Steam VAC Schutz sendet MD5 Hashes besuchter Domains ans Valve

[Gamienator]

Moin Leute, gerade hab ich in Reddit was interessantes gelesen: Jegliche Daten in unserem DNS Cache wird an Valve geschickt. (http://redd.it/1y0kc1) Dabei wird die domain in einen md5 hash umgewandelt und dieser wird dann abgeschickt.


Gabe Newell hat sich auch bereits zu Wort gemeldet: http://redd.it/1y70ej Er bestätigt dies zu teilen. Er sagt, dass moderne Cheatsysteme jetzt auch wie DRM Systeme verfahren. Dabei würden die Cheats nach Hause telefonieren und überprüfen ob der Nutzer auch wirklich für den Cheat bezahlt hat. Auf Nachfrage eines Users würde man aber nicht jegliche DNS Einträge als verdächtig ansehen, sondern nur diese, die nach Hause telefonieren (http://www.reddit.com/r/gaming/comments/1y70ej/valve_vac_and_trust/cfhyaf4)


Also wie findet ihr das? Erstens musste ich ja lachen, dass die Leute die Cheats schreiben auf die selbe Methode gesprungen sind, wie es sonst doch so verhasst ist wie EA und Valve. Aber dann nun der VAC jegliche Daten aus meinem DNs Cache übermittelt ist mir dann doch etwas ungeheuer ...

 

[Jesterfox]

Da aber nur Hashes gesendet werden kann man damit nicht besonders viel anfangen, außer es mit den Hashes bestimmter Domains auf der eigenen "Blacklist" zu vergleichen. Von daher seh ich als einzigen Punkt kritisch das sie "nur" MD5 verwenden.

 

[DeusoftheWired]

War gestern auch ziemlich verunsichert. Aber wie es ein Nutzer treffend formuliert hat, sollte man mit dem Herausholen der Mistgabeln warten, bis alle Fakten bekannt sind.

 

[ghostwriter2]

Ums kurz und knapp zu halten:
Ich kann gebannt werden wenn ich bestimmte Internetseiten besuche?

 

[coolmodi]

Ums kurz und knapp zu halten:
Ich kann gebannt werden wenn ich bestimmte Internetseiten besuche?

Wenn es sich dabei um die "hast du für den cheat der grad läuft bezahlt" Seiten handelt? Ja.
Aber die Adressen werden ja auch nur aufgerufen wenn du den paycheat anmachst.

Edit: Aber ist ja genial, dass man die Paycheats einfach über das DRM erkennen kann

 

[Cool Master]

Vom Gabe:

Trust is a critical part of a multiplayer game community - trust in the developer, trust in the system, and trust in the other players. Cheats are a negative sum game, where a minority benefits less than the majority is harmed.
There are a bunch of different ways to attack a trust-based system including writing a bunch of code (hacks), or through social engineering (for example convincing people that the system isn't as trustworthy as they thought it was).
For a game like Counter-Strike, there will be thousands of cheats created, several hundred of which will be actively in use at any given time. There will be around ten to twenty groups trying to make money selling cheats.
We don't usually talk about VAC (our counter-hacking hacks), because it creates more opportunities for cheaters to attack the system (through writing code or social engineering).
This time is going to be an exception.
There are a number of kernel-level paid cheats that relate to this Reddit thread. Cheat developers have a problem in getting cheaters to actually pay them for all the obvious reasons, so they start creating DRM and anti-cheat code for their cheats. These cheats phone home to a DRM server that confirms that a cheater has actually paid to use the cheat.
VAC checked for the presence of these cheats. If they were detected VAC then checked to see which cheat DRM server was being contacted. This second check was done by looking for a partial match to those (non-web) cheat DRM servers in the DNS cache. If found, then hashes of the matching DNS entries were sent to the VAC servers. The match was double checked on our servers and then that client was marked for a future ban. Less than a tenth of one percent of clients triggered the second check. 570 cheaters are being banned as a result.
Cheat versus trust is an ongoing cat-and-mouse game. New cheats are created all the time, detected, banned, and tweaked. This specific VAC test for this specific round of cheats was effective for 13 days, which is fairly typical. It is now no longer active as the cheat providers have worked around it by manipulating the DNS cache of their customers' client machines.
Kernel-level cheats are expensive to create, and they are expensive to detect. Our goal is to make them more expensive for cheaters and cheat creators than the economic benefits they can reasonably expect to gain.
There is also a social engineering side to cheating, which is to attack people's trust in the system. If "Valve is evil - look they are tracking all of the websites you visit" is an idea that gets traction, then that is to the benefit of cheaters and cheat creators. VAC is inherently a scary looking piece of software, because it is trying to be obscure, it is going after code that is trying to attack it, and it is sneaky. For most cheat developers, social engineering might be a cheaper way to attack the system than continuing the code arms race, which means that there will be more Reddit posts trying to cast VAC in a sinister light.
Our response is to make it clear what we were actually doing and why with enough transparency that people can make their own judgements as to whether or not we are trustworthy.
Q&A
1) Do we send your browsing history to Valve? No.
2) Do we care what porn sites you visit? Oh, dear god, no. My brain just melted.
3) Is Valve using its market success to go evil? I don't think so, but you have to make the call if we are trustworthy. We try really hard to earn and keep your trust.

http://www.reddit.com/r/gaming/comments/1y70ej/valve_vac_and_trust/

Also keine Panik schieben alles ok...

 

[DeusoftheWired]

Ums kurz und knapp zu halten:
Ich kann gebannt werden wenn ich bestimmte Internetseiten besuche?

Wenn es sich dabei um die "hast du für den cheat der grad läuft bezahlt" Seiten handelt? Ja.
Aber die Adressen werden ja auch nur aufgerufen wenn du den paycheat anmachst.

Edit: Aber ist ja genial, dass man die Paycheats einfach über das DRM erkennen kann

Leute, lest doch bitte mal, was Gabe dazu gesagt hat, wenn OP es schon extra verlinkt.

Der Abgleich der besuchten Seiten wird als Zweitprüfung eingesetzt, wenn ein Anfangsverdacht besteht. Die Seiten der Cheatverkäufer besucht zu haben, reicht nicht für einen Ban aus.

VAC checked for the presence of these cheats. If they were detected VAC then checked to see which cheat DRM server was being contacted. This second check was done by looking for a partial match to those (non-web) cheat DRM servers in the DNS cache. If found, then hashes of the matching DNS entries were sent to the VAC servers. The match was double checked on our servers and then that client was marked for a future ban.

Das System ist aber hinfällig, da die bösen Jungs schon einen Weg gefunden haben, dieses Aufdecken zu umgehen, nämlich durch das Verändern des DNS-Cache des Rechners, auf dem der Cheat läuft.

This specific VAC test for this specific round of cheats was effective for 13 days, which is fairly typical. It is now no longer active as the cheat providers have worked around it by manipulating the DNS cache of their customers' client machines.

 

[Gandalf2210]

oder einfach den Por, ähh private/inkognito, was auch immer Modus anmachen, dann sollte doch nicht mehr viel von den halblegalen webseiten übrig bleiben

EDIT: oder auch nicht, landen trotzdem im cache

 

[Autokiller677]

@Gandalf:
Der DNS Cache wird nicht durch den Private Modus geblockt, schon gar nicht, wenn Programme außerhalb des Browsers aufs Internet zugreifen.

 

[Jesterfox]

Der einzige Weg den DNS-Cache aus dem Browser heraus zu umgehen ist einen Proxy zu verwenden der nicht auf dem eigenen PC läuft. Dann taucht im DNS-Cache nur die Domain des Proxys auf (und das kann man auch noch verhindern indem man direkt die IP des Proxys beim Browser eingibt)


Aber das ganze ist doch eh hinfällig... bei dem entsprechenden Code im VAC ging es nur um einen Vergleich mit einer Blacklist an Cheat-Servern der gar nicht mehr aktiv ist (weil die Cheats mittlerweile den DNS Cache manipulieren)