https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

企業化的駭客組織入侵「天堂」  剝開遊戲橘子 看遊戲廠商如何做好安全管理!

2005 / 11 / 04
王婉伶
企業化的駭客組織入侵「天堂」  剝開遊戲橘子  看遊戲廠商如何做好安全管理!

遊戲橘子的安全挑戰
玩家帳號、天幣及虛擬寶物被盜,還有外掛程式一直以來都是「天堂」最大的隱憂。其手法多半是利用玩家的疏忽,透過網路植入木馬程式竊取玩家的遊戲帳號,再假冒玩家身份竊取有價值的虛擬寶物。早期遊戲橘子為解決外掛、木馬程式等問題,曾多方請求協助,但評估後發現,沒有人比遊戲橘子更了解外掛、木馬程式的威脅,及經營線上遊戲面臨的安全挑戰,因此無法協助解決橘子的問題,同時絕大部份的資源不是遊戲橘子能掌控,因此在這種情形下,遊戲橘子只有盡力滿足玩家的要求及保障玩家的虛擬財產。

林純忠表示,木馬程式及外掛程式其實非常相像,其差別在於,木馬程式會竊取受害者電腦內的資訊並將資訊傳送回駭客手上。而這二者都是目前遊戲橘子所面臨的最大問題,所以日前遊戲橘子曾針對玩家寶物被竊情事,請玩家將電腦主機送到遊戲橘子,遊戲橘子可以協助玩家找尋木馬,一方面解決玩家問題,另一方面可以讓遊戲橘子蒐集木馬程式的種類與行為特徵。

且根據遊戲橘子目前蒐集到的資訊顯示,不論是外掛或是木馬程式,很多都來自中國大陸,而且遊戲橘子發現,所面對的已不止是單一的駭客攻擊事件,而是具有商業行為的外掛公司,專司提供客製化的攻擊程式給客戶。舉例來說,線上遊戲的外掛程式氾濫,林純忠表示,依遊戲橘子目前所知道的木馬程式中,很多都來自於所謂企業化經營的駭客組織,酌收一些費用,提供有心的駭客將木馬放入客製化的外掛程式供玩家下載,當不知情的玩家將外掛下載到電腦中,雖然外掛功能啟動,但也同時啟動木馬,造成玩家自身的損失;而一些專業外掛公司向玩家收取月租費,只要玩家有任何問題還能提供完善的客戶服務,一旦遊戲業者研發出新的防外掛程式,還能立即反應,提供玩家更新程式。面對這樣企業化服務的攻擊模式,令遊戲橘子非常的憂心,而且最重要的是即便找到攻擊者,但絕大部分的駭客都在中國大陸,台灣無法可管。這樣問題同時也是整個遊戲業界,普遍所面臨到最嚴重的問題。

深究外掛及木馬程式會如此氾濫的原因,林純忠表示,天堂私底下擁有龐大的虛擬寶物交易市場,高等級的虛擬寶物,在交易市場中是有利可圖的。雖然遊戲橘子不鼓勵這樣的交易行為,但也無法阻止玩家們的私下交易。一旦有交易行為發生後,就會有利益上的衝突,那麼有心人便會想盡方法,利用投機的方式來盜取其他玩家們的寶物。

外掛程式方面,業者雖力勸玩家不可使用,但還是無法有效的制止,所以遊戲橘子只能不斷更新反外掛程式來防止,但就像是防毒廠商與病毒的宿命一般,一旦有新的反外掛程式,就立刻會出現更新版的外掛程式來破解,如此便陷入一種惡性循環。

遊戲橘子在面對這些無法遏止的攻擊事件時,林純忠認為,只是圍捕拿錢行事的駭客是無法根本解決問題的,而是應該揪出幕後出資的金主,方能有效杜絕攻擊事件的發生。

監控攻擊行為,做好應變計畫
後門程式不論在Client端或Server端都有可能會被植入,林純忠表示,「站在資安責任的角度來看,不管目前這樣安全的威脅是否存在,都必須要做非常嚴密的監控。」,因此遊戲橘子不間斷的對台灣或是中國大陸等地區的駭客討論區網站及木馬程式網站等進行嚴密的監控,並隨時注意及閱讀資訊安全相關的訊息,建立完善的訊息來源管道並隨時掌握最新消息。

