Witajcie, drodzy czytelnicy. Zniewolonego Orła dopadła choroba, dlatego poprzedni tydzień musiał obyć się bez wtorkowego SingleShocka, podczas gdy na świecie działo się wiele interesujących rzeczy. Dziś dowiemy się, w jakich okolicznościach zaginęło zeszłego tygodnia dużo francuskich kopii Modern Warfare 3, kto i dlaczego zaatakował bazy danych Steam oraz o tym, jak gracze Battlefield 3 zostają zbanowani za linkowanie do swojego bloga na forum EA. Zapraszam!
Skradziono ok. 12 tys. kopii Modern Warfare 3
Francuscy dystrybutorzy gry nie mają teraz zbyt ciekawej sytuacji. W ten weekend, podczas przetransportowywania pudełek z grą, zostały przejęte i skradzione dwa samochody przewożące Modern Warfare 3.
W miejscowości Creteil, północna Francja, bardzo blisko Paryża, o 7:30 rano, wóz przewożący pudełka z grą zostaje uderzony przez osobówkę. Dwójka pracowników firmy Xfire zajmującej się dystrybucją, wysiada z vana by ocenić uszkodzenia, po czym zostają zaatakowani przez dwóch zamaskowanych mężczyzn z nożami. Bandyci użyli gazu łzawiącego i pojmali samochód dostawczy, pozostawiając swe ofiary na drodze.
Mantes, kilka kilometrów na północny wschód od Paryża. Pół godziny po porwaniu ma miejsce drugi napad. I tym razem bandytom udało się przejąć pół-ciężarówkę. Kierowca miał mało czasu na reakcję, gdy potężny samochód zablokował mu przejazd. Trzech zamaskowanych napastników z bronią palną każe mu opuścić pojazd. Kolejny samochód transportowy zostaje porwany.
Straty w kopiach gry oceniono na blisko 800 tys. euro.
Ban na forum EA = ban w grze?
Jeszcze nie tak dawno temu, nieco więcej niż pół roku, miało miejsce zdarzenie w społeczności wielbicieli gier Electronic Arts. Pewien użytkownik, zadawszy na forum BioWare retoryczne pytanie „sprzedaliście duszę diabłu EA?“ otrzymał bana na forum i pisanie komentarzy. Jak się potem okazało, nie miał również dostępu do swoich gier i nie mogąc aktywować nowozakupionego egzemplarza Dragon Age 2.
Koniec końców, Elektronicy stwierdzili, że nastąpiła pomyłka, przez którą zablokowano konto użytkownika w całym systemie, a nie tylko na forach BioWare. Temat na forum dotyczący problemu zamknięto, a zarówno support EA jak i moderator, który wystawił bana, zdecydowali się przemilczeć sprawę, obiecując tylko że naprawią błąd w systemie powodujący takie zajścia.
Jednak niedawno kilku graczy, którzy za najróżniejsze wypowiedzi otrzymali bana nie tylko na forach EA, ale jak się później okazało, również na grę w Battlefield 3 i inne tytuły Electronic Arts. Wsparcie techniczne firmy decyduje się jednych graczy ignorować, albo na zaasadzie kopiuj-wklej tłumaczyć, że to trudna sprawa.
Sprawy graczy są najróżniejsze – któryś z graczy pisał o tym, co EA może zrobić z jego genitaliami i dodatkowo mieszał w to trupy, ten jednak otrzymał odmowę jakiejkolwiek pomocy w sprawie braku dostępu do zakupionych gier. Inny rzekomo wstawił na forum reklamę, a właściwie link do „komercyjnego bloga“, który jednocześnie umieszczono w oficjalnych poradnikach i FAQ… Inny gracz zaś, użył na forum określenia „e-peen“ (skrót dla wyrażenia „elektroniczny penis“). Ban miał trwać równo 3 doby, jednak po jakimś czasie gracze otrzymywali informację, że ich konta zostały permanentnie zablokowane w systemie EA Origin. Rzecz jasna, bez bardziej szczegółowych wyjaśnień.
Pomoc techniczna firmy i technicy przebywający na czacie odmawiają powyższym graczom jakiejkolwiek pomocy. Graczom zapowiedziano również, że wszystkie ich postacie w Battlefield 3 i zdobyte poziomy zostaną usunięte.
