It-sikkerhed27. juni kl. 03:44
Dansk leder af hackergruppe: Steam var to år om at lukke gabende sikkerhedshul (halvt)
Illustration: Screenshot.
Version2 har tidligere stillet spørgsmålstegn ved Valves evne til at reagere ansvarligt på henvendelser om sikkerhedsproblemer i verdens tørste spilplatform, Steam. Den ene af disse to nye sårbarheden er nu patchet, men den ramte protokol kan stadig misbruges til andre ting. Der er flere fejl derude, lyder det fra hackergruppen.
17. maj 2021 kl. 03:45
Ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Det hører ikke 2021 til, at man blot ved at klikke på ét link lader sig kompromittere fuldstændig og giver hvem end der sendte linket mulighed for helt at overtage den enhed, man bruger.
I moderne browsere og styresystemer er der efterhånden bygget flere lag af sikkerhed ind der skal forhindre netop dette. Pop-ups, firewalls og så videre.
Ikke desto mindre er det netop dét, der i mindst 22 måneder har været muligt i verdens største spilplatform, Steam. Steam har nemlig været utroligt længe om at lukke sårbarheden, platformen ellers selv har klassificeret som 9/10 - altså ganske alvorlig. Det eneste der skulle til, før man er kompromitteret, er nemlig ét enkelt klik på en invitation, der uskyldigt spørger, om ikke du vil være med til at spille et spil.
For eksempel Counter Strike, der er uhyre udbredt med millioner af spillere og som er gratis at installere og spille. For med en spilinvitation inviterer man ikke bare modtageren til at starte et spil - man definerer også hvilke parametre, spillet skal startes med, hvilket en angriber udnytte til at tvinge ofret over på en usikker protokol, angriberen kan bruge til at eksekvere kode på ofrets enhed.
Det er vist ikke helt nemt at sikre vedvarende høj op-sec og disciplin i vår moderne verden. For nogle år siden var der eksempelvis lidt ballade om Pokemon-jagt og Candy Crushing i det norske Storting:https://nyheder.tv2.dk/udland/2016-10-05-norges-statsminister-spillede-pokemon-go-under-aabningsdebat-i-stortinget. De sikkerhedsklarerte toppolitikere havde selv svært ved at se noget problem, og pressen fokucerede mest på det pinlige ved at lade sig distrahere af spil i fuld offentlighed under debat i salen. Hvad de laver med deres computere en sen aften på kontoret/derhjemme i pausen mellem to kedelige udvalgsmøder kan vi blot forestille os. Vi kan jo håbe, at alle de mange ansatte i danske private og offentlige virksomheder holder sig på en smallere sti, og også har fået plomberet deres USB-porte forsvarligt.
Men er der ret mange, der "steamer" under forhold, hvor de er interessante for overvågning? Der vil være nogen, der bruger en pc delvist privat, delvist til arbejde (de behøver så ikke spille i arbejdstiden for at være sårbare), men ville Vestas eller Terma eller andre interessante mål tillade, at man infiltererede deres net med private spillemaskiner? Det tror jeg ikke.
Nogle gange er det altså bare dårlig kode og/eller elendigt designede protokoller, uden ondsindede bagtanker. Ret ofte, desværre 🙄
Ja det kan være overraskende så mange ikke-teenagere der også spiller spil … bl.a. på Steam.
Og der er jo ingen grund til at fedte med at skulle omgå operativsystemet eller trælse browsere og deres sandkasser, hvis man kan få sit target i folden blot ved at få ham eller hende til at kigge på highscore …
Tja, hvis man vil overvåge teenagere og andre muntre sjæle. Men vil man sidde på arbejde eller som "seriøs skurk" og spille computerspil?
... gerne ... skal jeg tage en flaske naivitetsbooster med til dig? .... smiler
smut du hellere i rema efter en rulle sølvpapir
Kan man ønske sig en bedre motor til at installere overvågningssoftware ... hvem mon ejer Valve eller sidder et sted med bestemmende magt?