ĐẠI HỌC QUỐC GIA TPHCM TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT KHOA TIN HỌC QUẢN LÝ  MÔN HỌC AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN Đề tài : Hack và cách phòng chống hack trong game flash GVHD : ThS Trương Hoài Phan Nhóm Sinh viên: nhóm 1 K094061132 – Đàm Đình Hưng K094061165 – Nguyễn Đức Nghĩa K094061203 – Bùi Thị Diễm Trinh K094061205 – Tô Quang Trung K094061210 – Đỗ Thị Thanh Tuyền  TPHCM – 2015 I. GIỚI THIỆU TỔNG QUÁT TÌNH HÌNH GAME VIỆT NAM: 1. Những thuận lợi của việc kinh doanh game tại Việt Nam: Trong khi nhiều ngành công nghiệp đang gặp khó khăn phải tái cơ cấu, sát nhập hay hoạt động cầm chừng thì ngành công nghiệp nội dung số ở Việt Nam có tốc độ phát triển khá cao. Có thể kể ra mốt số doanh nghiệp kinh doanh nội dung số hiệu quả như: VTC Game và VNG, đây là hai đơn vị luôn có tốc độ tăng trưởng dương, đạt doanh số xao trong 6 tháng đầu năm 2012. Lấy dẫn chứng thực tại VTC Intercom, sau khi kết thúc 6 tháng đầu năm 2012 thì doanh thu đạt được của công ty tang trưởng là 102% và lợi nhuận đạt được là 100% kế hoạch. Có thể nói ngành kinh doanh game là ngành siêu lợi nhuận. 2. Những bất cập, khó khăn của việc kinh doanh game tại Việt Nam: Bên cạnh việc mang lại siêu lợi nhuận thì kinh doanh game chính là một thương trường đầy cạnh tranh, cạm bẫy và rủi ro cho cả người kinh doanh và người chơi. Đối với chủ kinh doanh game phải luôn được cải tiến từng ngày nhằm đáp ứng nhu cầu của khách hàng nhưng vẫn bảo đảm được tính mới lạ và an toàn tương đối. Hiện tại vấn đề nhức nhối cho nhà kinh doanh game chính là chống phá tình trạng hack tài khoản mật khẩu, gian lận giả mạo dẫn đến mất khách hàng và thậm chí là có thể kiện cáo khiếu nại. Còn đối với khách hàng: tình trạng mất cắp tài khoản, mật khẩu, … xảy ra rất thường xuyên. Có thể nói rằng hack game đang là vấn nạn trong thị trường game hiện nay ở Việt Nam. II. ĐẶC TRƯNG CỦA GAME FLASH: Ứng dụng game flash được load về client dữ liệu được lưu trên bộ nhớ RAM của client và điểm được tích lũy trong quá trình kết thúc game, được gửi lên: • Qua webservice bằng phương thức POST/GET. • Qua kết nối socket Hack điểm thường xảy ra trong các trường hợp sau: - Trước khi chơi game: can thiệp trực tiếp lên file flash. Để can thiệp vào file flash có thể dùng nhiều thủ thuật như hack crossdomain, chạy file flash trên môi trường riêng. Sau khi đạt được mục đích hacker sẽ dịch ngược file flash thay đổi code trong đó và chạy file flash mới này lên. Chống hack ở giai đoạn này cách hiệu quả nhất là trước khi public hệ thống, thiết lập các mode security trên file crossdomain.xml, config IIS và có cơ chế quản lý session khi runtime, đồng thời encrypt chống dịch ngược file flash. Các công cụ phục vụ cho việc encrypt là : Encrypt SWF, Encrypt SWF protect: dịch các file swf thành fla để đổi mã lệnh, hình ảnh… - Trong quá trình chơi game: can thiệp vào dữ liệu đang được lưu trên RAM. Do có đặc điểm được load về client, dữ liệu được lưu trên bộ nhớ RAM của client nên hacker đã lợi dụng điểm này để quét dữ liệu trong bộ nhớ RAM. Dựa vào các chỉ số trong game để tìm kiếm, phân loại dữ liệu và tiến hành đóng bang bộ nhớ. Thực hiện các sửa đôi để làm tăng điểm, giảm thời gian chơi, … Các phần mềm thông dụng để hack game trong trường hợp này là : Cheat Engine, Artmoney, SWF Money. Cơ chế hack trong trường hợp này đánh thẳng vào tầng kiến trúc máy (Computer Architecture): là tầng thấp nhất và sâu nhất trong khi các coder thường làm việc với tầng ứng dụng (Application). Có 2 cách chống hack trong giai quá trình chơi game: Đóng băng trước các vùng dữ liệu quan trọng, như vậy tools hack sẽ không thể làm được gì. Đây là cách can thiệp khá sâu vào hệ thống máy client. Làm cho phần mềm hack không tìm được giá trị tương ứng bằng cách dùng biến giả (bằng cách dùng công thức toán học biến 1 giá trị cần lưu trữ thành 1 giá trị bất kỳ). - Kết thúc quá trình chơi game: can thiệp vào quá trình gửi điểm. Chống hack khi gửi dữ liệu: dùng các phần mềm, tool để bắt gói tin khi gửi dữ liệu. Phương pháp phổ biến: dùng extension Tamper Data của FireFox. Giải pháp: Áp dụng các phương pháp mã hóa dữ liệu khi gửi đi. III. GIỚI THIỆU VỀ CÁC CÔNG CỤ HACK GAME ONLINE PHỔ BIẾN HIỆN NAY 1. Sử dụng Request Adress: • B1: Nhấn F12 để vào xem code website, ta được kết quả sau: • B2: Copy các thành phần sau lên trình duyệt: - Request URL. - Tất cả các tham số trong form data: time, action, mark, username. Ta được kết quả : http://game.quyquyenhd.com/default.aspx? action=addmark&time=1&mark=30000&username=trung Với cách này ta có thể thay đổi kết quả của các biến tùy ý. Form data Address Time= 636s Time=1s Mark=63600 Mark=30000 • B3: Dữ liệu đã được cập nhật trên trang Thống kê điểm của server. 2. Sử dụng Tamper Data ( 1 tiện ích của firefox): • B1: Sau khi chơi game xong, đăng nhập với tài khoản và pass vào hệ thống để lưu điểm. Trước khi click nút “Đăng nhập” của game để vào lưu điểm., chọn ToolsTamper Data trên trình duyệt của Firefox. • B2: Tiếp túc click “Start Tamper” • B3:Click “Tamper” trong form vừa hiện • B4: Chỉnh sửa điểm ngay trực tiếp trên form, chọn tham số “mark” (ví dụ ở đây thay đổi giá trị cho tham số mark=1310000) • B5: Chọn “OK” • B6: Kết quả trên server đã thay đổi với số điểm là “1310000” ae 3. Phần mềm Cheat Engine: B1: Mở game Bloons Tower Defence 3 bằng trình duyệt Firefox, sau đó khởi động phần mềm Cheat Engine, click chọn mã số tương ứng với trình duyệt Firefox “000011C8-firefox.exe”. B2: Sau khi click chọn mã của chương trình “000011C8-firefox.exe”, chơi game để đạt điểm lần đầu là 625, sau đó lấy số điểm đó nhập vào ô Hex=625 trong phần mềm Cheat Engine. B3: Nhấn nút “First Scan”, ta được như sau: [...]... thời gian hoàn thành, sau đó gửi request chuỗi mã hóa lên server, cuối cùng xóa key à tạo key mới cho lần request (nếu có) 2 Đối với Cheat Engine (làm thời gian chậm hơn so với thời gian thực của hệ thống) : Với cách hack này, hacker sẽ làm chậm thời gian local để khi choi kết thúc với thời gian ngắn hơn Cách phòng chống: dùng giờ server để tính, vì giờ của server, client không có cách nào can thiệp... tránh trường hợp thời gian (trong vòng 1 giây chơi mà tăng quá nhiều điểm) KẾT LUẬN: Cùng nhìn nhận lại những games đã và đang bị hack ta có thể thấy mỗi game vẫn còn những tồn tại vài khuyết điểm lỗ hồng tạo cơ hội cho những hacker tấn công bằng những thủ thuật từ đơn giản tới phức tạp Do đó một vấn đề nan giải cho Nhà Phát Hành nói chung bên cạnh việc đưa ra những game mới mang tính đột phá cao về... đầu game, client sẽ gửi 1 request lên server để lấy key, để phòng ngừa người dùng chặn response thì sau khi request, server sẽ lưu key vào cookie với tên tùy chọn, client truy xuất vào cookie để lấy key lưu vào biến (cách này hữu dụng cho mọi game, vì key sẽ thay đổi thường xuyên) Sau khi người chơi hoàn thành game, game sẽ gửi yêu cầu đăng nhập, phần này không cần mã hóa, khi đăng nhập thành công, game. .. phức tạp Do đó một vấn đề nan giải cho Nhà Phát Hành nói chung bên cạnh việc đưa ra những game mới mang tính đột phá cao về hình thức, chức năng thì cũng nên quan tâm đến mạng bảo mật cho game, cần đưa những công nghệ bảo mật cao tích hợp trong game ... nào can thiệp được Khi starr game, game trên client sẽ gửi request START, server nhận và lưu thời gian ngay lúc đó, nếu client có sửa đổi gì thì khi kết thúc cũng sẽ gửi request END lên server, server sẽ lấy thời gian kết thúc trên server trừ ra để tính thời gian chơi và lưu lại Ví dụ: Người chơi bắt đầu chơi lúc 11h30, khi đó gửi request lên server, server sẽ lưu lại thời gian START là [11:30], người... dùng cheat, làm thời gian trên máy chậm nên hoàn thành game lúc 11h32, khi đó gửi request END lên server, nhưng thực chất giờ trên server là 11h50 thì suy ra server sẽ lấy thời gian chơi là 11h50 - 11h30 = 20 phút Tính thời gian như trên, đồng thời cũng lưu nhật kí (log) khi người chơi thắng điểm, lưu thời gian và điểm đạt được lúc đó Ví dụ:[1s:3];[2s:6], ,[30s:2000] Khi kết thúc game gửi dòng log đó... Tiếp tục chơi game để có điểm mới là “600” B5: Ta tiếp tục nhập điểm mới vào ô “Hex” với giá trị là 600, sau đó nhấn nút “Next Scan” để xác nhận ra giá trị các dòng mới, cứ tiếp tục scan cho đến khi giá trị nhận đc chỉ còn duy nhất một dòng B6: Click phải dãy số trên ta được: B7: Nhập sổ điểm mà mình muốn đổi , ví dụ ở đậy chọn “12999950” B8: Điểm đã được cập nhật : IV V GIẢI PHÁP PHÒNG CHỐNG: 1 Đối . KINH TẾ - LUẬT KHOA TIN HỌC QUẢN LÝ  MÔN HỌC AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN Đề tài : Hack và cách phòng chống hack trong game flash GVHD : ThS Trương Hoài Phan Nhóm Sinh viên: nhóm. (Application). Có 2 cách chống hack trong giai quá trình chơi game: Đóng băng trước các vùng dữ liệu quan trọng, như vậy tools hack sẽ không thể làm được gì. Đây là cách can thiệp khá sâu vào hệ thống máy. Engine (làm thời gian chậm hơn so với thời gian thực của hệ thống) : Với cách hack này, hacker sẽ làm chậm thời gian local để khi choi kết thúc với thời gian ngắn hơn. Cách phòng chống: dùng giờ