Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties
Submitter: the_shadow

De broncode van de mmo Eve Online is uitgelekt. De code van de client van het spel is onder andere via torrentsite The Pirate Bay te downloaden. Ontwikkelaar CCP bant iedereen die de code binnenhaalt.

Logo Eve Online De IJslandse ontwikkelaar CCP neemt harde maatregelen tegen downloaders. De ontwikkelaar houdt via ip-adressen in de gaten welke betalende spelers de broncode downloaden en de spelers die betrapt worden, krijgen van CCP een ban opgelegd. CCP wijst er daarbij op dat in de eula is opgenomen dat het niet is toegestaan om de broncode te bezitten. Ook op het officiŽle forum van het spel heeft CCP maatregelen genomen. Alle verwijzingen naar de uitgelekte broncode worden door de ontwikkelaar verwijderd.

Bij de torrent van de broncode is een lange discussie tussen een medewerker van de helpdesk van CCP en een bezorgde speler geplaatst. De speler zegt de broncode te hebben bestudeerd, en daaruit zou volgens hem op te maken zijn, dat CCP geen maatregelen heeft genomen tegen de bots die door kwaadwillende spelers ingezet worden om de economie van het spel te ontregelen. Bovendien wil deze gamer weten waarom CCP geen detectieroutines in de client heeft ingebouwd en dus alleen vanaf de servers op bots jaagt: de broncode van Eve Online is eerder uitgelekt en CCP zou sindsdien nauwelijks maatregelen hebben genomen tegen de bots die het spel teisteren. De helpdeskmedewerker vertelt daarop dat CCP de voorkeur geeft aan het maken van uitbreidingen van het spel en niet aan veiligheid.

Het uitlekken van de in Python geschreven broncode zou het makkelijker maken om bots voor het spel te schrijven. In een reactie op de post op Pirate Bay laat CCP bij monde van marketing officer Ryan Dancey echter weten dat het uitlekken van de code geen gevaar vormt voor de veiligheid van het spel. Omdat de client in Python is geschreven, kan de software eenvoudig gedecompileerd worden en de nu gepubliceerde code zou daar het resultaat van zijn. Dancey stelt dat de server-interface van het spel daarentegen goed afgeschermd is, en dat niemand voordeel kan halen door veranderingen in de client aan te brengen.

Eve Online is sinds 2003 in de lucht. Spelers betalen maandelijks 15 euro om te mogen spelen. Het spel was al omstreden omdat het toegestaan is om andere spelers te overvallen.

Update: CCP heeft inmiddels een tweede keer gereageerd op het uitlekken van de broncode, ditmaal via een persbericht. CCP geeft daarin toe dat de broncode gestolen is, maar dat het lekken van de code geen veiligheidsrisico vormt. Zo zou het via de gelekte broncode niet mogelijk zijn de financiŽle gegevens van spelers te achterhalen. Verder laat CCP weten dat er geen massale ban heeft plaatsgevonden nadat de code is uitgelekt. De ontwikkelaar geeft wel toe dat het forum van het spel in de gaten gehouden wordt en dat alle verwijzingen naar de gelekte code gewist worden.

Moderatie-faq Wijzig weergave

Reacties (62)

Pakketje downloaden op iemand anders zijn computer, op het werk, via een proxy, downloaden en op nieuwsgroup zetten.
Keuzes genoeg.

Iedereen blokkeren op basis van hun IP, gaat echt niet werken.
Zie uberhaubt niet hoe ccp daar achter wil komen.
Spelers betalen maandelijks 15 euro om te mogen spelen.
Dit klopt niet. Als je in europa woont en per creditcard betaald dan is de bovenstaande zin correct en betaal je 15 euro per maand. Amerikanen die per CC betalen hoeven echter 15 dollar per maand te betalen en niet 15 euro.
Als europeaan kun je gametime codes kopen bij verschillende webwinkels en in dollars betalen (paypal, CC, etc), op die manier betaal je 15 dollar per maand ipv 15 euro per maand. met de huidige euro/dollar koers scheelt dat toch weer zo'n 5 euro per maand per account.

