简体 Welcome!
帳號: 密碼:
進階選項 註冊為新會員 忘記密碼
所有文章: 204 | 迴響留言: 3995 | 引用列表: 34 | 文章分類: 20 | 總瀏覽頁次: 6362752 | 今日瀏覽頁次: 184
星期五, 二月 16, 2007
線上遊戲-遊戲資料庫(下) 資料庫被駭,玩家會倒楣嗎?
延續上一篇文章繼續談,因為文字比較多,所以我把他分成兩篇。



入侵資料庫,目的為何

資料庫入侵之後,不一定是直接要盜玩家帳密資料,很多人都以為盜資料庫就是要偷這東西,通常這是列在最後考量的。最先者對方會試著去看看能否修改金錢或物品的欄位,無中生有的直接竄改資料最快,再來是測試有無辦法複製金錢物品,最後才是偷取玩家的帳密資料。而通常盜取了資料,都是會拿去轉售,不見得會自己下來開帳號偷東西。


進資料庫去改其他東西?

如果取得權限,並且找到表單的位置,金錢、經驗、道具數量等,什麼都可以修改。而如果取得這樣權限的人,通常也不用去偷玩家帳密,CRACKER可以經過幾次入侵測試就知道遊戲公司在這方面有無監控管理好。會不會發現資料被修改,就得看遊戲公司投入的防護等級和心力,以及有無隨時監控的人員,或有沒有相關人員發現異常,換句話說,有些可能永遠都不知道遊戲已經被下了符咒。


偷改沒人會知道嗎?

資料庫遭到修改系統是可以做警告的,只差有沒有做和有沒做對地方,一般刪除、修改這兩個權限都不應該是一般人可以接觸的,如果有被更動到,會做出警告訊息。遊戲公司要修改玩家某些資料,例如虛寶的返還,都要經過層層簽核,然後才會被擁有權限的人更動,所以假設是被入侵並且修改數值,對方不講、自己的防護警報又沒做,就很難被察覺,或是只能被動發現,甚至可能幹壞事的人,就是那個有權限的人。


到底是怎麼入侵的?

資安工作的投入夠不夠,在遊戲公司的防護中可能有疏失,有時候只是突然開個外網,就被入侵了,或者是某些管理者大意,出事不報,甚至電腦防護常識不足,造成電腦被植入後門或被駭,因而擴大災情,筆者說過了,在上位者諸如經理或是什麼的,電腦知識不見得比較強,所以災禍不見得都是小人物引起的。

而GM使用玩家回報的外掛程式當場執行起來,造成被入侵,這些事情在業界也都發生過。資訊安全的教育,是不分職位的,遊戲公司這點絕對要記勞。


資料庫被入侵,玩家帳號危險嗎?

如果會去盜取玩家資料,最重要的是表單內帳號和密碼這兩欄。對遊戲公司來說,玩家表單上的帳號不能加密,但是密碼則必須加密(以目前網路環境安全性來講),資料庫被入侵後,整張表單會被拷貝走,CRACKER偷了沒加密的密碼,玩家就等著一個一個預備受害了。而有加密的密碼如果無法破解,取得的資料幾乎是無效的,大概也只能從帳號組合規則或是其他例如生日等欄位,去猜玩家的密碼。


萬國通用帳密,不用偷密碼你也會遭殃

建立字典型的盜帳號法,成功率大概2%-4%,因為筆者曾經看過未加密的帳密資料欄,一萬筆資料大概有200-400筆是帳號密碼一樣的,這種哪需要偷密碼,一萬個帳號慢慢複製貼上也可以盜走一堆偷懶的人,另外還有3%是很陽春的密碼,或是和帳號之間有規則可循,不然就是萬用帳密,一百個遊戲從沒換過,甚至巴哈姆特的帳號也和遊戲帳號一樣。恩,細節我就不講太直接了……以免有人做壞事XD。


加密的密碼可以反解嗎?

