游戏安全资讯精选 2018年第七期:棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击


游戏安全资讯精选 2018年第七期:棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击



【游戏行业安全动态】
这篇文章告诉你棋牌游戏过往和未来

概要:由于棋牌游戏本身特殊性,相对传统网络游戏更加的“轻度”,用户的使用环境也会有所不同。 

A、非WIFI网络用户多:常规的棋牌游戏在流量消耗以及对网络环境的要求比较低,且碎片化场景更多,也是促使棋牌游戏在网络环境上大多数用户依然是非WIFI;所以在产品设计上要尽量考虑到流量消耗方面,有大消耗比如视频等玩法的时候要提醒用户使用WIFI

B、低端机多:棋牌游戏的简单的画面,所以对低端机也有天生的友好;

C、年龄层偏上,男性用户为主;

D、地域性强,主要分布在四川、重庆、江苏以及沿海城市。

棋牌游戏最大的风险在于“涉赌”,很容易被“有心人”用来作为赌博的工具,所以开发者必须了解相关法律法规,规避风险才能长远发展。整理了常见相关政策要求,供参考:

1.禁止资金双向流动;禁止接受投注的、提供给他人组织赌博、参与赌博网站利润分成。

2.不得在用户直接投入现金或虚拟币前提下采取抽签、押宝、随机收取等偶然方式分配游戏道具或者虚拟货币;不得以偶然方式获得金币;不得提供用户间赠予转让游戏积分等转账服务。

3.网络游戏经营单位不得收取或以“虚拟货币”等方式变相收取与游戏输赢相关的佣金。


再看看规避政策:

1.玩家输赢的都是虚拟的无价值的数值,不能界定为“财物输赢”,则不涉及赌博。

2.不以营利为目的,进行带有少量财物输赢的娱乐活动,以及提供棋牌室等娱乐场所只收取正常的场所和服务费用的经营行为等,不以赌博论处;游戏中进行财富输赢必须设置上限。

3.提供游戏服务,允许收取费用。在收取费用的方式上不能采用类似赌场抽水的方式,从赢家赢取的额度中按照比例抽水。而应该采用与玩家输赢没有必然关系的收取方式。(来源:棋牌游戏圈)


点评:游戏行业2017年活在腾讯和网易阴影下的游戏公司开始另辟蹊径,棋牌是去年的一个热门领域,竞争非常激烈,竞争的同时也伴随诸多安全问题。由于门槛太低,也存在一些不规范的厂商破坏竞争氛围,打破游戏竞技娱乐的初衷,可以预见今年随着网络安全法问世,国家监管层会加大监管力度,规范游戏厂商合法经营,创造和谐稳定经营氛围。


【相关安全事件】黑客利用Apache CouchDB中的两个“老漏洞”挖币


概要:此次被利用的两个漏洞是在2017年11月15日被公开披露。它们分别是: 

  • 高危:Apache CouchDB JSON远程特权升级漏洞(CVE-2017-12635)
  • 高危:Apache CouchDB _config命令执行(CVE-2017-12636)
 
前者被描述为远程特权提升漏洞,后者则是一个命令执行漏洞。以上两个漏洞在2017年发布官方公告,并表示已经被修复 。 
具体来讲,CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的,可被利用于赋予任意用户系统管理员权限;CVE-2017-12636则是由于数据库身设计原因导致的,拥有系统管理员权限的用户可以通过HTTP(S)方式配置数据库。在某些配置中,用户可以设置可执行文件的路径,以在数据库运行范围内执行。两者结合,则可实现任意代码远程执行。 (漏洞情报来源:趋势科技)
 


【云上视角】758.6G每秒:阿里云成功防御国内最大规模Memcached DDoS反射攻击


概要:本周,阿里云安全DDoS监控中心数据显示,利用Memcached 进行DDoS攻击的趋势快速升温。今天, 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。


点评:随着利用Memcached进行DDoS攻击技术的公开,越来越多尝试使用Memcached进行反射的DDoS发生,并且此类型DDoS攻击正快速上升。近期,黑客已经扫描并收集全球可以被利用的MemcachedIP,并出现大量试探性超大流量Memcached DDoS攻击,下一步Memcached大流量DDoS攻击将成熟化并大量出现,成为黑客新的利器。


当前互联网上的反射点数量及危害

整个互联网可以用于Memcached反射的IP达到数十万,为攻击者提供了海量的军火库。

随着超大流量DDoS发起难度降低,IDC和云服务商需要储备更多的网络带宽用于防御,中小型IDC将很难应对这种超大规模DDoS攻击,只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对。

目前,阿里云已提供Memcached安全配置建议,并在安骑士提供修复引导,帮助云上用户修复Memcached风险。高防IP中已提供UDP反射封禁服务。


快来阿里云新年采购季限时优惠(点击直接进入会场)

9大实用安全产品,助力企业快速优化安全效果。

把好第一道ROI关卡,让企业安全在2018年全面升级。

今天,从这里开始!




订阅 NEWS FROM THE LAB


一键订阅刊物

云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯


游戏安全资讯精选 2018年第七期:棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击


扫码参与全球安全资讯精选

读者调研反馈 

上一篇:花好今年企业安全预算的第一步:采购季限时优惠开始拉!


下一篇:金融安全资讯精选 2018年第七期:JP摩根大通首次承认加密货币是“风险”,比特大陆利润或赶超英伟达,Mindlost勒索病毒技术分析,阿里云愿为医疗机构提供安全公益排查支持