网游安全研讨会BJCA付跃2009年5月目录•网游安全现状•证书的优势与劣势•网游安全的发展趋势•网游收费模式与证书盈利模式的关系•网游运营商---潜在的合作伙伴网游安全现状•引言•网络游戏世界里,一件极品装备、一个高级帐号,不知要花费玩家多少金钱、心血和不眠之夜。对其倾注的感情更是无法用金钱衡量。因此,玩家最为担心的事情,莫过于自己的游戏帐号被盗窃,虚拟物品不翼而飞。•网易CEO丁磊在接受采访时说:“暴雪选择网易因防盗号更有经验,更好”•可见,对玩家与网游运营商来说,账户保护都非常重要网游安全现状信息安全的层面包括:物理安全网络安全应用安全安全管理网游安全现状网游安全现状•几种常见的盗号手段使用木马等黑客软件窥视冒充官方及游戏管理人员外挂及虚假客户端程序网游安全现状•几种常见防盗号技术1.账号密码卡将密码卡与账号绑定并开通服务后,登陆游戏会随机提示三个坐标,输入正确后才能进入游戏。例如:A2;E7;G9则本次登陆的动态密码为207823网游安全现状•盗号者对策盗号木马会定时将游戏窗口关闭,引诱用户多次输入密保卡中的密码,利用列举的方式,将密保卡盗取。一般来讲,盗取了密保卡中60%以上的密码组,就可以完成盗号了矩阵终结者木马界面网游安全现状•几种常见防盗号技术(2)2.令牌网易推出的“将军令”根据用户发送来的帐号判断是否绑定了令牌,如果绑定了则要求用户发送安全令牌随机密码,安全令牌使用md5(密匙串+时间)生成一段密码,用户将这段密码发送到服务器,服务器根据数据库里的信息进行相同的计算得到一个结果,比较两段数据,如果相同则登录成功,因为是60秒生成一个,应此允许有60秒以内的时间延迟.网游安全现状•盗号者对策(2)理论上来说,只要你的令牌不丢失,传统的盗号方法是没办法破解的,但是最近仍然出现使用令牌被盗号...为啥呢???盗号者利用社会工程学,即玩游戏的时候,突然断线,玩家会急于马上再次登陆,观察力下降。而你登录输出令牌code的界面更本就是盗号者自己做的游戏登陆界面,你输进去的令牌code直接传送给盗号的人了,盗号者登陆后,用脚本瞬间把你帐号上值钱的东西全部寄掉。网游安全现状•3.账号IP绑定•4.账号手机绑定•5.账号邮箱保护•几种常见防盗号技术(3)这几种安全方式都发生过被盗的案例,只不过盗号手段更倾向于使用社会工程学,即人为的操作失误,而非技术手段。网游安全现状杀毒软件厂商对防盗号的支持09年1月,奇虎360公司与盛大、网易、巨人、九城、完美时空、联众、浩方等七大国内网游巨头联合宣布结盟,集体围剿盗号木马。360保险箱网游安全现状盗号者对策(3)360安全中心根据云查杀上传样本截获的木马生成器免杀外壳:所谓“免杀”,就是不法分子将木马病毒进行加壳、修改特征码等特殊处理,使其能不被主流安全软件所识别和清除。网游安全现状总结目前的防盗号技术已无法满足玩家对账号保护的需要。仅凭“用户名+口令”的传统身份认证方式根本就没有任何安全性。同时,杀毒软件有其弊端,即滞后性。其只能查杀已知的木马病毒,对于新出现的木马或已知木马变种的防护效果较差。加之用户有可能会疏忽查毒杀毒的工作。所以,市场呼唤新的防护措施出现!提问:“移动证书可以么?”证书的优势与劣势•优势•证书+数字签名可以有效的解决以下4个问题•1.机密性问题•2.完整性问题•3.真实身份认证问题•4.交易的不可否认性问题•游戏提供商应该为每个游戏用户颁发一个全球通用个人证书用于登录网游的身份认证和用于每个交易的数字签名(密保卡、令牌),从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。为了杜绝使用公用电脑(网吧)和专用电脑的间谍软件(木马软件)或其他可能的手段非法使用数字证书问题,强烈推荐用户使用USB移动数字证书来确保是真实的您在合法登录您的网游帐号。证书的优势与劣势•优势•不可盗取性证书的登录方式,可以完全免疫现有的木马程序(盗取通过鼠标、键盘录入的传统的登录方式,即“用户名+口令”方式)证书的优势与劣势•优势•网游运营商新的炒作卖点市场营销,需要宣传炒作,质量过硬,炒又何妨。•易用性强操作简单,插拔U盾,不繁琐。