬通電話、交百萬元電話費,但要守住消費者基本需求,才是造福消費者!根據新幹線統計,使用通訊鎖初期,有10%~12%的玩家覺得會增加麻煩,但經過這1~2年使用後發現,被盜機率大幅降低,現在拒絕使用通訊鎖的比例下降至5%~6%。

  然而,安全沒有百分百,林榮一說,仍會有零星的案件發生,主要是玩家電腦被植入木馬病毒或使用外掛程式,其帳號密碼已遭駭客側錄鎖定,導致駭客與玩家出現搶登的情況。為防範搶登情況出現,新幹線設定玩家在登入帳號的60秒~90秒內,不能重覆登入;但該機制仍不夠嚴密,因此,現在只要一有搶登的動作,新幹線就會透過IP位置調查,將玩家帳號密碼鎖住,而調查結果若是不法行為,玩家要重新登入,需打電話至新幹線要求協助開通帳號密碼,同時,新幹線也會要求玩家更改密碼,並將電腦重灌,以保障雙方的安全。當然,他們也遇過意圖不軌,欲癱瘓電話線路的人士,因此也擬定出相關規範,凡1小時登入次數超過10次以上或1天登入次數過多者,一律先鎖再說。

  而當被盜案件發生,玩家多半自認倒楣,從此不接觸該遊戲;不然就向業者、警方請求協助,但新幹線指出,偵九隊平均每個月需接受上百件由線上遊戲衍生出的偷竊、詐欺報案,由於損失金額不大、政府單位目前也無立法依據,常讓警方不堪其擾,耗費人力、物力。為了降低警方的作業負擔及留住客戶,林榮一表示,因有通訊鎖的保護機制,現在玩家若使用手機鎖仍發生被盜案件,可直接向業者反應,並協助調閱遊戲歷程,若被盜事件屬實,新幹線會負起賠償責任。1~2年前,眾家遊戲業者就曾發生過駭客從網路平台或玩家電腦內植入木馬程式收集大量玩家帳號,並利用一般人習慣將同組帳號密碼使用在不同地方的通病,進而竊取玩家資料、寶物,造成300~400位玩家的帳號寶物遭竊的事件,遊戲新幹線協理蔣永和說,當時為了解決這件事,耗費近2個月的人力、時間回復玩家的個人資料,凡有向新幹線申報帳號遭竊的案件,他們都會協助玩家做資料回復的動作,並給予適當的補償,而不只是單單要求玩家更改帳號、密碼。

  林榮一進一步指出,改變玩家上網、消費的習慣,讓安全受保障,才是業者的理念。新幹線現階段要解決的是,由於手機費用負擔仍高,將會考慮其他的安全措施,目前正努力規劃中。

華義多元防護 安全任君選

  華義共推出OTP Token、電腦鎖、通訊鎖3種保護機制。華義資訊中心資訊長謝安表示,對市面上推出的眾安全機制觀望很久,希望能挑到高安全等級的機制,因為只要有1%的威脅、漏洞,日後很難說服消費者購買產品。他進一步指出,玩家若在網咖玩線上遊戲,因無法安裝驅動程式,USB、讀卡機便不能使用;目前華義使用RSA OTP Token,採取time base邏輯演算法,玩家不但攜帶方便也易於使用。

  但Token 1年699元需另行付費,玩家對安全的保證也難免有所質疑,造成僅10%~20%的高階玩家(有高價值虛擬寶物)能接受該機制,除此之外,玩家無法接受的另一重要因素是因免費遊戲盛行,部分玩家為短期使用戶,玩3個月便轉向其他遊戲,因此認為1年的費用過於昂貴;而學生用戶也可能因零用錢有限,購買Token對其是種負擔,也不能再購買虛擬寶物,種種原因,皆是Token尚未獲多數玩家支持的阻撓點;因此,華義為照顧眾玩家的需求,貼心的依照使用者不同的消費習慣做改變,也推出過半年250元的付費方案。

  除了Token,華義更提供玩家多樣化選擇,自行研發不收費的電腦鎖,以彌補安全的不足。謝安指出,電腦鎖的技術類似鎖網卡,雖然只要使用特別軟體,就能破解鎖網卡的技術;但華義在中間增加了多層的配套措施,並以駭客的角度新增防禦技術。安全上雖無法與token相提並論,但卻可在免付費下提供基本的防護。

  由於電腦鎖是自行開發,使用門檻較低,只需開始的申請設定,事後電腦就會自動進行檢查,並自動判斷是否有同時申請使用Token。華義於日前更推出通訊鎖,玩家可根據使用模式及上網行為的不同,自行選擇同時使用3項機制(Token、電腦鎖通訊鎖),或單一機制來保障其帳號安全。謝安指出,除了安全,希望玩家有高接受度,就算有高防護等級,但玩家低接受度,不如不導!

  另外,玩家困擾的問題:帳號/虛寶遭竊的後續處理,常是讓眾玩家選擇是否繼續支持該遊戲的重要關鍵;由於受害者發生被盜案件時,多半會向業者尋求協助,但卻常因業者不了解流程處理程序,導致作業過程繁複、曠日費時,受害者大多也無法追回財物損失,案件無疾而終,最終造成玩家損失、業者流失客戶,兩敗俱傷的局面,有玩家便表示,如果業者處理態度不佳、隨便敷衍了事,日後就算有拿到業者的賠償,心情也已大受影響,於事無補。有鑑於此,華義挑選一批專業且資深的客服,成立─EIG盜用調查小組,提供玩家諮詢的專門管道。當類似案件發生時,EIG盜用調查小組會告知玩家相關的法律知識,並提供被盜時正確的處理流程(報案→業者提供遊戲歷程),玩家亦可主動告知業者,是否有懷疑盜帳號的對象等資訊,以加速調查過程。謝安表示,「要站在客戶立場,協助解決交易糾紛等事宜」,他充滿驕傲的說,之前負責網路糾紛的網消會,便有玩家主動在網路上發表一篇讚美華義客服的報導,因為這次的鼓勵,讓華義EIG盜用調查小組更有信心去面對所有玩家的回應。

  而最令線上業者頭疼的外掛問題,從技術面來說,華義自行開發登入認證程式,透過玩家的遊戲歷程,來分析使用行為模式,進而查詢是否有使用外掛等不當舉動。華義目前也與韓國遊戲安全廠商簽約,使用廠商的程式嵌入,進行遊戲偵測與阻擋外掛軟體,雙管齊下,達成效益。

三管齊下 讓安全、娛樂兼俱

  玩家帳號遭竊,原因包括上網習慣不良,如點選不當網站連結,以致被植入木馬、後門程式;再者,使用外掛;以及多數玩家常心存僥倖,不論是信箱或遊戲入口的登入,都使用一組密碼走天下,據調查,用不同密碼去試50萬個使用者帳號,其成功率達10%。因此,欲杜絕不法事件發生,業者除了要將安全機制建立,不斷推出防護等級更高的安全設備,並告知玩家正確觀念外,玩家也需保持良好的上網習慣,不點選來路不明的網站、下載不明檔案、使用外掛程式,同時,政府亦要給予大力的支持協助,擬定相關法令,三管齊下,讓數位產業在台灣能得以發展,業者、玩家相互受惠。

玩家心聲
玩家 陳同學
玩線上遊戲經歷 約6年
較常玩的遊戲 天堂、魔獸
陳同學被盜後選擇不玩 改玩連線遊戲

  天堂每天中午都會進行維修工作,當天我在維修完後上線,發現所創造的人物、倉庫內的寶物都不見,損失近有7,000~8,000元,因此懷疑維修過程是否出現漏洞。而因為我有到遊戲網站爬文,發現玩家向業者投訴,都無法得到回應,除非是官方網頁被植入惡意程式導致玩家的損失,否則都不會對玩家的個人行為做出賠償,因此當下我就選擇不向業者及警局報案,並且決定從此不接觸該遊戲,轉而玩沒有帳號安全性問題的小遊戲,如魔獸爭霸Ⅲ。

  由於是幾年前被盜,業者尚未推出相關安全機制。但對於線上遊戲業者所推出的安全機制,我覺得花錢麻煩,又無法確保100%的安全,通常只有高階玩家,才會去購買遊戲業者所推出的付費安全機制。
業者回應

  維修時不太可能出現遭竊情形,因為此時對外的網路是斷線的,任何人都無法連線,因此並非是因維修過程造成玩家帳號、寶物被盜。

遊戲業者 防護機制/是否需費用 如何收費 安全機制是否與遊戲一同出package
遊戲橘子 1. PlaySafe Card–免月費〈PlaySafe Card於2008年1月開始不收費,且與DES合而為一,統一稱作PlaySafe卡)
2. PlaySafe OTP–免月費
3. 手機OTP–免月費
所有保護機制全面免月費, 玩家僅需一次性支出。 1. 天堂、楓之谷單卡販售(不含讀卡機),一張69元。
2. 天堂、楓之谷有販售卡片+讀卡機的產品包,價格是299元。
華義 1. OTP Token–需收費
2. 電腦鎖–免費
3. 通訊鎖–免費 (9/9啟用)
OTP Token
(1)1年699元
(2)半年250元
否,安全機制獨立銷售,玩家可自行選擇是否購買。
遊戲新幹線 通訊鎖–免費 免費, 由業者自行吸收電話費
遊戲業者 各防護機制所適用遊戲 備註
遊戲橘子 1. PlaySafe Card─天堂、楓之谷
2. PlaySafe OTP─楓之谷
3. 手機OTP─目前正在建置中
為了避免玩家遊戲中道具被盜用或非法買賣,天堂和楓之谷分別提出以下機制供玩家使用:
1. 楓之谷:遊戲內有封印之鎖(於商場內購買)
2. 天堂:封印捲軸(免費)、封印簡訊(一則收費3塊)
華義 1. OTP Token─飛仙、三太子、熱血江湖
2. 電腦鎖─飛仙、王者之劍GE、熱血江湖
3. 通訊鎖─飛仙、王者之劍GE、熱血江湖
1. 在虛擬商城,現都以SSL進行加密。
2. 玩家購買點數可透過不同付費管道,如便利商店、手機、信用卡、ATM、市話小額付費,而其各有不同的保護機制。例如,利用信用卡付費,業者會發送簡訊至玩家手機,以證明是否為使用者本人。
遊戲新幹線 1. 強制使用手機鎖─十二之天、十二之天貳、武林外傳、WEB三國、天龍八部、誅仙、風火之旅、RO新伺服器使用、三國群英傳新伺服器使用。
2. 非強制使用手機鎖─網球拍拍、RO舊伺服器使用、三國群英傳舊伺服器使用、完美世界、魔獸世界。
3. 未使用手機鎖─終極、籃球火、傳奇3、劍俠情緣、劍俠情緣2、絕代雙驕、信長之野望、炎龍騎士團、搞鬼、天使。
依遊戲的不同,在虛擬商城交易時有不同的保護機制,如交易鎖、數字鎖,需輸入密碼才得以交易。

玩家心聲
玩家 WINNIE
玩線上遊戲經歷 約5年
較常玩的遊戲 天龍八步
WINNIE懷疑遊戲公司竊虛寶將之變賣

  我玩天龍八步近2~3個月,前幾天在玩遊戲過程中被踢下線,情急下再次輸入帳號密碼,沒想到被其他人搶登,再上線時發現東西都被賣光,我認為遊戲新幹線通訊鎖的登入時間太長,若在60秒內帳號密碼輸入錯誤,不需再撥通電話,容易發生搶登的行為。而前陣子遊戲新幹線有中秋節頁面更新的活動,我在被盜那天做完更新動作後就被盜,懷疑是更新頁面有漏洞。我也曾聽其他玩家表示,只要玩家將遊戲幣打到某一金額,就會發生盜號情形,由於虛寶於現實生活中販賣,可獲取虛寶價約1/2的價錢,因此也曾懷疑是工讀生竊取,並讓公司背黑鍋負責賠償。另外,進入虛擬商城需輸入密碼,但若忘記密碼可按「強制解鎖」,系統將於2天後自動解開,我想,這也會成為駭客從事不法行為的手法之一。

  在事情發生後雖然有向業者反映,但業者表示調閱遊戲歷程需花費7~14天的時間,讓我覺得業者並未積極的協助調查。而業者調查後若給予賠償,就會繼續玩,若沒有,就將選擇其他遊戲。
業者回應

  遊戲新幹線現在正在研發一新安全機制,日後玩家需先將帳號、密碼輸入,再向業者撥打電話開通系統,如此便可縮短玩家輸入帳號、密碼的時間,搶登情形相對的也會大幅降低。但這牽涉到原廠需大規模更改安全程式,作業不易,目前只有「12支天2」這款遊戲在測試營運的階段,其他遊戲多半都在與原廠做協調溝通。若上述機制能順利施行,便不會出現不肖人士搶登情形,虛擬商城強制解鎖的情形亦不會出現。

  而在遊戲新幹線網站頁面上都有放置haker safe的標誌,隨時對頁面做偵測,若出現漏洞會即時顯現在haker safe的標誌上,比如說現在網站沒有漏洞,便會出現綠色標簽,告知玩家該頁面是安全的。