r   e   k   l   a   m   a
r   e   k   l   a   m   a

Valve Anti Cheat System (VAC) podejrzewany o szpiegowanie użytkowników

Strona główna AktualnościOPROGRAMOWANIE

Krytyka Microsoftu (a w szczególności Windows 8) przez szefa Valve Software, Gabe'a Newella (który przecież spędził w Redmond 13 lat życia), w połączeniu ze deklaracjami upodobania do Linuksa, zwieńczonymi wydaniem systemu operacyjnego SteamOS, zaskarbiła mu sympatię wszelkiej maści geeków i nerdów. Nagłówki prasowe w stylu „jak zarobić miliardy i pozostać sympatycznym” przesłaniały realia modelu biznesowego, na którym rosła platforma Steam, a ostrzeżenia Richarda Stallmana, przypominającego że klient Steama, niezbędny do grania w pobrane gry to niewolne oprogramowanie narzucające użytkownikom zabezpieczenia DRM powszechnie ignorowano – do tego stopnia, że zaczęły pojawiać się dystrybucje Linuksa z preinstalowanym Steamem. Nawet walka niemieckich organizacji konsumenckich z Valve o prawo do odsprzedaży zakupionych na Steamie gier nie spotkała się z powszechnym poparciem. Ten pozytywny obraz Valve może jednak być coraz trudniej utrzymać, szczególnie w świetle najnowszych doniesień, z których wynika, że firma szpieguje swoich klientów.

Na łamach subreddita r/globaloffensive ujawniono zdekompilowany kod modułu VAC (Valve Anti Cheat System), wykorzystywanego w grach rozprowadzanych przez Steam do zwalczania oszustów. Istnienie takiego modułu nie jest problemem. Problemem jest zupełnie coś innego. Autor odkrycia informuje, że VAC przegląda wszystkie wpisy w pamięci podręcznej DNS komputera pod kątem rozwiązanych adresów internetowych, czyli w praktyce wszystkich witryn i usług, które zostały przez użytkownika odwiedzone mniej lub bardziej świadomie.

Adresy te są następnie przekształcane do skrótu MD5, a skróty wysyłane na serwery Valve. Nie wiadomo, co operator Steama z nimi robi, ale z dyskusji na reddicie wynika, że są one porównywane z listą witryn zakazanych, stron zawierających treści poświęcone oszukiwaniu w ponad 60 grach, które korzystają z VAC. Uzasadniać takie zastosowanie szpiegowskiego mechanizmu ma duża liczba banów, w szczególności dotyczących gry z gatunku survival horror pt. Rust, która zabezpieczona jest przez VAC.

Jak można się domyślać, fani Valve bronią swojej ulubionej firmy (uchylając się najczęściej przed odpowiedzią na pytanie, co by powiedzieli, gdyby na podobnej praktyce zostało przyłapane tak „kochane” przez społeczność EA). Walka z oszustami ma być więc usprawiedliwiona tym, że wszyscy użytkownicy Steama zobowiązali się przestrzegać kodeksu postępowania online i nie oszukiwać w grach. Co więcej, regulamin Steama pozwalać ma Valve na zbieranie wrażliwych danych o użytkownikach (firma obiecuje przy tym, że nie przekaże danych tych stronom trzecim).

Trudno zgodzić się z taką interpretacją, przynajmniej z perspektywy obowiązujących w UE praw dotyczących ochrony wrażliwych danych osobowych. Banowanie użytkowników odwiedzających niepożądane witryny przypomina prewencyjne aresztowania przez policję wszystkich tych, którzy przeglądają strony poświęcone chemii materiałów wybuchowych, czy nakładanie przez fiskusa kar za czytanie przez podatników opracowań poświęconych optymalizacji podatkowej. Pojawiają się też spore wątpliwości co do samej skuteczności takiego mechanizmu polowania na oszustów – skrócone algorytmem MD5 wpisy DNS mogą być z łatwością odwrócone czy sfałszowane z użyciem tęczowych tablic.

Na tę chwilę Valve nie zajęło oficjalnego stanowiska w sprawie, nikt jednoznacznie też nie potwierdził złośliwego działania VAC. Zaobserwowano jednak zastanawiające korelacje w rozmiarach komunikacji VAC z serwerami w Sieci (sama komunikacja jest zaszyfrowana, nie udało się jej odczytać). Przy minimalnych rozmiarach pamięci podręcznej DNS, ruch ten jest znacznie mniejszych rozmiarów, niż po „napompowaniu” jej rozmiarów. Wyczyszczenie pamięci podręcznej powoduje zmniejszenie ilości przesyłanych danych.

Aktualizacja

Gabe Newell udzielił na łamach reddita odpowiedzi w sprawie podejrzanej aktywności VAC. Utrzymuje, że sprawdzanie pamięci podręcznej DNS odbywało się w celu wykrywania płatnych narzędzi do oszukiwania, stosujących własne zabezpieczenia DRM. Valve nie zbiera w ten sposób żadnych informacji o aktywności użytkowników w Internecie, nie interesuje się też pornografią oglądaną przez użytkowników. Ciężko pracuje też na zdobycie i utrzymanie zaufania użytkowników.

Jednych ta odpowiedź zadowoliła, innych nie. Niestety, jak to jest zawsze w wypadku oprogramowania o zamkniętym kodzie źródłowym, jedyne co nam w takich wypadkach pozostaje, to zdać się na deklaracje producenta.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.