Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties
Bron: Guardian Unlimited

Iets meer dan een maand na de arrestaties van de personen die de diefstal van de broncode van Half-Life 2 bij Valve hebben gepleegd, heeft Valve-oprichter Gabe Newell een boekje open gedaan over wat er gebeurd is en hoe de daders zijn gevonden. De hackers konden via een lek in Windows toegang krijgen tot de servers en hebben vervolgens enkele hacktools geïnstalleerd om zo een vroege en onvolledige versie van de broncode van Half-Life 2 te downloaden. Dit werd pas in oktober opgemerkt toen er e-mails van Newell op internetsites verschenen. Valve is toen begonnen met het aanpassen en verbeteren van de beveiliging van zijn servers. Ook zijn er in de broncode van het spel zaken gewijzigd op het gebied van netwerkbeveiliging. Vlak na de diefstal is de jacht op de hackers op twee fronten geopend.

De FBI begon met een grondig onderzoek naar de daders door het onderzoeken van de ingezette keten van computers en netwerken. Tegelijk is door Valve de gamecommunity ingeschakeld in de zoektocht. De gamers werd gevraagd om alle informatie en bewijzen naar de gameproducent te sturen die deze gegevens vervolgens gecategoriseerd en al heeft teruggegeven aan de community. Beide onderzoeken leidden onafhankelijk van elkaar naar iemand in Duitsland. Deze persoon heeft zich toen vrijwillig aangegeven bij de politie en heeft bekend inderdaad de servers van Valve te zijn binnengedrongen. De broncodediefstal was echter door anderen uitgevoerd. De Duitse politie heeft hierna iedere betrokkene opgepakt. Valve heeft laten weten een schadevergoeding te willen van de daders.

Half-Life 2 screenshot (klein)
Een screenshot uit het spel.
Moderatie-faq Wijzig weergave

Reacties (90)

Het is altijd leuk om in te breken, code te stelen en hier dan mee op te scheppen. Behalve natuurlijk als je zelf slachtoffer wordt, dan verandert de zaak. Ik snap niet dat deze "hackers" daar zelf niet aan denken.

Nu nog een gepaste schadevergoeding bepalen, lijkt me niet zo makkelijk. Het gaat om een vroege versie, waarschijnlijk is er niet echt winst mee gemaakt of heeft de daad geen gevolgen meer na de release, maar deze is volgens Valve wel opgeschoven dankzij de diefstal. Al bij al een moeilijke opgave. :)
Valve heeft de code moeten aanpassen. Dat kost geld. Daarnaast kost zoiets tijd. Hierdoor komt Half-Life 2 later op de markt. Dit betekend voor andere bedrijven extra tijd om hun producten te ontwikkelen zodat er een grotere concurrentie is dan wanneer Half Life 2 eerder uit zou komen.

In het meest extreme geval is hierdoor Half Life 2 al zo verouderd op het moment dat het verschijnt dat het géén succes wordt. Ook kan door het lekken van de code de online gameplay door cheaters beinvloed worden.

Conclusie: de schade kan makkelijk enkele miljoenen bedragen.
Ik vraag me af wat voor gevolgen het op de rechtsgang heeft nu de daders uit Duitsland komen.

Zullen ze worden uitgeleverd en volgens het Amerikaanse systeem berecht worden? Zo ja, dan zal er idd een aanzienelijke schadevergoeding geist kunnen worden. Alle extra manuren, misgelopen inkomsten, emotionele schade (? :)) etc. daar hangt een aardig prijskaartje aan op Amerikaanse schadeclaim markt.

Ik denk dat die jongens ALS ze in de USA berecht worden de rest van hun leven moeten kromliggen... Eigen schuld? Tja...

edit:
Emotionele schade is natuurlijk meer een geintje


Reactie op Lonny: Maar waar moeten ze berecht worden? De aanklager komt uit de US kan deze zaak überhaupt in Duitsland gehouden worden?
Duitsland levert zijn burgers in elk geval nooit uit, dus dat gebeurt alvast niet. Maar het bedrag zal ongetwijfeld zo hoog zijn dat de lieden in kwestie de rest van hun leven blut zijn, ongeacht hoe hard ze werken...
Volgens het duitse recht is ook een schadevergoeding mogelijk. Immers er is duidelijk aantoonbaar dat er door hun handelen financiele schade is geleden.
Het grote verschil met de USA is dat ze in duitsland hopelijk geen geld gaan uitkeren voor de emotionele schade die de mensen hebben opgelopen.
Uit het interview met Gabe blijkt dat er rekening mee gehouden is dat Duitsland de persoon niet zou willen uitleveren maar in Duitsland berechten:

"We now had three independent ways of confirming this primary instigator and, through conversations with this individual, had convinced him to fly out to us in Seattle for a job interview. The plan was changed so German authorities would do the arrests on German soil," says Newell.
Het is altijd leuk om in te breken, code te stelen en hier dan mee op te scheppen. Behalve natuurlijk als je zelf slachtoffer wordt, dan verandert de zaak. Ik snap niet dat deze "hackers" daar zelf niet aan denken.
Tja, wat is dan het verschil tussen stelen van broncode en het illegaal downloaden van spellen/muziek/films/etc van het internet...
sinds wanneer is hacken gelijk aan dubbelklikken in een p2p programma?
qua handeling heb je gelijk, maar daar stopt het ook hoor |:(
Nou het verschil tussen downloaden van een mp3tje en het downloaden van de sourcecode lijkt me wel duidelijk.
Door het downloaden van de source, moest Valve echt veel manuren steken in het aanpassen van de code. => direct aantoonbare kosten/gedorven inkomsten
Bij het downloaden van een MP3tje zal de producent er mogelijk alleen wat van merken wanneer er door het downloaden minder verkocht zou worden. Dit is vrijwel niet aantoonbaar, aangezien je niet kunt zeggen hoeveel er verkocht zou worden wanneer er niet gedownload zou worden en het is nog steeds niet aangetoond dat downloaden van een MP3 leidt tot lagere verkopen, omdat het nummer daardoor wel meer bekendheid krijgt.
Nou, precies dat uitbrengen van het album. Een artiest (zéker een Amerikaanse!) verliest alle copyrights, op het moment dat hij in zee gaat met een platenmaatschappij. Als ik dan die CD rip, online zet enz. is dat nèt wat anders dan geheime broncode van een spel dat nog miljoenen moet gaan opbrengen en waar mensen al jaren aan werken..

Dat zou hetzelfde zijn als up-to-now-version van een film online krijgen, terwijl die film nog in de maak is (mochten films onderweg al gemonteerd worden..)
Hoe vaak moet het nog gezegd worden: DOWNLOADEN IS NIET ILLEGAAL!

Je bent ook wel heel vaag als je inderdaad het downloaden van een MP3 gelijk stelt aan het stelen van de broncode van een de (als we de hype mogen geloven) spellen van de laatste jaren? Dit is wel even wat directer een schade dan een film downloaden: Valve (en daarmee ook Vivaldi, en daarmee ook alle gameshops ter wereld) loopt gewoon gigantisch veel geld mis. Ik wil niet eens weten hoeveel extra tijd ze erin hebben moeten steken...
Hopelijk een wijze les voor de gast in kwestie en toekomstige script kiddies. Het stelen van broncodes is gewoon diefstal ondanks het feit dat de servers niet goed genoeg beveiligd waren.

Iedereen vindt het ook super irritant als zijn fiets gejat wordt, ookal zit er ipv een motorslot een standaard axa slotje op!

Wel tof trouwens dat ze ook inderdaad die gast te pakken hebben gekregen :7
"De hackers konden via een lek in Windows toegang krijgen tot de servers en hebben vervolgens enkele hacktools geïnstalleerd om zo een vroege en onvolledige versie van de broncode van Half-Life 2 te downloaden. "

zouden ze de softwareleveranciers aansprakelijk stellen? Of mischien zijn naar een alternatief overgestapt... Stel je voor dat je een fabriek hebt met beveilingde deuren, echter is er een looper in omgang en je voorraad is gejat... amai amai...
zouden ze de softwareleveranciers aansprakelijk stellen?
Ik heb een fietskettingslot gekocht die niet kapot geknipt kan worden en TOCH is mijn fiets gejat.
Moet de fabrikant van de ketting nu de schade betalen?

