文章列表

你拿什麼換那個酷遊戲?資安防禦不能省 ft.遊戲客棧

gameinn cover

GameINN - 遊戲客棧 Podcast 連結

GameINN - 遊戲客棧 相關連結

Instagram | Youtube

GameINN - 遊戲客棧 是誰?

遊戲客棧,由兩個半老不生的遊戲玩家袋鼠和小鍾主持,我們都熱愛電子遊戲,也有幾十年的遊戲經歷,希望能夠藉由精選單週遊戲新聞的方式,替大家報導遊戲界的最新動態,如果大家有特別想要知道的訊息,或是對報導內容有任何意見,歡迎留言讓我們知道,碰遊戲的時間少了,但對遊戲的熱情不能少!

本集重點

00:02:07 資安是什麼?你電腦的守門人
00:04:52 官方蒐集玩家資訊怎麼辦 抱歉你擋不了
00:19:15 看門狗沒效? UBI遭駭客入侵還要脅
00:24:22 一個小動作防堵八成漏洞 系統千萬要更新
00:31:17 小錢不要省! 防毒軟體真的要裝
00:32:14 修改器也會出事 修改漢化高機率送木馬
00:44:18 外掛也有極限 遊戲官方要抓得花時間
00:52:50 辦帳號等同交出個資? 你的個資網路上"有價"
01:02:18 程式要求權限別全按 仔細思考合理性
01:06:52 遊戲平台百百種 帳號密碼善用管理器
01:19:46 懷疑自己帳號被洩漏? 來這裡可以查
01:23:06 真的在聽你說話 智慧家電蒐集語音資料
01:27:09 怕悄悄話都被聽光? 請主動關閉數據搜查功能
01:33:17 講什麼廣告就跳什麼? 仍屬都市傳說範疇

本集內容整理

資安是什麼?你電腦的守門人

  • 黑帽駭客:利用駭客技巧攻擊他人賺取非法利益
  • 白帽駭客:利用駭客技巧幫助公司組織找到系統漏洞,進而修補系統變得更安全

官方蒐集玩家資訊怎麼辦

相關新聞:言論審查?Sony 澄清 PS5 語音聊天功能不會主動監聽玩家對話

疑慮:PS5新增的語音聊天錄音功能,將允許錄下玩家聊天片段,並提交給索尼互動娛樂(SIE)使用

  • 面對隱私條款這類型定型化契約,我們無法去修改或刪除其中的內容,因此如果想要使用這些軟體或服務,就必須要同意這些條款
  • 遊戲公司通常會透過自動化的工具來檢查使用者在遊戲的文字聊天中是否有髒話、敏感詞彙
  • 如果是被其他玩家檢舉,聊天內容就有可能會交由公司員工來檢查是否有違規

如果不希望在玩遊戲的同時,聊天內容會暴露在會被他人聽到風險中的話,可以不要使用遊戲軟體內建的聊天系統,改用第三方有點對點加密的聊天軟體。

看門狗沒效? Ubisoft遭駭客入侵還要脅

事件: 《看門狗:自由軍團》的原始碼居然真的被駭客竊取並洩漏,總共 560 GB 的原始碼通通被駭客偷光光,而這個駭客團體還拿遊戲資料作為威脅,如果Ubisoft不願意談判,就要公佈完整的原始碼,包括素材、和開發引擎等相關檔案。

相關新聞: 《看門狗:自由軍團》開發團隊傳遭駭客入侵,據稱遊戲原始程式碼已經被盜

先前有不少案例是公司在受到勒索病毒攻擊,支付贖金後,駭客還二度勒索公司要求付更多錢,或是沒有依照約定一樣將被駭資料外流。

因此當**面對勒索病毒時,千萬不要付贖金。**和駭客打交道時,別指望駭客會在你付錢以後依照約定幫你復原檔案或不外洩你的資料。

比較實際的做法是透過備份還原資料,了解被攻擊原因並做改善,避免類似的事情再度發生。接收被偷走的資料已經回不來了的事實。

調查報告:Ransomware Demands continue to rise as Data Exfiltration becomes common, and Maze subdues

一個小動作防堵八成漏洞 系統千萬要更新

在2017年很盛行的勒索病毒WannaCry主要散播途徑就是透過Windows系統名為EternalBlue的漏洞。儘管Microsoft已經在2017年初提供了修補漏洞的更新檔,但因為還是有很大量的電腦沒有辦法及時修補和更新,因此勒索病毒WannaCry才有辦法這麼大規模的散佈,造成這麼大的影響。

許多其他的惡意程式和攻擊手法也都是利用電腦軟體中已知的漏洞,因此如果能適時的更新我們的電腦能消除許多駭客入侵的管道,降低風險。

gameinn wannacry

圖片為電腦中了WannaCry勒索病毒後會出現的警示

小錢不要省! 防毒軟體真的要裝

現在的防毒軟體不像許多人印象中的一樣,沒有防護能力,只會讓電腦跑很慢,一個好的防毒軟體在效能和防護能力上都已經很成熟很好用了。非常建議大家電腦一定要有適當的防毒軟體,來幫我們把關。

提醒:不要在電腦上裝超過一套的防毒軟體,防毒軟體間只會互相影響,不僅防護力可能會更差,還會讓電腦效能變很糟,因此裝一套好的防軟體在電腦上就很足夠了。

複習:EP7 - 不可輕忽的電腦使用習慣 - 防毒軟體

修改器也會出事 修改漢化高機率送木馬

遊戲的修改器 / 破解器 原理大多是突破遊戲軟體本身有的保護機制,去修改遊戲內容和設定,來做到遊戲原本不讓我們做的事。

這個行為本身跟惡意程式的行為很像,因此大多數的防毒軟體都會將修改器、破解器視為惡意程式。因此許多網站和網友都會說再下載這些修改器、破解器前要先關閉防毒軟體。

也因為這樣,很多駭客會在這些修改器、破解器中安插木馬,因為他們知道使用者在使用這些修改器破解器時不會有防毒軟體保護他們。因此使用這些修改器和破解器時有很高的機率會讓電腦中毒。

