Вероятно, у них есть ограниченное число сотрудников в сервисах — на весь поток их не хватает. Заявки приоритизируют — компьютеры в первую очередь, а телефоны идут по остаточному принципу. Все, на что не хватает времени, автоматически заменяют.
Не знаю, я только на Винде это делал. Если я пытаюсь открыть сундук, я найду код в игре, который команду формирует, и вызову его. Нехай сам считает, какие там контрольные суммы куда надо.
Когда я ботами баловался, я никогда не писал полностью свою реализацию клиента. Клиент у меня всегда работал оригинальный, а я его просто патчил, чтобы перехватывать пакеты и от сервера и отправлять свои пакеты в ответ. Любые проверки достоверности симуляции всегда выполнялись оригинальным кодом, а чтобы нельзя было обнаружить внедрение, я перехватывал OpenFile и ещё несколько функций заинжекченной dll, и если игра пыталась открывать свои собственные исполнимые файлы, путь подменялся на каталог с оригиналами, т.е. защита думала, что все файлы в порядке.
Защита от этого есть — сервер должен искать запущенные процессы, проверять таблицу распределения памяти и искать несоответствия, но самое важное, что код для этих проверок должен приходить во время каждой сессии с сервера, и он должен периодически меняться. Это всё постоянная работа команды безопасности, и понятно, что этот подход оправдан, только если вред от хакерства в игре больше зарплаты этих людей, что только в больших проектах происходит.
Если бы всё так легко было… Ничто же не заставляет хакнутый клиент считать контрольную сумму хакнутого клиента — он может исполнять одни файлы, а контрольные суммы считать от оригинальных.
Внутренности пакетов подозрительно напоминают формат protobuf — https://developers.google.com/protocol-buffers/docs/encoding. 0x08 обозначает "поле с идентификатором 1 типа varint", дальше следует собственно varint, как вы его расшифровали. Потом следующее поле, и следующее и т.д.
Интересно, почему вообще разрешение надо получать у FCC? Космос-то, по идее, общий. Почему у Гондурасской комиссии по коммуникациям нельзя получать? Роляет территория, откуда запуск осуществляется? Где компания расположена?
В Швейцарии давно уже нет банковской тайны. В смысле она есть, но не больше, чем по законам России — Вася не может посмотреть счёт Пети. А при наличии судебного ордера всё отлично раскрывается. Но тем не менее система продолжает отлично работать.
Я думаю, у вас причина и следствие местами перепутаны. Богатеи хранят деньги в Швейцарии и обогащают швейцарских банкиров не просто так, а потому что страна самодостаточная, работает хорошо, люди образованные, ценящие дружбу и нейтралитет, политически активные, понимающие последствия тех или иных решений. Это называется стабильность и предсказуемость.
«многие хорошие добросовестные работники переедут туда» — хорошие работники не ограничены множеством учёных и инженеров, которые могут уезжать, когда и куда им вздумается. Есть ещё учителя, автомеханики, фермеры — у них с добросовестностью, качеством и профессиональным образованием всё не хуже, и зарабатывают они не сильно меньше, и никуда они не уедут. Так что не волнуйтесь за Швейцарию, у неё с будущим всё в порядке.
Не нахаляву, а из их же налогов. Это фактически отнять у богатых и поделить поровну. Конкретно на такую и на многую другую социальную справедливость швейцарцы клали с прибором. У них культ добросовестного труда.
Уважаемые авторы, простите за бестактность, но вы для кого вообще этот материал писали? На хабре конечно много любопытных и разносторонних людей, но сыпя названиями методик, болезней, но не удосужившись объяснить общую картину, что за проблему вы решаете, чем отличаются шизофреники от нейролептиков, психологи от психиатров и т.д., я подозреваю, что вы просто потратили время большого числа хабражителей. Что вы пытались вообще этим сказать? Какая психология сложная, какие вы умные, как вам сложно, как все плохо в отрасли?
Прививка не даёт 100% защиты. Чем больше окружающих не прививается, тем больше и мои риски заболеть.
Это же дилемма заключённого в чистом виде. Если все вокруг прививаются, то для индивидуума не прививаться может быть удачной стратегией — нет ни риска осложнений, ни риска заболеть. Но если таких хитрожопых становится много, то большие проблемы начинаются у всех.
Ни черта они не заметят. Вы же не кружочком сажаете сотрудников, чтобы все друг другу в монитор смотрели. Иногда им надо на встречи с клиентами ездить с ноутбуками. Кто там за ними проследит?
И вот мы такие потратили кучу ресурсов на самую современную систему безопасности, обучение сотрудников, крутые процессы, а потом садимся, и до нас медленно доходит, что самая большая угроза информационной безопасности — инсайдеры с ручкой и блокнотом.
Если приложение работает в Kubernetes, то можно использовать средства хранения ключей, предоставляемые платформой — Kubernetes Secrets. При этом в репозиториях ключи не хранятся от слова совсем, и один и тот же код, запускаясь в разных средах (dev, staging, prod — кто во что горазд), будет видеть разные ключи в специальном каталоге, видимом из их контейнера.
Если нужно всё по-серьёзному, с аудитом доступа к ключам, то можно использовать Google Cloud Key Management Service. Тогда собственно секреты хранятся на серверах клиентов (Google их даже не знает), но зашифрованными ключами, хранящимися в Google. Такое вот комбо.
