Modder brengt Cities: Skylines-mods uit met malware voor doelgerichte sabotage

Een malafide modder heeft verschillende mods voor Cities: Skylines uitgebracht met daarin verborgen malware. De hacker zou hiermee doelgericht populaire legitieme mods saboteren en andere modders en ontwikkelaars van Cities: Skylines infecteren.

De criminele hacker gaat schuil onder verschillende aliassen, waaronder Chaos, Holy Water en Drok. Hij publiceerde in eerste instantie een ogenschijnlijk verbeterde versie van een bestaand modframework Harmony. In werkelijkheid zou deze versie van Harmony andere populaire mods van bugs voorzien. Dat ontdekte ontwikkelaar Aubergine18, een maker van een van de meest gedownloade mods voor Cities: Skylines.

Het modframework kon vervolgens weer gebruikt worden om via GitHub alle mogelijke code te installeren op systemen van slachtoffers. Het gaat volgens een anonieme modder om tien- tot zelfs honderdduizenden gebruikers. De bron werd eerder zelf slachtoffer van doxing, waarvoor het Chaos-account van de betreffende hacker door Valve werd verbannen.

Onder meer de populaire mod Traffic Manager: President Edition werd door de dader als de veroorzaker van bugs afgeschilderd door middel van neppe foutmeldingen en aanpassingen aan de prestaties van de mod. Vervolgens zou de kwaadwillende hacker weer 'oplossingen' voor de problemen uitbrengen, wederom met als doel om malware te verspreiden.

Daarnaast zou de hacker meerdere lijsten met Steam-namen gebruiken voor doelwitselectie voor andere malware. Tientallen populaire modders, prominente communityleden en werknemers van ontwikkelaar Colossal Order zouden op de lijst staan. Getroffen ontwikkelaars werden op deze manier weerhouden van het inspecteren van de code van zijn malafide software. Ook zouden de prestaties van de game voor deze specifieke gebruikers aangetast worden.

Ondertussen heeft Valve enkele mods van Chaos, Holy Water of Drok verwijderd. Ook lijken veel links op downloadpagina's van de malafide mods te zijn verwijderd. Het is niet duidelijk of er meer actie ondernomen wordt tegen de criminele hacker.

Reacties (66)

dunpealhunter 11 februari 2022 21:08

Het verbaast me eerlijk gezegd dat dit niet al veel eerder is gebeurd. Mods worden over het algemeen klakkeloos geïnstalleerd zonder dat er rekening wordt gehouden met wat er in die mod precies staat behalve wat er op de release pagina wordt weergegeven... Lijkt mij een ideale omgeving om wat rond te sturen voordat iemand het in de gaten heeft.

[Reactie gewijzigd door dunpealhunter op 25 juli 2024 17:35]

Eonfge @dunpealhunter • 11 februari 2022 21:17

In de Doom modding community is dit ook al een paar keer gebeurd. Bepaalde community versies van Doom hebben een uitgebreide API waarmee een modder theoretisch heel veel schade kan aanrichten... Aanvankelijk kon je met GZDoom gewoon iemands ~/.ssh folder uitlezen. Gelukkig was dat incident beperkt tot vandalisme, maar eigenlijk zou geen enkele game toegang moeten hebben tot de bestanden van de gebruiker.

Conceptueel is het natuurlijk ook achterhaald... waarom kun je op Linux, Mac OS of Windows applicaties installeren die vervolgens systeembestanden kunnen aanpassen en die zomaar alle bestanden kunnen inzien? Op Android en iOS is dit gelukkig veel minder een probleem, en Linux probeert die ontwerpfout uit de jaren '80 op te lossen middels Flatpaks.

[Reactie gewijzigd door Eonfge op 25 juli 2024 17:35]

saren @Eonfge • 11 februari 2022 21:48

Op Android en iOS is dit gelukkig veel minder een probleem, en Linux probeert die ontwerpfout uit de jaren '80 op te lossen middels Flatpaks.

Android en iOS zijn inderdaad goede voorbeelden van operating systems met goede sandboxing. ChromeOS past hier ook nog enigzins bij, al in mindere mate. Zodra we naar de grote drie van de desktop OS'en gaan (Windows, MacOS, Linux) gaat het echter enorm bergafwaards met de veiligheid.

Flatpaks doen niet veel voor de veiligheid. De ''sandboxing'' die het toepast zijn veel meer gericht op het bieden van eenzelfde omgeving zodat applicaties makkelijk op verschillende systemen kunnen draaien, dan dat ze zijn ontworpen voor veiligheid. De veiligheid is niet best, veel apps komen standaard al met de permissie toegang te krijgen tot home. Dan kan er in de Fedora app store "sandboxed" staan, maar zo een flatpak programma heeft dan alsnog overal toegang tot. Een soort https://xkcd.com/1200/

[Reactie gewijzigd door saren op 25 juli 2024 17:35]

Eonfge @saren • 11 februari 2022 21:58

De veiligheid is niet best, veel apps komen standaard al met de permissie toegang te krijgen tot home.

Dat is een nogal kortzichtige en gechargeerde manier om naar Flatpak te kijken. Het klopt inderdaad dat Flatpak soms wat lossere permissies hebben... maar dat is puur omdat het 'de keuken probeert te renoveren terwijl het restaurant open blijft'. Je kunt in een bestaand ecosysteem niet zomaar alle bestaande applicaties in de ban doen... je zult een compromis moeten vinden en bestaande applicaties langzaam moeten migreren. Echter, dit verbeterd continue en het aantal applicaties met ~/ permissies is aanzienlijk afgenomen in de afgelopen vijf jaar.

Daarnaast kun je bij Flatpak altijd zelf de permissies inkorten, of dit eventueel vanuit een centraal systeem afdwingen. Dat is iets at fundamenteel niet kan met niet-Flatpaks. Die controle alleen al maakt het veiliger, ook al zijn de standaarden soms wat ruim ingesteld zodat bestaande applicaties blijven werken.

Flatpak is op Linux echt de toekomst van veilige, robuuste applicaties, maar het zal nog eens vijf jaar duren voordat die transitie af is.

saren @Eonfge • 11 februari 2022 22:27

Het klopt inderdaad dat Flatpak soms wat lossere permissies hebben...

Heheh, dat lijkt me nogal een understatement. Heb je het artikel gelezen dat ik heb gelinkt? Dit is namelijk niet het enige probleem. Hoe dan ook, standaard toegang geven tot de gehele home directory is gewoon een veiligheidsdrama van jewelste. Zodra daar een malafide actor zit, ben je al klaar, zoals ik met de XKCD beoogde te laten zien. Dat je natuurlijk niet de gehele boel kan omgooien begrijp ik zeker, en dat laat dus des te meer zien hoe erbarmelijk de situatie is op de Linux desktop qua veiligheid (geld overigens ook voor Windows, en in mindere mate MacOS), met name op systemen die nog op X draaien.

Ik ben benieuwd wat de toekomst te bieden heeft. Ik wil het niet volledig afschrijven hoor, ik prefereer Flatpak nog steeds by far boven alternatieven als Snap, Appimage en je typische distributed software, maar er is nog een bijzonder lange weg te gaan.

[Reactie gewijzigd door saren op 25 juli 2024 17:35]

rbr320 @saren • 11 februari 2022 22:37

Hoe dan ook, standaard toegang geven tot de gehele home directory is gewoon een veiligheidsdrama van jewelste.

Dat is natuurlijk waar, maar ik ben benieuwd welk alternatief je voor stelt. Uiteindelijk wil een gebruiker met een applicatie dingen doen en het resultaat daarvan opslaan. Dat gebeurd nu eenmaal in de directory waar de gebruiker standaard schrijftoegang toe heeft en dat is de home directory, ongeacht of die nu /home, c:\users of /Users heet.

en in exact dezelfde mate MacOS

Fixed that for you.

RefriedNoodle @rbr320 • 11 februari 2022 23:07

Fixed that for you.

MacOS heeft inderdaad dezelfde homefolder-constructie als Linux. Maar misschien bedoelt @saren de relatief nieuwe feature dat macOS tegenwoordig wat folders in de gaten houdt, en toestemming vraagt wanneer een app er zelfs maar naar kijkt. Geldt ook voor Apple’s eigen apps; een “cd Desktop” in terminal levert de eerste keer al een popup op.

rbr320 @RefriedNoodle • 12 februari 2022 01:18

Dat wist ik niet maar het is een leuke feature en zeker een verbetering op het gebied van beveiliging. Echter, nadat je de eerste keer een applicatie toestemming hebt gegeven tot een bepaalde folder ben je neem ik aan terug bij af, want die rechten blijven dan gewoon bestaan totdat ze worden ingetrokken. De terminal is dan misschien niet zo'n goed voorbeeld, maar een mod of script dat kwaadaardige code uitvoert via een ander proces dat je een keer toestemming hebt gegeven (een mod voor een game, of een macro in je office programma) kan dus gewoon zijn gang gaan. Of mis ik nu iets?

SirNobax @rbr320 • 12 februari 2022 00:07

Sowieso word er hierboven voornamelijk aannames gemaakt op oude FUD (gepapegaaide info van flatkill). Zie bijvoorbeeld voor een genuanceerde blik van een app maintainer voor betere voorbeelden wat er nog te verbeteren valt.

If we check ourselves, 27 of the 50 application do not have access to the home or host filesystems. The remaining 23 do have access.
[..]
Although 23 of the applications have home or host access, GIMP, Pinta, Inkscape, VLC, Shotcut, Pitivi, Kdenlive and Blender are media creation tools; they need the permissions to work on external devices, Git repositories, etc. GNOME Boxes needs them for shared folders. Fedora Media Writer needs them to write to external devices. WPS Office, OnlyOffice and LibreOffice are office suites; they need the permissions to be useful…
[..]
A lot of flatkill.org’s statements are made to incite fear in the Linux community. Given that all Flatpak packages are available and able to be edited by anyone, the appropriate response is to educate on why this is a problem, and then fix it. The way that flatkill.org approached this issue says a lot.

If you don’t like Flatpak for personal reasons, I respect your opinion, but basing your arguments on an anonymous post that claims to have “criticized” Flatpak, but provided no statistics or evidence that vulnerabilities have been exploited inside a Flatpak package is not a reliable source of information.

Een met Flatpak gesandbox'de game met modsupport die geen read/write in je homedir krijgt, buiten ~/.var/app/$FLATPAK_ID, is dan ook prima mogelijk.

[Reactie gewijzigd door SirNobax op 25 juli 2024 17:35]

rbr320 @SirNobax • 12 februari 2022 01:24

Een met Flatpak gesandbox'de game met modsupport die geen read/write in je homedir krijgt, buiten ~/.var/app/$FLATPAK_ID, is dan ook prima mogelijk.

Volgens mij is dit precies wat Valve met Pressure Vessel probeert te doen. Als je een native Linux game onder Steam draait via de Steam Linux Runtime (recht klikken op game > Properties > Compatibility > vinkje bij 'Force ...' en dan de Steam Linux Runtime kiezen) zal deze game worden gestart in een op Flatpak gebaseerde sandbox met minder rechten.

saren @SirNobax • 12 februari 2022 10:08

Sowieso word er hierboven voornamelijk aannames gemaakt op oude FUD (gepapegaaide info van flatkill). Zie bijvoorbeeld voor een genuanceerde blik van een app maintainer voor betere voorbeelden wat er nog te verbeteren valt.

Ik heb een post gelinkt die dieper ingaat op de kritiek op onder andere Flatpak, al gaat het hele artikel over Linux in het algemeen. Ik heb flatkill niet als bron gebruikt, en heb er ook geen affiniteit mee. Nogmaals, de sandboxing is slechts onderdeel van de problemen omtrent flatpak.

Luminair @rbr320 • 13 februari 2022 15:10

en in exact dezelfde mate MacOS

Dat is natuurlijk wel enorm onderhevig aan de API's die een applicatie probeert aan te roepen. Een MacOS app heeft toegang tot eigen container-folders voor opslag, maar mag niet zomaar naar een home folder schrijven -- zonder expliciet om toestemming te vragen.

Bij het openen / opslaan van data mag een applicatie een systeem-dialoog venster openen, waarbij een gebruiker puur voor die ene operatie lees/schrijfrechten leent. Maar daarbij is er dus sprake van expliciete consent vanuit de gebruiker.

Groningerkoek @saren • 11 februari 2022 23:10

Het verschil zit hem er ook in wat de gebruiker wil, zo wil ik dat mijn mobiel OS een gesloten systeem is en dat dit mijn vrijheid beperkt om wat ik er allemaal mee kan vindt ik prima. Mijn laptop echter wil ik gewoon open hebben en dat ik de vrijheid heb om te installeren wat ik wil van waar ik wil. Zit er dan iets fouts tussen wat ik van een niet validerende bron afhaal dan is dat mijn probleem en kijk ik daar niemand anders op aan.

JoeBlack2k @saren • 12 februari 2022 09:51

Ja ho ho, laten we vooral even naar de gebruiker kijken hè een OS hoeft niet iemand z’n handje vast te houden dan zitten we straks allemaal met een iOS achtige App Store en daar wordt niemand vrolijk van. Het is een computer je bent zelf verantwoordelijk wat je installeert. Als je er geen verstand van hebt moet je het niet doen.

_Pussycat_ @JoeBlack2k • 13 februari 2022 08:34

"Daar wordt niemand vrolijk van"
Waarom heeft dan iedereen 1 of meer smartphones? Schijnbaar werkt het voor iedereen dus wel goed.

"Het is een computer je bent zelf verantwoordelijk wat je installeert. Als je er geen verstand van hebt moet je het niet doen."

Heerlijke ivoren toren gedachte. Ik vind het wel zo prettig voor mensen zonder IT-studie dat zij ook een PC kunnen hebben en gebruiken. Trouwens kun je dit argument makkelijk zo ver trekken dat jij ook geen PC mag gebruiken.

Kun je niet zelf solderen? Wie de PC niet fiksen kan mag hem niet gebruiken.

Kun je een kernel compileren? Wie niet compleet mag geen code gebruiken.

Kun je assembly lezen? Wie geen kernelassembly begrijpt mag maar fijn zijn eigen kernel gaan schrijven.

[Reactie gewijzigd door _Pussycat_ op 25 juli 2024 17:35]

JoeBlack2k @_Pussycat_ • 13 februari 2022 11:52

Je kunt inderdaad altijd ChromeOS gebruiken. anders heb je inderdaad wat je zelf ook zegt altijd nog je telefoon, sluit een monitor aan met muis en toetsenbord en je bent er.. wat zeur je dan? Het bestaat dus al

rob12424 @Eonfge • 12 februari 2022 11:47

.SSH is net als .exe. De ontwerpfout in Linux is niet met flatpacks opgelost. Deze hebben net als snaps ook tekortkomingen.

Het probleem is opgelost met een packagemaneger met geverifieerde bronnen. Zoals apt. Totdat de server gehacked wordt natuurlijk.

En natuurlijk apt-armor en SE Linux. Of andere LIDS en programma's zoals chrootkit

ReZpie @Eonfge • 13 februari 2022 10:07

Windows gaat ook die kant op, zie windows universal platform.

ikt @dunpealhunter • 11 februari 2022 21:32

"Mod" is een ultra-breed begrip. Is het een simpele texture/model-replacement? Dan kan dat absoluut geen kwaad. Is het een script-mod? Zolang alles 100% door de game-engine wordt gedaan (TES/Fallout script mods), is het relatief veilig, behalve voor je save game.

Het wordt feest zodra er "script extensions" bij komen. Zolang dat een eigen taal heeft of echt puur een verlenging is voor de game-script taal, is het relatief veilig, al moet je wel de maker van de script-extender vertrouwen.

Een groot feest wordt het als er libraries worden geïnjecteerd, dit zie je bij (script) mods waarbij je .dll (of .asi) bestanden ergens in de game folder moet gooien, en een loader laadt ze in. Dat is pure rauwe C#/C++/C/assembly code, waarvoor de mogelijkheden praktisch onbeperkt zijn. Het kan alles doen wat een normale gebruiker ook kan, en meer.

Games waarbij modden niet via officiële kanalen gebeurt draait volledig op wederzijds vertrouwen. Jammer genoeg wordt dat soms gebroken. Het goede nieuws is dat er een gigantische hoeveelheid mods bestaat en daar gaat het wel gewoon goed, het zijn echt enkele uitzonderingen, maar dat maakt de schade niet minder groot (e.g. Angry Planes).

Als je een mod-ontwikkelaar bent, moet je relatief snel met script-extenders werken, of "rauw" met de game werken. Er is zó veel aan te passen en game-makers stellen relatief weinig bloot (of helemaal niet).

PjotrX @ikt • 11 februari 2022 22:04

Je kan als mod meestal inderdaad niet zoveel maar dat betekend niet dat je niet met een buffer overflow in de game zelf niet verder toegang kan krijgen tot andere functionaliteit. Games worden meestal niet goed aan security review onderworpen als enterprise software. Sterker nog meestal worden er veel last minute veranderingen doorgevoerd tijdens de crunch periode. Er zijn zelfs voorbeelden van code executie via de controller ports (zie bijvoorbeeld in mario https://www.youtube.com/watch?v=OPcV9uIY5i4 ) Als een game engine een buffer overflow in de texture, model of geluid laad routines heeft kan een mod die een texture vervangt dus ook al veel schade aanrichten. En dan hebben we niet eens over games met multiplayer. Laats kwam naar buiten dat Dark Souls een code executie exploit had, nou ik denk dat wel 90% van de spellen met een online component dat hebben. Maar zoals ik al in een ander post al zei de markt is te klein om het goed te exploiten.

R4gnax @PjotrX • 12 februari 2022 12:42

zoals ik al in een ander post al zei de markt is te klein om het goed te exploiten

Hangt er vanaf. Als je een goed verborgen zeroday hebt die je op een triple-A game kunt inzetten en jarenlang verborgen kunt houden, dan is daar toch wel iets te behalen. Zeker als het een titel op Steam betreft met middels de Steam API een koppeling naar de ingelogde Steam account in de Steam client ready-to-go.

Vraagt Steam bijv. om herauthenticatie met het wachtwoord of 2FA wanneer er een API token toegevoegd wordt aan een reeds ingelogde Steam account? Zo nee: nou, dan zijn de rapen gaar. Want dan kun je letterlijk op duizenden accounts backdoors gaan installeren die niemand ooit op gaat merken, en dan een aantal jaren down-the-line heb je een 'leuke' exploiteerbare poel van een paar tien-duizend gebruikers wiens accounts leeggeroofd kunnen worden; opgeslagen persoonsgegevens en betalingsgegevens gestolen kunnen worden; etc.

Enai @ikt • 12 februari 2022 16:51

Ik vind dat developers gewoon alle mods die niet ontwikkeld zijn met de modding tools moeten blokkeren. 99% van de tijd gaat het goed en 1% is dan een of andere klootzak die de boel om zeep helpt.

In TES is er een mod geweest (FNIS) die gewoon je systeem scande voor de aanwezigheid van een modlistmanager waar die kerel een probleem mee had, en in voorkomend geval weigerde te starten. Daarnaast gebruiken vele mensen ENB, maar de ontwikkelaar hiervan is een Rus en een homofoob, en kan dus niet vertrouwd worden om software te maken die pakweg op de computer van een Oekraïense homo naar behoren werkt. Ik zie niet in waarom ik dit risico moet lopen.

Daarnaast is er natuurlijk het Creation Club-alternatief: de developers huren zelf modmakers in en betalen ze voor mods van hoge kwaliteit, kijken ze na, en verkopen ze aan de spelers voor een schappelijk bedrag. Ik vermoed dat Microsoft na nog een of twee controverses dit pad zal opgaan voor TESVI.

PjotrX @dunpealhunter • 11 februari 2022 21:54

Ik denk dat de gebruikersgroep te klein is om malware met mods te verspreiden tegenover andere methoden zoals malware apps op android of apple store zetten. Denk maar erover na, om het is niet zo dat als je een mod maakt het meteen honderd duizend keer geïnstalleerd wordt. De mod moet eerst een goed naam krijgen voordat men het gaan downloaden, of je moet aan review bombing gaan doen je moet een andere mod kopiëren en dan onder een andere spelling online zetten o.i.d. Maar de communities zijn meestal zo klein dat dit soort dingen vaak snel opvallen.

KSU4reqY @dunpealhunter • 11 februari 2022 22:13

ja want meestal zijn mods gewoon wat textfiles die alleen met behulp van een game beperkte dingen kan doen. soms heb je ook van die dll injectors maar daar moet doorgaans moet je een minimaal niveau technische kennis hebben om die te installeren.

mod managers, waar het hier over lijkt te gaan, is een ander verhaal. maar de meeste daarvan hebben een verdienmodel dus daar zou je eerder aan spyware dan malware denken.

[Reactie gewijzigd door KSU4reqY op 25 juli 2024 17:35]

KuroHana @dunpealhunter • 11 februari 2022 23:46

Mja niet iedreen weet hoe je de mods moet lezen of begrijpen, mensen instaleren een mod omda het iets toepast in de game wat ze willen , ik heb ook geen verstand van mods , en instaleer het blindelinks , maar gelukkig speel,ik city skylines niet meer

the_leonater @dunpealhunter • 11 februari 2022 23:46

Vooral een game als cities skylines is zeer interessant om eventjes wat maleware tussen de mods te proppen.
Uit ervaring weet ik dat als je een wat grotere stad hebt dat je er niet aan ontkomt om enkele mods te installeren, anders raak je het overzicht al snel kwijt, duik je in de rode cijfers en loopt je hele stad in de soep.

field33P @the_leonater • 12 februari 2022 15:44

Het is gewoon mogelijk om een levensvatbare stad te runnen zonder mods, maar wil je echt mooie dingen maken, detailen en complexe kruispunten in elkaar zetten, dan ontkom je inderdaad niet aan mods.

monojack @dunpealhunter • 12 februari 2022 06:59

Ja ik schrik me rot. Normaal speel ik altijd op console maar ik wou Transport Fever 2 spelen en dat kan enkel op de Mac. En ik weet nog dat ik door al het modden begon te overwegen om Cities Skylines ook op de Mac zetten. Heb het uiteindelijk niet gedaan omdat ik alle DLC al heb op console. Maar heb er bij TP2 totaal niet bij stil gestaan of dat wel veilig is al dat modden. Blijkt dus niet zo te zijn.

Xfade @dunpealhunter • 12 februari 2022 11:10

Sommige games laten het gelukkig ook niet toe dat mods het internet op kunnen lijkt me.

iamerwin @dunpealhunter • 12 februari 2022 12:26

Maar ja, zelfs als ik naar (bron)bestanden van zo'n mod kijk, zie ik echt niet of daar iets in staat wat er niet in hoort. Ik ga er een beetje vanuit dat als ik die dingen vanuit de Steam Workshop download, dat Steam daar één of andere check op doet. Call me naïef, ik denk dat ik niet de enige ben. 🤷🏼‍♂️

lenwar

Microsoft

@dunpealhunter • 12 februari 2022 22:43

Ik zit hier een beetje dubbel in. Ik ben geen softwareontwikkelaar, dus ik word graag gecorrigeerd.

Enerzijds heb je gewoon gelijk natuurlijk, dat het gedrag van klakkeloos modden bestaat, maar het verbaasd me eigenlijk dat een mod van een spel daadwerkelijk iets kan buiten het spel. Je zou verwachten dat het spel een hele vracht hooks heeft waar tegen aan te praten is, maar wel binnen de beperkingen van het spel.

De, in het artikel beschreven situatie, vind ik het compleet raar, dat het spel het toelaat dat er software van een externe plek wordt opgehaald en uitgevoerd buiten de spelprocessen.

Darkstriker @dunpealhunter • 13 februari 2022 10:48

Het is echt niks nieuws onder de zon. Blizzard patchte in Warcraft III om de haverklap de mapeditor (nb al 20 jaar geleden) om gaten te sluiten. Dat ging vaak ook ten koste van (erg populaire) volstrekt legitieme maps die daardoor niet meer werkten

[Reactie gewijzigd door Darkstriker op 25 juli 2024 17:35]

Verwijderd 11 februari 2022 21:19

Hm. Ik dacht dat Steampowered alle downloadbare non-community bestanden (met community bedoel ik gelinkte plaatjes, videos etc, niet mods) scant voor virussen en malware? Of gebeurt dat niet met mods?

Iig, hopelijk wordt die gebruiker opgepakt en gaat die een paar jaar de cel in.

mschol @Verwijderd • 11 februari 2022 21:30

Hm. Ik dacht dat Steampowered alle downloadbare non-community bestanden (met community bedoel ik gelinkte plaatjes, videos etc, niet mods) scant voor virussen en malware? Of gebeurt dat niet met mods?

Iig, hopelijk wordt die gebruiker opgepakt en gaat die een paar jaar de cel in.

probleem lijkt te zijn (wat ik begrepen heb) dat de malifide mods niet op steam zelf staan maar op github.
de mods op steam zelf waar hij de eigenaar is zouden geblokkeerd zijn voor aanpassingen omdat het account geband is/is geweest.

maar dit is slechts wat ik begrepen heb

_Eend_ @mschol • 12 februari 2022 08:20

Het modframework kon vervolgens weer gebruikt worden om via GitHub alle mogelijke code te installeren op systemen van slachtoffers.

Zoals het in dit artikel staat beschreven lijkt het mij dat je de mod zelf download via Steam, maar dat de mod na installatie zelf malware download van GitHub. Ik weet niet of dit gebruikelijk is voor C:S, maar daar kun je vrij weinig tegen doen, behalve de code doorpluizen en de links zelf te scannen.

TunefulDJ_Mike @_Eend_ • 12 februari 2022 15:05

Het artikel is geschreven zonder dat iemand zich er goed in verdiept heeft...

De gebruiker op de steam workshop is verbannen voor het doxen van CO medewerkers en modders.

De mod NeXT3 is verwijderd van de workshop omdat deze een update maganisme heeft dat direct vanaf Github updates ophaald.

Op het moment staan er geen mods van deze gebruiker op de workshop die extern updates ophalen.

De mods van de betreffende gebruiker op steam veroorzaken echter wel errors en problemen in C:S i.c.m. andere mods. Tevens hebben een aantal van die mods een lijst bij zich met users waarvan het expres de game onspeelbaar maakt

De mods op Github van deze user bevatten automatische update methodes en kunnen dus eventueel misbruikt worden

field33P @TunefulDJ_Mike • 12 februari 2022 15:41

Tevens hebben een aantal van die mods een lijst bij zich met users waarvan het expres de game onspeelbaar maakt

Een lijst van mensen die hij tot 'trolls' en 'vijanden' aangemerkt heeft. Ik vind het vooral een nogal kleinzielige manier van handelen.

Enai @field33P • 12 februari 2022 16:55

Als een (grotendeels ex-)mod author in de TES-scene kan ik je zeggen dat er bij een groot deel van de bekende mod authors een schroefje los zit. Je stopt geen 2000 uur in het maken van een gratis mod indien je daarnaast een carrière en rijk sociaal leven hebt. Het idee van "achter je bureau een celebrity te worden" trekt het soort mensen aan die dan wanhopig op jacht gaan naar succes, en dan krijg je dus pietluttige vendetta's.

FooLsKi @mschol • 12 februari 2022 12:35

De mods e.d. staan (of stonden gisteravond nog) op Steam. Zat gisteravond te kijken of er nog nieuwe Residential High gebouwen in de Workshop stonden en zag een midrise condo van Holy Water staan. ziet er allemaal goed uit, alleen was 'ie wel erg aan het pushen op zijn 'verbeterde' versie van Harmony, TM:PE en nog wat mods. Dit was voor mij de reden om die niet aan mijn collectie toe te voegen. Gelukkig maar, dus

Sebben @Verwijderd • 11 februari 2022 21:27

Het is moeilijk om een 'virus definitie' op te stellen die alles omvattend is. Een mod heeft invloed op het spel en soms op andere mods. Dat gedrag is wenselijk. Vaststellen wanneer een mod de grens overschrijdt en schadelijk wordt, is erg moeilijk te automatiseren.

grasmanek94 @Verwijderd • 11 februari 2022 21:30

Kunt niet voor iets scannen wat je nooit gezien hebt. Als Valve heuristics en gedrags analyse toepast (waarschijnlijk onmogelijk) zullen ze meer filteren, maar ook dat is niet waterdicht. Verder, geen een antivirus van gebruikers die het aanmerkte als virus?

[Reactie gewijzigd door grasmanek94 op 25 juli 2024 17:35]

Stoney3K @grasmanek94 • 12 februari 2022 10:56

Als zo'n malafide mod alleen de mods van Cities: Skylines of het spel zelf beïnvloedt, dan zal geen enkele antivirus het aanmerken als virus. Mods zijn immers bedoeld om het spel te beïnvloeden.

Je kan met een antivirus geen gewenst/ongewenst gedrag filteren, alleen uitzoeken of een programma buiten het aan hem toegewezen 'eilandje' van permissies probeert te breken.

TechSupreme @Verwijderd • 11 februari 2022 21:32

Installs via Steam wel. Mods die buiten steam om gaan niet. Zo te horen is dit een custom malware welke doelgericht te werk gaat, dus virusscanner zullen het niet zo snel oppikken.

CH4OS @Verwijderd • 11 februari 2022 23:09

Punt is dat de mods in kwestie niet de malware bevat, erop scannen zal dus niets uithalen. De mods downloaden en installeren zelf de malware, nadat ze het zelf gedownload hebben vanaf het web.

Caelestis @Verwijderd • 12 februari 2022 04:56

Het probleem ligt in de API van City Skylines. Deze is blijkbaar niet goed genoeg dicht getimmerd om dit soort redirect malware te blokkeren.
Het is in dit geval juist gunstig dat Valve er tussen zit want ze kunnen nu reageren en alle clients zo goed mogelijk beschermen of repareren.
Als de mods bijvoorbeeld alleen op de nexus staan o.i.d dan moet ieder individuele gebruiker zijn eigen boontjes doppen als ze er überhaupt van af weten.
'Steampowered' doet wat het moet doen.

dasiro @Caelestis • 12 februari 2022 07:47

'Steampowered' doet wat het moet doen.

eerder wat het "kan" doen, want veel games gebruiken gewoon hun eigen framework voor mods en laten de workshop gewoon links liggen wegens ontoereikend of niet compatibel met hun game (juist wegens de beperkingen)

bwerg 11 februari 2022 21:29

Uit het originele artikel:

There is no validation by Steam, GitHub, or any third party. It’s a direct link from Chaos’ brain to users’ computers. If users run the game as [an] administrator for any reason, this could expose them to keyloggers, viruses, bitcoin mining software – literally anything.”

Ik zet wel een beetje mijn twijfels bij de rechten die die mods schijnbaar krijgen. Het spel laten crashen of verprutsen, of andere mods klieren, allemaal logisch dat dat kan. Maar mods zijn dus schijnbaar niet sandboxed als je er virussen mee kan installeren.

Van een net modding-framework zou ik verwachten dat het rechten heeft tot alles in het spel en misschien wat disc-access binnen wat folders specifiek voor die game, en niet tot alles daarbuiten.

Ja, dat vereist natuurlijk wel dat de game een fatsoenlijke scripting-interface biedt die binnen deze sandbox draait, waarin je niets meer kan dan nodig. Dat zal niet elke game hebben.

[Reactie gewijzigd door bwerg op 25 juli 2024 17:35]

Magic Power @bwerg • 11 februari 2022 22:41

Een mod die andere mods aanpast is ook niet perse iets slechts. Soms heb je twee mods die een invloed op elkaar hebben, dan moeten ze wel met elkaar rekening houden.

Alxndr

@bwerg • 12 februari 2022 12:24

Hoezo rechten, ik heb niet veel ervaring, maar de keren dat ik modde, downloaden in zelf files/mappen om op een bepaalde plek op m'n pc te zetten. Daarmee zitten ze toch sowieso niet in de omgeving van het spel/sandbox ofzo? Dat het geen adminrechten heeft ok, maar zonder kan je toch genoeg rondsnuffelen schade doen?

Met andere woorden, is het downloaden van mods niet gewoon altijd net zo gevaarlijk als ieder andere file/programma en puur gebaseerd op vertrouwen van de bron (dus een gok)

bwerg @Alxndr • 12 februari 2022 18:14

Hoezo rechten, ik heb niet veel ervaring, maar de keren dat ik modde, downloaden in zelf files/mappen om op een bepaalde plek op m'n pc te zetten

Dat verschilt nogal per spel, genoeg spellen waar je gewoon vanuit het spel mods kan aanklikken die dan vanuit een door de spel-ontwikkelaar beheerde omgeving aan je spel worden toegevoegd. Als die mods dan ook nog eens gebruik maken van een scriptomgeving die ook door de spelontwikkelaar wordt beheerd, dan kan dat prima 100% veilig gebeuren.

Ik ben zelf geen modder dus ik heb ook niet zo'n beeld van hoe vaak het goed gaat en hoe vaak niet, maar bijvoorbeeld in spellen in de Elder-scrolls-serie was er inderdaad zo'n scripttaal beschikbaar.

[Reactie gewijzigd door bwerg op 25 juli 2024 17:35]

SilentSimon 11 februari 2022 22:37

Een reddit post met daarin links naar de bewuste workshop items (handig voor eventueel unsubscriben) Gelukkig zelf niks van geinstalleerd, maar wat een rotstreek

monojack @SilentSimon • 12 februari 2022 07:18

Het zegt ook wel veel over hoe we zelf nog steeds onvoorzichtig met onze desktops omgaan. Ik deel je sentiment maar ik ben vooral boos dat ik onlangs een spel ben beginnen modden zonder me af te vragen of het wel veilig is om allemaal anonieme gebruikers aanpassingen te laten maken aan een stuk software. Gelukkig heb ik CS enkel op console staan maar het is toch wel de moment omdat modden met andere ogen te bekijken

Enai @monojack • 12 februari 2022 17:03

Installeer nooit code mods, en wantrouw data mods totdat de community ze eens goed bekeken heeft.

Niet alleen zijn er altijd wel idioten die malware in mods verbergen, maar ook veel te veel modmakers die gewoon niet weten wat ze doen. In de Skyrim community zijn er duizenden mods met slecht gemaakte scripts of assets die je spel doen crashen of je savefile om zeep helpen.

Er was zelfs eens een malafide vliegtuig in Flight Simulator.

Indien modding een toekomst heeft, dan bestaat het uit mod packs (curated lijsten van betrouwbare mods gemaakt door betrouwbare modmakers) en "officiële mods" zoals de Creation Club.

DaKluit @SilentSimon • 12 februari 2022 12:24

Van wat ik zo een beetje lees, is er vooralsnog niet bekend dat er iets van malware is geïnstalleerd via die Github update functie waarmee de maker echt kwaad mee kan. Waar het op lijkt is het niet meer dan een geval van wraak willen nemen op een aantal mensen, en daarnaast zijn mods aan populariteit laten winnen. (hij target bepaalde steam-gebruikers die dan slechte performance in game krijgen, daarnaast geeft hij valse foutmeldingen wanneer je een mod gebruikt waarvan hij ook een versie heeft gemaakt en verteld je zo dat je beter zijn versie kan gebruiken)
Maar het is nog steeds niet ok dat op deze manier software op je pc geïnstalleerd kan worden zonder dat je door hebt wat er precies geïnstalleerd wordt.

iamerwin @SilentSimon • 12 februari 2022 12:26

Dat die dingen gewoon nog in de workshop staan, dat is best slordig. Toch?

ericq 11 februari 2022 23:08

Ik vind het de laatste jaren ook al eng als ik met een multiplayer game verbinding maak en deze gownload voor het joinen nog mods, maps en textures. Zoals in CS:GO, GM andere source games. Unreal engine games doen dit ook wel eens. Ben altijd een beetje angsting met at ik dan binnenhaal. Mods en maps kunnen scripts bevatten. En er zijn al meerdere afbeelding formaten geweest waaruit memory overflows uitgevoerd konden worden.

Is dit iets wat echt speelt binnen games, en doen engines iets tegen kwaadwillige codes?

[Reactie gewijzigd door ericq op 25 juli 2024 17:35]

the_leonater 11 februari 2022 23:22

Het probleem is ook dat je Cities Skylines ook bijna niet kunt spelen zonder mods, vooral als je een wat grotere stad hebt ontkom je er niet aan om bijvoorbeeld een traffic manager te hebben en tools die automatisch de energie en waterhoeveelheden regelen om niet failliet te gaan en o.a. het verkeer netjes en redelijk overzichtelijk te laten verlopen.

Daarbij vind cities skylines de officiële mods al niet leuk na enkele updates, dus installeer ik er liever zo min mogelijk.

Maar ik moet toegeven dat de game ook niet echt geoptimaliseerd is, zo heb ik bijvoorbeeld een grote stad waar ik veel tijd in heb gestopt, het laden duurt meer dan 5 minuten op een respectabele nvme ssd en het cpu gebruik van mijn i5 11400 vliegt vaker naar de 100% en knalt volop in de turbo.

Hier mag ook wel iets aan gedaan worden omdat bij de system requirements een core i5 van de 3e generatie, 6gb ram en een gtx660 vermeld worden.
Op mijn oude game laptop die daar ruimschoots aan voldeed wel eens een stadje gebouwd, maar na ongeveer 1 uurtje aan de stad werken mag je blij zijn als de fps in de dubbele cijfers komen.

Dan komen we weer uit bij de mods zoals bijvoorbeeld fps booster dat enorm kan helpen.
Destijds was deze niet beschikbaar via steam, dus dan moet je alweer zoeken op externe sites waarmee je uiteraard niet weet wat je precies binnen haalt.

Het is en blijft een fijne game met veel handige mods, jammer dat enkele personen het voor de rest van de community proberen te verpesten.

WillemAtHome 12 februari 2022 16:00

Wat een eikel!

MetalPool 11 februari 2022 22:23

Waarom zou je dit toch in hemelsnaam willen doen?
Zo`n fijne game en een hele fijne community. Het word denk ik tijd dat het hele internet de nek om wordt gedraaid. De wereld is echt ziek.

the_leonater @MetalPool • 11 februari 2022 23:55

Om op je eerste vraag antwoord te geven:
cities skylines is juist heel interessant om dit te doen vanwege de vele mods en omdat je ervan vaak afhankelijk bent omdat het met een beetje een respectabele stad anders niet meer is te spelen.

Om op je 2e punt terug te komen:

Een beetje vreemd om het hele internet te verwijderen alleen omdat er een paar rotte appels zijn.
Dat is hetzelfde als dure sportauto's verbieden alleen omdat enkele bestuurders niet ermee om kunnen gaan.
(Dat heeft dan weer vaker te maken met een combinatie van achterwiel aandrijving, abrupt sturen en een te zware rechtervoet.
Maar dit gaat een beetje te ver om hier dieper op in te gaan op een Tech website, dat verhaal bewaar ik wel voor andere platforms

)

Verwijderd 11 februari 2022 21:08

Fijne jongen… 🙄

CH4OS 11 februari 2022 22:00

For the record, ik heb geen mods gepubliceerd (voor Cities Skylines) op de workshop!

[Reactie gewijzigd door CH4OS op 25 juli 2024 17:35]

Publiekinternet @CH4OS • 11 februari 2022 23:23

Dat zeggen daders altijd… nu nog verwijderd worden door een tweakers mod

CH4OS @Publiekinternet • 11 februari 2022 23:28

https://steamcommunity.co...osNL/myworkshopfiles/?p=1

Heb er alleen 1 gare testchamber staan voor Portal 2 en wat shitty achtbaantjes voor Planet Coaster.

Geen enkele mod of whatsoever, gewoon in-game items.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (66)

Sorteer op:

Weergave: