Ophef over 'rootkit' in BioShock

Waarom zou je een limiet willen leggen op het aantal keren dat een spel geïnstalleerd mag worden? Een aantal PC's kan ik me nog voorstellen (immers, het spel is bedoeld om door 1 persoon gespeeld te worden), maar ik heb volgens mij ook meerdere games wel vaker dan 10 keer geïnstaleerd op verschillende PC's, enkel voor mezelf...

Ik vind het heerlijk deze discussie, waar een stel gamers zich wel niet druk om maakt . Heb het spel voor 46 euro op de kop getikt gisteren, geïnstalleerd en direct geactiveerd ... draait perfect en aangezien de installer van het spel absoluut geen admin rights had en ik geen enkele melding kreeg zal het wel loslopen.

En die teller? Prima, ik kan er wel mee leven. Ik heb hier 1 spel dat ik 4 keer heb gespeeld en dat is HL2 in de kast. En als je de downloadbare tool gebruikt kan je daarmee een volledige uninstall doen en daarmee krijg je een credit terug --> nog niet nee (schreeuw schreeuw) maar het zijn ook maar mensen daar hoor? Jezus laat ze even tijd krijgen hun werk te doen. Alsof ze het niet druk genoeg hebben met al die 12 jarigen die denken dat hun privacy ow zo zielig is.

Los van het feit dat Irrational door piraterij bij hun vorige games enorm veel inkomen misloopt dankzij de downloaders. En dan kunnen de downloaders nog zo hard schreeuwen dat ze deze beveiliging hekelen, maar als mensen nooit spellen zouden downloaden voor nop was dit spul er niet. Punt uit, geen discussie.

En als extra puntje: ik vind het spel magistraal . Ik dacht "zal wel, die reviews ... eens even de hype bekijken" maar speelt enorm lekker weg en vind stiekem het verhaal erg interessant. De geluiden en voice acting zijn echt knap gedaan en de snelheid van plasmids / hacks / wapen combo's bieden echt een uitdaging. Easy to learn, difficult to master deze ! Game on!

Even voor de mensen die beweren dat dit geen rootkit is heb ik even een rijtje gezet wat SecuROM doet. Allereerst hier de beschrijving van een rootkit.


- Het programma installeert vernaggelde/verborgen registry keys en files. (probeer Securom maar eens op een (redelijk) normale manier te verwijderen, dan krijg je de melding "file doesn't exist". Bepaalde bestanden kun je simpelweg niet verwijderen. Typische malware tactieken.
Bovendien kun je de registry keys niet verwijderen. Probeer dat ook maar eens. (Ik ga er vanuit dat je eventuele schade ook kunt herstellen!)
- Het programma zorgt ervoor dat andere programma's niet kunnen draaien (zoals Process Explorer, 16-bits applicaties
- Het programma wordt stiekem en ongevraagd geïnstalleerd, en het is onmogelijk om het op een normale manier te deinstalleren.
- Het programma is niet nodig voor de goede werking van het programma waar het mee geïnstalleerd kwam. (Deze rootkit kreeg je ook gratis bij de demo versie, die je niet hoefde te activeren, en dus niet beschermd hoefde te worden)
- Het programma maakt ongevraagd en onnodig connectie met servers en verstuurt onbekende informatie (als iemand weet wat het verstuurt, meld het!)

Het enige voordeel dat ik bij de nieuwste SecuROM kan bedenken is dat het niet meer in kernelmode draait, maar in ring 3 / user mode. (CMIIR, ik ben geen programmeur)


En tenslotte zijn er nog 5 hele belangrijke reden om deze troep niet op je PC te willen hebben.
1. De software vormt een gevaar op zich. De rootkit kan gehighjacked worden, en ik geloof niet dat SecuROM zichzelf update om zichzelf hiertegen te beschermen.
2. De geavanceerde functies die diep ingrijpen op je systeem kunnen voor problemen zorgen.
3. Net zoals de meeste tweakers gebruik ik vele honderden programma's (misschien wel meer dan 1000), als ieder programma zoveel eisen zou hebben bij (de)installatie, zou het vrijwel onmogelijk worden om nog programma's te gebruiken. Als ik mijn PC 5 keer opnieuw moet/wil installeren heb ik totaal geen enkele zin om 1000 programma's telefonisch te activeren! Waarom denkt BioShock dat het zo bijzonder is dat het die eisen mag stellen? Het is gewoon een simpel spelletje!
4. Ik speel nog steeds spellen uit bijvoorbeeld 1995. Ik zie echter dat steeds meer spellen met een beperkte houdbaarheid. Denk maar online shooters die een "Master Browser server" hebben. Als daar de stekker uit gaat, is het afgelopen met het online gamen met dat spel, en zeker voor digibeten. Met activatie servers is het exact hetzelfde verhaal.
5. Stel je voor dat ieder programma een soortgelijke rootkit zou installeren. Stel je dat nou eens voor hoe dat eruit zou zien en hoe dat je PC zou aantasten. Denk bijvoorbeeld eens aan oude versies vanaf CDROM die zich automatisch installeren, over nieuwe versies heen.

Ik kan nog veel meer redenen bedenken, maar dit is voorlopig wel genoeg. SecuROM is bij lange na niet de enige die dit doet trouwens.

http://forums.2kgames.com/forums/showthread.php?t=8703

First I will introduce myself, I´m Sblade the Securom Crusader. I´m well experienced on Securom. I´m also a member of the R-force, the guys that caused Ubisoft to give up Starforce on his games.

You can look for my Securom Technical FAQ on the Atari forums or the NWN 2 official forums.

Anyway

To the guy who started this thread:

http://forums.2kgames.com/forums/showthread.php?t=8629

Securom runs in RING0 as there is no other way to detect Daemon Tools and Alcohol stealth emulated drives than RING0.

Securom is a Starforce clone. Runs in RING0.

Securom is a TrojanKIT. The only difference between a rootkit and a TrojanKit. You do not need specialist tools to find a TrojanKIT however they are just as stubborn to get rid of and also compromise system security.

Definition of a TrojanKIT:

TrojanKit:

1. Security Applications installed without end user consent.
2. Software that grants Ring 0 access to Ring 3 (user level) applications.
3. Interferes with other software such as virtual drives, SCSI/SATA etc.
4. Puts its own virtual protection drivers on the system.
5. Interferes with other applications Windows registry settings.
6. Can be exploited with replacement malicious versions to grant Full Ring 0 access


I copy paste the virtual protection drivers proof from youw own forums:

DevStudio ASM

#ESC00000004: Sony MAPI Layer 2.4.17.1 *rooted to WinAPI (explorer.exe)
#ESC00000121: SSECROM DLApi v8.2.2 *rooted to WinAPI (explorer.exe)
#ESC000002C1: SSECDLL Miniport services *rooted to core (kernel Win32 layer)


Securom is also a clone of Starforce in the spin/phase rate transfer access. That´s mean when when Securom receives data not within the tolerance it expected it tries again and again.

SCSI/IDE/SATA protocols determines this to be a read problem and it changes to PIO 16 bit mode, decreasing dramatically the lifespawn of DVD drives.

im ready for any challenge. I fight for what's right.

ps. vor degene die niet weten wat ring zijn in een OS

They're the like the opposite of Dante's Inferno - Instead of Ring 9 being where Satan chews on Brutus, Judas, and Ted Kaczinsky, it's Ring 0. Except Satan is giving it to you in *YOUR* "ring 0".

More specifically, you know how there's that "hidden system files" option? Have you ever tried to look inside certain folders ("System Volume Information", for example) even as administrator just to be told 'Access is denied'? These files operate on a lower 'ring', thereby superseding admin access.

Windows operates on Rings, each specifying a level of access. User-level is Ring 3. I'm unsure how administrator accounts work, they may be Ring 3 as well. It's easier to think of levels of access. Above Ring 3 and you're operating on a restricted diet. You can't do certain things, see certain things, etc. As you get closer to Ring 0 you can do more and more.

Ring 0 is the eye of the storm. You can see and do everything from Ring 0. Everything is a-go from there. No joke, there is absolutely nothing you can't see, do, break into, modify, or override from Ring 0.

Ring 0 is where critical process and hardware/firmware typically runs. The code that tells your sound card how to behave? Ring 0. The code that makes your DVD drive run at all? Ring 0.

It's important to remember that rings only work upwards. Ring 1 cannot modify Ring 0, for example, but Ring 0 can modify Ring 1.

Bioshock runs on Ring 3, as it's a user-level application.

Securom has processes that run on Ring 0 so it's can spy on you, to make sure you don't have stuff Securom doesn't like hiding below Ring 3 (Daemon Tools, for example).

In order for a Ring 3 process to work with a Ring 0 process, it has a little leash, so both can talk to each other. Bioshock tells Securom when to do its malware thing, and Securom tells Bioshock not to run for no fucking reason at all.

That's the vulnerability, that leash. You get a piece of code that targets Bioshock's leash, it travels down the leash and compromises Ring 0. Next thing you know, your entire system is absolutely fucked, to the point where it can even compromise firmware itself. It's theoretically possible that with an extremely nasty Ring 0 infection, certain hardware (ie: a sound card) could have the firmware modified in a way where the card will no longer function.

Sounds like an acceptable risk to stop the pirates from cracking the game for a whole of 1 day, right?

[Reactie gewijzigd door tntkiller op 22 juli 2024 23:59]