Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties
Submitter: NESFreak

Door een kwetsbaarheid in de code van Steamworks was het mogelijk om een game uit te brengen op Steam, zonder dat Valve daarvan op de hoogte was. Zo wist beveiligingsonderzoeker Ruby Nealon kortstondig zijn 'game' Watch Paint Dry te publiceren.

Om gebruik te kunnen maken van de kwetsbaarheid had Ruby alleen een Steamworks-account nodig. Steamworks is Valves eigen platform voor het uitgeven van games en verzorgt opties als multiplayer voor ontwikkelaars. Met het account was hij daarna in staat om zijn zelfgemaakte 'spel' uit te brengen op Steam, zonder dat Valve de game had gezien, laat staan had gecontroleerd.

Dit kon doordat het mogelijk was om de broncode aan te passen tijdens het proces van het indienen van de game. Ook het publiceren van de trading cards voor de game was op die manier te doen zonder tussenkomst van Valve. Als een ontwikkelaar de kaarten indient, dan bekijkt Valve ze normaal gesproken eerst om te controleren of ze voldoen aan de regels. Bij het indienen van de kaarten kan de ontwikkelaar de status van de kaarten aangeven. De opties hiervoor zijn: Niet klaar, klaar voor controle en niet klaar vanwege aanpassingen.

De code achter de pagina voor de controle van de kaarten toonde aan Ruby dat Valve de sessie en het id-nummer van de ontwikkelaar volgt. Door het id-nummer aan te passen naar een nummer van iemand die waarschijnlijk werkt bij Valve, bijvoorbeeld nummer 1, en de waarde van de geselecteerde optie te veranderen in een niet bestaand nummer, kreeg Ruby een ander scherm voor ogen. Steamworks toonde een medewerker van Valve als de meest recente bewerker van de kaarten. Ook verscheen de optie voor 'uitgegeven' bij de uitgavestatus voor de kaarten. Door de waarde van die status door te voeren waren de kaarten plots goedgekeurd.

Code Steam Trading Cards

Voor de uitgave van de game zelf ging de Watch Paint Dry-ontwikkelaar nog een stapje verder. Volgens hem bestaat de Steamworks-website voornamelijk uit Ajax, oftewel Asynchronous JavaScript And XML. Alle code voor de JavaScript-functies waren zichtbaar voor Steamworks-leden. In de code vond hij de functie "ReleaseGame(appid, data)".  Door de functie aan te roepen met zijn app-id en zijn session-id was de game zonder controle of tussenkomst gepubliceerd op het Steam-platform.

Code Steam Game release

Ruby zegt al een paar maanden te hebben geprobeerd om Valve op de hoogte te stellen van de kwetsbaarheden in de code. Toen Valve er niets mee deed wou hij er een 1-aprilgrap van maken door de releasedatum op 1 april te zetten. Zijn plan was dat Watch Paint Dry op die dag in de Steam Store zou verschijnen, maar de game werd al eerder zichtbaar. Nadat de 'game' op Steam verscheen heeft Valve deze snel offline gehaald en de kwetsbaarheden in de codes gerepareerd, zegt Ruby. Valve heeft hierover zelf geen bericht naar buiten gebracht.

Watch Paint Dry

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (53)

goed gedaan van dit team maar erg apart dat steam dit gewoon negeert ik had altijd het idee dat de mensen achter steam toch juist kaas hadden gegeten van dit soort dingen en er altijd snel op reageerde maar blijkbaar dus niet min puntje voor steam/valve in mijn ogen
Lijkt me verstandiger dat elke softwarebedrijf of bedrijf die zeer afhankelijk is van zijn software, al dan niet geleverd door derde, met een beetje naam en faam er een bug-bounty-programma op na houdt.


Heel veel supportafdelingen zijn niets meer of minder dan externe (call)-centers met een naslagwerk van meest voorkomende vragen,
indien er te weinig kennis is of ze kunnen er geen uitspraak dan zou de vraag moeten worden doorgespeeld. Alleen gebeurt dat niet altijd.

Daar zitten regelmatig mensen waarvan de kwaliteit te wensen overlaat en dat zie je terugkomen in elke sector. Een Nederlands fenomeen is de belastingtelefoon. Maar weinig mensen weten dat er rond deze periode een hele doos mensen wordt opgetrommeld waarvan de algemene kennis wel goed is, maar op detail-niveau is het riskant. De een speelt netjes de vraag door, een ander hangt een half verhaal op waar je eigenlijk niets mee kunt. Vervolgens krijgen we het jaarlijks terugkerend bericht dat de belastingtelefoon te wensen overlaat.
Bij mij heeft GDATA wel een de opmerking gegeven dat er een virus in games zaten die van stea kwamen ...dit gebeurde echter niet vaak en was meestal ook steeds een ander spel... (heb best wel een grote library ik heb er indertijd ok over geklaagd maar emn wist noiot het feine ervan, ik denk dat dit raadsel nu dan ook is opgelost.
Dat klinkt echt als een broodje aap verhaal, games van steam waar virussen inzitten jaja ;)
en toch heb ik een aantal keer meegemaakt dat gdata aangaf dat er een virus in mijn games zaten... en ik heb niets illegaals op mijn pc van hacks of bezoekn ook geen risicosites .... en toch gaf Gdata aan dat die exe's besmet waren en ik kon ze niet openen...

ook als ik ze opnieuw downloadde via steam bleken ze besmet te zijn...

ofwel was de gdata database dus voorzien van false positives (iets waar gdata juist bekend om stond dat die het minst voorkwamen) ofwel moest er dus echt iets met die bestanden mis ejjjjjjjjjjjjj
ik had twee mogelijkeden
1) probleem voorlopig een paar dagen negeren tot er automatisch een update kwam en het bestand dus automatisch vervangen werd door een andere executable
2) de executable terugplaatsen uit de quarantaine via de antivirus interface, en dan meteen de AV-software uitschakelen voordat die het bestand weer in de quarantaine zou gooien...
Valve is vaker nalatig met kwetsbaarheden.

Pas op het moment dat het echte aandacht krijgt en er meerdere mensen weet van krijgen gaan ze er iets mee doen.. En dan nog zeggen ze ooit dat het niet ernstig is.
Dat herken ik inderdaad. Toen laatst (met kerst dacht ik)de fout er was dat je op Valve's website de account gegevens van iemand anders zag(!) waren de reacties van Valve ook laat en spaarzaam. Eerst werd de store neergehaald toen, kennelijk, de bug gefixt, en enkele uren later kwam er pas een statement.
Valve en support zijn nou niet twee woorden die heel goed samen gaan, helaas.
Dat dit soort fouten nog voorkomen, je verwacht toch zeker in deze tijd wel dat ontwikkelaars rekening houden met client-serverside? En dus dat javascript en html aan te passen is...
Dit laat het volledige gebrek van rechtenvalidatie aan de kant van de API/applicatie server zien. Erg slecht. Daarom is het zo belangrijk om een goede set van tests te hebben die op dit soort dingen controleren. Rechten controleren is één van de simpelste tests die je kunt schrijven, met veel gemoedsrust tot gevolg :)
Zeer goede en ludieke actie. 'Watch paint dry', was een goede grap geweest. Even een boze blik naar Valve dat ze niets tegen ons hebben gezegd. Althans, dit is de eerste keer dat ik er over lees.

Maar zo lang het betalingsverkeer en mijn account veilig zijn is dit niet iets om me echt zorgen over te maken.
Je betalingsverkeer en account zijn niet veilig met zo'n lek
Zo'n nieuw ongecontroleerd spel kan een key-logger hebben, en allerlei andere spyware, die je wachtwoorden etc... probeert te ontfutselen en naar een criminele organisatie stuurt.
En nee je virus scanner detecteert dit niet je hebt immers zelf gekozen om dit te installeren.
En nee je virus scanner detecteert dit niet
Zo werkt ie niet helemaal. Een AV kan met geen mogelijkheid vaststellen wat jij wel of niet denkt en kan daarmee dus ook niet met zekerheid vaststellen of die malware die zonder jouw medeweten is gedownload al dan niet wel met je medeweten is gedownload.
De eerste de beste AV die zegt -- "Weet je, je hebt dit zelf gedownload en opgestart, je bekijkt het maar" is geen lang leven beschoren. ;)
Sorry,

Maar als jij beslist dat jij iets wil downloaden, dan is jouw virus scanner machteloos, tenzij het herkent word als malware...

Dat betekend dat software waarover initieel geen klachten zijn, maar na een maand of 6 bijvoorbeeld een nieuwe ransomware module downloaden gewoon overal langs glippen... totdat het te laat is en je bitcoins moet kopen om je data terug te krijgen.

Voor de duidelijkheid, als jij besluit een keylogger te installeren omdat je overspel van je partner vermoed, dan staat je virus scanner buiten spel. Jij wilt deze software downloaden. En zodra jij zegt ik wil deze software, of software update installeren kan je virusscanner niets meer doen, het was jouw bewuste keuze.

[Reactie gewijzigd door dnrb op 1 april 2016 18:46]

Jij wilt deze software downloaden. En zodra jij zegt ik wil deze software, of software update installeren kan je virusscanner niets meer doen, het was jouw bewuste keuze.
Sorry hoor, maar zo werkt ie dus echt niet he. Wat als nou een perfect normaal proces wordt geinfecteerd door een virus? Dan wil je toch echt wel dat je AV dat oppikt. Hoe doet je AV dat? Onder andere door IEDER proces dat wordt opgestart te scannen. De ene AV houdt hier dan een database van bij (om prestaties van de AV te verbeteren), de andere doet dat niet. Feit blijft wel dat alle processen die worden opgestart op een PC worden gescanned door een AV.

Dat doen ze al sinds TBAV het hele concept AV naar een nieuwe hoogte tilde in de jaren 90.

Ergo, op het moment dat je malware installeert, zelfs al is dat compleet bewust, dan alsnog gaat je AV die echt wel scannen op het moment dat je die malware start. En dan krijg je toch echt wel een melding, ervan uitgaande dat de AV de malware herkent althans.

Heb jij uberhaupt ooit wel eens goed gekeken naar je AV en naar wat ie doet? En, naar het effect dat die AV heeft op de prestaties van je PC? Je kunt AVs zelfs zo hardvochtig instellen dat ze echt alles scannen dat uberhaupt wordt benaderd voor wat dan ook, of het nou het starten ervan is, het openen ervan (in het geval van een document), etc, etc, etc. Dat is doorgaans wel een enorme prestatie kostenpost maar goed, het werkt wel.
Heel leuk maar als jij bijvoorbeeld ransomware zelf installeert dan doet geen enkele virusscanner hier iets tegen. Virus scanner kunnen namelijk niet het verschil zien tussen gewone encryptie software en ransomware.
Maar blijf vooral slapen en erop vertrouwen dat AV altijd alles kan voorkomen. Ik vermoed dat jij ooit bitcoins gaat kopen....
Laat ook maar, het is het niet waard. Veel succes nog, dnrb!

[Reactie gewijzigd door 718569 op 2 april 2016 14:01]

niet echt netjes van Valve. Ze hadden toch kunnen reageren om dit probleem sneller op te lossen.
Valve reageert op zaken zoals mijn kat op mij reageert, sporadisch en als het daar zin in heeft.
_/-\o_ :9~ _/-\o_

OT: Maar dit is dus een bekend probleem bij valve? Ik game zelf op de ps, maar dacht dat je bij valve / steam als consument wel goed zat, ook qua opties wat betreft games proberen en annuleren etc?
Het verhaal ontspoort pas als er enige menselijke interactie van Valves kant aan te pas komt. Het terugvragen van je geld bijvoorbeeld verloopt redelijk automatisch. Als je echter een mail naar hun helpdesk stuurt, dan kan er soms een periode van twee maanden tussen jouw mail en hun antwoord zitten.
Dat is dan erg jammer voor een bedrijf waar je als pc-gamer vrijwel (?) niet meer omheen kan.
Dat is inderdaad jammer. Het trieste van de hele zaak is dat de CEO van dat bedrijf op Reddit verafgood wordt, terwijl daar niet echt aanleiding toe is.

http://gaben.tv/
http://gaben.sexy/
http://gabenislife.com/
Uh, volgens mij mis jij een sarcasme-gen ;)
Als jij denk dat http://gaben.sexy/ een serieuze verafgoding is mis je inderdaad de mogelijkheid sarcasme te zien. Kom aan, je maakt een grap nietwaar?
"[...] op Reddit verafgood [...]"
Edit: Ah ging daar niet over

[Reactie gewijzigd door Pepper92 op 30 maart 2016 14:21]

Als je echter een mail naar hun helpdesk stuurt, dan kan er soms een periode van twee maanden tussen jouw mail en hun antwoord zitten.
Geen geintje; ik had een technische vraag over de Steam client. Na inderdaad een maand of 2 eindelijk antwoord -- "Geen idee, moet je de ontwikkelaars maar vragen."