基本上是較難的,或是你能找到公式,不然你要解出諸如此類「y7QoY6FgDdauIO04B7dT78RrqE」加密過的亂碼,大概只能從設計者手上拿到公式,因此資料庫被駭,不見得玩家帳號就會被出事,除了要看對方目的之外,表單內的密碼做好了保護,安全性還算是高的。


資料庫資料的黑市交易

許多大陸討論區都會發現有人在徵數據庫,不過賣這東西假貨也不少,有些不肖的商人會將一筆資料賣給四五個人,也有人利用這種上論壇詐騙,例如一開始先給你幾筆真的資料讓你過個癮,付錢後拿到的卻是過期的舊資料。



玩家其他資料能賣錢嗎?

除了玩家帳號密碼以外,其他文字型的資料幾乎都是垃圾訊息,很多玩家把自己的住址、電話等資料當成寶,但整體而言這些價值性是很低的。在網路遍及後,普遍的大家都被灌輸「不要在網站上留下正確的資料」這類的觀念,於是筆者在打開資料庫查詢資料時,列表內有些文字掰到會讓你笑到噴飯,例如這類的住址『台北市柏油路機車待轉區非洲巷18弄號地下七樓』、『木星外環第二顆衛星像不巷我很愛號林小樓之8』;名字的部分,舉凡你知道的歌星或知名人物,全部都可以在會員欄位查到,而這些類似港星的名字九成九都是掰的,當然其他只要是需要你自己key in文字的欄位,有一半以上都是假的,這些資料是一點價值也沒有。

大家都怕資料外洩,都喜歡留下亂七八糟的文字,這些卻是攸關自己的權益問題,你投入假資料,以後要是帳號出事情絕對擾你老半天,到最後你只能放棄掉相關的虛擬資產。甚至我相信有很多人玩到很高等了,帳號被盜或虛擬物品出問題要追,才發現自己是用身分證產生器,這些玩家絕不在少數。

所以乖乖留下正確的資料,其實是不會有什麼問題的,如果人家要盜遊戲資料庫,多半不是對你個人身家資料有興趣,最大的防備,你可以用學校公司的住址或電話,至少你身分證字號不能造假,所有出問題後要確認都必須經過身分證字號,你可以用你家人的,但是你自己要記的起來。


客服查得到你的密碼,危險!

如果有玩家忘了遊戲的密碼,打電話去客服盧半天要對方幫你查,這時候要注意,客服沒有辦法取得你的密碼,這是正常的,千萬不要大聲嚷嚷,如果客服可以幫你查到密碼並且當場唸給你,那這種表示資料庫的密碼欄位沒有加密,這是一件很危險的事情,而且這也不是正確的處理流程,客服是不應該把密碼唸給玩家知道的。

像我常提那的款3Q可愛遊戲,以前我就曾經打電話去要過密碼,客服還唸給我聽,後來發生資料庫被入侵,大量盜帳號風波時,那簡直是一發不可收拾。


玩家忘記密碼,最正確的步驟是:
1、去電或mail或傳真確認身份
2、若干時間後,客服會寄一組由程式亂數產生的密碼到你指定的信箱
3、寄出後客服來電告知,玩家去收取密碼再上官網變更
4、變更以前不能用該組密碼上線

不過通常只到第三個步驟,追加第四個步驟是針對不肖客服設計的防護。



過濾機制與帳號防護

所以這邊遊戲公司可以做一些事情,可以減少客服被轟炸。

1、防止玩家帳號和密碼是相同的,在網頁端申請的時候就要擋下來,用警告訊息告訴玩家帳號密碼不可以一樣。

2、另外如果一家遊戲公司有多個遊戲,也可以在玩家申請會員或帳密時,去檢索玩家是否在本公司平台內其他遊戲申請過相同的帳號,替玩家過濾掉,從網頁申請就可以開始幫玩家做一些事情,以後客服端會少很多麻煩。

