互联网安全问题《半条命2》遭遇“911” | |
---|---|
http://www.sina.com.cn 2004/03/11 16:53 课堂内外-高考金刊 | |
2001年9月11日,几架飞机被人为地撞上美国经济繁荣的标志——世贸大厦,制造了一场震惊世界的恐怖事件。两年后的“911”,对于游戏界来说,又是一个灾难性的时刻——尚未发布的年度最重量级的游戏大作《半条命2》的源代码被盗了…… 你悄悄蒙上我的眼睛 2003年9月底,互联网上出现了一些来历不明的游戏代码,据说为《半条命2》的源代码。一些爱好者通过编译运行证实了这一说法,但大多数人即使在亲眼目睹画面后仍不敢相信,一款欲与《毁灭战士3》试比高的大作,其源代码怎会如此轻而易举地被人获得? 10月2日,《半条命2》的开发商Valve软件公司的创始人、运营总监加布·内维尔在Halflife2.Net网站上发表了一篇题为“我需要大家的帮助”的帖子,证实此前在网络上流传的代码确为《半条命2》的源代码,由此揭开了整个事件的来龙去脉。 大约在9月11日前后,有黑客侵入内维尔的电子邮箱,令其机器出现异常。内维尔无法查出任何病毒或木马,不得不格式化硬盘并重装了系统。在接下来的一周内,内维尔的邮件账号始终有可疑现象发生。 没人会想到,此时黑客已将木马安装在Valve公司的数台机器上,并通过工具软件嗅探Valve公司的整个网络,以获取相关密码与资料。黑客所使用的工具包括远程监控程序“RemotelyAnywhere”、进程/注册键/文件隐藏程序“Haxker Defender”、击键记录程序以及一些用于传送文件的程序。9月19日,黑客成功复制了《半条命2》的源码库。 据内维尔介绍,黑客对“RemoteAnywhere”软件作过修改,他们所使用的版本以往从未出现过,普通病毒扫描工具也无法检测到,显然是专为此次攻击而制作的。由此可以断定,这起窃取源代码事件有着明确的目的,并经过了精心策划。内维尔还提及,去年Valve公司的网站服务器与Steam服务器也曾多次遭到拒绝服务攻击(Denial of Service),这些攻击同此次源代码被盗事件是否有关尚不得而知。 是否我真的一无所有 10月3日,全球各大游戏新闻站均在头版头条报道了《半条命2》源代码被盗事件,当时人们认为黑客仅仅窃取了游戏的部分代码,不足以兴风作浪。 10月4日,Valve公司内部又发现新的被感染机器,公司不得不将内部机器与互联网之间的连接减至最小,并采取相应的监测措施。对于黑客的入侵方式,Valve公司始终一无所知,只是推测黑客可能利用了微软Outlook软件的安全漏洞。 10月7日,维旺迪环球游戏公司(《半条命2》发行商)国际业务部总裁克里斯托夫·兰姆伯兹在接受《Les Echos》日报采访时称:“游戏源代码有三分之一被盗,我们不得不将游戏的发售时间推迟至2004年4月,以重写被窃部分。” 然而奇怪的是,Valve方面并未确认此次延期。Valve公司发言人在维旺迪环球游戏公司单方面宣布游戏延期后表示,Valve目前仍在对这次攻击可能造成的后果进行评估,尚未决定是否推迟《半条命2》的发售时间。 令人啼笑皆非的是,在兰姆伯兹宣称《半条命2》源代码只有“三分之一被盗”后的数小时内,一个容量达1.4G的《半条命2》可运行版本即在互联网上流传开来。尽管这一版本并无多少可玩性,但它足以证明黑客不仅握有《半条命2》的核心源代码,还取得了游戏中的大量地图、材质及其它开发资源,他们手中的游戏很可能已接近于最终版本。 10月8日,黑客竟然还为《半条命2》的可运行版本发布了一个补丁,并在相应的“.nfo”文件中表述了自己对Valve公司的一些看法。据其称,目前所泄露的这些内容即代表了Valve公司的现有进度,没有什么新的版本,也就是说,如果《半条命2》延期,其主要原因并非源代码泄露,而是工作进度无法实现。黑客还指责Valve公司在今年E3大展上所演示的《半条命2》动画有作假嫌疑,并警告其别再试图欺骗消费者,否则将把手头的所有资料公之于众。 10月8日晚,黑客出人意料地在一未公开IRC频道中宣称,将于次日公开《半条命2》的最终测试版及所有源代码。黑客称,之所以作出这一决定,是由于Valve公司无视自己的警告并称其为骗子。 仅靠程序员无法成就一部优秀的作品,仅有源代码也无法制作出一款实际可玩的游戏。目前的《半条命2》可运行版本并没有多少可玩价值,究竟如Valve公司所说,黑客盗取的是不完整的、过时的源代码和游戏数据,还是如黑客所说,Valve公司一直在隐瞒《半条命2》开发度较低的事实? 你怎么舍得我难过 《半条命2》源代码被盗的最大受害者当数Valve公司,这是一起典型的商业秘密泄露事件。所谓商业秘密,是指不为公众所知悉、能为权利人带来经济利益、具有实用性,并经权利人采取保密措施的技术信息和经营信息。《半条命2》的源代码显然符合上述特征。 花费大量人力、财力,历经数年开发出来的源代码尚未商业化即在一夜之间被公之于众,产品所包含的各种先进技术在尚未得到应用之前即被泄露出去,竞争对手无需任何成本即可掌握甚至直接拷贝其中的内容。这不仅会给Valve造成难以估量的损失,令其先前的投入付诸东流,而且会诱发行业内的一些不正当竞争行为。 据悉,育碧公司已通过内部邮件要求所有员工不得在自己的机器中安装《半条命2》源代码,不得将源代码用于相关项目的开发。这一方面是为了避免自己被卷入不正当竞争的浑水之中,另一方面也是由于其与Valve公司之间的特殊关系。 而更令人担忧的是,由于《半条命2》引擎的部分代码购自其它公司,如爱尔兰的Havok公司(该公司主要开发用于模拟游戏角色和场景之间的物理互动的代码),根据授权协议,Valve有义务对这部分代码加以保密,否则授权方可以终止双方的合作关系,并将Valve告上法庭。 《半条命2》的发行商维旺迪环球游戏公司是这一事件的第二受害者。维旺迪环球游戏今年上半年的营业额为2.4亿欧元,亏损5200万欧元;去年同期的营业额为3.36亿欧元,盈利3900万欧元。与去年相比,公司今年的运营状况大幅下滑。作为本年度最受期待的电脑游戏之一,《半条命2》的表现将在很大程度上决定维旺迪环球游戏今年下半年的业绩。 此次泄露事件还可能对图形芯片制造商ATI公司造成影响。作为Valve公司指定的《半条命2》商业合作伙伴,ATI公司在销售两款最新显卡时将免费捆绑《半条命2》,而游戏发售的延期无疑会令这一营销计划夭折。 对于消费者来说,源代码的泄露也会令未来的游戏之旅变得危机四伏。别有用心者可以利用源代码分析游戏的漏洞,并利用这些漏洞达到作弊的目的,甚至危害用户系统的安全。有消息称,Valve的网络服务平台Steam系统的源代码也已一同被盗。 半条命2》源代码泄露事件为其它游戏厂商敲响了警钟,Valve公司已向部分游戏开发商提供了此次入侵的详细资料,以防它们成为黑客的下一个攻击目标。 丢了半条命的VaLve现在惟一能做的,只有修改《半条命2》游戏原始码以避免日后有人会修改游戏而作弊,并且他们也将密切观察未来哪些游戏厂商会使用这些被盗的原始码,因为这牵扯到非法侵占的法律问题。另外VaLve也呼吁所有玩家,如果希望《半条命2》能够继续推出、VaLve能够继续生存,请大家不要下载这些被盗的资料,并且踊跃检举提供非法下载的网站,VaLve会采取必要的法律行动。 不管如何补救,这次的骇客事件对游戏产业而言都是个值得警惕的严重损失,在其背后还隐藏着一些重要的问题,对未来游戏产业的发展势必产生重大影响。 网络安全的疏忽 引擎市场上的领导者,如id Software公司的《雷神之锤》系列和Epic游戏公司的《虚幻》系列,都曾遭遇过源代码泄露事件,国内也有《传奇》事件为前车之鉴,这些案例有些是黑客攻击所致,有些为员工泄露所致。这次黑客是利用微软程序上的漏洞,不断入侵VaLve服务器,加上VaLve公司并没有注意更新微软安全保护程序,而且还大意地把公司最重要的数据库连上网络,导致黑客有机可乘而窃取《半条命2》游戏原始码,等VaLve发觉时为时已晚。 在网络发达的今天,网络安全已经是刻不容缓的重要问题,但微软程序上的漏洞往往让黑客有机可乘,虽然微软会主动通知用户更新安全文件,但是似乎做得还不够。前段时间的“冲击波”病毒事件让全球上百万计算机当机,微软也因此被加州上百万用户集体控告,这宗史上最大规模的控告案也突显出网络安全的重要性。 VaLve也必须承担责任,因为他们没有实时更新安全保护,而且还很疏忽把公司最重要的数据库连上网络,等于是敞开了门户。一般公司就算有10层防火墙保护,也不敢轻易把关系公司命脉的数据库连上网络,是VaLve的疏忽导致了这次重大损失。 非法下载的伤害 这个问题跟网络用户紧密关联。网络的发达促使世界进步,但无形中也制造了许多犯罪机会,其中最多的就是侵犯著作财产权,让业者蒙受巨大损失。如唱片业、电影业、出版业都对这类透过网络下载、P2P资料互传的侵权行为深恶痛绝,但无奈抓不胜抓使得业者生存不下去,越来越多唱片公司、电影公司因此而倒闭。 如今《半条命2》泄密事件,更是让非法下载的触角延伸到了游戏产业上。游戏产业每年因为盗版损失超过100亿美金,但这次《半条命2》事件中公然把游戏原始码放在网络上让人下载,这种伤害比盗版游戏更可恶,因为这不但侵犯游戏公司的著作权,更是直接扼杀游戏公司的命脉,所产生的恶劣示范行为非同小可。 本文奉劝大家不要因好奇而去下载被盗的《半条命2》原始码,因为这对VaLve、对游戏产业、对玩家都不是好事。大家的举手之劳,就是游戏产业继续进步的动力。(心闻) |