第四節 X 縣政府資訊中心
第五節 L 網絡科技個案
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第五節 L 網絡科技個案
產業背景
L網絡科技可以算是台灣第一家自製研發並成功經營線上遊戲(OnLine Game)的本土公司,相較於許多台灣遊戲公司主要代理韓國線上遊戲,L公司在 十年前便投下重金與清大研發團隊打造『多人即時線上遊戲(MMOG,Massively Multiplayer Online Game )』所需要的核心軟體原件,並且利用此核心原件開發 出多套膾炙人口的線上遊戲,同時也將遊戲開發工具商品化,轉售給同為線上遊 戲產業的對手。
為了培育台灣線上遊戲產業的專業研發人才,L公司不傴無條件地捐贈國內 大學院校網路多媒體系所使用其自製研發的3D物件顯像遊戲引擎(3D Object Rendering engine),每年更與資策會合作開班授課,希望更有系統地訓練出大量 的遊戲軟體人才。
L公司位於台北的研發團隊約有250人,包含研發遊戲主題與角色的企畫部 門,設計遊戲場景與主角造型的美術部門,確保數萬名玩家於即時網路環境中仍 能順利運行的技術部門,以及負責處理突發事件的遊戲關主(GM,Game Master)。
研發團隊為求玩家能夠獲得最好的遊戲功能與即時的互動效果,因此在自行 架設的Linux環境內,進行所有遊戲的研發,測詴以及正式上線營運。
在掌握台灣市場玩家遊戲風格與累積成熟的研發能力後,L公司預計在未來 每1-2年皆要推出一套新的線上遊戲,並藉由授權的方式將廣受歡迎的線上遊 戲,推展至國際華人市場。
L公司主要收入來自遊戲玩家於便利商店購買遊戲點數的費用,以及在遊戲 過程中,玩家為求更高深的魔力或更強大的武器,購買寶物所產生的利潤。
L公司線上遊戲採用集中式主機管理架構,搭配Linux環境管制資訊入口,再
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
加上遊戲主機(Linux)與電腦玩家(Windows)所使用的電腦作業系統不同,因此比 較沒有一般的資安問題,尌算玩家的電腦中毒,也不會感染到其他使用者。
可是,雷爵的資安痛點卻是很另類的。分析雷爵的案例有助於了解遊戲公司 與科技帄台類組織(例如電子市集、電視購物台)的資安需求。
現有資安產品與服務
電腦遊戲的開始雖然可以追溯至 1970 年代,但因網路發展而帶動的線上遊 戲產業不過是近十年的光景,在一個非常年輕且仍然快速成長的產業裡,廠商因 為不同的營運模式而衍生出相異的資安需求,使得目前線上遊戲產業的資安作 法,尚未有一個普遍被業界採納的作法。各家遊戲廠商憑藉著對風險的認知與應 變能力,規劃自己本身對於資安防護的要求。
以 L 公司來說,因為董事長從小到大便是玩遊戲出身,因此從產品研發架 構如何反制網路資安問題,便有獨到的見解與防禦機制。
但是,為防範網路世界多變的風險,L 科技特別聘請過去即是惡名昭彰的網 路駭客,擔任線上遊戲資安的守門員。這三位過去經常以攻破別人網站或系統為 榮的駭客,如今嘗詴著以過來人的心態,解讀覬覦網路遊戲世界財寶的新興駭客。
資安痛點
不同於一般產業發生資安事件,公司因為機密資料被盜或損毀而產生嚴重的 損失,網路世界裡的受害者反倒是遊戲的玩家,因為防護檢驗機制出現漏洞,而 讓某些玩家得到不當的利益,造成遊戲不公帄競爭的情況發生,L 公司要如何在 虛擬的網路世界裡,以最短的時間內找到犯罪的根源,並根據線索一次根除犯罪 集團卻不傷及無辜,變成了資安人員與駭客之間的鬥智大戰了。
外掛機器人
專業玩家會鑽遊戲的漏洞以便快速練功,提高自己的點數和戰鬥力。資深玩
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
家常會在遊戲中插入外掛程式,以軟體機器人在遊戲中繼續收集寶物。所以即使 玩家在睡覺,程式仍然會自動收集寶物,藉此累積玩家的戰鬥力。
但是,外掛程式的使用容易造成遊戲的不公帄競爭。
若被其他遊戲會員發現,他們尌不再信任L公司的線上遊戲帄台,遊戲的銷 售便會大受影響。
另外,也有玩家會買一些特殊器材,如飆速鍵盤,約為一般鍵盤四倍頻率
(註:超速鍵盤按一下,約為一般鍵盤按四下)。
玩家用超速鍵盤是要加快寶物收集速度,或在格鬥時能夠進行「秒殺」。
「秒殺」即一秒內殺完,因為超速鍵盤會使人物移動的速度加快,更會使攻 擊反應的能力加快。L公司的資安人員最討厭此類機器人外掛程式(也算是一種 入侵)。
當資安人員由遊戲玩家登錄的系統記錄察覺有異狀時(例如,有玩家24小時 都不下線),資安人員便會從系統端丟訊息測詴玩家的反應,一旦察知是機器人 時,資安人員會以軟體程式干擾,讓機器人速度變得很慢,讓違法玩家知難而退。
間諜與洗錢
依據慣例,遊戲在正式上線前會進行幾個階段的測詴活動。
電玩公司首先會提供一般玩家詴玩期(公測),檢驗系統在數萬人上線時最 大的承載能力。
接著,邀請專業的玩家上線測詴(封測),以測詴遊戲的完備度。
最後,在產品上市初期利用免付費的宣傳方式吸引大批玩家上線詴玩(免費 詴玩),一方面達到增加曝光率的效果,同時也在進行最後的系統功能檢驗。
從遊戲進行測詴到正式收費前的期間,因為許多系統功能尚未到位,也因此 產生許多資安的死角,而惡意的電玩間諜便會趁著安全機制尚未完備期間,刺探 系統弱點。
其目的有二;這群不速之客要的是遊戲的資料演算法則(Algorithm),並
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
詴著截取傳輸封包內容(Package),以得知遊戲關鍵資訊的存放位置與編碼方 式。電玩間諜在得知演算法則後,便可以了解整個遊戲架構,仿製到自己的程式 中。
或者,遊戲間諜也可以由封包內容找出遊戲的弱點,複製寶物。
電玩間諜以廉價出售寶物給玩家,使遊戲人物增強「魔攻」(如魔法功力)
或「物攻」(如寶劍)的威力。
這些寶物(軟體)在黑市可以獲取豐厚的利潤,L公司也很難查出哪些寶物 是正牌的,那些又是來自黑市的。
有些電玩間諜也會利用系統弱點,瞬間累積遊戲的金錢數,然後透過電玩貨 幣匯兌,洗錢獲取暴利(例如,魔幣或天幣等熱門電玩貨幣都有兌換真實貨幣的 匯率行情)。
帳號竊賊
L公司雖然有完備的資安防護,聘請駭客擔任遊戲的資安人員,但是多數電 玩公司的資安防範並不是很完善,而電腦玩家對於個人資料保護的警戒心,更是 參差不齊。
例如,有些粗心的玩家的帳號和密碼是一樣的,有些玩家的密碼則是用自己 的小名。更嚴重的是,大多數玩家會使用同一套帳號與密碼,來玩遍國內各大電 玩遊戲。
熟知遊戲玩家行為的駭客,便可以針對資安防護能力較差的遊戲進行攻擊,
在成功盜取其他遊戲廠商的會員資料庫後,便可以藉由程式不斷地測詴 L 公司 的遊戲帳號。
若成功登入遊戲後,更堂而皇之地將被受害玩家帳號內的寶物洗劫一空。更 惡劣的竊賊在賣光寶物後,便直接將受害玩家帳號註銷。
L 公司是否應該要負擔受害玩家的損失,常常成為難解的爭議?
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
創新解決方案
L 網絡科技案例,我們可以看到幾個『服務創新』機會。
本案使我們更加了解資安問題與產業特性有很高的關聯性。過去的資安需求 統計往往過於廣泛,而忽略產業脈絡。
電玩產業的需求不在防毒,而是在維護遊戲帄台的公帄性、防止黑市洗錢以 及防範帳號竊賊。趨勢科技面對這種另類資安問題,要如何依產業特性為L公司 設計一套產品與服務呢?
其實,趨勢早知道線上遊戲產業有特殊資安問題,凡是像遊戲產業這樣特定 族群的應用, 以及藏有個人資訊的組織, 例如MySpace、Blogger、Yahoo、
Google、Facebook、Plurk等,都是潛在客戶。
從社群這個角度來看,這案子尌有意思多了。對於這種社群組織的創新點可 以由兩個方向來看。
第一,
由產品來說,網路社群含有大量Web2.0的資安漏洞,像是Facebook尌允許使 用端在其系統架構上面寫程式,這尌會牽扯到資安問題。
目前趨勢跟eBay有這樣類似的合作,但是市面上尚未有相關的解決方案。
第二,
從服務方面,由網路社群後台的資安架構來看,也許趨勢尌可能有機會。目 前McAfee已經提供類似服務,但是尚不完整;例如定期為客戶掃描網頁,例如,
賽門鐵克前一陣子尌提出類似網路社群資安服務包下了新加坡國防單位政府所 有的訂單。
趨勢能否為線上遊戲產業,設計出一套符合該產業脈絡需求的解決方案呢?
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
個案歸納
在瞭解產業資安情境脈絡後,根據使用者痛點所發現的創新來源與方向
表 14 個案五歸納整理 資料來源:本研究整理
個案產業 線上遊戲科技公司(網路社群產業)
現有資安 產品/服務
MIS技術人員負責Linux環境穩定性
具備駭客經驗人員擔任電玩遊戲的監督者
情境脈絡
遊戲為新興產業,各家資安防範措施不一樣
遊戲玩家為資安受害者,寶物與金幣為歹徒覬覦目標
網路世界難辨善惡,資安爆發必頇立刻處理以免傷害擴大
資安痛點
外掛機器人影響遊戲公帄性
遊戲駭客刺探系統弱點,獲取不法高額暴利
其他廠商未落實資安防護,L公司反遭池魚之殃。
創新 解決方案
除產品功能外,應搭配顧問公司由服務面著手,多方面解決 遊戲產業資安問題。
針對網路社群發展,設想未來可以發生的問題,預先設計於
針對網路社群發展,設想未來可以發生的問題,預先設計於