例如遊戲橘子最近在中國大陸地區的駭客討論區中便發現有新的攻擊模式,其攻擊方式是利用DNS的Icmp通訊埠來傳送訊息,若遭到這樣的攻擊,即便是有嚴密的企業防火牆,仍無法阻擋。 為了保障玩家帳號的安全性,去年遊戲橘子推出加碼鎖,但還是無法完全斷絕木馬側錄的可能性,這也是遊戲橘子要做PKI身份憑證機制的最大原因。遊戲橘子在推行PKI的身份憑證機制之前,也曾評估過各種方案,如Token、OTP(One Time Password)等,但遊戲橘子認為這樣的單一保護,仍會有漏洞出現,而且橘子所面臨的使用者是普羅大眾,如果無法讓人容易的去使用,而要再教育使用者其他防範方法方能推行的話,推展起來必定不易。 舉例來說,OTP(動態密碼),即時間期限內,必須輸入正確密碼,萬一輸入失敗,必須知道要做怎樣的設定?如果登入成功,也要考慮所發送封包是否有被竄改的可能性?這些都是只有單一保護機制下有可能會發生的問題。因此遊戲橘子在推行PKI機制的時候,考慮到這樣的危險性,在認證機制的流程加入多道繁複的手續及複雜的演算方法,期望可以達到最完整的防護。

林純忠認為,即便PKI認證機制也無法保證絕對安全,倘若使用者電腦被植入遠端遙控的攻擊程式後,則PKI認證機制也英雄無用武之地。因此教育玩家養成良好的使用習慣是必要的,遊戲橘子便提醒玩家,在利用PKI認證機制做好身份及登入的認證後,一定要記得不能將晶片卡長期留置在讀卡機內,造成不肖人士的可趁之機。

另外虛擬寶物被竊的案件頻傳,遊戲橘子處理此類案件時,有可能同時會鎖住正當的玩家及不肖玩家的帳號,為了減少這樣的情形發生,目前橘子內部也開發一套特徵行為比對系統,利用Data Mining的技術,先將玩家的行為記錄下來,再針對玩家的行為做好分析及追蹤,透過數學統計的運算,來比對出竊盜者及受害者的行為特徵,此系統預計七月可以做正式的測試。因為遊戲橘子的玩家數非常龐大,所以遊戲橘子在開發系統時,會極力要求其速度及邏輯的準確性,以保證當竊盜事件發生時,一定要能立刻找出所有相關人員。

倘若玩家的虛擬寶物被竊後,該如何保護自身的權益呢?法律規定虛擬寶物及遊戲帳號皆受到法令的保護,因此玩家確定寶物被盜後,可選擇是否到警察機關報案處理,而遊戲橘子會協助提供「遊戲歷程」給予被害玩家做為被竊的證據,並協助警方偵辦案件。但是對於遊戲橘子僅能提供遊戲歷程及帳號證明資料及協助警方偵辦案件,有些被害玩家對於這樣的情形並不諒解,玩家認為既然遊戲業者清楚知道誰是受害者,便沒有報案的必要,遊戲業者只要回復玩家的記錄及帳號即可,但其實不然,因為遊戲業者無法以單純的電磁紀錄影射具體的社會事實,礙於法令上的規定,目前被盜用的案件屬刑法內的妨礙電腦使用罪,必須交由司法單位審理,而不是單純的只要回復玩家的電腦記錄即可。

防禦外部攻擊外 更要做好內部安全
遊戲橘子除了代理線上遊戲外,還有一Gash的電子商務機制,林純忠表示,線上購物的防護機制與線上遊戲所佈署的安全規格是一樣的,其實目前對遊戲橘子而言,網站的問題並不嚴重,所有的攻擊手法大多是可以掌握的,需要擔心的是有心人利用管道植入木馬程式,畢竟這是屬於「人」的行為模式,是不可預測的,所以遊戲橘子在這方面不敢掉以輕心。

