17.02.2014 | 21:19

Adam Haertle

6 komentarzy

Valve oskarżone o nadmierne szpiegowanie internautów

W sieci pojawiły się informacje o tym, jakoby system przeciwdziałania oszustwom w grach na platformie Steam zbierał i przesyłał do centrali informacje o domenach odwiedzanych przez graczy. Spróbujmy zweryfikować to oskarżenie.

Oszustwa towarzyszą grom komputerowym od zarania dziejów. Starsi czytelnicy pewnie pamiętają wpisywanie PEEK i POKE na Amstradzie lub Action Replay dla Amigi, zamrażający pamięć w trakcie gry i umożliwiający różne manipulacje. O ile wtedy oszukiwano tylko komputer, to w dzisiejszych grach toczących się na żywo w sieci oszuści psują zabawę innym użytkownikom. Nic więc dziwnego, że najwięksi producenci gier tworzą skomplikowane systemy wykrywania oszustw. Według internautów jeden z nich posuwa się trochę za daleko.

Wyścig zbrojeń

Valve jest potentatem na rynku gier. Jego platforma Steam zyskała ogromną popularność. Jednym z jej elementów jest system VAC (Valve Anti-Cheat), którego zadaniem jest monitorowanie aktywności komputera w poszukiwaniu śladów oszustw. Twórcy metod oszukiwania systemu wymyślają sposoby ominięcia wykrycia przez VAC, a autorzy VAC szukają sposobów utrudnienia życia twórcom metod oszustw. W sieci znajdują się specjalne fora, poświęcone tylko i wyłącznie metodom oszukiwania w grach.

Na jednym z takich for pojawiła się wiadomość o tym, jakoby system VAC zbierał z komputerów użytkowników, a konkretnie z podręcznej pamięci  usługi DNS,  dane odwiedzonych przez nich domen. Dla każdej domeny ma być rzekomo obliczana funkcja skrótu MD5 a jej wynik ma być przesyłany do serwera VAC.

Po co Valve takie informacje

W sieci można bez trudu znaleźć wiele ofert systemów oszustw, które działają w trybie online, po opłaceniu abonamentu. Komputer użytkownika, który z takiego systemu korzysta, odwiedza w trakcie gry serwer świadczący usługę oszustwa. Po takiej wizycie zostaje ślad w podręcznej pamięci usługi DNS (DNS pamięta adres IP skojarzony z nazwą domenową, by nie musieć o nią pytać ponownie przy kolejnej wizycie). Valve zbierając takie dane może łatwiej identyfikować oszustów korzystających ze znanych serwerów, a może także używać takich informacji do wykrywania nowych serwerów (np. zbierając informacje o serwerach odwiedzonych przez oszustów zidentyfikowanych w inny sposób).

Efekt działania systemu VAC

Efekt działania systemu VAC

Czemu Valve miałoby przesyłać dane do serwerów? Prawdopodobnie dlatego, ze jakakolwiek weryfikacja, odbywająca się lokalnie, może zostać szybko przeanalizowana i zneutralizowana przez twórców mechanizmów oszustwa. Wiedząc, jakie domeny Valve uznaje za podejrzane, mogą szybko przenosić swoje usługi pod inne adresy. Weryfikując te dane na poziomie serwera Valve chroni swoją wiedzę na temat zidentyfikowanych przypadków oszustwa.

Dowody na to, ze faktycznie ma to miejsce

Tu zaczynają się schody. System VAC został tak skonstruowany, by maksymalnie utrudnić jego analizę. Niektórzy internauci po opublikowaniu pierwszych informacji o podejrzanym zachowaniu systemu poddali analizie pliki gier i nie znaleźli w nich śladów opisywanej działalności. Kawał polega jednak na tym, że część najważniejszych plików VAC pobieranych jest z serwera w trakcie gry i nie są one nigdy zapisywane na dysku, zatem podejrzana funkcja może być ukryta własnie w jednym z nich.

Osoby twierdzące, ze Valve faktycznie takie dane przesyła, opublikowały zdizasemblowany fragment kodu, który ma tę funkcję realizować. Niestety, o ile kod ten faktycznie pobiera dane pamięci podręcznej usługi DNS i liczy skróty MD5 nazw poszczególnych domen, to nie ma w nim ani kawałka, który przesyłałby te dane do serwerów Valve.

Jedyny mniej lub bardziej namacalny dowód został opublikowany przez osobę, która przeprowadziła analizę ruchu sieciowego. Niestety analiza treści jest niemożliwa, ponieważ transmisja jest szyfrowana, jednak analiza ilościowa wskazuje na ciekawą korelację. Otóż ruch do serwera VAC z systemu, w którym pamięć podręczna DNS jest pusta, zajmuje niecałe 2MB. Z kolei po zasypaniu pamięci tysiącami wpisów (przez dodanie 20 tysięcy wpisów do pliku hosts) ilość danych rośnie do ok. 2,5MB. Po ponownym wyczyszczeniu pamięci podręcznej ilość danych ponownie wraca do poziomu ok. 2MB. Oczywiście nie znając treści komunikacji trudno uznać to za ostateczny dowód, ale zaobserwowane zjawisko sugeruje, ze warto bliżej przyjrzeć się tematowi.

Czy ingerencja w prywatność internautów jest uzasadniona?

Załóżmy, że Valve faktycznie przesyła skróty nazw domen do swoich serwerów. Czemu nie są przesyłane nazwy domen, tylko ich skróty? Prawdopodobnie Valve chce w ten sposób uniknąć oskarżeń o zbytnie ingerowanie w prywatność internautów. Przesyłane są dane wszystkich domen odwiedzonych przez użytkownika (czasem również tych, których jeszcze nie odwiedził – przeglądarki ładują dane stron, na które jeszcze nie weszliśmy), zatem potencjalnie Valve otrzymuje dużo więcej informacji, niż potrzebuje do wyłapania oszustów. Znając z góry skróty MD5 podejrzanych adresów Valve może łatwo zweryfikować, czy były odwiedzane przez danego użytkownika, nie czytając historii jego pozostałych odwiedzin.

Niestety oczywiście nic nie stoi na przeszkodzie, by Valve np. obliczyło skróty MD5 miliona najpopularniejszych domen i poznała zwyczaje graczy, korzystających z jej produktów. Co gorsza, w polityce prywatności firmy brak informacji o takiej praktyce. Pozostaje zatem tylko mieć nadzieję, że cała historia okaże się zwykłym humbugiem. A jeśli ktoś obawia się, że może być prawdziwa, to polecamy DNSCrypt.

Aktualizacja: Prezes Valve odpowiedział na wątpliwości internautów. Faktycznie może się zdarzyć, że informacje dotyczące odwiedzanej domeny były przesyłane do serwera Valve, ale dotyczyło to tylko domen, powiązanych z oszukującym oprogramowaniem. Funkcja ta była aktywna przez 13 dni i obecnie jest wyłączona, ponieważ autorzy oprogramowania oszukującego zmienili sposób jego działania. Dzięki tej operacji Valve zidentyfikowało ponad 500 oszustów.

Powrót

Komentarze

  • 2014.02.17 22:27 anonim641

    Tylko czekać jak ktoś wklei obrazek z jednej z zblacklistowanych domen na forum valve… :D

    Odpowiedz
  • 2014.02.18 08:09 kaefpe

    cache DNS można czyścić przecież ;)

    Odpowiedz
  • 2014.02.18 11:01 enlp

    Steam już od początku było spyware, pod przykrywką dobrego wujka Gaben’a i jego ukochanej firmy Valve.

    Chociaż muszę przyznać iż Valve ma rozgarniętych ludzi, metody gromadzenia danych szybko się zmieniały, praktycznie natychmiast po wykryciu. Czytanie rejestru, hosts, DNS cache, autostart, %programfiles%, %temp% … to tylko wierzchołek.

    Odpowiedz
  • 2014.02.18 18:49 loloek

    A po kiego czorta steam instaluje usługę która musi działać w tle od uruchomienia komputera?

    Odpowiedz
    • 2016.11.13 15:55 JB

      Właśnie przez to wywaliłem Steam’a z mojego komputera.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Valve oskarżone o nadmierne szpiegowanie internautów

Komentarze