[Reactie gewijzigd door Stuff op 15 april 2008 15:01]

Wat een boel onzin wordt er weer gepost zeg, jeetje...

De client (want het gaat alleen om de client) is niet gelekt, maar iemand heeft hem door een stackless python decompiler heengehaald. Woopdiewoop, spannend, dat kan iedere scriptkiddy. De kreten van "er zit geen security in!" geven alleen blijk van een totaal gebrek aan kennis van online games, want anders hadden ze geweten dat je clients NOOIT mag vertrouwen, juist omdat het niet in een gecontroleerde omgeving draait. Dus alle checks gebeuren op de server. Alle data staat ook op de server dus het is ook niet dat je bij andermans data kunt ofzo.

Dus feitelijk is het enige wat makkelijker geworden is door deze decompile actie het maken van botjes. Die waren er ook al een hele tijd, want het spel bestaat al sinds 2003, dus dat is al lang gereverse-engineered.
Hm.. de reactie dat de server interface belangrijker is in de bescherming tegen bots dan de broncode (want zo lees ik het) is natuurlijk stompzinnig.. }:O

Als ik mijn strategie, mijn bedrijfsplan, scenario, etc op internet gooi ga ik toch ook niet roepen; 'ja maar ze weten nog steeds niet hoe we intern memootjes versturen...'

Feit is dat je compleet inzage geeft in hoe je als bedrijf de boel in mekaar hebt gezet.

De kosten zijn nog maar $14,95 via Shattered Crystal voor een maand, wat in euries iets van § 10,- is. Ikzelf speel trouwens al halfjaar gratis met 2 accounts simpel door elke drie maanden 800 miljoen isk officieel via het EVE forum te overhandigen aan een Amerikaan met meer Dollars dan Brains. Die betaald mijn maandkosten O-)

Beste manier ooit, je kunt wel iskies kopen op eBay maar het is een stuk makkelijker en goedkoper om het officieel via een medespelers af te nemen.

Wat die helpdeskmedewerker aangeeft geloof ik 100%... voorheen was het kwaliteit voor kwantiteit en nu zitten ze opeens in die achterlijke mmo race sinds ze met die Amerikanen samenwerken.. eeuwig zonde :(
Client broncode is niet hetzelfde als je bedrijfsplan. Het is een client, de broncode beschikbaar maken van je browser heeft nu ook niet bepaald veel impact op de security van je site. Zo zijn de sourcecode van aantal browsers en mmo clients prima beschikbaar voor de gebruikers (omdat ze bv. opensource zijn).

Sinds ze samenwerken met die amerikanen: Dude, kwaliteit... Stabiliteit... Is eerlijk gezegd heel weinig aan veranderd sinds ze White Wolf hebben overgenomen (merger), CCP heeft nog altijd de touwtjes in handen aan de MMO kant, want White Wolf is nu eenmaal een RPG (RPG boeken op papier gedrukt) publisher en weet maar bitter weinig van MMOs (ze hebben dan wel een licentie om WoW boeken te publiseren). De overname van WW is erg goed voor CCP en Eve-Online, WW gaat RPG boeken maken (waar ze erg goed in zijn) voor Eve, wat weer nieuwe spelers kan en zal opleveren (en natuurlijk nieuwe inkomsten). CCP gaat een World of Darkness MMO maken (waar zij natuurlijk weer erg goed in zijn), dat levert dan weer nieuwe spelers en inkomsten op. Eve en WoD zal op dezelfde technologie gebasseert zijn, waardoor dus ontwikkelkosten kunnen worden teruggedrongen, dat is allemaal goed voor de Eve-Online spelers.
Die iskies worden wel weer direct en indirect het spel ingepompt. Enerzijds omdat jij een maand doorspeelt, anderzijds dat er een speler is die een injectie isk heeft en weer doorspeelt. CCP heeft dan toch evenveel betalende spelers en de inkomstenbalans blijft gelijk.

Dat is beter dan een of andere macrominer die enkel de markt omlaag drijft en andere spelers aan geldinjecties helpt. Actieve spelers zijn een stuk interessanter voor iedereen.

Het lijkt op het eerste gezicht hypocriet, maar vanuit spelopzicht is het logisch.
Als de code in Python is geschreven, hoe komt het dan dat de broncode al niet eerder beschikbaar was? Voor zover ik weet wordt Python tijdens run-time omgezet naar bytecode en heb je dus de sources nodig om "het spel" te draaien. Of zit ik er hier naast?
Daar zit je naast. Ik heb zelf de python-files van EvE door een decompiler heen gehaald (ong. een jaar of 1 1/2 geleden). Het grappige is dat de byte-code van Python zelfs comments bevat ! (note, python byte code is niet het zelfde als de assembly-bytecode waar een normale executable uit bestaat, dat is juist de rede dat de eve-client zo brack performed omdat alle python code runtime-interpreted wordt en er geen 'optimize' achtige structuur is ala .NET)

Kort daarna hadden ze de opslag van de compiled-python files veranderd en het decompilen moeilijker gemaakt. Ik zelf had er toen geen zin meer in om het uit te zoeken, maar elke beetje hacker zou er niet al te veel moeite mee moeten hebben, denk dat het moeilijkste nog is om een versie van Decompyle te krijgen die met Python 2.5 overweg kan.

De 'source code' die dus op pirate bay staat is wel degelijk de 'echte' en het is niet de eerste keer dat dit uitgelekt is. Ik heb zelfs een donker bruin vermoeden dat ik in een IRC kanaal zit met de gast die dit gereleased heeft, zal het hem eens vragen ;)

Maar het hele IP-bannen is bullshit (ik heb het gedownload en ben niet gebanned), en ik durf ook te zeggen dat de reply van de 'zo genaamde gast van CCP' fake is. En dit is alleen het Python gedeelte, EvE heeft best een aanzienelijk C++ gedeelte wat dus niet gedecompiled is (omdat assembly -> c++ bijna onmogelijk is door optimizations, etc).

Edit: De reply van CCP was niet op the pirate bay maar van de eve-o forums. En is complete BS, er is een bot-interface in omloop waar mee je -alles- kan automatiseren in eve.

[Reactie gewijzigd door Da_Teach op 15 april 2008 13:02]

Ik ben benieuwd hoe makkelijk het is om een ip adres te spoofen voor een BT client, op die manier zou je de competitie kunnen uitschakelen. Als Goonswarm heel vervelend zou zijn, zou binnen een paar uur geen enekel BoB speler meer kunnen inloggen vanwegen alle bans. Moet je natuurlijk wel weten wel ip adres je moet spoofen, maar daar zijn best truukjes voor te vinden...
Een IP adres spoofen lijkt me moeilijk voor een BT client, het probleem is aangezien je spooft kan je geen communicatie opzetten met de tracker. de door jouw gestuurde pakketjes komen aan bij de server maar de antwoorden worden gestuurd naar een IP adres dat niet naar ze luistert. Er zal dus nooit een verbinding tot stand komen.

Verder is goonswarm niet eens geinteresseerd in dit soort zaken. Er loopt wel een levendige discussie over het onderwerp maar dat gaat meer over de implicaties van bots, macros en de gevolgen van de gelekte source hierop. Wat jij ook beschrijft valt totaal buiten waar goonswarm voor staat. Goonswarm heeft nooit als doel gehad moedwillig buiten het spel om dit soort dingen te doen, en we zijn zeker niet van plan daar nu mee te gaan beginnen.
Het is jammer dat er, hoewel men eigenlijk geld als water verdient, geen expliciete aandacht aan de beveiliging wordt besteedt.

Bots zijn iMHO het werk van jongetjes die vroeger altijd van hun oudere zusje verloren met spelletjes. Ik zie er de lol niet van in.
Het is nog erger. De mensen die naar die code hebben gekeken en er wel verstand van hebben konden zien dat er ea mis was met de client. Als hiermee misbruik kan worden gemaakt dan is het hek van de dam. Maw als je jaren hebt gedaan om je poppetje een beetje op te leuken kan die binnen no time gefokt worden door iemand anders met een gemodde client.

En eigenlijk verbaasd het me niet zoveel want het zijn ook een stelletje heikneuters bij elkaar daar. En dat ze nu daar aan het flippen zijn hebben ze helemaal aan zichzelf te danken. Ze hadden al eerder een paar keer last gehad van mensen die de client hadden aangepast (bots,icons voor gebruikers) en dat hebben ze houtje touwetje opgelost.
Icons voor gebruikers was niets mis mee en dat kan en mag nog steeds. Bots is een ander verhaal.

Of het een stel heikneuters zijn weet ik niet, maar je gaat veel te kort door de bocht. Met alleen deze code kan je vrij weinig wat eerder ook al niet mogelijk was. Je kan het niet compileren want het zaakje linkt zover ik begrepen heb door naar een hele hoop libraries die er niet bij zitten. Het enige wat mogelijk is met deze broncode (die naar verluid gewoon een gedecompileerde versie van de source is) is het makelijker is om exploits te vinden. Zover ik weet is er al een gevonden, die betrekking heeft op de ingame browser. Deze kan je locale applicaties laten starten, dat wordt zelfs voor sommige dingen door de client zelf toegepast. Het is nu pas zover dat iemand zich dit realiseert. Dikke kans dat dit in de patch van vandaag al opgelost is.

De strijd tegen bots is een strijd die niet te winnen is, elke mogelijkheid die je eruit haalt die bots mogelijk maken worden op de een of andere manier omzijlt. Waar een wil is, is immers een weg. Een goed voorbeeld hiervan is macroquest voor het spel everquest, Sony weet van het bestaan en het bestaan geaccepteerd. Sommige functies van de macro zitten ondertussen zelfs in het spel. Het enige wat een ontwikkelaar kan doen is zijn best doen om zoveel mogelijk schadelijke bots te weren en iedereen die ermee betrapt wordt aan te pakken. Wat dat betreft doet CCP hard zijn best, ze proberen zoveel mogelijk isk verkopers en bot farmers aan te pakken.
"Het spel was al omstreden omdat het toegestaan is om andere spelers te overvallen."

wat een onzin, dit is net zo iets als loot van een andere speler "stelen" it's the game.. deal with it.

Verder vind ik het wel opmerkelijk dat ze zich zo actief bezig houden met controleren van IP adressen, en moeten ze hier eigenlijk niet ook zelf de broncode voor downloaden om vervolgens maar verbonden te zijn met alle andere leechers?

Verder gewoon beter op je broncode letter in het vervolg CCP ik zeg een code obfuscator (spelling?) of encryptie ;)
Eve-Online gaat wel iets verder dan loot van een andere speler "stelen", het is zo goed als een complete sandbox. Scamming binnen game mag (met uitzondering van GTCs en Character Transfers) en je kan overal kapot worden geschoten door je medespelers. Hier zitten geen tot behoorlijk wat consequenties aan vast.

Hun eigen broncode downloaden mogen ze ook vast wel, ze hoeven het niet direct te uploaden. Zelfs als zij dit wel doen, is dit nog niet direct uitlokking, aangezien ze niet met iets wettelijks bezig zijn.

Persoonlijk vind ik het meer een storm in een glas water, waar we echt last van hebben heeft niet zo heel veel te maken met bots. Dat zijn de spam berichten in general chat en dmv. eve-mail voor de verkoop van isk voor echt geld. De isk wordt dan weer gegenereerd door het minen van minerals of het runnen van missies. Natuurlijk kun je daar bots voor gebruiken die gebruikmaken van speciaal aangepaste clients, maar de kans is veel groter dat het chinezen zijn die tien accountjes te gelijker tijd aan het draaien zijn. Er zijn ook zat bots en macros die prima werken zonder aanpassing op de client. Je kan dan wel een hoop tijd en resources er in steken om dit op te lossen dmv. een clientside oplossing, maar dat heeft slechts invloed op een extreem klein gedeelte van de Eve-online populatie en zorgt niet echt voor een oplossing.
probeer eens voor de grap in 1.0 of 0.9 space een andere speler neer te halen. De geprogrammeerde bots komen zo snel op je af dat je geen 2de keer kan schieten
Dat zijn geen bots, dat zijn NPCs! Concord om precies te zijn, de politie agenten van het Eve universum. Dat is de consequentie als je in 0.5 of hoger iemand probert op te blazen. In een hoop MMOs kan je dit niet eens in 'save' gebieden, in Eve zijn er geen 'save' gebieden, alleen maar relatief 'save' gebieden. Geloof mij maar dat een keer schieten voor een hoopscheepjes al meer dan voldoende is. DIt is het equivelant met een diamand koerier die zonder bodyguards door het hartje van amsterdam wandelt, 9 van de 10 keer niets aan de hand. Maar als je maar genoeg waardvolle spullen bij je heb en niet voldoende beveiliging, dan zal iemand je wel een keer beroven.
afhankelijk van je definitie van bot is een bot of inderdaad zoals adamus zegt additionele software
OF zoals rune zegt is een NPC ook een bot

Als je een bot puur ziet als een computer gestuurd karakter dan zijn NPC''s bots en mensen die software gebruiken om hun karakters te laten minen ook bots (of de software die dat doet)
Bot = externe/additionele software dat bepaalde acties in het spel makkelijker maakt. Vooral bedoeld om in-game geld te grinden of andere (saaie) handelingen te automatiseren. Vrijwel altijd in strijd met de EULA van het spel.

NPC = Non Player Character, een door het spel bestuurd character wat al dan niet inter-acteert met player characters. Standaard onderdeel van het spel.

Nogal een verschil.
Een koe is een dier, dus alle dieren zijn koeien!
Idd een beetje een non-argument van de poster op het einde, doet me haast denken dat de poster niet weet waar het uberhaubt over gaat bij EVE.

Dat daar gelaten dat de code in python geschreven is mag toch eigenlijk geen argument zijn dat het eenvoudig is het spel te decompileren om er vervolgens misbruik van te maken. Wat dan imo kwalijker is dat men ondanks het al eerder voorgekomen is men nog steeds geen actie heeft ondernomen om enerzijds de code beter te beschermen, anderzijds om de gebruikers zelf beter te beschermen. Beetje pleisters op het leed plakken door gebruikers te bannen die mogelijkerwijs de code in hun bezit hebben is imo net zo kwalijk als het publiekelijk stellen van de software zelf.
Verder gewoon beter op je broncode letter in het vervolg CCP ik zeg een code obfuscator (spelling?) of encryptie
Code obfuscation is security through obscurity, werkt niet.
Encryptie werkt ook niet geweldig omdat het in-memory decrypted it.
Hoewel code obfuscation het echte hack werk niet tegenhoud, is de manier hoe Python alles opslaat wel erg makkelijk te hacken en maakt het het maken van een bot wel erg makkelijk.
Het werkt wel in zoverre dat het een vreselijk irritante output geeft die veel manuren kosten om te ontcijferen. Mij lijkt het ook wel leuk om eens te zien hoe CCP het spel gemaakt heeft (ga het alleen niet doen wegens ban kans), maar dan wil ik het wel graag leesbaar en logisch hebben...
Ben benieuwd of CCP nu eindelijk wakker gaat worden, want de spammers en andere ellendelingen zorgen ervoor dat de game experience in het spel op dit moment al behoorlijk verziekt wordt (imho). Ik sta er echt van te kijken dat daar ingame weinig aan gedaan wordt...

Wat dat betreft hebben Blizzard en Turbine het bijvoorbeeld toch wel een stuk beter voor elkaar, geloof ik.

[Reactie gewijzigd door mindcrash op 15 april 2008 11:45]

Alleen de eerste maand kost 20 euro, daarna kost het 15 euro per maand.
Je kan een maand kopen voor ongeveer 11 Euro, kan iets meer of minder zijn ivm dollar prijzen

http://www.shatteredcrystal.com/code.php/eve_online
15 dollar
Ik kan me goed herrineren dan de spam in WoW ook wel aardig was. Prive goldspam of global chat spam (/say) in een een grote stad. Wat dat betreft zijn er nog best verbeteren door te voeren.
Dat van die blokkering via ip lijkt me een dubieuze maatregel.

IP's zijn toch niet eenduidig te koppelen aan een user account.

Denk bijvoorbeeld aan campussen die vaak werken via NAT'ing.
Meerdere personen bevinden zich achter hetzelfde ip adres.
De 1 persoon downloadt de broncode, de andere persoon zijn user account wordt geblokkeerd.
Yepz, een zeer slechte zaak. De meeste particuliere breedbandverbindingen hebben een semi-vast IP adres. Stel nu dat je na x weken een IP krijgt van iemand die de broncode gedownload heeft ... dag account !

Daarnaast hebben EULAs in NL amper een juridische waarde. En vallen die ban-maatregelen dan onder IJslands of NL recht ? Ik woon in NL, heb hier het spel geinstalleerd en de source gedownload, niet in IJsland (fictief voorbeeld !) ...

Zeer klant onvriendelijk paniek-voetbal imho |:(
Wordt nog iets leuker, de servers staan in engeland ;-)

Maar dit heeft weinig te maken met 'recht', CCP levert een service, jij houdt je niet aan de voorwaarden die worden gesteld door CCP, dus dan kunnen ze je service beindigen. Als je daar je gram over wil halen bij de rechter dan zal je dat waarschijnlijk in Ijsland moeten doen (staat geloof ik in de EULA). De EULA kan je in dit geval stellen als leverings voorwaarden voor een product, het product komt uit Ijsland en wordt via Engeland aan jouw geleverd. Als je een spelletje besteld via een Ijslandse webwinkel en die levert via een Engelse groothandel, dan kan je je niet beroepen op het nederlandse recht...

Het is natuurlijk erg onhandig dat ze IPs gaan blokkeren, maar ik verwacht dat ze deze ook weer heel makkelijk op zullen heffen, want die gasten zijn natuurlijk ook niet gek. Ik vermoed voornamelijk een hoop bangmakerij...
IJsland is geen onderdeel van de EU, CCP heeft geen vestiging in een EU land. Dus gaat het via IJsland's recht. Als het het spel in de winkel gekocht had zou je bij de dsitributer/importeur/retailer kunnen zeuren om je geld terug te krijgen.
Het zelfde geld voor games die jij via digital distribution kanalen (zoals Steam) aanschaft.

Of een EULA rechtsgeldig is boeit in dit geval niet echt.

[Reactie gewijzigd door elmuerte op 15 april 2008 12:31]

als een bedrijf iets wil verkopen, dan geld het recht van het land waarin je zoiets wil verkopen. Ongeacht of het een dienst is of dat de producent uit amerika, engeland of limburg komt
Maar ze verkopen niks in nederland. Jij koopt het in ijsland als je creditcard gebruikt, of in amerika als je GTC gebruikt. En de GTC verkopers kopen het waarschijnlijk weer rechtstreeks van CCP, dus ijsland. Je kan eve niet in de winkel kopen.
Ik denk dat ze niet IP's bannen, maar accounts die ze aan die IPs koppelen.
Zeker als je bedenkt dat in Amerika heel veel studenten (vooral 1e/2ejaars) op campussen wonen, hier in Nederland valt dat nog wel mee.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True