Gash網站是橘子最重要的核心資產,因其為所有玩家必須要信賴的機制,且是所有遊戲的帳號管理平台,遊戲橘子所有的遊戲都連結在此平台上,所以Gash的安全控制遊戲橘子非常重視。而遊戲的部分,目前都有完善的備份機制及回復機制,另外遊戲橘子在內部安全的管控上,同時也採取非常嚴格的防護機制,包括人員進出機房的門禁管制、採行實體隔離的方式來杜絕公司內部的安全漏洞等。總而言之,遊戲橘子對於所提供的服務機制,都會做適當的安全控管,如弱點偵測及分析、程式碼檢查、IDS、IPS等都是遊戲橘子必備的安全措施。

另外,遊戲橘子也正在考慮及規劃異地備援機制,但其需考慮的因素很多,如IDC機房、電力供應問題、天災等,截至目前為止,尚未看到合適的地方。目前遊戲橘子所有的安全規劃都會跟隨著BS7799安全認證的基本精神來做,但林純忠強調,執行時必須要對所謂的制度面及基礎建設都先有基本的認知及了解,否則「人」的因素會成為執行上最大的障礙,所以在導入之前應該先從觀念的建立開始,要先解決人的問題,才能順利推行。遊戲橘子目前已有國外的資安顧問進駐,配合BS7799及國外的經驗來做一步步的建置。

遊戲橘子的資安小組,每個人都有擅長的領域,例如,駭客工具、網路架構、程式撰寫等,林純忠認為,沒有人可以對資訊安全的領域有全面性的了解,與其找一位資安專家而無法顧及全面,不如讓大家發揮所長,讓遊戲橘子得到全面的安全保護。

遊戲橘子防禦上的困難
遊戲橘子雖然是代理商及營運商的角色,在平台的選擇上必需使用原廠所指定的作業平台,目前韓國的遊戲平台大多使用Windows 2000作業系統,所以遊戲橘子也多使用此平台。然而橘子從許多駭客手上拿到一些文件,證明Windows 2000其實存在有許多安全上的漏洞,加上微軟是程式開發商,其下也有龐大的網站及社群機制,因此遊戲橘子開始與微軟接洽,希望其能提供協助企業安全防護,從前端的作業程式到後端機房的安全建置,為的就是提供玩家一個安全安心的遊戲機制。

遊戲橘子在台灣能做到的部分就是採取防護的措施,不斷的與駭客進行諜對諜式的攻防戰!最後,則是來自四面八方不同層次的玩家,因為遊戲橘子無法掌握所有的玩家客戶在安全上的認知,只要玩家一點小疏忽,就很容易受害,所以遊戲橘子只有盡已所能的保護玩家權益。 其他的遊戲業者可能因為擁有遊戲程式碼,所以在遊戲程式缺失的即時反應上會比遊戲橘子具有優勢,但相對來說可能會疏忽了駭客攻擊的這個環節。遊戲橘子與其他遊戲業者在安全作法上最大的差別在於,遊戲橘子知道太多關於安全的技術及事件,因此遊戲橘子不相信所謂的單一保護的安全性。林純忠指出,我們知道越多的安全事件及技術,便對安全就會愈發小心!

結語
林純忠強調「今天,不論遊戲業者施行何種防護措施,所能做到的安全防護僅能佔其中一部分,其他的部分除了玩家的安全意識之外,最重要的還是遊戲平台的作業軟體廠商及防毒廠商的配合,畢竟有安全的遊戲平台及滴水不露的防護措施,才能給玩家一個安全的遊戲環境。」 安全防護要執行本來就是一件非常複雜的事,尤其遊戲橘子所面對的攻擊對象並非單一的,而是群體,而且身份及背景都是未知的,可能具有企業組織,且遠在Internet的另一端,加上遊戲玩家是直接曝露在Internet上,若玩家對於安全觀念的薄弱,就有可能容易被駭客所利用,畢竟現在惡意程式傳染的管道太多,也太容易,因此玩家的安全觀念必須要先建立,如隨時更新系統patch、不隨意下載外掛程式等。遊戲橘子擁有龐大的玩家客戶,對於安全這件事,從不敢輕視,除了隨時監控駭客的行為外,同時也認真的做好自我安全的建設。