Capcom herroept Street Fighter V-update die gevaarlijke drm introduceerde

Capcom gaat de recentste Street Fighter V-update voor Windows terugdraaien. Deze bevat drm-technologie om valsspelen te bestrijden, maar daarvoor vraagt het wel toegang tot de kernel van Windows en schakelt daar bepaalde beveiligingen tijdelijk uit.

Aanvankelijk adviseerde de uitgever zelfs om een uitzondering in antivirusprogramma's te maken voor de game. Na veel klachten op het web maakt Capcom bekend dat de update, die sinds donderdag verspreid werd, inmiddels teruggedraaid is. De beveiliging was ervoor bedoeld om spelers niet bij bepaalde ontsleutelbare content te laten komen middels een workaround zonder dat ze de daarvoor vereiste vooruitgang in de game hadden geboekt.

De update installeerde een driver en zorgde ervoor dat spelers iedere keer dat ze het spel starten groen licht moeten geven aan de game en driver via Windows User Account Control. Volgens bijvoorbeeld een coder op Twitter schakelt de drm tijdelijk supervisor mode execution protection uit, controleert het op Street Fighter-hacks en schakelt daarna smep weer in. In de tussentijd is het besturingssysteem kwetsbaarder voor een lokale aanval en kan het makkelijker ertoe gezet worden om vreemde, malafide code uit te voeren.

De update voegt naast de driver ook nieuwe content toe. Zo is er nu een versus cpu-modus, een nieuwe vechter genaamd Urien en zijn er nu environmental knock-outs. Als spelers een tegenstander verslaan zonder zelf klappen op te lopen, wordt de verliezer op creatieve wijze knock-out geslagen. Per arena verschilt de animatie. Zo worden vechters in het bank-level de kluis in geslagen waarna deze dichtklapt. Op een ander level worden spelers uit een kanon afgevuurd. De nieuwe content die erbij geleverd werd, blijft nog wel in de game na de rollback.

Reacties (46)

Verwijderd 24 september 2016 12:30

De driver is zo klein dat je het heel makkelijk uit elkaar kan halen en kan overzien wat het doet. Het probleem is niet alleen de IOCTL maar er is nog veel meer aan de hand.

1. De driver registreert zichzelf met een pseudo willekeurige naam, dit is zeer verdacht. Tevens is er op geen enkel niveau beveiliging aanwezig dus elke gebruiker op elk niveau kan de driver openen en direct kernel level toegang krijgen.
2. De driver registreert custom handle's om het device the openen, sluiten en om IOCTL's uit te voeren op het device, dit is heel normaal. Hoewel, een driver die zelf geen security specificeert tijdens het registreren moet zelf security checks uitvoeren, dat doet deze driver niet.
3. De IOCTL handler is waar het gebeurt. Het controleert op codes 0xAA012044 en 0xAA013044, doet wat buffer size checks, zet Supervisor-Mode Execution Protection (SMEP) uit en als laatste draait het de arbitraire code die door de IOCTL is doorgegeven op Kernel level.

Wat SMEP doet (zoals de naam al zegt) is voorkomen dat er zomaar kernel level code uitgevoerd kan worden of kernel level code zomaar kan veranderen. Ze zetten SMEP netjes weer aan als ze klaar zijn maar niet voordat ze de gare IOCTL aanmaken waardoor elke vorm van beveiliging nihil wordt.

In het kort, deze driver zorgt ervoor dat elke gebruiker (ook gebruikers zonder login) zomaar kernel level code uit kunnen voeren.

Persoonlijk, als ik deze code zo zie dan heb ik het idee dat iemand ergens (een stagiaire) code heeft gekopieerd van het internet, misschien een opensource rootkit.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 09:09]

R4gnax @Verwijderd • 25 september 2016 19:38

In het kort, deze driver zorgt ervoor dat elke gebruiker (ook gebruikers zonder login) zomaar kernel level code uit kunnen voeren.

Wow. Dat is inderdaad wel echt, echt uitermate gevaarlijk.

Wat ik me nu dan ook afvraag is of deze driver ook gedeïnstalleerd wordt na de nieuwe update die het gebruik van deze DRM in Street Fighter stopzet. Zo niet, heb je natuurlijk nog steeds een enorm probleem.

Interessant ook of Capcom wettelijk aansprakelijk is voor schade die uit dit debakel voort zal gaan vloeien.

