另类“私家侦探”的工作日记,往返于现实与虚拟游戏世界
"黑灰产"一词是对网络领域的违法犯罪活动的通俗概括。一般来说,黑色产业指的是从事具有违法性的活动且以此来牟取利润的产业。而灰色产业则指的是不明显触犯法律和违背道德,游走于法律和道德边缘,以打擦边球的方式为"黑产"提供辅助的争议行为。
数月前,一个带有"外挂贩卖"字眼的账号浮现在游戏玩家排名榜的首位,充值百万元的玩家反而在对战中被无情碾压,成为最终输家。排行榜反映着玩家的综合实力,利用了漏洞的作弊胜之不武,前所未有的失序事件发生了。
这让游戏开发商大为恼火。在游戏行业,这样的现象无疑是在挑战游戏创作者,玩家的抱怨也会接踵而至,被称为"平衡性"的游戏原则打破。黑灰产是整个行业挥之不去的噩梦,也是需要长期面对的问题。
近年来,游戏安全的保护正在不断增强,不少措施有助于保障游戏的公平性。不过作弊率与工作室数量仍旧居高不下,其原因在于,寄生于人气游戏所带来的高回报,让黑灰产拼命进化,对全新的作弊工具和技术趋之若鹜。
01 无本万利的"黑"科技
游戏作弊,可以是"在游戏中开挂",也可以是"在沙盒生存游戏中用控制台调出无限的资源",或是"在射击游戏中穿墙、透视、自动瞄头",在心理快感的背后,自始至终笼罩着黑灰产的影子。
图 | 针对某一游戏的黑产工具
张本梁在网易易盾带领着驻守游戏安全的技术团队,针对潜在黑灰产的一举一动出具若干分析报告,一起开会讨论新的方案,在安全架构上做出板块化调整。
网络安全"白帽"出身的张本梁一毕业就投身到游戏安全守护中,从端游到手游,在游戏类型变迁的同时,工作也迎来了技术和任务上的新挑战。
从业近 10 年的他也介绍道,读书时身边不乏通过"黑"游戏获得财富自由的事迹。受到金钱的诱惑,也有技术人员选择带上黑色面具。在饱受黑灰产觊觎的游戏领域,专业人士之间的对抗是漫长的,经历了不同年代的转换。其中有二波浪潮让其印象深刻,一波是搞私服,一波是搞盗版
传奇类游戏衍生出无数的私服。初代游戏黑灰产们,拿到源代码后,通过服务器挂机、托管等手段实现 24 小时全天候、跨地域运营,频繁更换游戏域名和 IP 地址,降低被识破机率,开启了长达数年的运营。
另一种情况是,随着智能手机的普及,移动互联网逐渐起跑,大部分应用商店对游戏专利的审核并不严格,发布相对自由。从海外抓取一批游戏包,将其搬运至国内,通过在免费游戏中植入广告,是当时游戏黑灰产团伙的常规操作。
在游戏相关法律法规日益完善的今天,游戏版号审批、进口游戏审批、对虚拟资产保护等管理机制相继出现,松动了黑灰产的根基。
纵然游戏受到了法律的保护,在网络上依然随处隐藏着风险,黑灰产的操作层出不穷。通过制作自动化脚本代替人工去做一些重复的线上操作,这是如今黑灰产的惯用伎俩,也是外挂的底层逻辑。"不只是游戏中抢资源、完成任务,也可能是自动点击、自动建群、批量点赞,几乎零成本。"他发现。
在今天,"打金工作室"形式大行其道,利用设备组与自动化软件在游戏中批量操作,各类虚拟游戏资源积少成多。不论是淘宝店铺售卖的游戏币和道具,还是社群中兜售的定制化脚本,都说明这场对抗将持续下去。
02 虚拟世界的隐形对抗
游戏世界由一连串的虚拟数字编织而成。虚拟世界里的每一个角色,背后都是真人在操控。在虚拟空间内,借助互联网工具犯罪,不受时空限制,让缉查对抗变得很抽象,也给了黑灰产来去自由的便利。
"怎么样定义一个团伙,其实也是一个难题。"张本梁表示,大部分对抗始于觅踪寻迹。
在平时,游戏安全工程师得像一位专业的侦察人员一般,考察轮胎痕、鞋印、血迹一样,在犯罪现场寻找蛛丝马迹。对他们而言,这些证据非常隐蔽,来源于脚本、环境与行为共同性。在符合隐私政策和安全保护的情况下,张本梁和团队将放大镜着眼于运行数据之中,每日致力于找到更多外挂。
图 | 代码中修改战斗结果
"入侵也好,修改也好,总会留到有一些痕迹。"他说,基于一些技术手段就能感知到一个工作室存在与否,主要有几个维度。
一是脚本。正常玩游戏都需要用手点击,脚本相当于一种外挂工具,它可以自动模拟人类的点击,进行一些操作。现在的脚本更成熟了,它不仅仅是模拟的点击,还用上了一些深度学习的算法,甚至可以模拟人类的思考,逻辑判断更复杂。有了 AI 的助力,脚本能根据游戏当前的场景与阶段,做一些智能的操作。
二是环境。工作室的环境还比较好区别,一类是模拟器多开环境,二类是云手机环境下,三类,手机墙,相当于有很多手机。它可能通过脚本、多开,甚至还有一些群控的存在。考察环境的特征去做一个初步的定位,排除风险。
三是行为的共同性。依据作弊玩家在行为操作上存在的一些共性,安全工程师们把风险圈出来,如几十人个人的玩家存在相似作弊行为,就形成一个团伙。
除了客户端的检测逻辑,技术人员往往还利用 AI 技术发现行为聚集,以及来自运营人员的确认。在三项工作之后,游戏方的二次核验才是最终定论。
张本梁也指出,如果一刀切处理嫌疑账号,有可能误伤毫无过错的正常玩家。作为第三方安全公司,更要谨慎考虑避免错误判断,再三确认后,才能够把团伙给发现。
03 一个礼拜上线安全包
有时候,对抗发生前并没有任何事先的预兆,宛如地震一样让人猝不及防。在以往的突发事件中,团队紧急上线了对抗方案和游戏安全包。这种现实和紧迫的情况也曾出现。
"如果对游戏丝毫提不起兴趣,在这里的工作将变得非常辛苦。"张本梁笑着说,大家都很负责,虽然解决不了也没什么惩罚,但在难题没有彻底解决的时候,大家都放不下心来。
有一次,客户在游戏包发布不久前,提出游戏安全保护的要求,外挂检测"线程"被黑灰产巧妙绕过了,让游戏曝露在巨大风险之中。在一周内将所有的安全措施配齐,否则就赶不上游戏的发布日期。一边是焦急的客户,一边是棘手的作弊者,夹身其中的安全团队面临着风险判断与技术治理的一次大考。
为此,游戏安全团队熬过了艰难的一周,一边与客户积极沟通,增加安全解决方案与游戏业务耦合性,一边集思广益出具了几种针对性解决方案。在无数次开会讨论之后,一个新保护版本在测试后成功上线了。
此外,平时的积累的必不可少。当前,外挂技术越来越精细,不同游戏类型具备不同的玩法,它可能存在的风险点也不太一样,团队还需要根据特定风险点去做特定检测。
为了发现各类游戏的最新外挂情形,团队日常的工作任务之一就是时刻关注着国内外游戏论坛与视频网站上的最新外挂分享,研究外挂是与之对抗的重要一步。因此,大家时刻沉浸在游戏中,无论是持续去发现游戏问题,还是安全能力的迭代。
在长久的对战之下,团队进行了一些沉淀,包括分析报告、治理流程和应对工具等,让解决全新外挂变得越来越简单。虽然外挂问题可能得到临时性的解决,但又会无数种外挂衍生开来,仿佛变异的病毒一般,旧的防范方法可能面临失效的窘境。
"对抗就是这个样子,突然出现风险的时候,就得加班加点,且永远没有结束的一天。"在团队成员看来,即便如此,每一次工作都不是无用功,从分析流程中能学到不少,为下一次的防御提供了更多思路,有利于部署一个更长久有效的解决方案。
2022-05-06 01:02:34