•可作为“防沉迷”系统的支持国家规定:未满18岁的用户和身份信息不完整的用户将受到防沉迷系统的限制,游戏沉迷时间超过3小时收益减半,超过5小时收益为0。家长可为孩子办理USB-key,孩子能否玩游戏,玩多长时间,控制权在家长手中。防止孩子沉迷网游。证书的优势与劣势•劣势1.成本过高(对策在后续章节会提到)2.有漏洞,不能完美防盗如果玩家一直将USBkey插在计算机上,黑客可以通过后门或者系统漏洞获得玩家计算机的管理员权限,进而可以远程登录玩家计算机,并使用插在计算机上的USBkey进入游戏。对策:通过游戏运营商的宣传,让玩家了解登录游戏后及时拔出USBkey的重要性。证书的优势与劣势•劣势2.有漏洞,不能完美防盗(2)网游安全的发展趋势三方合作CA杀毒厂商网游公司玩家帐号登录保护黑客、木马、病毒的查杀证书安全使用,木马、病毒的预防措施等保障账号安全宣传工作网游安全的发展趋势用户级别安全组合高级用户USB证书(指纹识别)+数字签名GM(游戏管理员)公司内部人员USB证书+数字签名普通玩家USB证书+(矩阵密保卡、令牌)试玩型玩家服务器SSL证书/文件证书+传统密码根据用户需要,我们制定不同级别的安全组合套餐网游安全的发展趋势•业界其它账户保护新技术•据魔兽合作网站worldofwar.net报道,为了对付日益猖獗的盗号木马,暴雪目前正计划施行一种新的帐号保护系统,并为此向《魔兽世界》的注册用户发电子邮件问卷,征求玩家意见。这个新的帐号保护系统有点类似于“dongle”道尔芯片(dongle是一种必须装在计算机中才能使计算机运行专有软件的硬器件(保密器-解密器),用来防止非法软件复制)。比较有趣的是,这个“dongle”要插入电脑的USB接口,玩家才能登陆帐户。网游收费模式与证书盈利模式的关系•网游收费模式历史点卡计时收费模式玩家数量直接意味着收入的多少免费网游道具收费模式玩家数量则是付费用户的基础点卡计时收费模式魔兽世界、梦幻西游C/S架构B/S架构游戏的“免费模式”是通过降低门槛先将玩家吸引进入游戏,再通过后期的不平衡和玩家之间的矛盾来贩卖人民币道具,这种收费模式的缺点就是后期平衡性问题往往难以避免。而“时间收费”模式则相对维护了网络游戏最原始的精髓——公平!事实上,国内真正曾经超过百万人的MMOPRG无一例地外采用了充值点数换取游戏时间的运营模式网游收费模式与证书盈利模式的关系•网游收费模式发展趋势网游收费民意调查网游收费模式与证书盈利模式的关系•网游收费模式&证书收费模式其实,所谓的免费网游,不过是史玉柱、马云等人创造出的一种营销方式,以“免费”为幌子,聚集人气,打压竞争对手,通过变相方式盈利。证书的盈利模式亦可以复制这种这种“免费”模式。我们打出免费移动证书的旗号,与网游运营厂商合作分成,实现盈利。产品名称产品价格推广效果网易“将军令”38元较好九城令牌60-100元较差金山令牌58元一般结论:价格成了推广硬件设备保护账号的最大难题(令牌不收年服务费)其次,由于令牌已经被黑客破解,并不非常安全,玩家也不愿购买。网游收费模式与证书盈利模式的关系计时收费模式免费游戏道具收费模式例如:如果玩家一次性充值10张、20张点卡,我们赠送移动证书。与玩家单一次购买点卡相比,运营商肯定愿意玩家一次性购买大量点卡例如:如果玩家购买了超过500、1000元的道具,我们免费赠送移动证书迈出第一步永远是最困难的,以“免费”为手段,积聚人气,等推广开后,让玩家意识到我们的产品是多么的安全,获得好的口碑后,才能让更多玩家购买我们的产品,才能使我们的市场越来越大。与网游运营商结算收益将证书成本与点卡、道具的成本捆绑起来网游收费模式与证书盈利模式的关系“USBkey成本+年服务费”换一种思维方式,将USBKey作为一种网游周边产品销售。将其变成一种有收藏价值的商品。•常规收费模式网游收费模式与证书盈利模式的关系•常规收费模式控制成本,做好市场调查,了解玩家可以接受的价格,盈利=单价X销售量追求盈利最大化网游运营商---潜在的合作伙伴上海深圳,广州北京艾瑞咨询调查统计网游运营商---潜在的合作伙伴网游安全研讨会结束谢谢倾听BJCA付跃09年5月010-58045854