... in mijn hoofd ging ik door een aantal antwoorden heen maar uiteindelijk besloot ik het er maar bij te laten en eieren voor mijn geld te kiezen en voor mijn eigen aanpak te gaan voor het oplossen van het 'probleem'.
Ja inderdaad, volgens Valve was mijn account gehacked en was deze tijdelijk afgesloten. Dit heeft 3 weken geduurd voor het in orde was. Ik begon al serieuze afkickverschijnselen te krijgen.
Steam is de enige keuze met het aanbod wat ze hebben en het verdwijnen van hard copies van games.
Steam is niet geweldig, het is duur en het ziet er veroudert uit.
De enige reden dat mensen het zo praisen is vanwege de sales die ze hebben. Terwijl die ook enorm overrated zijn 9 van de 10 keer.

Het enige goede is de refund optie die ze vorig jaar brachten.
Wat is er dan niet goed aan Steam? Ik zeg niet dat het niet beter of mooier kan, maar voor mij doet het precies wat ik wil.

Dat ze duur zijn klopt, in ieder geval bij launch van nieuwe titels. Er zijn wel vaak erg goede aanbiedingen en je krijgt een mailtje als iets op je verlanglijst in de aanbieding is. Zelf heb ik al jaren niks meer gekocht dat niet in de aanbieding was en game dus vrij goedkoop via Steam.

Dit soort kwetsbaarheden en het gebrek aan reactie zijn natuurlijk wel ontzettend knullig en slecht. Als deze kerel slecht gezind was geweest en zijn spel niet 'Watch paint dry' maar 'Half Life 3' had genoemd en het was een virus geweest, dan had hij misschien flink wat schade kunnen veroorzaken voor Valve het eraf kon halen.
Er zijn veel zaken die bij Steam nog beter zouden kunnen (zoals je zelf eigenlijk ook al aangeeft):
- mogelijkheid voor grotere letters
- een bedrag in je verlanglijst kunnen toevoegen vanaf wanneer je een bepaalde game zou willen hebben. (dan krijg je tenminste geen mail meer dat een game in je verlanglijst in aanbieding is voor 10% sales...)
- een waarschuwing als je een game koopt met minimum requirements waar de hardware van je computer niet aan voldoet
- snellere respons van het support team als je echt een probleem hebt
- problemen met de automatische woordfilter (mijn gebruikersnaam wordt altijd gecensureerd om een of andere reden)
- ...
De Steam client muten! Ik wil de mogelijkheid hebben de Steam client te vertellen mijn audio device volledig met rust te laten. Maar, nee, dat gaat niet. :/
niet echt netjes van Valve. Ze hadden toch kunnen reageren om dit probleem sneller op te lossen.
Is dit niet standaard gedrag van veel commerciële bedrijven?
Het is Valve, wat had je anders verwacht?
Ik las broncode en dacht toen: nog best een gedoe, een programma decompilen, aanpassen, recompilen etc... Tot ik zag dat het om HTML broncode ging en iedere halve zool dit via Google Chrome en dergelijke out of the box kan bewerken en javascript middels code hinting al snel naar boven kunnen komen.... en dan geen eens validatie aan de backend van deze data.... Voelt als een veredeld stage project
Behalve dat je eerst aan een Steamworks-account moet komen welke toegang heeft tot deze kwetsbaarheden.
https://partner.steamgames.com/

Looking for SDK Access? Sign in above with your Steam account, then agree to the Steamworks SDK Access Agreement for preliminary access to SDK and Documentation.

Mogelijk kans dat je met je gratis steam account al in de goede richting komt voor het eventueel misbruiken? wie weet
Rule number one, never trust information from the client!

Altijd server-side sessions gebruiken voor dit soort informatie.
inderdaad, erg slordig dat een bedrijf als valve hier de mist mee ingaat
Jammer dat Valve hier weer zo slecht mee omgaat. Helaas is het ook echt geen bedrijf voor de consument. Dit soort zaken en de kwaliteit van hun support afdeling getuigen daarvan.
Blijkbaar hebben zelfs beveiligingsonderzoekers last van de beruchte langzame Steam support ;). Mooi geintje, ook leuk dat hij "watch paint dry' gebruikt, gezien dat laatst in The UK ook was gebruikt als politiek statement tegen de Britse dienst die alle films van een kijkwijzer voorziet.
Ik heb zelfs een melding van dit spel gezien in die popup met een tiental spellen die net te koop/ in de aanbieding zijn, ik dacht toen nog "wtf, waarom zou iemand hiervoor betalen?"
De community hub is trouwens nog wel online (waaronder een aantal guides/walkthroughs)

http://steamcommunity.com/app/445730

[Reactie gewijzigd door NESFreak op 30 maart 2016 12:14]

Die reviews zijn echt geweldig :D :D

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True