[Reactie gewijzigd door R4gnax op 27 juli 2024 09:09]

Verwijderd @R4gnax • 26 september 2016 01:43

Ik denk dat het nog niet echt goed tot iedereen is door gedrongen wat dit nou echt betekent. De driver heeft een geldig certificaat van Symantec, dus oudere versies van Windows (XP/Vista die niet meer worden ondersteund) zullen deze driver altijd stilletjes accepteren, zo ook Windows 7 en 8. Windows 10 heeft weer andere beveiligingsmaatregelen ingebouwd maar dat werkt dan alleen met nieuwere hardware, dus meeste W10 PC's zullen de driver ook accepteren. W10 PC met de nieuwere hardwarematige beveiliging zullen een BSOD geven.

Het grote probleem is niet dat de driver SMEP uitzet (SMEP is een van de nieuwe hardwarematige maatregels), het grote probleem is dat de driver een directe tunnel is naar kernel level zonder dat er enige vorm van security checks tussen zitten.

Het bestand capcom.sys (de driver zelf) is los van street fighter te gebruiken, je hoeft alleen maar het bestand te kopieren. Dus ook al roept Capcom deze update terug, het bestand is nu overal op internet te vinden. In een klap hebben waarschijnlijk 90% (eigen schatting) van alle Windows computers een mega groot gat in de beveiliging. Er zijn nu al permission elevation hacks

https://twitter.com/justinsteven/status/779688133029801984

De fout ligt trouwens niet alleen bij Capcom of het bedrijf wat de anti-cheat levert. De fout ligt ook bij Symantec, driver signing is door Microsoft opgezet om juist dit soort dingen te voorkomen. Symantec zou een security audit moeten doen en pas als dat ok is mogen ze een certificaat geven. De driver is zo klein dat elke idioot in een oogopslag wel kan zien dat er iets niet goed zit. Toch heeft Symantec de driver een certificaat gegeven, hoe zit dat in elkaar dan?

Ik denk dat Microsoft echt niet blij is met deze situatie en dat er bij zowel Symantec als Capcom een paar koppen gaan rollen. Symantec is trouwens ook direct de eerste die het bestand heeft opgenomen in hun anti-virus database. Microsoft zal het waarschijnlijk ook toevoegen aan Windows Defender.

Of je als consument Symantec c.q. Capcom verantwoordelijk kan houden weet ik zo niet, misschien iets voor tweakers redactie om eens uit te zoeken.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 09:09]

8bitfanaat 24 september 2016 11:38

Dus om een spelletje streetfighter te spelen stel je jezelf onbewust bloot aan digitaal gevaar. De gedachtegang van een onderneming die zo bang is voor piracy en daardoor hun betalende klanten bewust en doelgericht potentieel blootstelt aan allerlei ellende ontgaat mij volkomen. Terug naar de snes en de megadrive dan maar. Dan kun je 'gewoon' lekker gamen

[Reactie gewijzigd door 8bitfanaat op 27 juli 2024 09:09]

HMC @8bitfanaat • 24 september 2016 11:45

Ik snap ook niet precies wat de programmeurs in gedachte hadden anders dan "we moeten iets maken dat valsspelers tegenhoudt, zodat het spel leuk blijft voor iedereen."

Dat is ze wel gelukt in ieder geval.

Alhoewel, ze draaien het nu weer terug.

2green @8bitfanaat • 24 september 2016 11:48

Vraag me af of het bewust en doelgericht is. Soms zijn ontwikkelaars zo gefocussed op een probleem dat andere issues ontstaan, hopelijk in dit geval ook de reden waarom ze het terug trekken.

Dat een miljoenen onderneming bang is voor cheats vindt ik niet vreemd, dat haalt de waarde van het spel (plezier) onderuit. Ik zou ook trachten mijn investeringen te beschermen.

Een dergelijk drm is trouwens wel zot, zou hem nooit zelf installeren als ik het van te voren zou weten... helaas zit ik nog steeds op de SteamOS versie te wachten

bonus @8bitfanaat • 24 september 2016 16:39

Typisch geval van de kuur is erger dan de kwaal, zeker als eind gebruiker. Ik snap best dat je sommige dingen wilt veilig stellen maar dit is dus duidelijk niet de manier. Daar zijn ze gelukkig zelf ook achter, dit keer ging het nog "goed"...

robvanwijk

Netwerk en systeembeheer

@8bitfanaat • 24 september 2016 14:10

Terug naar de snes en de megadrive dan maar. Dan kun je 'gewoon' lekker gamen

Die wel, voor zover ik weet, maar ook de originele PlayStation zou ik voor de zekerheid maar overslaan, die is immers van Sony.

grote_oever 24 september 2016 11:40

Is deze beveiliging alleen voor valsspelen en niet voor illegale kopieën? Terecht dat dit teruggetrokken is, want er zijn virussen die zo te werk gaan. Maar ja, waar wordt de grens getrokken wat acceptabel is. Proberen ze het bij de volgende update/game niet gewoon weer?