En hoogst waarschijnlijk (statistisch gezien) zal het wel een lek geweest zijn waar al een patch voor bestond, dus wie is de schuldige dan???
Hola, hier klopt de analogie niet. Laten we die wel wel kloppend maken. Wat als er een fout in alle sloten zat, en die zit er aantoonbaar door slordigheid van de fabrikant in?

Maar als de fabrikant al gereageerd heeft, dan gaat de fabrikant vrijuit ja.
zouden ze de softwareleveranciers aansprakelijk stellen?
nee, dat kan niet. Valve zit in amerika, en daar is de EULA, waarmee je bij instalatie akkoord moet gaan, geldig. (in nederland is ie niet rechtsgeldig). In die EULA staat waarschijnlijk dat Microsoft op geen enkele manier aansprakelijk is te stellen voor fouten in de code.
Ik heb een fietskettingslot gekocht die niet kapot geknipt kan worden en TOCH is mijn fiets gejat.
Moet de fabrikant van de ketting nu de schade betalen?
Bepaalde kraakveilige fietssloten komen inclusief diefstalverzekering, dus inderdaad.
Wat dacht je eigenlijk van: Het is JOUW verantwoording om het slot ook daadwerkelijk op slot te doen? Als jij als bedrijft verzuimd om je MS servers te patchen dan is MS niet verantwoordelijk (disclaimer ;))
Je weet dat er beveiligingslekken in software zitten. Van MS hoef je je belangrijke info niet aan het inet te hangen !

Je gaat toch ook niet met je nieuwe duure Canondale fiets naar de disco?
Of Microsoft aansprakelijk kan worden gesteld door Valve voor de schade, hangt vooral af van de overeenkomst tussen deze twee. De software license bij zakelijke versies van producten van Microsoft bevat vele clausules waarin nagenoeg alle aansprakelijkheid voor schade wordt uitgesloten, en beperkt. De kans dat Valve van Microsoft een vergoeding kan krijgen voor de gelukt hackpoging, zal hoogstwaarschijnlijk nihil zijn.
Ook in Nederlandse verhoudingen lijkt mij een uitsluiting van aansprakelijkheid voor Microsoft via contractsvoorwaarden te verdedigen. Wie wil en gaat er nog software maken en verkopen als ze voor ieder (onvermijdbaar) foutje geld op mogen hoesten?
Leuk feit is dat Gabe Newell, CEO VALVe en tevens slachtoffer van de hack een lange tijd (13 jaar) voor Microsoft heeft gewerkt. Niet bepaald reclame dus :P
zouden ze de softwareleveranciers aansprakelijk stellen?
EULA
Het stelen van broncodes is gewoon diefstal ondanks het feit dat de servers niet goed genoeg beveiligd waren.
Hoezo "ondanks het feit dat de server niet goed genoeg beveiligd waren" :?

Dat is meteen maar een reden om andermans eigendom te jatten?
Als ik mijn voordeur open laat staan is dat toch ook geen reden om meteen maar mijn hele huis leeg te jatten. Het wel of niet veilig hebben van de software/systeem en eventuele claims zijn hier helemaal niet ter sprake. Die heckers zijn gewoon fout en daar kunnen kosten op verhaalt worden.
Het praat de diefstal niet goed, maar je hebt er niet redelijkerwijs genoeg aan gedaan om het te voorkomen.
Het is voor mij nog steeds onbegrijpbaar hoe je als grote spel-ontwikkelaar een pc met de broncode voor Half-Life 2 op het internet hebt hangen.
er staat nergens dat ie direct op aan het net hangt..
logischer iets zou zijn als
internet > router > firewall pix > lan > router > firewall > lan
en dan is het goed mogelijk dat zelfs ondanks verschillende lagen men er toch doorheen gedrongen is.
@bierdop.. dit heeft totaal niets te maken scriptkiddies.. ze hebben hier windows keurig ge-exploit.. dit moet je vergelijken met een axaslot met cijfercode met daarop gedeeltelijk de code erop gegraveerd. als code gejat wordt moet je niet direct ervanuit gaan dat het gaat om scriptkiddies. het zou goed mogelijk zijn dat een bedrijf intresse heeft in de engine en mbv deze beta code kun je goede inspiraties opdoen om te weten hoe iets op te lossen valt
Heb jij je pc dan niet aan internet hangen? Ken je iemand die serieus met computers werkt en geen internet gebruikt? Programmeurs zijn ook mensen en iha meer dan gemiddelde internet gebruikers.