Навыки, которые я описал, обычно вообще программистам не присваивают. Мой комментарий о том, что разработка игр не ограничена программированием. Статья подходит к вопросу сбоку и претендует на то, чтобы давать кому-то какие-то советы.
Ух-ох. Разработка игр не ограничена программированием. Она не начинается с технического задания и не заканчивается релизом.
Чтобы программист в одиночку делал игру, ему надо ещё много чего знать и уметь — от основ психологии (чтобы геймплей цеплял) до коммьюнити-менеджмента (чтобы ваши игроки хотели возвращаться и друзей приводить).
Попробуйте :) У гугла даже если ложная активация происходит, есть ещё один классификатор, который понимает, что это не с ним разговаривают, и молча затыкается.
Спасибо за постмортем, очень интересно было почитать!
А выводы какие на будущее? У меня волосы шевелились, пока читал. Или все норм, так и будете в следующий раз делать?
Вероятно, у них есть ограниченное число сотрудников в сервисах — на весь поток их не хватает. Заявки приоритизируют — компьютеры в первую очередь, а телефоны идут по остаточному принципу. Все, на что не хватает времени, автоматически заменяют.
Не знаю, я только на Винде это делал. Если я пытаюсь открыть сундук, я найду код в игре, который команду формирует, и вызову его. Нехай сам считает, какие там контрольные суммы куда надо.
Защита от этого есть — сервер должен искать запущенные процессы, проверять таблицу распределения памяти и искать несоответствия, но самое важное, что код для этих проверок должен приходить во время каждой сессии с сервера, и он должен периодически меняться. Это всё постоянная работа команды безопасности, и понятно, что этот подход оправдан, только если вред от хакерства в игре больше зарплаты этих людей, что только в больших проектах происходит.
Внутренности пакетов подозрительно напоминают формат protobuf — https://developers.google.com/protocol-buffers/docs/encoding. 0x08 обозначает "поле с идентификатором 1 типа varint", дальше следует собственно varint, как вы его расшифровали. Потом следующее поле, и следующее и т.д.
И шапочку из фольги. Готов поспорить, при нынешнем режиме это все просто закончится парой работающих камер и эпическим распилом.
Интересно, почему вообще разрешение надо получать у FCC? Космос-то, по идее, общий. Почему у Гондурасской комиссии по коммуникациям нельзя получать? Роляет территория, откуда запуск осуществляется? Где компания расположена?
Я думаю, у вас причина и следствие местами перепутаны. Богатеи хранят деньги в Швейцарии и обогащают швейцарских банкиров не просто так, а потому что страна самодостаточная, работает хорошо, люди образованные, ценящие дружбу и нейтралитет, политически активные, понимающие последствия тех или иных решений. Это называется стабильность и предсказуемость.
«многие хорошие добросовестные работники переедут туда» — хорошие работники не ограничены множеством учёных и инженеров, которые могут уезжать, когда и куда им вздумается. Есть ещё учителя, автомеханики, фермеры — у них с добросовестностью, качеством и профессиональным образованием всё не хуже, и зарабатывают они не сильно меньше, и никуда они не уедут. Так что не волнуйтесь за Швейцарию, у неё с будущим всё в порядке.
Не нахаляву, а из их же налогов. Это фактически отнять у богатых и поделить поровну. Конкретно на такую и на многую другую социальную справедливость швейцарцы клали с прибором. У них культ добросовестного труда.
Уважаемые авторы, простите за бестактность, но вы для кого вообще этот материал писали? На хабре конечно много любопытных и разносторонних людей, но сыпя названиями методик, болезней, но не удосужившись объяснить общую картину, что за проблему вы решаете, чем отличаются шизофреники от нейролептиков, психологи от психиатров и т.д., я подозреваю, что вы просто потратили время большого числа хабражителей. Что вы пытались вообще этим сказать? Какая психология сложная, какие вы умные, как вам сложно, как все плохо в отрасли?
Прививка не даёт 100% защиты. Чем больше окружающих не прививается, тем больше и мои риски заболеть.
Это же дилемма заключённого в чистом виде. Если все вокруг прививаются, то для индивидуума не прививаться может быть удачной стратегией — нет ни риска осложнений, ни риска заболеть. Но если таких хитрожопых становится много, то большие проблемы начинаются у всех.
И вот мы такие потратили кучу ресурсов на самую современную систему безопасности, обучение сотрудников, крутые процессы, а потом садимся, и до нас медленно доходит, что самая большая угроза информационной безопасности — инсайдеры с ручкой и блокнотом.
Если нужно всё по-серьёзному, с аудитом доступа к ключам, то можно использовать Google Cloud Key Management Service. Тогда собственно секреты хранятся на серверах клиентов (Google их даже не знает), но зашифрованными ключами, хранящимися в Google. Такое вот комбо.
Чтобы программист в одиночку делал игру, ему надо ещё много чего знать и уметь — от основ психологии (чтобы геймплей цеплял) до коммьюнити-менеджмента (чтобы ваши игроки хотели возвращаться и друзей приводить).
Или лучше — дарю идею для стартапа. На пасеках ставить специальные излучатели, которые будут помогать пчёлам ориентироваться.
https://youtu.be/ras_VYgA77Q — прекрасно сделанное расследование про fake science. Масштабы явления поражают воображение!
Если видите перспективный метод лечения рака, но при этом ноль публикаций в нормальных журналах, это большой красный знак стоп.