Steam als Sicherheitslücke

Veröffentlicht am 11. November 2012 von Patrik Schönfeldt

Wie jede andere Software können auch Computerspiele Sicherheitslücken beinhalten. Besonders von Titeln mit Onlineanbindung und solchen, die sich (zum Beispiel als Kopierschutz) sehr tief ins System eingraben, geht hier eine Gefahr aus. Problematisch ist, dass sich Spieleentwickler kaum mit Systemsicherheit auseinandersetzen. Für Steam gibt es nun mindestens einen Hack, der in größerer Zahl ausgenutzt wird. Dieser allerdings dürfte den Nutzern gefallen.

Die Plattform Steam von Valve Software bietet Sicherheitstechnisch ein absolutes Desaster. Sie ist selber kein Spiel, sondern vielmehr eine Kombination aus Shop, Kopierschutz und Community. Allerdings hat Steam Kontrolle über eine Vielzahl an Spielen – damit lässt sich leider auch die gesammelte Angriffsfläche der installierten Spiele nutzen. Bereits vor einem knappen Monat hat Packet Storm Security eine Analyse zur Unsicherheit des Steam Browser Protokolls veröffentlicht. Mit diesem Protokoll lässt sich unter anderem lokal installierte Software mit wählbaren Parametern starten. Dem Bericht zufolge kann man auf einer Webseite einen Link platzieren, der ein Spiel mit Source-Engine nutzt, um eine ausführbare Datei auf dem Rechner des Opfers erzeugt. Auf diese Weise können schlussendlich auch Viren auf das angegriffene System gelangen.

Beweis: Steam lädt manipulierte Daten

Aber es ist nicht nur möglich, Dateien anzulegen. Mit dem Steam-Befehl retailinstall lässt sich sogar ferngesteuert beliebige Software zu installieren:

One of its parameter is path that is used to specify this local directory but obviously this directory can be a Windows network folder available on a remote host.

Zwar fragt Steam nach Bestätigung, ob eine Installation vorgenommen werden soll, allerdings wird der Nutzer vermutlich sofort OK klicken, wenn ihm die vertraute Software (scheinbar) ein Spiel schenken möchte.

Nun aber die gute Nachricht: Der bisher einzige verbreitete „Hack“ richtet sich nicht gegen den Benutzer, sondern gegen Plattformbetreiber Valve selbst. So ist es möglich, durch das Klicken eines Steam-Links Zugriff zum „geschlossenen“ Test von Steam für Linux zu erhalten. Eigentlich ist die Version bisher 1000 ausgewählten Testern vorbehalten.

Steam: Würden Nutzer AGB-Änderung ablehnen?

Veröffentlicht am 23. September 2012 von Patrik Schönfeldt

In der vergangenen Woche hat die Verbraucherzentrale Valve abgemahnt. Grund hierfür ist die Änderung der Steam-AGB im August. Im Mittelpunkt steht dabei nicht der Inhalt der neuen Vertrags, sondern die Art, mit der die Änderung durchgeführt wird. Auch wir haben diese damals kritisiert:

Valve, die Firma hinter Steam, [hat] vor einigen Tagen das „Steam Subscriber Agreement“ geändert. Zumindest wird hier im Gegensatz zur Konkurrenz, die eine solche „Vertragsanpassungen“ auch mal heimlich unterschiebt, um Zustimmung gebeten. Eine harte Entscheidung, hat man doch die Wahl zwischen:

„Ja, ich bin einverstanden.“ und

„Nehmt mir alle meine Spiele weg!“

Doch was wäre, wenn man sich wirklich zwischen der alten und neuen Version entscheiden könnte? Wirklich gelesen und verglichen hat die Vertragswerke wohl kaum jemand. In den Medien wurde inhaltlich vor allem der Ausschluss von US-Sammelklagen betont. Zudem wurde erwähnt, dass einige neue Entwicklungen (Valve-Geschäftsstelle in Luxemburg, Item-Handel, Cloud, etc.) die Anpassungen nötig machten. Das klingt für den Europäer eher uninteressant.

Faktisch gibt es aber eine bisher kaum erwähnte Änderung, die vor allem für deutsche Nutzer wichtig ist: Die neuen Vertragsbedingungen verbieten den Einsatz von Proxy-Servern, um die „geographischen Beschränkungen hinsichtlich der Inhalte von Spielen“ zu umgehen. Nötig sind solche Server, da einige Programme in Deutschland nicht erhältlich oder stark zensiert sind. Es gäbe also durchaus einen Grund, die neuen AGB abzulehnen.

Gamescom? Ohne uns.

Veröffentlicht am 14. August 2012 von Patrik Schönfeldt

Aktuell schaut die komplette Gamesbranche nach Köln. Dort veranstaltet der Verband der großen Publisher (BIU) die gamescom. Für viele Gamer ist es das Paradies, doch wir gehen dieses Jahr gar nicht hin^[1]. Nachdem wir die letzten Jahre sogar unseren Platz im Rahmenprogramm des Events gefunden haben, wird dieses Jahr niemand für den VDVC am Start sein. Weiterlesen →

^[1] Ich war sogar in Köln, bin aber am Abend vor Eröffnung der Messe wieder weg. ↩

„spiel-gekauft.de“ online

Veröffentlicht am 11. Juli 2012 von Patrik Schönfeldt

Kommentar

„Spiel gekauft?“ – Wenn diese Frage dem Besitzer einer just ergatterten DVD an der Kasse eines Geschäfts gestellt wird, fällt eine präzise Antwort eigentlich schwer. Bevor man das Spiel nutzen kann, muss zunächst ein Benutzungsvertrag abgenickt werden, der vielerlei Bestimmungen enthält. Zudem befindet sich auf dem Datenträger oft gar kein Spiel mehr. Manchmal erhält man lediglich einen Client zur Teilnahme an einem Spiel, welches in Wirklichkeit auf einem Server irgendwo im Internet abläuft.

Selbst Anbieter wissen es nicht: Was wird verkauft?

Doch nicht erst seit dem Urteil des Europäischen Gerichtshofs vom 3. Juli 2012 oder dem Skandal um EAs Origin ist bekannt: Nicht alles, was Softwareanbieter einem erzählen, ist juristisch einwandfrei. Selbst wenn immer wieder das Urheberrecht betont wird, auch Nutzer haben Rechte – unter anderem Eigentumsrechte und Datenschutzrechte. Welche das sind, und was einem als Nutzer nicht verboten werden darf, haben wir auf unserer neuen Webseite spiel-gekauft.de zusammengefasst.

Linuxnutzer aus Diablo 3 verbannt

Veröffentlicht am 4. Juli 2012 von Patrik Schönfeldt

Kommentar

Erste Gerüchte Blizzard sperre Diablo-3-Accounts von Nutzern des Betriebssystems Linux, haben sich nun bestätigt. Zwar werden die Fälle offiziell weiter bestritten. Das Unternehmen schildert sogar, aktiv gegen die Fehlerkennung vorzugehen. Nichtsdestotrotz wird laut Holarse sehr aktuelle Versionen der Software Wine fälschlicherweise als Cheat erkannt. Diese Software ist nötig, um für Windows entwickelte Programme unter Linux auszuführen.

So war es bereits 2006. Auch damals hatte Blizzard Linuxuser fälschlicherweise für Cheater gehalten. Nach massiven Beschwerden entschuldigte sich Blizzard damals bei den Nutzern der kommerziellen Wine-Variante Cedega. Die Accounts der Spieler wurden wieder freigeschaltet. Teyro, Moderator des Playing Penguin Podcasts, war ebenfalls betroffen. Er berichtet, sein Account wurde mittlerweile nach einem mehrstündigen Telefonat wieder entsperrt.

Mai 2013
M	D	M	D	F	S	S
« Mrz
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31