Niespodziewana premiera, czyli jak gra o schnięciu farby obnażyła luki w bezpieczeństwie Steama

Niespodziewana premiera, czyli jak gra o schnięciu farby obnażyła luki w bezpieczeństwie Steama

Jedną z wielu zalet systemów dystrybucji oprogramowania (głównie gier) takich jak Steam czy Origin jest ich bezpieczeństwo. Dzięki temu, że ktoś czuwa nad testowaniem i sprawdzaniem tego, co ściągają użytkownicy, możemy spać spokojnie i nie martwić się o złośliwe oprogramowanie czy wirusy. Czy aby na pewno?

W zeszły weekend użytkownicy Steam mogli podziwiać kompletnie bezwartościową, składającą się z jednej planszy menu, grę „Watch paint dry” – w wolnym tłumaczeniu „Patrz jak trawa rośnie”, dosłownie „Patrz jak schnie farba”. Jest to synonim czegoś robienia niezwykle nudnego. Gra wywołała krótkotrwałą burzę na Steamowych forach – niektórzy doszukiwali się w niej przykładu kompletnego upadku jakości gier na Steam, inni uważali, że gra jest doskonałym dowcipem i komentarzem na temat gier indie.

Prawda zaś była jeszcze ciekawsza.

steamb

W rzeczywistości autor gry, nie mogąc się doprosić o poprawienie błędu w procesie umieszczania gier w systemie Steam, postanowił udowodnić, że luka rzeczywiście istnieje, tworząc grę – żart (premiera gry była zaplanowana na Prima Aprilis, jednak wskutek pomyłki udostępniona była wcześniej). Jak to możliwe, że duża firma taka jak Valve pozwala na takie sytuacje? Autor wyjaśnił wszystko (już po usunięciu gry), w długim artykule, który opublikował w poniedziałek.

Oprócz standardowych umów, jakie podpisują wielcy wydawcy, małe firmy produkujące gry mogą skorzystać z przeznaczonego dla twórców niezależnych programu Greenlight.

Jest to program, który umożliwia niezależnym twórcom umieszczenie gry w Steam, po uprzednim głosowaniu przez społeczność. Użytkownicy deklarują się (bez zobowiązań), że zakupiliby daną grę, gdyby była dostępna. Jednak tym razem udało się umieścić grę w serwisie z pominięciem nawet tego procesu. Użytkownikowi, ukrywającemu się pod pseudonimem Ruby Meow dopiero wtedy udało się zwrócić uwagę firmy Valve – dziś dziura w bezpieczeństwie Steam jest już załatana. A była to dziura potężna – przecież możliwe było umieszczenie w sklepie kodu, który np. kradłby dane użytkownika lub instalował w jego systemie keylogger.

steama

W jaki sposób Ruby’emu udała się sztuka „wstawienia” gry?

Po pierwsze, użytkownik musiał być członkiem programu „SteamWorks”, umożliwiającego m.in. umieszczanie w grach funkcji Steam, takich jak osiągnięcia czy zapis stanu gry w chmurze. Ruby zauważył tam pewne luki i, po próbie poinformowania Valve (nie zainteresowali się tematem), postanowił sprawdzić, na ile uda mu się je wykorzystać.

Sklecił na szybko 45-sekundowy symulator schnięcia farby (Watch the paint dry) w RPG Makerze, a następnie stworzył dla tej „gry” karty kolekcjonerskie (jedna z funkcji SteamWorks).

W tym momencie, analizując ruch sieciowy pomiędzy Steam i serwerami Valve, zauważył, że jedno z pól przesyłanego formularza przy publikowaniu kart to identyfikator użytkownika – pole liczbowe. Postanowił zmienić je na jakąś niską liczbę – np. na „1” – w nadziei, że trafi na identyfikator kogoś pracującego w Valve. I bingo: trafił na prawdziwe konto. Numer sesji, który uzyskał przy tej operacji wykorzystał przy wywołaniu operacji ReleaseGame (publikuj grę). I, ku swojemu niedowierzaniu, gra się faktycznie ukazała.

Mimo że nic nie robiła, można ją było zakupić i uruchamiać, a nawet otrzymać za nią karty kolekcjonerskie.

paintdry

Pomimo krótkiego żywota gra „Watch paint dry” doczekała się nieomal kultowego statusu. Choć już zniknęła ze sklepu, użytkownicy, którą ją wciąż posiadaja, wciąż o niej dyskutują m.in. na Reddicie i w forach dyskusyjnych Steam.

Firma Valve miała dużo szczęścia, że trafiła akurat na programistę-zapaleńca spraw bezpieczeństwa, który nie miał żadnych złych zamiarów. Pragnął jedynie, aby systemy, których używają on i inni użytkownicy, były bezpiecznie.

Dołącz do dyskusji

MAŁO? CZYTAJ KOLEJNY WPIS...

MAŁO? CZYTAJ KOLEJNY WPIS...

Advertisement