Valve: stoppen met spelen CS:GO en TF2 om uitlekken broncode is niet nodig

Volgens Valve hoeven gebruikers niet te stoppen met spelen van Counter-Strike: Global Offensive en Team Fortress 2 vanwege het uitlekken van de broncode. De code zal cheaters niet helpen, zo meent het bedrijf.

Valve bevestigt het lek in een statement en claimt dat de code eerder in 2018 uitlekte. Het zou gaan om code van eind 2017. Volgens het bedrijf is nu dezelfde code opnieuw opgedoken, waardoor het mensen niet zal helpen om betere cheats in de games te kunnen vinden. Ook is het volgens Valve niet nodig om in paniek te raken of te stoppen met het spelen van de huidige builds.

Valve zegt de situatie te blijven monitoren en roept mensen die meer weten over het uitlekken contact op te nemen. Woensdag verscheen de broncode van CS:GO en TF2 online, waarna community's als Creators.tf de servers uit voorzorg offline haalden. Valve raadt spelers aan uit beveiligingsoogpunt altijd de officiële servers van het bedrijf te gebruiken bij het spelen.

Broncode CS:GO en TF2. Bron: SteamDB — Bron:SteamDB

Reacties (44)

KimVogels 23 april 2020 08:28

Ik heb gisteren na lang zoeken de code gevonden. Het bevatte veel tekstdocumenten, een soort van "to-do" lijstje met datums van februari en maart 2020.
Een paar gigabyte aan bestanden hadden ook de bewerkingsdatum binnen een periode van deze maanden.
Ik heb enkele bestanden open gehad en hier en daar in de code kan je een datum terug vinden, vermoedelijk wanneer deze het laatst bewerkt is. Vele hadden nog maar een recente datum, gaande van oktober 2019 tot maart 2020.
De term "Het zou gaan om code van eind 2017" lijkt mij niet echt correct. Ik vermoed dus dat dit mogelijk een nieuwe game in wording was.

michiel_ @KimVogels • 23 april 2020 08:58

Het gaat om om de broncode die Valve ter beschikking stelt aan 'source code licensees', (nieuws: Broncode van CS:GO en TF2 verschijnt online)

Weet je zeker dat de documenten die jij gevonden hebt van Valve komen en niet zijn toegevoegd door de 'source code licensee'?

Cergorach

Games

@KimVogels • 23 april 2020 09:48

Laat ik (weer) eens een alu hoedje opzetten...

Met deze tijden zijn er zat koters die zich uitermate vervelen, thuis. Wat let zo een koter om dat gelekte code uit 2017 op te zoeken en er vervolgens echt uitziende comments uit 2019/2020 aan toe te voegen en vervolgens claimen via bv. Reddit dat dergelijk code al wordt gebruikt voor remote code execution op clients. Omdat het allemaal zo lekker vaag blijft is er niemand die daadwerkelijk code vind wat het kan, maar het blijft bij iedereen in het hoofd en mensen beginnen te roepen dat CS:GO en TF2 spelen nu niet verstandig is. Vervolgens claimt de koter dat hij/zij CS:GO en TF2 plat heeft weten te leggen door social engineering...

Tot op heden is er geen enkele betrouwbare bron geweest die wat concreets heeft weten te posten/bewijzen. Puur media en mede tweakers die geruchten herhalen...

smiba @KimVogels • 23 april 2020 09:58

Ik zie niet dat de code nog aangepast is na 2018 (op basis van modify dates)?
Gaat hier om het bestand "full.7z" waar de source code zich in bevind (cstrike15_src, hl2_src)

Je hebt het waarschijnlijk over fstop, dit zit in het hoofd archief met de naam "svn-master". Dit is niet de code waar Valve het over heeft.

RobinJ1995

@KimVogels • 23 april 2020 11:54

Kijk naar de datum in de source control. Rechts klikken op bestanden en "Eigenschappen" bekijken gaat je weinig correcte info geven in dit geval.

84hannes @KimVogels • 23 april 2020 12:20

Ik heb enkele bestanden open gehad en hier en daar in de code kan je een datum terug vinden,

Data is be vide zetten doende toch alleen als je niet met source control/versiebeheer om kan gaan? Het lijkt me sterk dat dat anno 2020 nog gebeurt bij professionele ontwikkelaars.

springtouwtje 23 april 2020 08:32

kunnen ze nu ook eens eindelijk achterhalen wat de criteria zijn om te promoveren van bijv. silver1 naar silver2?

teun2408 @springtouwtje • 23 april 2020 09:28

Die zullen allemaal server side zijn denk ik, en dat zit volgens mij niet bij de source code die gelekt is.

Remcom00 @springtouwtje • 23 april 2020 09:55

Dit is een build van een paar jaar terug, die criteria zijn inmiddels al lang veranderd.

D0phoofd @springtouwtje • 23 april 2020 10:04

Het ging over de broncode van de client. Het bijhouden van de rank gebeurt op de matchmaking-server natuurlijk.