3、在遊戲登入視窗內,玩家如果輸入密碼錯幾次,或輸入不一樣的帳號幾次,就強制關閉遊戲,你必須重開,這雖不能擋什麼,但是可以增加試圖以收集名單嘗試猜貼玩家密碼的人工作上的麻煩。

4、密碼加密、密碼加密、密碼加密,應該不用多提了,如果是代理別人的遊戲,也要確實要求對方做到這個部分。



資料庫的防備已經越來越重要

講了這麼多,遊戲公司最重要的除了玩家密碼欄位的加密之外,資料庫的保護工作已經刻不容緩,而有時候為了省成本把所有遊戲資料庫丟在同一個地方,出事情也都是連鎖的,最近玩家應該有發現有一些大遊戲已經在公告玩家趕快改密碼了。

網路科技進步神速,網路犯罪也跟著暴增,在虛擬資產逐漸被建立起價值的這年頭,希望遊戲公司能好好的下工夫保護遊戲的資料庫,現在這些已經成了黑客下手的首要目標了,尤其是喜愛躍上遊戲網站前幾名的熱門排行,當你們把遊戲灌上前十大,也可能代表麻煩才剛要來臨而已。


年假九天,我也要休息一陣子,回家好好享受個清閒,這兩篇粗淺的文章陪大家過過年,放假記得好好的出去玩個過癮,梅添涼我在這裡祝你們大家新年愉快 : )。



More... funp HemiDemi MyShare del.icio.us technorati Google Bookmarks Digg
發表於 2:50 PM | 文章分類: 線上遊戲非法防治系列

迴響留言
其實~~你所提到遊戲公司可以做的那四點
對現在遊戲產業常發生的資料庫被入侵的幫助很小
甚至可以說幾乎沒有
acman 發表於 17:06, Feb 16, 2007
219.87.131.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
那四點不是要防資料庫被入侵啦...
dalireal 發表於 17:11, Feb 16, 2007
61.229.138.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
呵!是啊!!是在某部份上可以防止因玩家不慎
造成的帳號被盜的情況發生

只是~遊戲產業在資料庫端做的努力一樣是少得可憐

附帶一提!久未接觸線上遊戲(工作/休閒都是)
現在遊戲公司對網頁傳輸加密(SSL)到底是.....有做沒做啊
acman 發表於 2:51, Feb 17, 2007
220.130.154.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
其實 .... 再怎麼加密也都是會被破解的。
目前業界常用的幾種加密編碼其實都已經有破解的演算技術出來了,
只不過,實際去跑這些演算法去盜帳號不太值得,
因此大多數的破解盜帳號者還是用傳統的“字典法”在進行 .....
由 銀狐 發表於 17:43, Feb 16, 2007
59.120.163.* | silverfoxstudio at bigfoot dot com | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
前輩,新年快樂!
dalireal 發表於 17:45, Feb 16, 2007
61.229.138.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
新年快樂!
新工作做得還順利吧....
由 銀狐 發表於 17:46, Feb 16, 2007
59.120.163.* | silverfoxstudio at bigfoot dot com | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
還不錯,現在在執行休閒遊戲的專案,雖然常在加班,但是很過癮
由 dalireal 發表於 17:29, Feb 17, 2007
61.59.245.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
對了,有空可以用 Google 搜尋一下 wowglider 這個字,
就會看到一個有趣的程式 ..... (P.S.魔獸不是無敵的)

當然,目前聽說 Blizzard 正和這個程式的作者在打官司 ^_^
由 銀狐 發表於 16:51, Mar 1, 2007
59.120.163.* | silverfoxstudio at bigfoot dot com | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
哎呀呀,盜帳號除非是拿到資料庫資料,才需要有破解的動作....
所謂 MD5破解指的是MD5結果資料庫(已經算好的資料),還是可反推出某種符合結果的 key資料呢?
MD5不行還有 SHA、SHA256也很方便呢....
重點是,把 key加長等等做些簡單處理,要破解應該也近乎不可能吧....
由 想說一下而已 發表於 10:22, Mar 14, 2007
220.132.168.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
被破解的是MD5. 至於tri-DES, RSA等演算法仍然只能用暴力法破解吧
只要加長鍵值應該仍有足夠的保護強度的.
雖然我論遊戲公司資料庫外洩金鑰直接被拿走的可能性....
由 ++azel++ 發表於 12:41, Feb 27, 2007
211.21.182.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
涼大~不好意思唷
提醒您~文章有一點小錯字 
這樣文章盡善盡美啦~~
由 織葉 發表於 22:39, Feb 16, 2007
59.113.166.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
哈,謝你啦,因為趕著回家過年就沒有做檢查,我過個爽年再來修改
由 dalireal 發表於 16:48, Feb 17, 2007
61.59.245.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
這兩篇是在講遊戲的資料庫安全...小弟插個話,提一個ISP資料庫的新聞

大陸駭客入侵 So-net上千客戶資料外洩[Yahoo新聞]
http://tw.news.yahoo.com/article/url/d/a/070223/2/asqy.html

大家要注意喔!
ISP的大牌-HX-net也是有被入侵過的!
由 visting 發表於 14:45, Feb 23, 2007
61.64.148.* | visting8645128 at yahoo dot com dot tw | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
謝謝你提供資訊,其實h牌的isp我在很久以前就在blog提醒過大家了~

呼,年假感覺都沒放到就開始上班了......
dalireal 發表於 10:38, Feb 26, 2007
61.220.110.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
涼大,各位遊戲界的前輩們,小弟在這裡給你們拜個晚年。
涼大,你們討論的事情還真是深奧,我真的一點         都聽不懂。
上次去了電玩展,覺得還是很老套,花大錢請辣妹來造勢。
不然就是狂送贈品,或是請人上來比賽,不然就是辣妹陪練功。 
真希望能夠多跟玩家互動,聊聊玩家的心聲跟對遊戲的建議。

祝各位前輩及涼大,豬事大吉,心想事成,新春如意,身體健康,步步高陞,平步青雲,恭喜發財。

再接下去可能連 萬獸之王,我見猶憐,胖得可愛這些怪詞都跑出來了。

由 SAM 發表於 17:36, Feb 26, 2007
61.31.150.* | sam_yu at netfos dot com dot tw | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
遊戲的淘汰率太高,可能很多公司高層寧願研發新遊戲也不願去做保護遊戲的動作了吧...
這種現象什麼時候才會停止啊orz
由 痞福 發表於 21:58, Mar 3, 2007
192.192.231.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
所需費用
研發>>>>>代理>>>保護