外掛也有極限 遊戲官方要抓得花時間

外掛其實沒有大家想像中的那麼厲害跟神奇,許多都是要靠遊戲軟體上的漏洞或是bug來得以運作,而這些漏洞只要被遊戲官方修補了,這些外掛可能就不能用了。

但許多玩家仍然會持續尋找新的漏洞,開發新的外掛,因此這就像貓抓老鼠一樣,遊戲官方追著外掛跑。

有些時候遊戲官方不抓某些外掛不是因為放縱,而是那些外掛找到的是比較特別的漏洞,如果修補了那些漏洞可能會影響到玩家的正常遊戲體驗,因此在權衡之下只能先暫緩修補這些漏洞,尋找更適合更好的應對方式。

辦帳號等同交出個資? 你的個資網路上”有價”

許多遊戲會和玩家要求一些個資,常見的包含姓名、Email、生日,有的還會要求地址、身分證等等的。

大家在玩遊戲申請帳號時記得不要乖乖的把你所有的資訊都提交出去了,在分享以前要想想他們需要這些資訊幹嘛? 他們是不是真的需要我的這些資訊? 如果答案是否定的,那麼就不要提供真實的個資給這些遊戲平台。

這些個資通常會被遊戲公司拿來做使用者分析和行銷,分析什麼樣的使用者會喜歡什麼樣類型的遊戲,並在未來行銷時推薦你比較可能有興趣的遊戲給你。 比較不良一點的遊戲還會販售使用者資訊給廣告商或是其他業者。

面對個資時,我們應該要格外小心,因為很多個資是無法修改的,像是你的生日、身分證等等的,這些都是會跟著你一輩子的,如果不小心提供出去,被販售或外洩了,是沒有辦法挽回的。

下圖為暗網上一些資訊的售價

darkweb price

單位:美金USD‏‏‎ ‎‏‏‎ ‎‏‏‎ ‎‏‏‎ ‎‏‏‎ ‎‏‏‎ ‎‏‏‎ ‎‎‎‎‎‎‎‎資料來源:Bleeping Computer - DDoS Attacks Are $10 per Hour on the Dark Web

新聞事件: 「致敬」大作再惹議!《原神》遭韓網友踢爆藏後門程式| 電競 Epic 個人資料可被第三方隨意共享| PCM

複習:

EP8 - 個資真的有這麼重要嗎?

EP11 - 揭開暗網的神祕面紗 - 暗網上資訊的售價

程式要求權限別全按 仔細思考合理性

有些遊戲平台會有透過社群帳號(如 Google、Facebook、Twitter)登入的選項 (範例:OAuth 2.0登入),在登入時時要注意各個遊戲平台所要求的權限。

合理的通常只會要求你的名字和你的Email,有些比較不合理的會要求幫你發文按讚或刪除你的貼文的權限。在面對這些權限要求時記得不要全部都按同意,我們應該要想一下這些遊戲平台是不是真的需要這些權限,他們拿了這些權限要幹嘛。

除非必要,不然建議大家不要提供任何權限給這些平台。

遊戲平台百百種 帳號密碼善用管理器

當我們使用了很多不同的遊戲平台,每個遊戲平台可能都會要申請一組帳號密碼,在使用時大家要記得不要使用相同的帳號密碼。如果我們在所有地方都用一樣的帳號密碼,那麼只要有其中一個平台發生資料外洩,那麼我們可能就會受到帳密填充攻擊,導致其他帳號都受到影響。

因此建議大家多使用密碼管理器,透過密碼管理器幫你的每組帳號都生成一個隨機且不一樣的密碼,並透過密碼管理器來管理,這麼做不僅不怕忘記密碼,也可以確保我們不會受到帳密填充攻擊的影響。

複習:帳密填充攻擊 Credential Stuffing密碼管理器

懷疑自己帳號被洩漏? 來這裡可以查

  • HaveIBeenPwned:查詢自己的Email使否曾經出現在ㄧ些知名的資料外洩事件中
  • HaveIBeenPwned Password:查詢密碼是否出現在資料外洩事件中,以及出現的次數

真的在聽你說話 智慧家電蒐集語音資料

我們在EP13 - 智慧家電害我被監控 ?!介紹和討論了許多智慧家電和物聯網裝置可能潛在的危險和資安問題。大家可以來看看別人家中的智慧家電曾發生過什麼可怕的事。

Amazon、Apple和Google都有聘請員工聽取智能助理錄到的用戶日常對話,也從這些對話中聽到了很多用戶敏感資訊,用戶銀行資訊和犯罪現場音訊都在搜集過程中被錄下。 我們在不要再偷聽我說話了! 文章中有教大家怎麼關閉這些智能助理音訊紀錄的功能,不希望自己日常語音被蒐集的可以看看該怎麼關閉這些功能。

講什麼廣告就跳什麼? 仍屬都市傳說範疇

網路上一直都有一些傳說是,我們的手機和身邊的智慧裝置會偷聽我們說話,並依據我們說話的內容投放廣告給我們。 這個部分是未經證實的,我也認為這只是都市傳說而已不是真的。

社群媒體與Google這類型以投放廣告給使用者的公司都會透過蒐集使用者的行為和習慣來分析使用者喜歡什麼樣類型的內容以及可能對那些商品有興趣,這中間的過程會關係到你在網路上的一舉一動,是十分複雜的。