Valve ontkent browsergeschiedenis uit te lezen via Valve Anti-Cheat - update

Volgens berichten op internet zou Valve Anti-Cheat, het programma dat Valve gebruikt om cheaters te dwarsbomen in 71 verschillende games op Steam, wellicht de dns-caches van spelers naar de Amerikaanse ontwikkelaar sturen. Valve ontkent bij monde van Gabe Newell.

Reddit-gebruiker theonlybond komt met het nieuws. Hij heeft de VAC-module uiteengerafeld en concludeert dat VAC de dns-cache van de gebruiker opvraagt, van elk adres in de cache een md5-hash maakt en de lijst met hashes naar Valve stuurt. Hij voegt aan het verhaal toe dat md5-hashes gemakkelijk om te keren zijn, waardoor Valve of iemand die de hashes onderschept met gemak achter dit deel van de browsergeschiedenis van de gebruiker kan komen. Bovendien kan een in de ogen van VAC verkeerde website ook per abuis in de dns-cache terechtkomen door middel van een afbeelding of redirect-link. Wat Valve en VAC met de informatie doen, laat theonlybond in het midden.

Hoewel er op Reddit veel ophef over dit nieuws is, worden er ook kanttekeningen bij gezet. Zo legt gebruiker Marzhall op twee plekken uit dat het zeer veel bandbreedte zou kosten om van iedere VAC-client de dns-cache te laten versturen. Bovendien ziet hij geen netcode terug in de VAC-module, dus lijkt niet te zijn ingeprogrammeerd dat de dns-hashes naar wie dan ook worden verstuurd. Het lijkt hem waarschijnlijker dat lokaal een bloom-filter wordt gebruikt om de dns-hashes naast een zwarte lijst van dns-hashes te leggen. Ten slotte stelt hij dat het zeer onwaarschijnlijk is dat een gebruiker puur en alleen op basis van zijn browsergeschiedenis wordt verbannen uit games die VAC gebruiken.

In het verleden kwam Blizzard al onder vuur te liggen omdat zijn anti-cheat-systeem voor World of Warcraft, genaamd Warden, soortgelijke bewerkingen uitvoert. Warden houdt onder andere de vensters die een gebruiker heeft openstaan in de gaten en controleert met welke mensen wordt gechat in een im-programma. In 2005 bestempelde de Electronic Frontier Foundation Warden zelfs als spyware. De beweringen van theonlybond zijn nog niet door een derde partij bevestigd.

Gabe Newell, topman van Valve, heeft inmiddels gereageerd op het verhaal op Reddit. Per uitzondering gaat hij dieper op de werking van VAC in. Hij stelt dat VAC onder andere controleert op de aanwezigheid van betaalde hacks die contact zoeken met een drm-server. Op het moment dat zo'n hack gedetecteerd wordt, controleert VAC met welke drm-server gecommuniceerd wordt en zoekt de bewuste non-web cheat drm-server op in de dns-cache om te verifiëren of er ook daadwerkelijk met de drm-server gecommuniceerd is. Zo ja, dan wordt er een hash gemaakt van de bewuste adressen in de dns-cache en die worden naar de VAC-servers gestuurd. Daar vindt een laatste dubbelcheck plaats, waarna een eventuele valsspeler een ban krijgt. Volgens Newell zijn tot nu toe 570 valsspelers op deze manier betrapt.

Deze manier van hacks bestrijden is 13 dagen effectief geweest, voegt Newell toe. "Dat is vrij standaard in de wapenwedloop van anti-hacks versus hacks." Inmiddels wordt er om deze functie van VAC heen gewerkt door de dns-cache aan te passen met de hack. Daarom is deze functie van VAC niet meer actief. De topman van Valve sluit af door nogmaals duidelijk te maken dat er geen browsergeschiedenis wordt verzonden naar de servers van Valve.

Update, dinsdag 07:47: Inmiddels heeft Valve gereageerd op dit verhaal. Dit is aan het artikel toegevoegd.

Screenshot VAC-module met DNS-cache-opvraag

De screenshot die theonlybond heeft gemaakt van de VAC-module

Reacties (101)

MaestroMaus

17 februari 2014 15:50

As someone who reverse engineers things for fun, and can read the C "pseudocode" generated via decompilation pretty easily, I am going to have to disagree with the assumptions made in this post. First, there's no proof this is from Steam, I've poked around a few of the DLLs since I saw this and am unable to find anything even remotely close to what this does. Second, this method does NOT send anything to Valve. This method grabs the DNS cache, yes. And it MD5s the entries, then it stores it. This method itself does nothing more with the hashes. For all we know VAC could be doing a LOCAL scan of the list, and comparing it to an internal list of "known" cheat subscription servers. Until someone posts details of exactly where in Steam this is (What DLL is all that's required to verify), and the calling method that supposedly sends this information to Valve, I would take this with a very massive grain of salt.
bron

Ik weet dat er een knopje feedback is maar dit verdient discussie.

Beste Tweakers.net; als jullie als "beter" beschouwd willen worden dan hobby website x van persoon y dan moeten zware aantijgingen zoals deze eerst gecontroleerd worden voor ze geplaatst worden.

Nu plaatsen jullie een artikel waarvan niemand weet of we hem serieus moeten nemen. Misschien heeft the Originele Poster gelijk. Of misschien heeft hij zelf die code wel geschreven om een hoax te maken.

Ik zie de nuances die jullie hebben proberen aan te brengen maar noch vind ik dat zo iets heftigs brengen op basis van zo weinig gecontroleerde informatie niet kunnen. De bron is nu één iemand die we niet kennen en beweerd dat x een feit is.

EDIT
Ik zal het eens omdraaien voor effect:
Als ik nu wat schadelijke pseudo code schrijf; deze plaats op Reddit met een wegwerp-account en zeg dat deze afkomstig is uit het server-hok van Tweakers.net. Dan zou dit volgens jullie een betrouwbaar genoeg "gerucht" zijn om te plaatsen op jullie eigen website niet?

Als we fundamentele journalistieke kwaliteitsstandaarden zoals "hoor en wederhoor" en "bron controle" uit het raam gaan gooien dan zie ik niet langer een reden waarom ik niet meteen naar een Amerikaanse sensatie website zou gaan. Die hebben altijd al de smakelijke geruchten maar dan sneller en beter.

[Reactie gewijzigd door MaestroMaus op 23 juli 2024 03:53]

Auteur

Mark_88 @MaestroMaus • 17 februari 2014 21:16

Beste MaestroMaus,

Laat ik ten eerste stellen dat het bericht verder is genuanceerd; niet langer wordt er gesproken over de gehele browsergeschiedenis. Ten tweede, als we dit soort zware aantijgingen zelf moeten controleren, zijn we heel erg lang bezig. We doen uitvoerig ons werk, maar om een geval als deze tot op de bodem uit te zoeken, hebben we bij wijze van spreken een week nodig.

Wat de geloofwaardigheid aangaat, daar kun je inderdaad je vraagtekens bij zetten. Inderdaad, het is gebaseerd op één Reddit-thread. Het kan inderdaad 100% fabricage zijn. Maar het feit is wel dat deze Redditor dan een hoop energie in zijn post heeft gestoken. Dat, gepaard met de uitnodiging en uitleg om dit na te bootsen geeft ons reden om dit nieuws te plaatsen met de kanttekening 'gerucht'. Geloof het verhaal verder of niet, dat is aan jou.

Dat betekent niet dat we de journalistieke standaarden als "hoor en wederhoor" en "broncontrole" uit het raam gooien. VALVe heeft hier nog niet op gereageerd, dat staat in het artikel. Als VALVe wel reageert, komt dat in dit of een nieuw artikel te staan. Andere Redditors als Marzhall gaan in discussie met de originele poster en komen met een ander perspectief dat iets toevoegt aan het geheel. Ook dat gaat het artikel in. En dan nog is het allereerste woord wat in dit artikel gebruikt wordt 'gerucht'.

Verwijderd @Mark_88 • 18 februari 2014 16:40

Je zegt het zelf al dat journalistieke standaarden niet zijn gevolgd met als reden dat het allemaal maar lastig is en te lang duurt. Niets in jouw reactie ziet op journalistieke zorgvuldigheid, eerder in het tegenovergestelde daarvan. Dat zou geen sterk argument opleveren.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:53]

Bozozo @MaestroMaus • 17 februari 2014 16:02

Helemaal mee eens... schandalig dat t.net zo'n ongefundeerd gerucht publiceert.

huntedjohan @MaestroMaus • 17 februari 2014 16:14

sorry maar wat is dit voor onzin. allereerst staat er duidelijk GERUCHT. en sinds wanneer zijn we hier op tweakers vies van geruchten? als er een gerucht komt dat MS of EA iets fouts gedaan heeft staan we gelijk allemaal op om MS en EA te vervloeken, en nu gaat het om een mogelijke fout in steam en nu is het opeens niet welkom om dit gerucht te plaatsen.

de gebruikers van tweakers.net beginnen hypocriet te worden, we maken onderscheid tussen het 1 en het ander. negatief nieuws van bedrijven die we niet mogen zijn altijd welkom, en mogelijk negatief nieuws mag ineens niet meer.

MaestroMaus

@huntedjohan • 17 februari 2014 16:26

Omdat er een verschil zit tussen de kredietwaardigheid van geruchten. Als de informatie komt van een redelijk betrouwbare bron (iemand met verstand van zaken/eerder bewezen staat van dienst/etc.) dan heb je een gerucht wat de moeite waard is om te plaatsen.

Dit gerucht is op geen enkele manier kredietwaardig. Nul.

[Reactie gewijzigd door MaestroMaus op 23 juli 2024 03:53]

.oisyn Moderator Devschuur® @huntedjohan • 17 februari 2014 16:49

sorry maar wat is dit voor onzin

Refereer je nou aan je eigen post?

Ik zal uitleggen waarom ik dat denk:

allereerst staat er duidelijk GERUCHT

Niet alle geruchten zijn plaatswaardig. Ik zou ook wel een gerucht de wereld in kunnen helpen dat de persoon achter de gebruikersnaam "huntedjohan" in werkelijkheid Edward Snowden is die af en toe weleens iets op tweakers.net post. Als dat waar zou zijn dan zou het zelfs behoorlijk waardig zijn om hier te posten. En ik zou zelfs misschien wel wat "bewijs" kunnen verzinnen om mijn punt kracht bij te zetten. Maar feit blijft dat ik niet kredietwaardig ben op dat gebied en dat enig onderzoek al vrij gemakkelijk uit zal wijzen dat het door mij gepresenteerde bewijs niet klopt of op z'n minst onbetrouwbaar of onvolledig is waardoor je de conclusie niet kan trekken. En dit zal uiteindelijk moeten resulteren in het feit dat het nieuwsbericht niet geplaatst wordt.

Het kritieke punt van de poster waar jij op reageert is niet dat het een gerucht is, maar wat de waarde van het gerucht blijkt te zijn, namelijk nagenoeg nul.

en sinds wanneer zijn we hier op tweakers vies van geruchten?

Sinds wanneer zou dat een argument zijn om alles wat iedereen roept te posten?

als er een gerucht komt dat MS of EA iets fouts gedaan heeft staan we gelijk allemaal op om MS en EA te vervloeken, en nu gaat het om een mogelijke fout in steam en nu is het opeens niet welkom om dit gerucht te plaatsen.

Grappig hoe je hier het gedrag van de massa op een enkel persoon projecteert. Die persoon is onderdeel van de massa dus hij zal wel identiek moeten denken. Toch lees ik hier onder dit artikel genoeg reacties die het veroordelen, net zoals bij EA en MS berichten. Echter reageer jij nu op een individu die (imho zeer terecht) behoorlijk kritisch is over het bericht en dat goed uiteenzet in argumenten. Mag hij dat niet plaatsen "omdat we normaal gelijk allemaal MS en EA staan te vervoeken"? De fout in die premisse zit dus in het woord "allemaal", nee dat doen we niet allemaal. Ook niet bij artikelen over MS en EA.

de gebruikers van tweakers.net beginnen hypocriet te worden

Zie boven. Je dicht eigenschappen aan de groep "de gebruikers van tweakers.net" toe die helemaal niet voor al die gebruikers gelden. Wat verder niet impliceert dat er hier geen hypocriete rui rond zullen lopen overigens.

[Reactie gewijzigd door .oisyn op 23 juli 2024 03:53]

Croga

@MaestroMaus • 17 februari 2014 16:19

Minstens net zo erg:
De passage over Warden is óók onzin. Er is ooit inactieve code gevonden die iets deed met vensternamen en zodra dat bekend werd is Blizzard te verstaan gegeven dat als deze code ooit iets actiefs zou doen, ze een berg rechtzaken aan hun broek zouden hebben. Onmiddelijk daarna is de code verwijdert. Er is nooit iets in Warden geweest wat chat (buiten WoW in-game chat) uit kon lezen.

Alles bij elkaar is dit niet alleen een non-bericht, het is een compleet onzin bericht. Het is meer telegraaf niveau gecombineerd met roddelpers dan dat het ook maar een kern van waarheid heeft; een mythe heeft meer waarheid dan dit bericht.

Armin @Croga • 17 februari 2014 18:48

Inderdaad, zie o.a.

http://www.ownedcore.com/...7188-warden-governor.html

(Beetje populistsich geschreven, maar inhoudelijk correct.)

Zie anders ook:

http://onwarden.blogspot.com/2007/07/privacy-and-you.html

[Reactie gewijzigd door Armin op 23 juli 2024 03:53]

spookz0r @MaestroMaus • 17 februari 2014 16:25

Hetzelfde dus als toendertijd met Origin. Mensen kijken niet verder dan hun neus lang is en nemen alles klakkeloos over.

defixje @MaestroMaus • 17 februari 2014 16:55

Totaal mee eens, ik snap ook niet echt (ondank de nuances die aangebracht zijn) wat dit op T.net doet zonder verder onderzoek of controle.

Iedereen kan iets op Reddit plaatsen en zeggen dat dit van X bedrijf af komt.

MrMonkE 17 februari 2014 15:37

Ik vind het wat overdreven om dit als browsergeschiedenis te kwalificeren. Het zijn alle op dat moment gecachede DNS entries. Ook niet fris maar nauwelijks te vergelijken met browsergeschiedenis waarbij ik denk aan exacte paginas en niet alleen de websites.

PuzzleSolver @MrMonkE • 17 februari 2014 17:15

Het heeft zelfs weinig te maken met de browsergeschiedenis. In de DNS cache kan je niet zien naar welke pagina iemand is geweest, alleen het domein waar iemand is geweest.

Verder staat in de DNS cache ook entries van andere programma's die een ip van een domein proberen te achterhalen (mits ze dit via de standaard api hebben gedaan). Het kan zijn dat bepaalde cheats met een bepaald domein proberen te communiceren en dat valve dit lokaal via een lijst van hashes controleert.

Het stuk code hierboven is overduidlijk gereverse engineerd op basis van een binary aangezien meer dan de helft van de vars genummerd is. Ik zie in deze code alleen een procedure die een lijst van Hashes terug geeft. Maar waar wordt deze functie aangeroepen? In dit stuk code staat nl. geen internet code om de lijst te versturen (zoals ook al genoemd).

Nu kunnen de volgende versies van de cheat apps de dns cache gaan omzeilen door de requests zelf via UDP naar de DNS server te sturen en kan Valve weer nieuwe manieren verzinnen om ze dan weer te detecteren. Ook zou je de Valve code kunnen omleiden naar een fake DNS API. Al met al is dit Anti cheat gedoe ook een gebed zonder einde waarbij ze steeds dieper in je systeem moeten graven om te achterhalen of je cheats gebruikt.

M.l. @MrMonkE • 17 februari 2014 20:39

Veel browsers gebruiken ook DNS-pinning, dan hoeft de browser zelf geen DNS-request meer te doen. Juist hacking-tools en cheat-tools die verbinding maken vallen op.
Valve zal waarschijnlijk spelers die verbinden met bepaalde adressen extra in de gaten houden, meer niet denk ik.

Ik ga er nog even naar kijken of en hoe er van het bloom-filter gebruik wordt gemaakt, als ik 'm kan vullen met 1tjes zal ik t nog even posten.

eL_Jay @MrMonkE • 17 februari 2014 15:47

Alles behalve fris, uitermate ongewenst en volgens mij nog illegaal ook in Nederland.

Als dit zo is dan is dit een zeer grote smet op steam. Dit is serieuze spyware, in een vorm zoals zelfs EA Ubi en Blizzard het niet implementeren.

offtopic:
If so dan gaat deze steam apostel weer overstappen naar het piratengeloof

Hoppa! @eL_Jay • 17 februari 2014 16:23

Dus omdat je boos bent omdat een ander iets illegaals doet, zou jij er voor kiezen om dan maar zelf illegaal te gaan doen?

Wauw. Dat noem ik nog eens opofferingsgezindheid.

Ik vind dat er genoeg kanttekeningen worden geplaatst. Indien het zo is dat de software (lokaal) alleen de bezochte sites naast een zwartboek van 'cheat'-sites legt en bij een eventuele overeenkomst een signaal naar de server van Valve stuurt, dan heb ik er niet zoveel moeite mee. Bij een verdenking van een bepaalde speler zou dit er voor kunnen zorgen dat men de 'bewijslast' rond krijgt zodat de betreffende speler een waarschuwing kan krijgen of in het ergste geval gekicked kan worden.

Het ligt allemaal aan de feitelijke implementatie of dit wel of niet heel erg is. En daarover zijn, getuige het artikel, nog voldoende onduidelijkheden. Persoonlijk vind ik het wel prettig om te weten dat Valve in ieder gevla probeert om hun online games eerlijk te houden.

VOODOO_WILLIE @Hoppa! • 17 februari 2014 17:38

Een stuk software heeft geen moer te maken met mijn persoonlijke bezigheden op mijn PC en dus ook niet met de gecachte DNS-entries op mijn PC.

Als dit toegestaan wordt komt het volgende stapje privacyschending vanzelf. Het bandbreedteargument gaat niet op want dat verandert ook wel in de toekomst.
Dan krijgen we later nog de vraag op basis waarvan er dan eigenlijk gefilterd wordt. Krijg je straks een moraalridder die vindt dat je niet mag inloggen op hun server omdat je toevallig dikketieten.nl open hebt staan?
Het klinkt wellicht wat vergezocht maar ik acht zoiets helemaal niet onwaarschijnlijk.

Daarnaast rechtvaardigt dit mijns inziens wel degelijk het piraten. Mits je uiteraard het spel wel gekocht hebt. Dit is eigenlijk hetzelfde als met vervelende DRM-systemen.

Finraziel

Games

@VOODOO_WILLIE • 17 februari 2014 22:29

Al heb ik wel cheatsites bezocht, dan vind ik het nog behoorlijk onterecht om daar een ban voor uit te delen. Ik gebruik bv cheats voor Borderlands 2, die ik singleplayer speel en dan zouden ze me misschien in een compleet andere game gaan bannen omdat mpgh.net in mijn cache staat?

Navi @Finraziel • 18 februari 2014 08:24

Nee, alleen als jouw PC tijdens het spelen contact zoekt met 1 van de bekende cheat DRM servers.

ArgantosNL @Navi • 18 februari 2014 09:44

en dat ook pas als er een hack is gedetecteerd, dus zolang je niet loopt te hacken is de kan zeer klein dat je dns-cache gechecked wordt. Normale spelers hoeven hier dus niet bang voor te zijn, enkel de hackers/cheaters. Ik geef er niks om omdat ik toch niet loop te hacken en als een ding totaal het spel plezier van andere bederft is het wel hackende tegenstanders in MP. In single player gaat niemand lopen hacken met betaalde hacks want waarom zou je.

Enkel hackers worden gepakt hiermee, dan maakt het mij geen kloot uit.

Finraziel

Games

@ArgantosNL • 18 februari 2014 11:32

Nou ja, daar ga je dan maar vanuit dat dat zo gebeurt. Zelfs als Valve aangeeft dat ze dat zo doen (weet niet of ze ondertussen een statement gereleased hebben) dan moet je daar verder maar op vertrouwen.
Bovendien willen die hack detectie algoritmes ook wel eens false positives opleveren en dan kun je dus alsnog de sjaak zijn.
Wat Navi zegt daar zie ik totaal niks over, als er naar de DNS cache gekeken wordt dan kijk je dus naar welke domeinen de afgelopen tijd geresolved zijn, niet naar wat er specifiek tijdens het spelen gebeurt.

Wat betreft het hacken van singleplayer, zoals ik hierboven aangeef is dat dus wel precies wat ik doe. Waarom? Nou google maar eens op borderlands 2 UVHM too hard, er zijn hele volksstammen voor wie het spelplezier bedorven wordt omdat Gearbox de uitdaging voor de echte hardcore fans er in wil houden. Ik pas dus een paar zorgvuldig gekozen hacks toe om de moeilijkheid voor mij persoonlijk aan te passen zodat ik het spel nog leuk vind en blijf spelen. Aangezien ik niet met andere mensen samen speel heeft daar verder niemand last van.

Geronimous

@VOODOO_WILLIE • 17 februari 2014 22:03

Wacht nou maar eerst eens een statement van Valve af wat waarom Steam de DNS cache benadert voor we hier heel principieel gaan lopen doen. Het zou ze wel sieren.

Bovendien staat nog nergens vast dat dit op waarheid berust en dit echt uit Steam komt...

[Reactie gewijzigd door Geronimous op 23 juli 2024 03:53]

Durandal @Hoppa! • 17 februari 2014 17:24

Hij stelt ook niet opofferingsgezind te zijn, en verder komt dat ook nergens ter sprake dus wat dat er mee te maken heeft weet ik niet.

Ook ik vind mijn eigen privacy vele malen belangrijker dan de winst van Valve en consorten, dus al privacy bewaken betekent dat ik weer piraat moet worden (is telkens weer gebleken de beste optie te zijn voor de klant), then so be it.

Die bewijslast kan me aan mijn r^%$ roesten, dat is niet mijn probleem. Hoe dan ook mag dat niet ten koste gaan van mijn privacy. Anti cheat doen ze maar server side.

En laat de moraalridders nu maar beginnen met minnen.

Aetje @Durandal • 18 februari 2014 09:14

Dan raad ik aan dat je je modem uitzet en nooit meer op het internet gaat. Privacy op het internet is een illusie. Persoonlijk vind ik een cheatervrije online game vele malen belangrijker dan dat iedereen Anonymous99 heet. De enige manier op anticheat volledig server side te doen is om ALLE game handelingen puur op de server te doen, en dan kom je al gauw op een terminal-omgeving terecht. Dat is voor turnbased games nog wel te doen, maar voor first person shooters niet.

Dat de anticheat je PC bespied moet natuurlijk wel duidelijk op het spel staan (in de TOS/EULA) zodat je eigenlijk bij het installeren van het spel de opt-in doet. Zo heb je als consument de keuze: Accepteer dat je op eerlijk spelen gecontroleerd wordt, of je komt 'r niet op.

[Reactie gewijzigd door Aetje op 23 juli 2024 03:53]

MrMonkE @Aetje • 18 februari 2014 10:55

MUD!

kreator @Durandal • 18 februari 2014 08:46

Nee, dan koop/speel je het spelletje gewoon niet.

HMC @Hoppa! • 17 februari 2014 17:25

Je ken lulluh als Brugman, en recht praten wat krom is. Maar feit blijft dat dit de tweede keer is (voorzover bekend) dat onze lieve game distributors dus volop in onze software zitten te neuzen.

DNS of browser history, het kan me niet verrotten. Hetzelfde. Ze gaan ervoor.
En, ik durf te wedden, allebei met mooie software geschreven door onze goeie vrienden van de NSA. Gratis aangeleverd. Want het zijn immers vrienden.

Ik kan me op zich wel vinden in El Jay's statement.

NMe @eL_Jay • 17 februari 2014 18:48

offtopic:
If so dan gaat deze steam apostel weer overstappen naar het piratengeloof

Right, dus omdat Steam iets verkeerd doet ga je de gamemakers straffen? Zeg dan dat je overstapt naar Origin, een andere online winkel of weer ouderwets fysieke media gaat gebruiken. Nu naai je er ontwikkelaars mee die er ook weinig aan kunnen doen.

Godjira @NMe • 17 februari 2014 19:40

Ben ik het niet helemaal mee eens. Als ontwikkelaar kies je er ook voor om een game via Steam/Valve te publiceren. Dat is natuurlijk geen verplichting, tenzij je als ontwikkelaar feitelijk eigendom bent van Valve of een contract hebt met Valve dat zij als enige gerechtigd zijn om door jou ontwikkelde games naar de markt te brengen.

Ontwikkelaars kunnen natuurlijk een standpunt nemen en afzien van distributie via Steam. Het is geen verplichte manier van distribueren. Steam mag dan een grote afzetmarkt hebben, maar is absoluut niet de enige op de markt. Niet dat ik hiermee de platformen van EA of Ubisoft de hemel in prijs, maar goed, er is keus.

Overigens betreft dit volgens mij voornamelijk games waarbij Valve zelf ook echt enige invloed heeft gehad... maar netjes is het alles behalve.

NMe @Godjira • 17 februari 2014 19:49

Er is, zeker voor kleinere gamemakers, helemaal geen keus. Nee zeggen tegen Steam is heden ten dage nee zeggen tegen een bruut groot percentage van de potentiële markt. Dat doe je niet zomaar. Principes zijn leuk, maar als die betekenen dat je je investering niet terugverdient heb je er helemaal niks aan.

Tegelijkertijd is het niet gebruik maken van anticheatsoftware óók een mooie manier om je game niet verkocht te krijgen, omdat frustratie rondom hackers een erg grote reden is om een game vooral in het schap te laten liggen.

eL_Jay @NMe • 18 februari 2014 10:05

Het is niet alsof ik met plezier een steam library van +/- 300 games afschrijf.
Daarom wacht ik ook nog met handelen tot de onderste steen boven is.
Maar als de enige (voormalig fatsoenlijke DRM) ook corrupte, dataminende spyware is, heb je nog maar bar weinig keus.
Het aanbod van capsule, gog en desura is gewoon te klein, origin(gebruik het voor C&C collection) is kut en uplay en battle.net zijn ook definite no-go's, mag jij me vertellen waar ik legale digitale kopie's vandaan kan halen (geen optische drive in mijn game-itx en htpc). Inderdaad blijven alleen tpb, isohunt en consorten over als je legale software wilt zonder corporate spyware. (want ja, softwarepiraterij is nog steeds legaal in Nederland) Het risico bij gepirate software op spyware/malware is blijkbaar nog kleiner ook.

[Reactie gewijzigd door eL_Jay op 23 juli 2024 03:53]

NMe @eL_Jay • 18 februari 2014 10:12

Softwarepiraterij is niet legaal in Nederland en is dat ook nooit geweest. Alleen muziek- en filmdownloads zijn nooit gereguleerd in de wet.

Verder: dan kun je nog altijd de schijfjes fysiek kopen en daarna pas gepirate versies downloaden zodat je in elk geval moreel goed bezig bent of je kan voor twee tientjes een (externe?) DVD-drive kopen. Daarbij zit die anticheatsoftware niet eens in elke game dus wordt die alleen uitgevoerd als je die specifieke games speelt waar 't wél in zit.

LuchiesP @MrMonkE • 18 februari 2014 08:17

dus maar ff geen porno meer kijken via steam browser... weer terug naar incognito venster -,- balen...

MrMonkE @LuchiesP • 18 februari 2014 10:31

Of je disabled de DNS client, die doet de caching. Als je die niet nodig hebt in je lokale netwerk om de DNS te updaten dan kun je die DNS cLient uitzetten. Zoals M.I. aangeeft doen veel browsers het zelf al dus daar zul je geen last hebben van de uitgeschakelde caching.

zie ook: http://support.simpledns....s-dns-client-service.aspx

Kwastie 17 februari 2014 15:46

Nergens blijkt dat Valve de gegevens verstuurd heeft naar eigen servers. In principe werkt het vergelijkbaar met een virusscanner, het kijkt niet "echt" in je gegevens maar vergelijkt het alleen met een lokale database met hashes (zonder daadwerkelijk de gegevens te bekijken).

Ik denk dat Valve alleen _lokaal_ controleert of de gebruiker verbindingen open heeft/had staan naar "bekende" cheat gerelateerde website. Waarschijnlijk is deze controle slechts een klein onderdeel van cheat detectie. Je zal bijvoorbeeld pas als cheater worden aangemerkt als jij je bijvoorbeeld verdacht gedraagt en een verbinding hebt openstaan naar een bepaalde server.

[Reactie gewijzigd door Kwastie op 23 juli 2024 03:53]

nst6ldr @Kwastie • 17 februari 2014 16:59

Er zijn een hoop hacks die je tegen betaling kunt krijgen, deze hebben net zoals professionele software een launcher met updater die online zoekt naar updates en de licentie van de gebruiker controleert. Het zou me niks verbazen als deze functie zoekt naar bekende hostnames waar deze premium hacks van afhankelijk zijn.

^{edit: HA!}

[Reactie gewijzigd door nst6ldr op 23 juli 2024 03:53]

Kain_niaK 18 februari 2014 03:08

Gabe Newell heeft net gereageerd op Reddit.

Trust is a critical part of a multiplayer game community - trust in the developer, trust in the system, and trust in the other players. Cheats are a negative sum game, where a minority benefits less than the majority is harmed.
There are a bunch of different ways to attack a trust-based system including writing a bunch of code (hacks), or through social engineering (for example convincing people that the system isn't as trustworthy as they thought it was).
For a game like Counter-Strike, there will be thousands of cheats created, several hundred of which will be actively in use at any given time. There will be around ten to twenty groups trying to make money selling cheats.
We don't usually talk about VAC (our counter-hacking hacks), because it creates more opportunities for cheaters to attack the system (through writing code or social engineering).
This time is going to be an exception.
There are a number of kernel-level paid cheats that relate to this Reddit thread[1] . Cheat developers have a problem in getting cheaters to actually pay them for all the obvious reasons, so they start creating DRM and anti-cheat code for their cheats. These cheats phone home to a DRM server that confirms that a cheater has actually paid to use the cheat.
VAC checked for the presence of these cheats. If they were detected VAC then checked to see which cheat DRM server was being contacted. This second check was done by looking for a partial match to those (non-web) cheat DRM servers in the DNS cache. If found, then hashes of the matching DNS entries were sent to the VAC servers. The match was double checked on our servers and then that client was marked for a future ban. Less than a tenth of one percent of clients triggered the second check. 570 cheaters are being banned as a result.
Cheat versus trust is an ongoing cat-and-mouse game. New cheats are created all the time, detected, banned, and tweaked. This specific VAC test for this specific round of cheats was effective for 13 days, which is fairly typical. It is now no longer active as the cheat providers have worked around it by manipulating the DNS cache of their customers' client machines.
Kernel-level cheats are expensive to create, and they are expensive to detect. Our goal is to make them more expensive for cheaters and cheat creators than the economic benefits they can reasonably expect to gain.
There is also a social engineering side to cheating, which is to attack people's trust in the system. If "Valve is evil - look they are tracking all of the websites you visit" is an idea that gets traction, then that is to the benefit of cheaters and cheat creators. VAC is inherently a scary looking piece of software, because it is trying to be obscure, it is going after code that is trying to attack it, and it is sneaky. For most cheat developers, social engineering might be a cheaper way to attack the system than continuing the code arms race, which means that there will be more Reddit posts trying to cast VAC in a sinister light.
Our response is to make it clear what we were actually doing and why with enough transparency that people can make their own judgements as to whether or not we are trustworthy.
Q&A
1) Do we send your browsing history to Valve? No.
2) Do we care what porn sites you visit? Oh, dear god, no. My brain just melted.
3) Is Valve using its market success to go evil? I don't think so, but you have to make the call if we are trustworthy. We try really hard to earn and keep your trust.

Verwijderd 18 februari 2014 07:01

Response van Gabe:

Trust is a critical part of a multiplayer game community - trust in the developer, trust in the system, and trust in the other players. Cheats are a negative sum game, where a minority benefits less than the majority is harmed.

There are a bunch of different ways to attack a trust-based system including writing a bunch of code (hacks), or through social engineering (for example convincing people that the system isn't as trustworthy as they thought it was).

For a game like Counter-Strike, there will be thousands of cheats created, several hundred of which will be actively in use at any given time. There will be around ten to twenty groups trying to make money selling cheats.

We don't usually talk about VAC (our counter-hacking hacks), because it creates more opportunities for cheaters to attack the system (through writing code or social engineering).

This time is going to be an exception.

There are a number of kernel-level paid cheats that relate to this Reddit thread . Cheat developers have a problem in getting cheaters to actually pay them for all the obvious reasons, so they start creating DRM and anti-cheat code for their cheats. These cheats phone home to a DRM server that confirms that a cheater has actually paid to use the cheat.

VAC checked for the presence of these cheats. If they were detected VAC then checked to see which cheat DRM server was being contacted. This second check was done by looking for a partial match to those (non-web) cheat DRM servers in the DNS cache. If found, then hashes of the matching DNS entries were sent to the VAC servers. The match was double checked on our servers and then that client was marked for a future ban. Less than a tenth of one percent of clients triggered the second check. 570 cheaters are being banned as a result.

Cheat versus trust is an ongoing cat-and-mouse game. New cheats are created all the time, detected, banned, and tweaked. This specific VAC test for this specific round of cheats was effective for 13 days, which is fairly typical. It is now no longer active as the cheat providers have worked around it by manipulating the DNS cache of their customers' client machines.

Kernel-level cheats are expensive to create, and they are expensive to detect. Our goal is to make them more expensive for cheaters and cheat creators than the economic benefits they can reasonably expect to gain.

There is also a social engineering side to cheating, which is to attack people's trust in the system. If "Valve is evil - look they are tracking all of the websites you visit" is an idea that gets traction, then that is to the benefit of cheaters and cheat creators. VAC is inherently a scary looking piece of software, because it is trying to be obscure, it is going after code that is trying to attack it, and it is sneaky. For most cheat developers, social engineering might be a cheaper way to attack the system than continuing the code arms race, which means that there will be more Reddit posts trying to cast VAC in a sinister light.

Our response is to make it clear what we were actually doing and why with enough transparency that people can make their own judgements as to whether or not we are trustworthy.

Q&A

1) Do we send your browsing history to Valve? No.

2) Do we care what porn sites you visit? Oh, dear god, no. My brain just melted.

3) Is Valve using its market success to go evil? I don't think so, but you have to make the call if we are trustworthy. We try really hard to earn and keep your trust.

Wild Cat @Verwijderd • 18 februari 2014 10:00

Ik ben niet zo blij met dat Gabe beschrijft hoe cheaters opgespoord worden door middel van cached DNS records.

Nu dat dit bekend is zal ik niet gek op kijken als er malware geschreven word die een dikke lijst met bekende VAC blacklisted DNS records toevoegt op je PC om zo ander Steam gebruikers te zieken. Andere anti-cheat systemen zullen een soort gelijke controle hebben.

Je hebt maar een idioot nodig die zo gek is om schade bij anderen te willen aan richten.

MrMonkE @Wild Cat • 18 februari 2014 10:50

Ze kijken naar draaiende code en pas dan naar DNS cache. Maar je hebt gelijk, die malware kan natuurlijk ook die 'presence of these cheats' faken of realiseren. Dus dat is jou verhaal? Je bent gebanned omdat er malware is die de schijn heeft gewekt dat jij op jou systeem een cheat draait?

Nou, het zou zomaar kunnen!

Verwijderd @Wild Cat • 18 februari 2014 11:27

Het maakt niet echt uit dat ze dit bekend maken, het hele checken van de DNS werkt al niet meer. De cheat makers hebben hier al workarounds voor gevonden, in totaal is deze check 13 dagen effectief geweest.

MrMonkE @Verwijderd • 18 februari 2014 10:45

Ik lees dat het met paid-cheats en de DRM op die paid cheats te maken heeft en dat er 570 mensen worden gebanned na aanleiding van deze check. En bij minder dan 10 procent wordt de tweede check gedaan. Zegt nog iets als je weet hoeveel gamers er per dag gechecked worden.
570 bans voor zoveel community backlash vind ik wel summier en zou ik als verantwoordelijke niet zo blij mee zijn:) Aan de andere kant wordt het met games waarin je met 'echt' geld omgaat wel heel erg belangerijk cheats uit te bannen. Een aimbot is nog tot daar aan toe maar wanneer er met virtueele currencies wordt gewerkt en je items kunt kopen en verkopen wordt het voor de cheaters echt lucratief.

Maar deze anti-cheat kun je dus waarschijnlijk gewoon omzeilen door je DNS CLient service te disablen. Dus dat was dat weer, op naar de volgende evolutie in deze cheater/developer oorlog. TOR gehoste DRM servers bijvoorbeeld en dan gaat VAC kijken of je TOR draait en zo ja dit naar de VAC server sturen en nog wat analyse er op los laat door VAC servers via TOR aan te roepen.

Verwijderd @Verwijderd • 18 februari 2014 12:20

Een nette reactie, begrijpbaar uitgelegd.
Ik heb in ieder geval niet de indruk dat Valve hier iets doen dat ten nadele van de gamer is, en enkel bedoeld is als anti-cheat.

Verwijderd 17 februari 2014 15:39

md5 hash makkelijk om te keren? Aan de hand van een rainbow tabel wellicht.
Deze hashes zullen eerder naast een bestaande lijst met "gehashte" geblackliste urls worden gelegd dan worden omgekeerd. Lijkt mij idd meer een user die wat aandacht wil.

Rafe @Verwijderd • 17 februari 2014 16:04

Een GPU is praktischer dan een rainbow table, zoals Tweakers zelf ook heeft aangetoond. MD5 is gewoon achterhaald, hoewel ik met je eens ben dat het onwaarschijnlijk lijkt dat Valve hiermee verkeer naar hun servers probeert te obfuscaten.

BramT @Rafe • 17 februari 2014 16:34

Wut? Je hebt enerzijds hoe je de 'aanval' gaat doen (CPU, GPU, etc) en anderzijds heb je welke aanval je gaat doen (rainbow, brute-force). Die 2 hebben echter niks met elkaar te maken.
Een GPU is sneller dan een CPU. Een rainbow is praktischer dan een brute-force (zoals inderdaad aangetoond door T.net destijds).

Dan nog is een hash niet terug te rekenen naar het origineel. Dat is de hele definitie van een hash. In het originele artikel heeft de auteur het ook expliciet over het gebruik van rainbow-tables. De formulering "dat md5-hashes gemakkelijk om te keren zijn" is dus nogal ongelukkig gekozen.

Puch-Maxi @Verwijderd • 17 februari 2014 15:57

Het daadwerkelijk omkeren van de hash is misschien wat meer werk, maar niet onmogelijk. Eenvoudiger is om zelfs gewoon van de top n websites url's te hashen en die te vergelijken met de hashes van de gebruiker. Het hele idee van een hash is dat bij een zelfde input je dezelfde hash terugkrijgt.

edit:
Oh, pardon wat jij dus eigenlijk al zegt. Heb niet helemaal goed gelezen.

[Reactie gewijzigd door Puch-Maxi op 23 juli 2024 03:53]

.oisyn Moderator Devschuur® @Verwijderd • 17 februari 2014 16:39

md5 hash makkelijk om te keren?

Ja, want het aantal inputs is in dit geval eindig en zelfs zeer gering. Zo heel veel verschillende domeinnamen bestaan er namelijk niet (in vergelijking met bijvoorbeeld het aantal mogelijke wachtwoorden). Door daar een lijst van samen te stellen en die allemaal te MD5'en, kun je dus met gemak een hash "omkeren" door 'm gewoon op te zoeken. Het enige probleem is dat het niet echt werkt met catch-all subdomeinen dus je zult ze wellicht niet allemaal kunnen omkeren.

Postius 17 februari 2014 15:37

Grappig om te zien dat tweakers ook op reddit zit, die website wordt steeds vaker als originele bron van informatie gebruikt (ook door andere websites vooral nieuws).

Is het niet mogelijk dat het nog code is die over is? Of een stuk setup code waar ze ooit wat mee van plan waren maar niet doorging of niet afgemaakt? Maar goed uiteindelijk zolang je niet weet wat ze met de DNS caches doen of willen (als er al iets mee gebeurd) is het even afwachten. Ben benieuwd wat valve heeft te melden, zullen binnenkort wel met een verklaring komen denk ik.

edit: En jawel, zoals ik al dacht. Gabe Newell is zelf met een verklaring gekomen http://www.reddit.com/r/g...70ej/valve_vac_and_trust/

[Reactie gewijzigd door Postius op 23 juli 2024 03:53]

sfranken @Postius • 17 februari 2014 15:46

Probleem wat ik hiermee heb is dat dit zo te zien een "reverse engineered" versie van VAC is. Alle comments en dergelijke zijn er dus uit dus je weet nooit of er commentaar bijstaat dat dit (nog) niet af is of nooit geïmplementeerd zal worden.

Je hebt dus 0,0 context.

Verwijderd @Postius • 17 februari 2014 18:30

>die website wordt steeds vaker als originele bron van informatie gebruikt

Offtopic: Dit klopt niet, reddit is juist een aggregatie site. reddit produceert niet zelf, de gebruikers doen dit voornamelijk door media elders op het web te linken en er discussies bij te voeren.

>Maar goed uiteindelijk zolang je niet weet wat ze met de DNS caches doen of willen (als er al iets mee gebeurd) is het even afwachten.

Of, hear me out, blijven ze gewoon met hun tengels van de persoonlijke gegevens van hun gebruikers af. Valve hoeft niet te zien wat ik op mijn browser doe, welke DNS mumbojumbo ik krijg, dat gaat ze niets aan. Mocht dit gerucht waar zijn, is het definitief over en uit voor Valve wat betreft mij als klant.

Postius @Verwijderd • 18 februari 2014 04:39

Gebruikers kunnen ook dingen creeeren

. Veel nieuws van Oekraïne is daar voor het eerst neer gezet. Dan is er wel degelijk sprake van content creatie of zoals nu een reactie van Gabe Newell wat zeker overgenomen gaat worden door nieuwssite etc.

koelpasta @Postius • 17 februari 2014 15:48

"Grappig om te zien dat tweakers ook op reddit zit, die website wordt steeds vaker als originele bron van informatie gebruikt (ook door andere websites vooral nieuws). "

Juist daarom mag je er niet vanuit gaan dat tweakers zelf ook werkelijk zn nieuws van reddit haalt.

Mavamaarten 17 februari 2014 15:38

Wellicht? Als men die code in VAC terugvindt, hoezo is het dan een gerucht?

Meekoh @Mavamaarten • 17 februari 2014 15:49

Zoals je kunt zien in het plaatje suggereert de code (decompiled?) dat er iets met dnscache en iets met md5 hashes gebeurd. Het gerucht zit hem in dat niemand weet of het wordt opgestuurd naar valve.
Aangezien er geen net code bij is gevonden.
En voor hetzelfde geld heeft hij debugging code gevonden...

[Reactie gewijzigd door Meekoh op 23 juli 2024 03:53]

Verwijderd @Meekoh • 17 februari 2014 16:32

En daarnaast kan iedere troll een stukje code schrijven en doen alsof hij de Anti-Cheat heeft gedecompiled natuurlijk

Meekoh @Verwijderd • 17 februari 2014 17:18

Jup, vandaar ook de term gerucht in plaats van feit.

watercoolertje @Mavamaarten • 17 februari 2014 15:47

Omdat het vooralsnog geroepen wordt maar niet is geverifieerd door een ander...

Ik kan ook wel wat roepen, weet niet of je dat dat ook maar voor waarheid aanneemt?

Verwijderd 17 februari 2014 15:59

Ik zie nog nergens in het originele bericht het daadwerkelijke bewijs dat het ook echt naar hun servers verstuurd wordt. De VAC kan ook een lokale md5 table maken om zo een snelle check te doen tegen een set met md5 hashes van valve die VAC volgens hun tegen moet houden. Ja het is al erg genoeg dat dit stuk software de dns cache uit vraagt maar dat is een andere discussie. Het bewijs is even een snelle bevinding van de reddit poster heb ik het idee.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:53]

defixje @Verwijderd • 17 februari 2014 16:57

Waarom is dit erg genoeg? Als dit lokaal afgehandeld wordt zie ik het probleem niet zo. Denk aan virusscanners. Die doen dit net zo goed.