Het waren overigens klaarblijkelijk geen scriptkiddies, Gabe Newell heeft er eerder dit over gezegd: At some point, keystroke recorders got installed on several machines at Valve. Our speculation is that these were done via a buffer overflow in Outlook's preview pane. This recorder is apparently a customized version of RemoteAnywhere created to infect Valve (at least it hasn't been seen anywhere else, and isn't detected by normal virus scanning tools).
Niet alleen voor jou, maar voor iedere investeerder die hieraan heeft meegedaan.
Een spel dat miljoenen kost om te ontwikkelen, miljoenen kost om te uit te brengen. Daarbij komt dat ze ook inkomsten willen genereren door de licenties van de engine te verkopen.
Het is de spel waar Valve de afgelopen jaren op heeft geteerd, en waar ze de komende jaren op moeten teren. Hadden ze moeten inzien, en ze hadden er voor moeten zorgen dat geen enkele byte van de broncode buiten de deuren van valve kwam.
Nu zullen er weer allerlei verhalen de ronde doen, en er wordt gepraat over een schadevergoeding. De schade die is aangericht kunnen de daders niet eens in hun hele leven bijelkaar schrapen.
Off-topic: en voor mij is het onbegrijpelijk dat je dan 'onbegrijpbaar' schrijft.

On-topic: Maar inderdaad, in de eerste plaats niet echt handig van Valve.
Ik vind het eigenlijk vrij logisch dat het mogelijk is de server te benaderen.

De meeste mensen willen graag vanaf één computer op het internet kunnen zoeken en kunnen werken. Als je dat toestaat moeten de twee netwerken wel op de één of andere manier gekoppeld zijn. Met de juiste tools kun je er dan altijd wel bijkomen. Dus de keuze is vaak een aparte PC voor het internet, geen internet of kwetsbaarder voor hackers. Dan kiezen veel bedrijven toch maar voor het kwetsbare delen van het netwerk. Natuurlijk zitten daar wel de nodige firewalls tussen maar binnen is binnen.
Helaas is het tegenwoordig essentieel als je Windows gebruikt dat je pc/server toegang heeft tot het internet, updates virusscanner, windows updates enz enz enz.

Het ligt er alleen aan hoe je het netwerk geconfigged hebt, en daar is valve de mist mee ingegaan..
Bug in windows, en blijkbaar geen goeie firewall, en de routetabellen niet goed aangepast.. daar lag het grote probleem..

/quote
Valve is toen begonnen met het aanpassen en verbeteren van de beveiliging van zijn servers.
/end quote

Linux?
Dit klopt niet, het is namelijk niet ontzettend essentieel om een computer die niet aan het internet hangt erg regelmatig te updaten. Immers de windows-updates zijn toch meestal om een internet lek te dichten.

Dat hier de pc/server aan het internet was gekoppeld, lijkt me in de huidige tijd van telewerken vrij normaal. Zeker als het gaat om ontwerpers, wil je graag dat ze elk moment dat ze willen bij de code kunnen komen om deze te verbeteren/door te werken.
Ook zijn er in de broncode van het spel zaken gewijzigd op het gebied van netwerkbeveiliging.
Ik snap niet zo goed wat dit met de diefstal te maken heeft. Het is logischer om de broncode van de windows netwerkbeveiliging aan te passen.
:Z het gaat erom dat de "hackers" de broncode van halflife kunnen gebruiken voor het maken van cheats die gebruikt kunnen worden tijdens het spelen van halflife (of mod's) online.

Als een spel online goed te spelen valt, d.w.z. zonder cheaters, kopen mensen het spel eerder. Als het een groot cheat-fest is dan haken mensen af en verlies je dus omzet.
Klopt. Maar ik snap niet helemaal waarom ze niet van de gelegenheid gebruikt hebben gemaakt om er een echte beveiliging tegen in te bouwen i.p.v. nieuwe geheime broncode te schrijven die direct weer door valsspelers geananlyseerd kan worden.

Bijv. op het moment van inloggen wordt gekeken of de geheugeninhoud waar de programmacode zich bevindt voldoet aan een digitale handtekening.
Door de diefstal kan men de netcode zien, zwakke punten uitbuiten en cheaters een verdraaid goeie kans geven om ongemerkt te cheaten. Dan is het behoorlijk gedaan met je online community. Gamers vertrouwen niemand meer die een beetje goed speelt, iedereen wordt voor cheater uitgemaakt en het spel bloed dood. Spelbouwers die met behulp van de Source-Engine een spel willen bouwen zien dit soort dingen ook niet graag, dus die kopen hun engine elders (doom3/ut2k4/farcry).

edit:

wooo, way too late. Moet geen telefoontjes plegen tijdens het posten :+
Ik vind het een beetje raar dat ze zeggen:
De hackers konden via een lek in Windows toegang krijgen tot de servers
.

Volgens mij zit het probleem al veel eerder, ze hebben servers met de sourcecode erop op servers gezet welke vanaf het internet benaderbaar zijn. Dit is natuurlijk al helemaal fout van opzet. Er moeten meerdere vlans binnen de organisatie zijn die gescheiden moeten worden door firewalls. Alleen interne pc's hebben dan toegang tot de sourcecode. Dan had er nog steeds een lek in windows kunnen zitten, maar was de sourcecode nooit benaderbaar geweest.

Het probleem was dus eerder een slechte netwerk opstelling dan de lek in windows.
Ja en daarna beginnen we met plannen om iedereen lopend naar werk te krijgen.
De auto zorgt immers voor dodelijke ongelukken.

Je kan alles wel willen afschermen maar kunnen we daarna nog wel normaal functioneren?
Ja.

Da's heel kort, heel bondig, en geheel correct. De beste beveiliging is uiteraard geen verbinding toestaan; maar zelfs als dit wel nodig is, is er een hoop te beveiligen zonder dat het direct te complex wordt.

Aan de andere kant hebben techneuten vaak te neiging dergelijke maatregelen te willen omzeilen, zonder dat hier echt legitieme redenen tegenover staan.
Alleen interne pc's hebben dan toegang tot de sourcecode.
Waarna vervolgens die interne PC's wel weer aan het Internet hangen en dus gehacked kunnen worden. Daarna even een poortje opengooien op die machine en een portforwarder installer en je bent ook binnen.

Het zal allicht een stuk moeilijker zijn, maar als er ergens een gat is en een fysieke verbinding dan kom je er volgens mij toch wel in.

Dat is ook de reden dat bij de meeste (alle?) scholen de netwerk van de administratie en de leerlingen fysiek gescheiden zijn. Dan loop je ook niet de kans dat men toch ergens een gaatje weet te vinden. Behalve als iemand natuurlijk de kabels uit de muur aftapt en met z'n laptop gaat werken :)
ik ben het wel eens met hiostu.

Je gaat als gerenommeerd bedrijf toch niet je bedrijfskritische gegevens aan internet hangen?! Ja, dat kan lang goed gaan maar ja, het blijft een groot risico |:(
Dus als je iets groters jat, moet je zwaardere straf?
wat een flauwekul, echte nederlandse logica.
Neuh, dat ik illegaal cdtje brand is niet zo erg, maar oh oh, broncode jatten, flink aanpakken hoor.

het is beide diefstal
En jij wou serieus beweren dat de straafmaat niet op de omvang van het vergrijp afgestemd moet worden? Heb je je wel eens bedacht wat dat zou betekenen? :)

Ik zal jouw klaagzang bij deze kunnen afdoen als typisch Nederlands nl. ongeinformeerd. :)
De hogere straf is ook niet voor de diefstal zelf, maar voor de schade die valve geleden heeft door de diefstal. Ik denk dat de schade van gestolen broncode toch wel wat groter is dan van één illegaal cd'tje
Nee, ze hebben de code m.b.t. het multi-player gedeelte in Half Life 2 aangepast. Aangezien de code op het Internet heeft gestaan, hebben mensen (lees: programmeurs) die de code gezien hebben (en begrijpen) de kans gehad zwakke plekken te ontdekken. Eventueel met als doel om bijvoorbeeld cheats te maken of misschien wel een mogelijkheid creeëren om relatief eenvoudig computers binnen te dringen die een Half Life 2 server draaien (speculatief!!).

.edit: Was een reactie op GeeBee.
Op zich zou dat geen probleem moeten zijn, als iig ook aardige programmeurs er naar gekeken hebben; aan verschillende open source software te zien is dat alleen maar positief voor de beveiliging (het is natuurlijk wel een ander verhaal met zoiets als deze gelekte code)
Trouwens... wel leuk dat ze War of the Worlds-style aliens gebruiken :)
...en het kwam Valve waarschijnlijk ook niet slecht uit dat ze nu een goed excuus hadden om het spel later uit te brengen zonder gezichtsverlies te lijden.
Volgens mij, allemaal dikke zever,

<i>Waarom hebben ze verlies geleden? Ze moesten het spel uitstellen.</i>
Maar waarom? Aan de reacties die ik gehoord heb (nooit de moeite gedaan om het te downen) was het spel allesbehalve af, dus dat \\\\\\\"uitstel\\\\\\\" zou er zoiezo gekomen zijn.

<i>We moesten code wijzigen</i>
Waarom? Als een beveiliging van een prog goed in elkaar zit, dan mag die broncode beschikbaar zijn (linux anyone?), heeft er NIKS mee te maken

Daarom lijkt het mij nog steeds als 1 grote marketingstunt om een voorbeeld te stellen voor andere hackers + uitleg voor de vertraging (want die release in september konden ze NOOIT halen)
Waarom? Als een beveiliging van een prog goed in elkaar zit, dan mag die broncode beschikbaar zijn (linux anyone?), heeft er NIKS mee te maken
Nu haal je toch echt 2 heel verschillende zaken door elkaar:

1) Linux is een besturingssysteem waarin veiligheid absolute topprioriteit heeft
2) Half Life is een spel waarvan de topprioriteit "leuk & speelbaar" moet zijn

Het ontwikkelen van een spel alleen al kost heel veel tijd (netzoals dat van het ontwikkelen van een besturingssysteem overigens), maar spelfabrikanten hebben echt niet de tijd en mankracht om daarnaast ook nog het spel 100% veilig te maken. Het is dus niet uitgesloten dat spelontwikkelaars weten dat er bepaalde zaken niet helemaal veilig zijn, maar dat het toch geen prioriteit heeft. Anderzijds, veiligheid is ook een vak apart. Je kunt programmeurs leren bijvoorbeeld altijd zogenaamde boundary checks op hun geheugen kopiëer acties te doen etc., maar daarmee ben je er nog niet.
Wel weer opvallend dat de inbreker een baantje aangeboden krijgt. Hij heeft de diefstal eigenlijk mogelijk gemaakt.
Je ziet het verkeerd. Het was een truc om de verdachte binnen de grenzen van de VS te krijgen zodat de FBI hem op kon pakken.

Later is dit plan van de tafel verdwenen omdat de Duitse politie erg behulpzaam was en ze zo de persoon gewoon op Duitse bodem konden laten oppakken.
Ik ben blij dat deze mannen zijn opgepakt.
En hopelijk krijgen ze een harde straf.
Een les voor mensen die denken dat dit grapjes zijn.
Zulke daden zouden misschien wel een faillisement kunnen betekenen.
Nou gaat valve niet gelijk failliet, maar als het nou een beginnend software bedrijf zou zijn was het bedrijf misschien wel failliet.

Stel je voor dat de bron van Killzone ofzo zou zijn gejat.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True