Mic2000 @springtouwtje • 23 april 2020 09:24

Nou idd, kom maar op met die formules..

87Dave 23 april 2020 11:53

In 2019 had Valve nog een zware remote exploit in cs go.

Dat ze nu beweren dat er geen zijn, is een beetje zoals ik die zou garanderen dat mijn code bugfree is. De ervaring op mijn werkt leert dat telkens als iemand de code van een andere reviewt, er wel iets gevonden wordt. Je bent wanneer je iets schrijft wat blind voor je eigen fouten.

Dus ik geloof best wel dat Valve zelf geen exploits in cs go kent, maar of de hele hacker community er geen zal vinden met de source code in hun handen, is iets compleet anders.

Ik zal geen cs go geen opstarten totdat security experts cs go eens onder handen nemen om exploits te zoeken met wat nu op straat ligt. De kans dat er nog exploits mogelijk zijn, is reël.

dikkemuu @87Dave • 23 april 2020 13:08

Zelfs dan is er nog steeds de kans dat er exploits bestaan. Als je die gedachtegang hanteert zou je geen enkel stuk software kunnen gebruiken.

Marctraider 23 april 2020 13:39

Haha cheaters hebben niks aan de code. Klopt!

Cheaters hebben al een arsenaal aan werkende cheat tools waar VAC blijkbaar incapabel is om ze er uit te pikken.

Ga maar eens met mensen met LTF of zonder Prime spelen.

ChAiNsAwII 24 april 2020 02:52

Je kan al jaren op meerdere sites een abbo nemen om ongedetecteerd te cheaten wat je wil in beide games op zgn vac secure servers, dus ja dit advies verwonderd me niet ..lolz.

Eonfge 23 april 2020 07:57

Duh. De kans dat mensen in een dag de code zo ver analyseren dat ze exploits vinden welke ze eerder niet konden zien met Valgrind, is minuscuul. Op /r/Linux_gaming kwam deze text en uitleg voorbij:

It's not big news, really. But they're competitive games, so individuals and outlets are entertaining the notion that source-code leaks will leak to a proliferation of game-hacking and therefore player cheating. A lot of the coverage you'll see is being sensationalized for the usual reasons.

Games don't do security the way everything else in the world does infosec. Partially for reasons of performance, but also because the gamedevs have traditionally been able to get away with trusting the client code and then afterwards slapping on third-party "anti-cheat" software to monitor for signs of tampering. It varies based on game genre, but it's probably safe to say that very few mainstream games are designed for full server-side security from the start.

0romis @Eonfge • 23 april 2020 09:35

Ik ken nog wel een mooi voorbeeld:

Een hele tijd geleden is de source code gelekt van MapleStory brazil. Hier hebben hackers jaren lang gebruik van gemaakt om nieuwe exploits te vinden. Dan ging het vooral om het zogenaamde packet editing.

Ze konden precies zien wat niet goed gecontroleerd werd door de server en dan met gemanipuleerde packets daar misbruik van maken

Tijgertje @0romis • 23 april 2020 11:57

Ik heb dit spel jaren gespeeld en het klopt inderdaad dat er een gigantische hoeveelheid hacks beschikbaar waren(zijn) door de jaren heen. Tot op de dag van vandaag wordt dit nog misbruikt, "de war on hacks" vanuit Nexon hebben ze al die jaren niet echt kunnen winnen.

batjes @Eonfge • 23 april 2020 08:04

Daar wordt wel direct de grootste fout gemaakt die je kan doen. Client vertrouwen. Zelfs de makers van DOOM hadden al door dat je de client nooit op zijn blauwe oogjes moet vertrouwen in een multiplayer omgeving.

jeroenk13 @batjes • 23 april 2020 08:16

Er bestaan nog iets zoals VAC die je nodig hebt om online te kunnen spelen

mark-k @jeroenk13 • 23 april 2020 10:12

Volgens mij heb ik meer last van VAC dan de cheaters. Ik krijg elke dag die 'VAC could not verify bla bla bla', maar heb toch echt geen cheats staan (anders was ik niet zo slecht

). De spinbotters komen er op de en of andere manier wel gewoon doorheen...

dikkemuu @mark-k • 23 april 2020 10:30

Waarschijnlijk zijn je game files dan niet up-to-date. Je kunt proberen je game files te verifiëren.

mark-k @dikkemuu • 23 april 2020 10:51

Klopt, maar heb het inmiddels elke dag en gisteren wilde hij zelfs na verifiëren niet... Om gestoord van te worden.

Orama @mark-k • 23 april 2020 10:54

Ik heb vaak hetzelfde probleem. Steam opstarten als administrator lost het op. (waarna je ook discord als administrator moet opstarten, want anders werkt je push-to-talk niet. )

grasmanek94 @jeroenk13 • 23 april 2020 09:10

Dat VAC is ook een grap, meerdere cheats vaker gebruikt (in een potje met vrienden, iedereen wist het) en het kan gewoon. Geen flauw idee welke cheats er nou wel worden verbannen. Verder is het wel eens een vriend van mij overkomen dat ie banned (permanent, niet terug te draaien) werd door VAC, terwijl die helemaal niet aan het cheaten was en geen cheats aan had staan. Een grote grap.

YangWenli @grasmanek94 • 23 april 2020 10:18

Ik kan me voorstellen dat een Steam ban voor mensen nog wel pijnlijk kan zijn. Alles dat je in 10 jaar gekocht hebt in één druk op de knop waardeloos

Alleen is het niet in belang van Valve om hard op te treden.

noes @YangWenli • 23 april 2020 10:24

Ik denk dat men dan ook de games moet terug betalen. Dat je in één game verdacht wordt van cheaten betekent niet dat je andere games ineens niet meer zou mogen spelen.

Zelfde als dat ík jouw auto jat omdat je met je fiets door rood bent gereden. Het blijft diefstal.

grasmanek94 @noes • 23 april 2020 11:25

Je mag ze spelen maar niet op VAC beveiligde servers. Voor sommige games is dat inderdaad een permanente ban voor heel het spel.

noes @grasmanek94 • 23 april 2020 12:55

Bizar. Dus eigenlijk zou je voor iedere game een nieuw Steam account moeten maken. Denk dat dit best wel aan te vechten is eigenlijk.

grasmanek94 @noes • 24 april 2020 19:35

Yeah als professionele online speler zou ik inderdaad voor elke online game een apart account maken. Leuke is: met family sharing kan je betaalde spellen op meerdere accounts spelen voor 1x kopen. Gelukkig ben ik fanaat van single-player-story-rich dus mij boeit het gelukkig niet zoveel.

MN-Power @YangWenli • 23 april 2020 11:27

Als één verdenking al genoeg is, is dat genoeg reden om je niet aan één gamelauncher te binden

Maar ik mag hopen dat je alleen een ban voor één game krijgt.

mr_seeker @jeroenk13 • 23 april 2020 08:57

Er bestaan nog iets zoals VAC die je nodig hebt om online te kunnen spelen

VAC is vergelijkbaar met een bouncer voor de deur, zolang je aan de regels houdt of hem weet te omzeilen kun je naar binnen... Maar zodra je betrapt bent...

Sircuri @jeroenk13 • 23 april 2020 09:27

VAC == Valve Anti Cheat? Of bedoel je iets anders?

CH4OS @jeroenk13 • 23 april 2020 08:47

VAC is anders ook geen holy grail meer, helaas.

CEx @batjes • 23 april 2020 08:17

"Fout" in de ideale wereld zonder latency en performance bottlenecks zeker. Helaas is het altijd een afweging die gemaakt moet worden en zeker de minder belangrijke gameplay elementen (wat is het middelpunt van effect xyz) kan de client zelf afhandelen.

De enige echte fout is het bagatalliseren van "never trust the client" in je core gameplay elementen zoals hit registration. The Division was een voorbeeld van vreselijke netcode. Diablo 3 is een voorbeeld van goede netcode; zeer goede client prediction, wat rubberbanding door server-client conflicten tot een minimum beperkt.

Het erge is dat we het nu over games hebben, helaas kom ik nog steeds voorbeelden tegen in het bedrijfsleven waarbij de client (teveel) vertrouwd wordt.

Nogne @Verwijderd • 23 april 2020 08:24

Heb je daar ook een bron van?

Crp @Nogne • 23 april 2020 10:44

Ik denk dat hij op deze exploit doelt:
https://www.youtube.com/watch?v=BIFtK6Sd6SY

wild_dog @Crp • 23 april 2020 19:50

De comments staan vol met "Fake!", maar ik heb daadwerkelijk moeite met bepalen of dat echt zo is.

grootste wat ik kan vinden dat nep lijkt is dat alle info die hij krijgt stapsgewijs met precies de zelfde tussenpauze weergegeven word. Hoewel dit niet logisch zou zijn als de data real time binnen komt, kan dat net zo goed een ontwerp keuze zijn.

Het andere ding waar op gewezen word door de comments is de tijd die verschilt bij beiden, maar verschillende tijdzones is een plausibele verklaring daarvoor.

Zal dus wachten worden of secret.club daadwerkelijk een blog artikel hierover publiceert.

HADES2001 @Nogne • 23 april 2020 10:27

verwacht maar geen serieus antwoord van iemand die alleen een account maakt om dit bericht te posten.
Ik heb meer vertrouwen in valve, kunnen hier misschien exploits mee komen? ja denk het wel, maar zeer beperkt blijven want 99,99% van de spelers vinden hacks in multiplayer niet eens intressant. en een voordeel is dat exploits die gevonden worden kunnen ook weer gepatcht worden.

Op dit item kan niet meer gereageerd worden.

Valve: stoppen met spelen CS:GO en TF2 om uitlekken broncode is niet nodig

Lees meer

Reacties (44)

Sorteer op:

Weergave: