Valve Anti Cheat System (VAC) podejrzewany o szpiegowanie użytkowników

Krytyka Microsoftu (a w szczególności Windows 8) przez szefaValve Software, Gabe'a Newella (który przecież spędził w Redmond13 lat życia), w połączeniu ze deklaracjami upodobania do Linuksa,zwieńczonymi wydaniem systemu operacyjnego SteamOS, zaskarbiła musympatię wszelkiej maści geeków i nerdów. Nagłówki prasowe wstylu „jak zarobić miliardy i pozostać sympatycznym”przesłaniały realia modelu biznesowego, na którym rosła platformaSteam, a ostrzeżenia Richarda Stallmana, przypominającego żeklient Steama, niezbędny do grania w pobrane gry to niewolneoprogramowanie narzucające użytkownikom zabezpieczenia DRMpowszechnie ignorowano – do tego stopnia, że zaczęły pojawiaćsię dystrybucje Linuksa z preinstalowanym Steamem. Nawet walkaniemieckich organizacji konsumenckich z Valve o prawo do odsprzedażyzakupionych na Steamie gier niespotkała się z powszechnym poparciem. Ten pozytywny obraz Valvemoże jednak być coraz trudniej utrzymać, szczególnie w świetlenajnowszych doniesień, z których wynika, że firma szpieguje swoichklientów.Na łamach subreddita r/globaloffensive ujawnionozdekompilowanykod modułu VAC (Valve Anti Cheat System), wykorzystywanego wgrach rozprowadzanych przez Steam do zwalczania oszustów. Istnienietakiego modułu nie jest problemem. Problemem jest zupełnie cośinnego. Autor odkrycia informuje, że VAC przegląda wszystkie wpisyw pamięci podręcznej DNS komputera pod kątem rozwiązanych adresówinternetowych, czyli w praktyce wszystkich witryn i usług, którezostały przez użytkownika odwiedzone mniej lub bardziej świadomie.[img=spyware]Adresy te są następnie przekształcane do skrótu MD5, a skrótywysyłane na serwery Valve. Nie wiadomo, co operator Steama z nimirobi, ale z dyskusji na reddicie wynika, że są one porównywane zlistą witryn zakazanych, stron zawierających treści poświęconeoszukiwaniu w ponad 60 grach, które korzystają z VAC. Uzasadniaćtakie zastosowanie szpiegowskiego mechanizmu ma duża liczba banów,w szczególności dotyczących gry z gatunku survival horror pt.Rust, która zabezpieczona jest przez VAC.Jak można się domyślać, fani Valve bronią swojej ulubionejfirmy (uchylając się najczęściej przed odpowiedzią na pytanie,co by powiedzieli, gdyby na podobnej praktyce zostało przyłapanetak „kochane” przez społeczność EA). Walka z oszustami ma byćwięc usprawiedliwiona tym, że wszyscy użytkownicy Steamazobowiązali się przestrzegać kodeksu postępowania online i nieoszukiwać w grach. Co więcej, regulamin Steama pozwalać ma Valvena zbieranie wrażliwych danych o użytkownikach (firma obiecuje przytym, że nie przekaże danych tych stronom trzecim).Trudno zgodzić się z taką interpretacją, przynajmniej zperspektywy obowiązujących w UE praw dotyczących ochronywrażliwych danych osobowych. Banowanie użytkowników odwiedzającychniepożądane witryny przypomina prewencyjne aresztowania przezpolicję wszystkich tych, którzy przeglądają strony poświęconechemii materiałów wybuchowych, czy nakładanie przez fiskusa kar zaczytanie przez podatników opracowań poświęconych optymalizacjipodatkowej. Pojawiają się też spore wątpliwości co do samejskuteczności takiego mechanizmu polowania na oszustów – skróconealgorytmem MD5 wpisy DNS mogą być z łatwością odwrócone czysfałszowane z użyciem tęczowychtablic.Na tę chwilę Valve nie zajęło oficjalnego stanowiska wsprawie, nikt jednoznacznie też nie potwierdził złośliwegodziałania VAC. Zaobserwowano jednak zastanawiające korelacje wrozmiarach komunikacji VAC z serwerami w Sieci (sama komunikacja jestzaszyfrowana, nie udało się jej odczytać). Przy minimalnychrozmiarach pamięci podręcznej DNS, ruch ten jest znaczniemniejszych rozmiarów, niż po „napompowaniu” jej rozmiarów.Wyczyszczenie pamięci podręcznej powoduje zmniejszenie ilościprzesyłanych danych.Aktualizacja