Dit zou gewoon verboden moeten worden.

bbr @grote_oever • 24 september 2016 12:09

Of ten minste een flinke straf / boete op moeten staan wanneer een bedrijf dit soort zooi de markt in gooit.

Verwijderd @grote_oever • 24 september 2016 12:40

Proberen ze het bij de volgende update/game niet gewoon weer?

Capcom is notoir voor het gebruiken van DRM en zeer shady anti-copy/cheat beveiligingen dus dat is vrijwel zeker. Zeer teleurstellend want valsspelen komt primair voor uit het slecht programmeren van het spel en gezien het succes van principes als GOG is ook DRM ondertussen een achterhaald concept. Games en software in het algemeen zouden beter af zijn zonder al deze overbodige onzin die de code vervuild.

Dit zou gewoon verboden moeten worden.

Volstrekt mee eens. Zoals bbr al aangeeft zou hier gewoon een boete op moeten staan.

Mizgala28 24 september 2016 11:50

maar daarvoor vraagt het wel toegang tot de kernel van Windows en schakelt daar bepaalde beveiligingen tijdelijk uit

Welke idioot heeft dit bedacht?

Ik snap wel dat ze valsspelers willen tegengaan maar dit is toch een achterlijk idee om een drm uit te brengen die met DE KERNEL van de Windows gaat klooien?!

*facepalm capcom*

Verwijderd @Mizgala28 • 24 september 2016 12:30

Denk dezelfde idioot die dacht dat een vechtspel geen (serieuze) single player zou moeten hebben.

RGAT @Mizgala28 • 24 september 2016 16:32

*ESEA* kuch kuch...
Is niet de eerste keer dat zoiets gebeurt dat er in de kernel geklooit wordt...
Esea installeert nog steeds een kernel driver, nadat ze een tijdje terug een bitcoinminer mee gaven... Kan dus nog wel erger dan Capcom iig

albatross 24 september 2016 12:53

Microsoft heeft nog redelijk recentelijk SecuROM op hun blacklist gezet, omdat het te invasief was voor Windows. Dat was een erg goede zet. Er zou een protocol moeten komen om dit met alle rootkit-achtige DRM te doen.

CriticalHit_NL @albatross • 24 september 2016 14:16

Nadeel is dan echter weer dat je dan problemen krijgt met het spelen van spellen op de legale manier, daarom heb ik ook liever spellen waar geen enkele DRM methode gebruikt wordt.
Nou ja anti cheat kan ik wel begrijpen, maar voer het dan op een goede manier uit.
Verder zou mijn inziens enkel een cd code en een account bij het betreffende bedrijf waar het spel vandaan komt voor Multiplayer afdoende zijn (zonder always online voor Singleplayer etc.)

Freekyo 24 september 2016 15:05

Ik snap het hele probleem eigenlijk niet.
Als iemand wil cheaten dan doet ie dat toch lekker. Houdt ie alleen maar zichzelf mee voor de gek imho

jayjay_seal @Freekyo • 24 september 2016 17:08

Ik begrijp je... maar als je online een FPS game tegen elkaar speelt en je tegenstander kan je door muren heen zien dan is dat wel leuk (nouja, leuk is het eigenlijk ook niet) voor je tegenstander maar erg frustrerend voor jezelf... de lol is er snel af dan...

Zoiets bv: http://1.bp.blogspot.com/...012.07.16_23.40.31%5D.jpg

[Reactie gewijzigd door jayjay_seal op 27 juli 2024 09:09]

R4gnax @jayjay_seal • 25 september 2016 19:45

Ik begrijp je... maar als je online een FPS game tegen elkaar speelt en je tegenstander kan je door muren heen zien dan is dat wel leuk (nouja, leuk is het eigenlijk ook niet) voor je tegenstander maar erg frustrerend voor jezelf... de lol is er snel af dan...

Als de netwerk code goed in elkaar zit dan stuurt de server geen positie updates voor spelers die jij niet zou moeten kunnen zien. Dat is sinds Quake 3 Arena een opgelost probleem.

Maar ja; da's moeilijk en irritant en vereist wat meer ervaren programmeurs met wat meer kennis van zaken, wat zich vertaalt in hogere salariskosten, en het kost meer ontwikkeltijd.

En aangezien de walled gardens van de consoles het probleem met gecompromiteerde clients grotendeels niet hebben en de PC markt eigenlijk maar een nagedachte is voor de meeste ontwikkelaars en uitgevers, kiezen die liever voor de goedkopere en snellere ontwikkelroute en betalen ze een eenmalige som aan een louche DRM clubje om te voorkomen dat problemen inherent aan de opzet van hun client-server communicatie geexploiteerd worden op PC.

En als PC gamers daar dan last van krijgen? Tough shit, het is toch maar bijvangst. En tot voor kort gold toch: "verkocht is verkocht".

[Reactie gewijzigd door R4gnax op 27 juli 2024 09:09]

jayjay_seal @R4gnax • 27 september 2016 13:36

Maar dit is verder helemaal niet naast de kwestie...

het ging er over dat valsspelen WEL een probleem is

die screenshot was maar een (oud) voorbeeld....

Nog een ander voorbeeld dan? een Aimbot... dan maakt het niet uit of iemand wel of niet in beeld is (op een ander stuk van de map)... hij zal alleen richten op spelers die in beeld zijn in het gebied waar de speler zelf loopt...

(overigens is het screenshot van een spel wat later op de markt is gebracht (voor PC en later voor de consoles

is een computerspel uit de Medal of Honor-reeks. Het spel, gefundeerd op de gemodificeerde Quake III-engine, werd ontwikkeld door 2015, Inc. en is begin 2002 uitgebracht door EA Games. Quake III is van 1999?)

Volgens mij is cheaten op een console ook een stuk ingewikkelder omdat je vaak maar een aantal dingen tegelijk kan uitvoeren en het bewerken van de game files moeilijker is. In console games werden (en ik denk nog) vaak veel details weggelaten omdat consoles nu eenmaal een stuk minder krachtig zijn als pc's. Vaak kun je dit al zien als je splitscreen speelt al zien.... je mist kleine details als lampjes (die er niet meer zijn maar nog wel licht geven enzo)
http://i.imgur.com/EAIU6Br.jpg

[Reactie gewijzigd door jayjay_seal op 27 juli 2024 09:09]

R4gnax @jayjay_seal • 27 september 2016 13:57

Nog een ander voorbeeld dan? een Aimbot... dan maakt het niet uit of iemand wel of niet in beeld is (op een ander stuk van de map)... hij zal alleen richten op spelers die in beeld zijn in het gebied waar de speler zelf loopt...

Quake III's netcode bevat rudimentaire detectie voor aimbots door sanity checks te doen op input commando's. Diverse slimme mods hebben dat metterijd uitgebreid door angular velocity van spelers te meten icm overshoot en daaruit af te leiden of je met bovenmenselijke responssnelheid en accuraatheid te maken hebt.

Ook dat is voor een groot deel een opgelost probleem.

Mijzelf 24 september 2016 11:46

In de tussentijd is het besturingssysteem zeer kwetsbaar voor een lokale aanval en kan het gemakkelijker ertoe gezet worden om vreemde, malafide code uit te voeren.

Overdrijven is ook een vak hè? Aangezien geen enkele processor van voor 2012 SMEP ondersteund, zijn die allemaal 'zeer kwetsbaar'?

Verwijderd @Mijzelf • 24 september 2016 12:22

Dus je wil beweren dat er niet miljoenen systemen zijn met processors van 2012 en verder?

Auteur

Mark_88 @Mijzelf • 24 september 2016 12:38

Is genuanceerd. Dank.

novasurp 24 september 2016 14:17

Waarom implementeren Microsoft, Apple en Canonical niet gewoon hun eigen DRM-systeem in hun OS, dan zou dit niet nodig zijn.

svenslootweg @novasurp • 25 september 2016 21:27

DRM is bij voorbaat een kansloos idee. Het kan simpelweg niet werken.

novasurp @svenslootweg • 27 september 2016 17:26

Dit wordt heel vaak herhaald maar het is gewoon niet waar. DRM werkt wel. Kijk maar naar Nintendo bijvoorbeeld. De oorspronkelijke DS was uiteindelijk zo'n beetje gesloopt door piraterij, maar bij de 3DS is het dankzij de DRM nooit echt gelukt om een gebruiksvriendelijke "flashcard" te maken.

Amanoo 24 september 2016 12:03

Ik ben verbaasd hoe slecht dit alles in elkaar zit. Dit is gewoon vele malen slechter dan het als root draaien van willekeurige programma's op Linux, en dat is al "not done".

Haruhi 24 september 2016 11:46

Dit is niks nieuws. Punkbuster, VAC, EAC, Battleye, etc doen allemaal hetzelfde.
Alle anti cheats zijn zeer invasief op je privacy en maken je kwetsbaar in veel aspecten. Ik beheer een cheatsite en het is schrokkend wat ik ben tegen gekomen om cheaters tegen te houden.

Maar je moet eenmaal je game cheat free houden. Dus ik neem het ze niet kwalijk

[Reactie gewijzigd door Haruhi op 27 juli 2024 09:09]

Chaosstorm @Haruhi • 24 september 2016 12:08

Echte cheaters zouden gewoon een bekeuring moeten krijgen, leren ze van om netjes zoals de rest te spelen

.

Anti cheat software oké, maar de beveiliging uitschakelen gaat wel ver.
Moet je na gaan hoe ver een bedrijf gaat tegen cheaters, het idee is goed. Geen cheaters meer maar zo tref je ook de niet cheatende mensen met deze maatregelen.

Haruhi @Chaosstorm • 24 september 2016 15:36

Die krijgen ze ook, in de vorm van een Ban als ze gepakt worden.

Hans C @Haruhi • 24 september 2016 11:58

Cheat is nog altijd het Engelse woord voor valsspeler. Cheats verpesten een spel grondig. Zeker online. Ik zou mijn naam daar niet aan willen verbinden.

mschol @Hans C • 24 september 2016 19:42

dat ligt geheel aan de manier hoe en welke cheats gebruikt worden (en wanneer)

Deem @Haruhi • 24 september 2016 12:18

Uh nee, Die schakelen juist NIET bepaalde beveiligingsmaatregelen in de kernel uit. Dat is juist het verschil.

Haruhi @johnkeates • 24 september 2016 11:58

Ik heb mijn reactie aangepast om dit ook te reflecteren.

robvanwijk

Netwerk en systeembeheer

@johnkeates • 24 september 2016 14:15

Dit heeft niks met privacy te maken, maar met systeembescherming. En waarom beheer jij een cheatsite? Kan je dat niet gewoon niet doen, zodat de wereld een stukje beter is?

Omdat er vraag naar is? En omdat uitgevers liever tijd en energie besteden aan het maken van net wel / net niet (??) illegale code om hun betalende klanten te pesten, dan aan het schrijven van fatsoenlijke code waarin cheaten gewoon sowieso uiterst lastig is?

johnkeates @robvanwijk • 24 september 2016 14:25

Er is ook vraag naar heroine en shotguns, moeten we die dan ook maar op straat gaan uitdelen?

Rolive @johnkeates • 24 september 2016 18:18

Valsspelen in spelletjes lijkt mij een stuk minder erg dan heroïne en shotguns.

Blokker_1999

Netwerk en systeembeheer

@robvanwijk • 24 september 2016 14:40

Omdat er vraag naar is, is in deze geen goede uitleg. Er is veel meer vraag naar het cheatervrij houden van games, zeker online games.

Uitgevers zouden liever geen tijd en geld investeren in het moeten aanpakken van dit soort problemen, maar het is net een kleine minderheid die het voor een grote meerderheid verknalt die er ook de uitgevers toe dwingt om steeds verder te gaan in het opsporen van mensen die valsspelen.

jayjay_seal @Blokker_1999 • 24 september 2016 17:01

Mwah een onschuldige cheat zoals een "money-cheat" in een single player game is nog wel te pruimen.... Bv bij Rollercoaster Tycoon & Cities Skylines enzo... kun je naar harte lust bouwen en verbouwen... en dan maar naar je scherm zitten staren wat er allemaal te zien is of te doen is :-) Zalig! (leuker is natuurlijk als je dit kunt zonder cheat.)

Misschien is openTTD wel een goed voorbeeld die heeft standaard al een cheat schermpje CTRL+ALT+C

Op dit item kan niet meer gereageerd worden.

Capcom herroept Street Fighter V-update die gevaarlijke drm introduceerde

Lees meer

E3 Round-up 2016

Street Fighter V Review

Reacties (46)

Lees meer

E3 Round-up 2016

Street Fighter V Review

Reacties (46)

Sorteer op:

Weergave: