Steam als Sicherheitslücke

Veröffentlicht am 11. November 2012 von Patrik Schönfeldt

Wie jede andere Software können auch Computerspiele Sicherheitslücken beinhalten. Besonders von Titeln mit Onlineanbindung und solchen, die sich (zum Beispiel als Kopierschutz) sehr tief ins System eingraben, geht hier eine Gefahr aus. Problematisch ist, dass sich Spieleentwickler kaum mit Systemsicherheit auseinandersetzen. Für Steam gibt es nun mindestens einen Hack, der in größerer Zahl ausgenutzt wird. Dieser allerdings dürfte den Nutzern gefallen.

Die Plattform Steam von Valve Software bietet Sicherheitstechnisch ein absolutes Desaster. Sie ist selber kein Spiel, sondern vielmehr eine Kombination aus Shop, Kopierschutz und Community. Allerdings hat Steam Kontrolle über eine Vielzahl an Spielen – damit lässt sich leider auch die gesammelte Angriffsfläche der installierten Spiele nutzen. Bereits vor einem knappen Monat hat Packet Storm Security eine Analyse zur Unsicherheit des Steam Browser Protokolls veröffentlicht. Mit diesem Protokoll lässt sich unter anderem lokal installierte Software mit wählbaren Parametern starten. Dem Bericht zufolge kann man auf einer Webseite einen Link platzieren, der ein Spiel mit Source-Engine nutzt, um eine ausführbare Datei auf dem Rechner des Opfers erzeugt. Auf diese Weise können schlussendlich auch Viren auf das angegriffene System gelangen.

Beweis: Steam lädt manipulierte Daten

Aber es ist nicht nur möglich, Dateien anzulegen. Mit dem Steam-Befehl retailinstall lässt sich sogar ferngesteuert beliebige Software zu installieren:

One of its parameter is path that is used to specify this local directory but obviously this directory can be a Windows network folder available on a remote host.

Zwar fragt Steam nach Bestätigung, ob eine Installation vorgenommen werden soll, allerdings wird der Nutzer vermutlich sofort OK klicken, wenn ihm die vertraute Software (scheinbar) ein Spiel schenken möchte.

Nun aber die gute Nachricht: Der bisher einzige verbreitete „Hack“ richtet sich nicht gegen den Benutzer, sondern gegen Plattformbetreiber Valve selbst. So ist es möglich, durch das Klicken eines Steam-Links Zugriff zum „geschlossenen“ Test von Steam für Linux zu erhalten. Eigentlich ist die Version bisher 1000 ausgewählten Testern vorbehalten.

Steam: Würden Nutzer AGB-Änderung ablehnen?

Veröffentlicht am 23. September 2012 von Patrik Schönfeldt

In der vergangenen Woche hat die Verbraucherzentrale Valve abgemahnt. Grund hierfür ist die Änderung der Steam-AGB im August. Im Mittelpunkt steht dabei nicht der Inhalt der neuen Vertrags, sondern die Art, mit der die Änderung durchgeführt wird. Auch wir haben diese damals kritisiert:

Valve, die Firma hinter Steam, [hat] vor einigen Tagen das „Steam Subscriber Agreement“ geändert. Zumindest wird hier im Gegensatz zur Konkurrenz, die eine solche „Vertragsanpassungen“ auch mal heimlich unterschiebt, um Zustimmung gebeten. Eine harte Entscheidung, hat man doch die Wahl zwischen:

„Ja, ich bin einverstanden.“ und

„Nehmt mir alle meine Spiele weg!“

Doch was wäre, wenn man sich wirklich zwischen der alten und neuen Version entscheiden könnte? Wirklich gelesen und verglichen hat die Vertragswerke wohl kaum jemand. In den Medien wurde inhaltlich vor allem der Ausschluss von US-Sammelklagen betont. Zudem wurde erwähnt, dass einige neue Entwicklungen (Valve-Geschäftsstelle in Luxemburg, Item-Handel, Cloud, etc.) die Anpassungen nötig machten. Das klingt für den Europäer eher uninteressant.

Faktisch gibt es aber eine bisher kaum erwähnte Änderung, die vor allem für deutsche Nutzer wichtig ist: Die neuen Vertragsbedingungen verbieten den Einsatz von Proxy-Servern, um die „geographischen Beschränkungen hinsichtlich der Inhalte von Spielen“ zu umgehen. Nötig sind solche Server, da einige Programme in Deutschland nicht erhältlich oder stark zensiert sind. Es gäbe also durchaus einen Grund, die neuen AGB abzulehnen.

Gamescom? Ohne uns.

Veröffentlicht am 14. August 2012 von Patrik Schönfeldt

Aktuell schaut die komplette Gamesbranche nach Köln. Dort veranstaltet der Verband der großen Publisher (BIU) die gamescom. Für viele Gamer ist es das Paradies, doch wir gehen dieses Jahr gar nicht hin^[1]. Nachdem wir die letzten Jahre sogar unseren Platz im Rahmenprogramm des Events gefunden haben, wird dieses Jahr niemand für den VDVC am Start sein. Weiterlesen →

^[1] Ich war sogar in Köln, bin aber am Abend vor Eröffnung der Messe wieder weg. ↩

DDD: Das Drama um On-Disc-DLC

Veröffentlicht am 15. Mai 2012 von Konrad Huber

Viele Spieler sehen Downloadable Content, kurz DLC, als pure Abzocke seitens der Publisher. Umso mehr, wenn der Download nur Inhalte freischaltet die bereits auf der Disc waren. Die Publisher und Entwickler dagegen bestehen darauf, dass es ein notweniges Übel ist, ohne das sich die teure Produktion von Videospielen heutzutage gar nicht mehr rentieren würde.
Weiterlesen →

Keine Blogger auf der Gamescom

Veröffentlicht am 25. April 2012 von Konrad Huber

Seit ein paar Tagen sind die erweiterten Akkreditierungsrichtlinien für die Gamescom 2012 online zu lesen. Sie bestimmen, wer einen Presseausweis für die diesjährige Messe bekommt und wer nicht. Die “wer nicht”-Kategorie ist dieses Jahr aber deutlich größer als zuvor, faktisch will man nur noch Berufsschreiber. Manche Leute macht das stinkwütend. Andere grinsen zufrieden. Was heißt das für angehende Journalisten und leidenschaftliche Gaming-Blogger?

Erstmal, was genau bringt einem eigentlich die Pressakkreditierung? Ganz einfach. Ein Presseausweiß ermöglicht einem auf der Gamescom primär drei Dinge:

Auch am Pressetag muss man für gewisse Spiele eine Weile anstehen.

Man kommt am Mittwoch schon rein. Der “Pressetag” an dem die Hallen alle schon geöffnet, Schlangen aber minimal sind.
Nutzung des Pressezentrums in dem Computer und eine eigene Garderobe bereitgestellt werden.
Zugang zur Business Area, wo Publisher und Entwickler ihre Spiele einem ausgewähltem Publikum präsentieren. Das ist mit Abstand der wichtigste Punkt, darauf komme ich später noch zu sprechen.

Und was genau sind denn jetzt diese neuen Akkreditierungsrichtlinien?

Es werden keine Akkreditierungen an Inhaber privat initiierter Spiele-Homepages, privat initiierter Blogs sowie Podcast-Seiten ausgestellt.
Personen von Online-Medien erhalten eine Akkreditierung, wenn ein Belegexemplar ihrer bisherigen Berichterstattung zur gamescom vorliegt (mit eindeutiger Kenntlichmachung von Autor, Datum und Beitrag) und das Medium länger als ein Jahr besteht.
Zugriffszahlen und Größe des Mediums spielen bei der Akkreditierung und der zugelassenen Personenanzahl eine Rolle.

Vielleicht sollte ich erst mal kurz klarstellen in welche Kategorie ich falle: Ja, ich bin Blogger, aber ich schreibe auch seit 3 Jahren für das Portal Gamersunity.de. Wir sind jetzt bei Weitem kein 4Players, aber wir geben uns Mühe, alle zusammen. Außerdem haben wir schon zuvor über die Gamescom berichtet, also sollte das soweit klappen. Was nicht heißt, dass ich mich zurücklehne und die neuen Richtlinien befürworte.

Die Änderungen sorgten ohne Zweifel für Aufruhr. Dabei war 2011 das erste Mal, dass so viele Blogger überhaupt eingeladen waren (was die Cosplayer im Pressezentrum erklären würde). Anscheinend gab es da einige Beschweren. Dennoch bin ich schockiert wie manche Leute sich über diese Entwicklung freuen. “Dieses Jahr keine stinkenden Neckbeards mehr auf dem Fachbesuchertag? Sehr gut.”, twittert der @Ludonaut. Der @Zwangsdemokrat hackt ebenfalls fröhlich auf den Bloggern rum: “Ich würde auch nicht jeden fünfzehnjährigen Gehirnblonden in meinen Pressebereichen haben wollen.”
Okay, es ist Twitter und ich kann jetzt nicht wirklich sagen wie ernst die das meinen. Aber es tut schon weh.

Jetzt wird diskutiert, wer überhaupt das Recht auf eine Presseakkreditierung hat. Es sei ja schön und gut, dass es (erwachsene) Blogger gibt die mit Herzblut bei der Sache sind, aber diese 15-jährigen Blogger-Kiddies die nur zum Merch abgreifen da sind, die sollen doch bitte draußen bleiben.
Krautgaming stellt (zu recht?) die Frage wer sich wann einen Journalisten nennen darf. Bin ich einer? Ist mein Blog einer von den guten oder den schlechten? Es wäre Quatsch der Gamescom Verwaltung zuzumuten jeden einzelnen Blog zu überprüfen, ob er die Akkreditierung wert wäre, aber ist der komplette Ausschluss etwa eine bessere Lösung? Was ist mit Leuten wie Manuspielt. Der hat zwar “nur” einen Podcast, aber der ist immerhin täglich und noch dazu ziemlich gut. Und auch er ist bei Publishern bekannt genug, dass ihm auf Anfrage Testmuster zugeschickt werden. Er würde vermutlich auch Termine in der Business Area bekommen. Bringt aber nix, wenn er nicht rein darf.

Dann ist da noch der Artikel von Volker. Volker ist ausgebildeter Journalist, lobt den Enthusiasmus den junge talentierte Amateure mit bringen. Aber “Nur weil du dir Federn in den Arsch steckst, bist du kein Huhn.” Tja, aber ich kann aus eigener Erfahrung sagen, ein “Huhn” werden ist nicht so leicht. Vielleicht sollte man diese Leuten, die, wie Volker so schön sagt, ihr Herzblut in die Sache stecken, tatsächlich mal für ein paar Tage “Hühner” sein lassen. Wer weiß, vielleicht gefällt ihnen das nach Körnern picken so sehr, dass sie den Stall gar nicht mehr verlassen wollen. Vielleicht sollte ich an diesem Punkt mit den Hühnervergleichen aufhören.

Eine Sache sollte vielleicht noch betont werden: Blogger werden nicht “ausgesperrt”, wie es auf manchen Seiten dramatisch genannt wird. Niemand verbietet ihnen die Messe von Donnerstag bis Sonntag zu besuchen. (Am Wochenende aber nur auf eigene Gefahr.) Die Frage ist, was sie dort wollen. Nur Swag abgreifen und Black Ops 2 spielen? Das geht auch so. Aber für eine ernsthafte Berichterstattung ist die Akkreditierung unerlässlich. Da macht man einen Monat vorher Termine mit den Publishern aus um in kleinen, privaten Demos nochmal die wirklich saftigen Infos zu bekommen. Manchmal sind es Q&A Sessions mit einem der Entwickler (Peter Molyneux), manchmal Spiele die auf dem Showfloor nicht zu sehen sind (Aliens: Colonial Marines) oder gar nicht erst in Deutschland erscheinen, aber dennoch gezeigt werden (Anarchy Reigns, Bulletstorm).

Auch ohne diese Dinge lohnt sich die Gamescom natürlich immer noch. Sonst wäre sie nicht jedes Jahr so fucking voll! Man kann immer noch neue Spiele anspielen, trifft mit Glück Fachprominenz, kann Unmengen an Geld für Merchandise ausgeben (bei mir war es letztes Jahr ein Cloud Strife auf Motorrad und ein Plüsch Angry Bird mit Soundeffekten) und mehr. Aber wenn man wirklich über die Gamescom berichten will, nicht nur selbst Spiele spielen und Spaß dabei haben, sondern seine Begeisterung und seine Vorfreude mit anderen Leuten teilen möchte, dann kommt man um die Pressetermine nicht herum.
Wenn ich dieses Jahr tatsächlich keine Akkreditierung bekommen sollte, würde sich der Gamescom Besuch für mich kaum lohnen und ich würde nochmal gründlich drüber nachdenken, ob sich der Besuch lohnen würde.

Juni 2013
M	D	M	D	F	S	S
« Mrz
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30