News Valve: Source-Engine-Lücke macht(e) PCs über Steam angreifbar

[Zubz3ro]

Und ich dachte so etwas passiert nur bei Epic und nicht bei der heiligen Kuh Steam..

und ich dachte mit peinlichen strohmann 1-linern kriegt man keine likes..

 

[=rand(10)]

Naja Valve sieht EoP/LPE Schwachstellen nicht als ein Sicherheitsrisiko an. Ist richtig und falsch. EoP/LPE Schwachstellen brauchen schon Zugang zu einem Rechner und können so über Steam an Admin Rechte kommen. Da gibts aber unzählig Andere Wege an Admin Rechte zu kommen...

Dann nenne doch mal einen Weg, der keine Nutzer-Interaktion benötigt.

Glaub mir: Das mit den Rechten haben sich nicht Entwickler ausgedacht, die einfach zu viel Freizeit hatten und denen nichts besseres eingefallen ist, was man implementieren könnte.

Und in diesem Fall ists dann eben selbst mit "naja ein Fehler, der jetzt dann doch behoben ist" getan. Das ist ein konzeptionelles Problem bedingt dadurch, dass - wie du auch geschrieben hast - Valve das Sicherheitsfeature "Benutzerkontensteuerung" anscheinlich völlig egal ist.

 

[vander]

warum er 2 jahre gewartet hat und nicht 2 wochen verstehe ich nicht

Stand doch da, er hat erstmal lange auf seine Bezahlung gewartet. Hätte er vorher Infos raus gegeben würde er heut noch warten.
Das er nach Bezahlung noch was länger gewartet hat ist auch verständlich. Psychologisch dürfte er sich nach der Bezahlung verpflichtet gefühlt haben, Steam etwas Zeit zu geben.

Ich finde es Schade, dass man eine Plattform wie Steam nutzen muss, bzw das es keine offene unabhängige Plattform gibt....

Das stellt sich die Frage wie offen/unabhängig definiert wird. Die Publisher Shops von EA, Origin, Blizzard ... meinst du sicher nicht.
Wenn jetzt jemand einen Server auf OSS aufbaut, wo jeder seine Spiele anbieten könnte, dann gäb das noch mehr Chaos als auf Steam. Abgesehen davon, das ich einem Unternehmen, das gut Geld damit verdient, eher zutraue das sie in diese Platform investiert bleiben und sich nicht aus dem Markt drängen lassen.
Somit sind auch meine Käufe dort relativ sicher. Wichtiger Faktor!

 

[Bornemaschine]

Und ich dachte so etwas passiert nur bei Epic und nicht bei der heiligen Kuh Steam..

Hach ja Ironie des ganzen das es bei Epic irgendwie nie passiert das irgendwelche exploits im Umlauf sind (da gab es mal was mit den Unreal Foren).
Ah und natürlich das mit dem importierten der Steam Freundschaftsliste, was im Endeffekt erlaubt war.

Viele Valve Freunde sind schlimmer als der alte US Präsident wenn es um Verbreitung von Fake News geht.
Die gleiche News mit Epic in der Überschrift, hätte 400+ mehr Kommentare das ist sicher. Wenn es um Valve geht heißt es es seien ehrenhafte Entwickler die auch mal Fehler machen können
So geht Transparenz: https://www.epicgames.com/site/expiration-date-4-6-2021
Sogar auf Deutsch übersetzt

 

[bad_sign]

, oder wo genau liegt der unterschied zwischen nach 2 wochen und nach 2 jahren? es wurde so, oder so öffentlich gemacht, nur hatten jetzt "böse hacker" 2 jahre zeit es selbst rauszufinden, statt 2 wochen, wie ich es vorschlug

Google Projekt Zero gibt 90 Tage Zeit auf eine Antwort, wenn sich nichts tut veröffentlichen sie es, damit mit öffentlichen Druck was geschieht.

 

[mieze123]

Hacker moskowsky und sein Team haben ja gut daran verdient und interessante Sicherheitslücken gefunden:
https://hackerone.com/reports/391217
https://hackerone.com/reports/383127

Insgesamt 45.000,00 $.

Findest du?
Wenn ich diese Lücken so anschaue, dann finde ich das bezahlte eher Peanuts.

 

[Syrato]

Immerhin ist die Lücke jetzt geschlossen! Auch wenn man zuerst auf Valve gezielt hat, dann die Waffe aufgesetzt und sogar boch abdrucken musste, damit es passiert!

 

[Bright0001]

ganz toll, dass du von mir nur einen teil zitierst und sagt "nein das ist nicht richtig"

Ich fand es irgendwie offensichtlich, aber ich führe es gern weiter aus: Wenn du eine Schwachstelle findest, und diese direkt publik machst, dann passieren zwei Dinge:

1. Das betroffene Unternehmen setzt sich ran um den Bug zu schließen
2. Hacker setzen sich ran um diese Schwachstelle auszunutzen

Dabei ist zu beachten, dass nicht jede Software Updates erzwingen kann: Das heißt im schlechtesten Fall bleibt ein hoher Anteil der Nutzer, die "Update-faul" sind, weiter angreifbar, obwohl der Bug schon mit nem Hotfix abgearbeitet wurde.

Die Alternative ist eben die mit der Zusammenarbeit des Unternehmens:

1. Man teilt dem Unternehmen mit, dass es eine Schwachstelle gibt
2. Man einigt sich auf den Zeitrahmen, den das Unternehmen zum Fixen hat
3. Schwachstelle wird gepatcht, ohne dass jeder Hacker dieser Welt mit der Nase reingetunkt wurde

Falls du mehr zu dem Thema wissen willst, dann google einfach nach "responsible disclosure", ist eigentlich der Standard unter White Hats.

 

[failXontour]

Schwache Kür von Valve. Doch selbst als Sicherheitslaie u. Spieler kennt man sicherlich vielleicht auch schon den einen oder anderen Exploit wie z.B. vom eigenen Overwatch System wo man angeblich ja nicht die Namen der Cheater sieht. Doch lässt sich ganz einfach der Traffic per Wireshark auslesen und die Demos mit den Overwatch-Cheatern herunterzuladen.

Das hat auch noch keiner gefixt, man setzt ja auch nur HTTP zur Datenübertragung ein und verschlüsselt diese Kanäle nicht. Ich möchte gar nicht erst wissen was alles echte Hacker an Datenmengen, Informationen zusammentragen können mit einem Game wie CS:GO, wenn man es darauf gezielt anlegt.

 

[jonderson]

@Klosteinmann Meinen Informationen zufolge ist das nicht korrekt:
https://www.theloadout.com/csgo/report-botting-fix

 

[failXontour]

@Klosteinmann Meinen Informationen zufolge ist das nicht korrekt:
https://www.theloadout.com/csgo/report-botting-fix

Das geht irgendwie an meinem Kommentar vorbei. Also so komplett, habe ja nicht explizit übers Botting gesprochen. Ich sprach von einem Bug dem es dem individuellen Overwatch System die Namen von den Cheatern herauszufinden die ja angeblich laut FAQ geheimgehalten werden vor den Overwatch beobachtern.

Der ist glaube so alt wie Overwatch selbst in der Beta war. Wenn man in den Steam Foren und Online weiterschaut findet man bestimmt ältere Hinweise darauf. Das älteste was ich gesehen habe war ein Cheater, der seinen Cheat dafür verwendet hatte die IDs der Spieler anzuzeigen.

Ich rede hierüber

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Overwatch FAQ

What evidence is available to the investigators?

Investigators are presented with a replay of a randomly selected eight-round segment from an accused player’s match, and their task is to determine whether or not that player has committed any offenses during that replay. The suspect is referred to as “The Suspect” and the other players’ names have been replaced. All text and voice chat has been omitted. The investigator is expected to make a determination solely based on the actions of the suspect.

Doch kann ich mir per Wireshark die komplette Demo herunterladen vom Overwatch-Case einfach identifizieren wer die Person ist inkl. Steam-ID. Seine Teammates identifizieren, ich persönlich hatte viele Demos von Shanghai Overwatch-Cases bekommen konnte noch nicht festellen das ich meine eigenen Reports bearbeiten konnte.

Für mich zwar hilfreich, doch ist das jetzt nicht unbedingt ein gutes Zeichen für Valve und ihr versprechen an Sicherheit/Verschwiegenheit gegenüber den Nutzern, wenn man schon ein Überwachungs-System einführt jeder Nutzer aufgrund von Spielreplays.

 

[jonderson]

Das geht irgendwie an meinem Kommentar vorbei. Also so komplett, habe ja nicht explizit übers Botting gesprochen. Ich sprach von einem Bug dem es dem individuellen Overwatch System die Namen von den Cheatern herauszufinden die ja angeblich laut FAQ geheimgehalten werden vor den Overwatch beobachtern.

Und jetzt rate mal wie Report Botting funktioniert hat

 

[longusnickus]

Falls du mehr zu dem Thema wissen willst, dann google einfach nach "responsible disclosure", ist eigentlich der Standard unter White Hats.

du könntest auch einfach den artikel lesen

deine ganzen aufzählungen sind auch sinnlos... ob vavle ihn jetzt ignoriert, oder vor 2 jahren ist egal für deine bsp
weil jetzt hat er es öffentlich gemacht und jetzt muss valve reagieren, nachdem sie ihn 2 jahre WIE IM ARTIKEL GESCHRIEBEN ignoriert haben
glaubst du, dass er an die öffentlichkeit gegangen wäre, wenn valve mit ihm in kontakt stünde wegen eines fixes? eher nicht!

also danke für deine ausführung. sie ist aber komplett sinnlos für diesen fall

Google Projekt Zero gibt 90 Tage Zeit auf eine Antwort, wenn sich nichts tut veröffentlichen sie es, damit mit öffentlichen Druck was geschieht.

die 2 wochen von mir war nur ein bsp. 2 jahre sind definitiv zu lange. bei kritischen lücken wären mir auch 90 tage zu lang

 

[Schmarall]

Es ist wie immer: Ohne Shitstorm bewegen sich Firmen einfach nicht.

 

[scryed]

verfolge doch mal wie sehr gegen epic getrollt wird und vergleiche die trollerei mal mit steam

Hahaha sorry musst Mal lachen der neben mir hat sich sogar erschreckt , wenn auch nur Steam erwähnt wird wird drauf eingenuppelt .... Ja Epic bekommt auch sein Fett weg aber zu behaupten Epic ist schlimmer dran mit dem bashing als Steam halte ich für sehr gewagt

Ergänzung (19. April 2021)

Nope, macht das Google Security Team doch auch. 90 Tage hat man nach Melden des Bugs Zeit zu fixen

Hm aber verlangt Google Geld dafür , ich glaub in dem Post es um Straftat ging war da nicht spekulative die Forderung nach Geld drinnen

Wenn Person a die Lücke meldet und genug Zeit zum fixen gibt diese dann nach einer Frist veröffentlicht sollte OK sein

Wenn Person a die Lücke meldet und unter der Aufforderung gebt mir Geld ansonsten verrate ich das ist das sicher strafbar und Erpressung


Das Google mit Veröffentlichungen von Lücken ihr Image aufpoliert ist ein netter Nebeneffekt .....

 

[Bright0001]

du könntest auch einfach den artikel lesen

Vielleicht solltest du dir nochmal durchlesen, was du hier so geschrieben hast:

wenn man will, dass etwas passiert, dann macht man es öffentlich.

also danke für deine ausführung. sie ist aber komplett sinnlos für diesen fall

Du stellst also erstmal eine allgemeingültige Aussage auf, und wenn man diese widerlegt, dann kommst du mit "aber nicht relevant für diesen Fall" um die Ecke: Das ist ein klassischer Trug-/Fehlschluss und kein valides Argument ("moving the goalpost").

Bug Bounty-Programme sind heutzutage standard, und daran ändert auch ein Valve nichts, denen ein kritischer Bug mal durch die Lappen gehen. Nach Gutdünken direkt kritische Bugs öffentlich zu machen bleibt weiterhin unethisches Verhalten - ich habe dir auch dargelegt, warum. Und falls du da anderer Meinung bist, dann solltest du diese mit soliden Argumenten untermauern, anstatt dass du nur

einen teil zitierst und sagt "nein das ist nicht richtig"

 

[burglar225]

@scryed Du hast offensichtlich keine Ahnung, wie Bug Bounty Programme funktionieren. Aber hauptsache mal Erpressung unterstellt. Ganz großes Kino!
Und nur weil Google kein Geld für ihre gefundenen Bugs fordert (soweit ich weiß), heißt das noch lange gar nichts. 99% der Bug Hunter machen das nämlich (mit Recht!).

 

[dragnod0]

Wieso gibt es keine Bußgelder für sowas?

Bußgelder allein werden das Problem nicht lösen. Zumindest nicht wenn sie einen festen Wert haben.
In so einem Fall bringen Bußgelder erst dann was wenn sie Umsatzabhängig und Global sind.

Das schließen solcher Lücken ist immer eine Abwägung zwischen Aufwand (Geld) und dem Risiko deswegen belangt zu werden.
Bei Valve ist das Risiko leider relativ gering.

 

[DoS007]

Bußgelder allein werden das Problem nicht lösen. Zumindest nicht wenn sie einen festen Wert haben.
In so einem Fall bringen Bußgelder erst dann was wenn sie Umsatzabhängig und Global sind.

Das schließen solcher Lücken ist immer eine Abwägung zwischen Aufwand (Geld) und dem Risiko deswegen belangt zu werden.
Bei Valve ist das Risiko leider relativ gering.

Genau deswegen muss das (abhängig, wie du schon sagst) entsprechend hoch sein. (imo)