以代理的OLG來說,不過是個商品...錢賺夠了,自然會換其他商品

自行研發(全新系統,3D美工....等),所需費用太高...不如去代理
由 visting 發表於 3:11, Mar 6, 2007
61.64.86.* | visting8645128 at yahoo dot com dot tw | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
最近天氣變得好冷哦..
請各位大大注意身體,小心保暖.
由 SAM 發表於 12:45, Mar 7, 2007
61.31.150.* | sam_yu at netfos dot com dot tw | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
放心啦,人家說傻蛋是不會感冒的,所以最近我只要裝傻就可以度過感冒潮了~
dalireal 發表於 13:29, Mar 7, 2007
61.220.110.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
如果是這樣..那醫生不就要失業了...
那我就不能去醫院看美麗的護士小姐了
涼大,我最近也看開了,不想碰線上遊戲了。
很多大大說的對,現在的遊戲都只是練功,升級,打怪,解任務。
不斷的輪迴著,而且也不知道是官方不抓掛機,還是擋不住。
很多公司都只是開空頭支票,所以我決定不玩洛汗了。
一點成就感都沒有。看到網咖一堆人開著電腦掛著聊天。
搞不懂他們來網咖做啥的??如果硬說有什麼成就感的話,
那就是我都喜歡越等打怪吧?而且我玩法師又容易趴。
真的是種考驗。還有殺比我高等的掛機,每次去殺都要想好戰略。
因為對方裝備等級都比我高,還會反擊呢。
而且都要抓好角度(因為怕怪忽然生出來在我旁邊。。)
時間也要抓得剛剛好,才有機會一舉擊殺。
剛開始殺得很開心。後來就麻木了。再怎麼殺他還是照出現不誤。
提供官方ID,也只是做做樣子。所以不想受氣了。
花錢玩一個永遠都不能公平的遊戲。(騙鬼去玩吧)
由 SAM 發表於 15:58, Mar 8, 2007
61.31.150.* | sam_yu at netfos dot com dot tw | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
可惡,真的感冒了 =.=" 裝傻技能失效! 年紀大了,一病就很嚴重......
dalireal 發表於 21:36, Mar 12, 2007
220.139.224.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
涼大..我們老師要我們寫產業分析報告
(目前小弟是白天上班,晚上念書拉)
多虧你的資料,讓我成為班上遊戲組最搶手的人物。
真是太感謝您了。我一定會很認真的努力把你的想法
加進我的報告裡的。
祝你感冒早點好起來!!
(文章摘錄~~瑞克梅添涼,班上的人還以為我是去找國外的資料。哈)
由 SAM 發表於 10:30, Mar 13, 2007
219.87.138.* | sam_yu at netfos dot com dot tw | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
洛汗online(http://www.rohan.com.tw)在收費前數天開始出現玩家被盜帳號的問題
大多玩家儲值完隔天立即被盜、有些被盜數次、有些什至被盜號者把人物放在官方設立的交易平台拍賣..
巴哈及官方的討論版已經被玩家的罵聲覆蓋,卻不見官方有任何反應...
而已在收費後,一些申請歷程的服務仍沒開啟...這家由韓國來台設立的子公司實在讓人落汗...

看完涼大這兩篇文章,再看洛汗這次的事件,可說是資料保護不足的問題?
由 Ruri 發表於 18:25, Mar 14, 2007
203.186.251.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
涼大,最近天氣又有點陰雨綿綿的味道。
您感冒好了嗎? 跟您報告一下,託您的福,
我的報告快順利完成。
感恩不盡。
趕快好起來,寫寫文章吧。
(加油加油加油!!)
由 SAM 發表於 10:49, Mar 19, 2007
219.87.138.* | sam_yu at netfos dot com dot tw | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
大大妳好
小弟剛才看了一下

要說線上遊戲 有好有壞
小弟也是玩過多款的線上的 電玩
不過 玩到最後 我發現 線上遊戲 還真的是一條不歸路
在國外的線上遊戲的處理 外掛 我也是真的見看它們的 本事了
我就玩過 海外的遊戲也是 不過我是發現 在那邊的處理態度 跟台灣 真的是
"天地~遠井" 話說 回來 台灣可以說 每一家的代理商都是 換湯不換藥的
可以是說 都是一句話 態度可是讓 小小老百姓感覺很不滿

現在的我都看到線上的遊戲 不管它內容在那麼 豐富 人物在多麼 華麗
只要市台灣代理 一下來
唉...........................................
台灣 何時才能見到一線微弱的 署光
還是一直 迷爛的 黑暗的世界


由 江湖不歸路 發表於 21:47, Mar 27, 2007
210.64.159.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字
遊戲就是要玩的快樂. 這些虛寶的是假的. 搞不懂. 為什麼有一堆人會想要花一堆時間去拿取呢. 資料庫被hacker. 那些東西. 都成了屁了. 願玩MMORPG 的大多數玩家快點清醒把.
由 QQ 發表於 10:22, Aug 10, 2007
60.250.204.* | 標記為廣告 | 回應此篇迴響
名稱
電子郵件
網址




請輸入你在圖片中看到的文字

張貼迴響:
名稱
電子郵件
網址



請輸入你在圖片中看到的文字
引用列表
本篇文章引用網址: http://yblog.org/api/trackback/?id=6969
沒有引用

Collablog Portal enabled