Gracz od „e-peena“ stwierdził, że w rozmowie z techniami EA używał bardzo grzecznego tonu. Technicy na czacie posłali go do diabła i stwierdzili, że ma napisać e-mail do pomocy technicznej. Tak też zrobił, w równie grzecznym stylu. Następnego dnia otrzymał wiadomość następującej treści:
„Prosimy zauważyć, że twoje konto [email] zostało permamentnie zablokowane w usłudze Electronic Arts Online za naruszanie warunków usługi. To konto nie będzie więcej dostępne w żaden sposób, i wszystkie usługi, przedmioty i postacie podpięte pod to konto zostały już lub wkrótce zostaną usunięte.“
A dlaczego?
„Takie działanie było konieczne ze względu na powtarzające się akcje ofensywne na tym koncie. Żałujemy, że musimy wykonać ten ostateczny krok, ale jest to całkowicie konieczne w celu ochrony społeczności Electronic Arts Online. Sprawa została już omówiona, więc żadne rozmowy w tej kwestii nie będą miały już miejsca. Dziękujemy za zrozumienie wszystkich punktów w Warunkach Usługi, które wciąż obowiązują ciebie odkąd je zaakceptowałeś, w szczególnosci sekcje odnoszące się do blokowanych użytkowników usługi.“
Żadne rozmowy nie miały miejsca. Żadne „akcje ofensywne“ również. Nie ma możliwości dyskusji na tematy kont i gier. Odkąd gracze otrzymali takie wiadomości, do teraz nie są w stanie zagrać w żadną z zakupionych w Origin gier. EA nie odpowiada na żadne wiadomości dotyczące sprawy.
Oto obwieszczenie, które wydało EA w 2008 roku:
„Pisanie postów na Forach EA umożliwiają konta EA Nucleus – ale dostęp do forum i dostęp do gier to oddzielne usługi. Gracze, którzy zostali zbanowani na forach EA nie zostają automatycznie zbanowani ze swoich gier EA. Gracze mogą zostać zbanowani jeżeli złamią Warunki Użytkowania bądź Kodeks Postępowania na forum, w grze lub usłudze. Każde forum, każda gra i każda usługa jest zarządzana niezależnie przez odpowiednich ludzi wsparcia konsumenta.“
Steam shackowane
Co prawda piąty listopada nie odznaczył się wcale zapowiadanym końcem Facebooka, ale za to po tyłku dostało się Steamowi. Włamano się do bazy danych Steam, zawierającej loginy użytkowników, ich „zahashowane i zasaltowane“* hasła, zakupione gry, adresy e-mail i dane na temat płatności i tak dalej.
Valve nie posiada żadnych śladów na temat tego, kto dokonał włamania i nie wiedzą, czy skradziono numery kart kredytowych. Użytkowników poproszono o jak najszybszą zmianę haseł zarówno w usłudze Steam, jak i na forach i wszędzie, gdzie mają takie samo hasło, co na Steamie. Dziwne, że nie doradzono ukrycia się wraz z rodziną w podziemnych kryptach.
* Zahashowane i zasaltowane – hash to niejako „przemiana” w (najczęściej) 32-znakowy ciąg. Salt natomiast to potraktowanie Twojego hasła dodatkowymi znakami w celu utrudnienia jego złamania.
8itHit
Dzisiaj było mało tematów, ale za to jedne bardzo treściwy. Na koniec 8-bitowy hit, tradycyjnie. Życzcie mi rychłego powrotu do zdrowia. ;)
dobrze wiedzieć już tak dawno na tego steama nie wchodziłam. A może ktoś mi powiedzieć jak na nim zmienić hasło ?? bo opcji żadnych nie widać ?
Hasło na steamie zmienione. Na forum EA się nie wypowiadałem i widzę że lepiej tego nie zmieniać, póki co i tak nie widzę na horyzoncie gier które wydają elektronicy a które chciałbym nabyć :P A kradzież we francji… Łapy poucinać przy samej dupie i tyle no.
Zdrowia Enslaved!! (Zapomniałem od razu dopisać :P)
Jak usłyszałem, że konto steam zostało shakowane to mnie wcale nie zdziwiła ta wiadomość.
Hakerzy stali się teraz bardziej nachalni i mogą włamywać się gdzie chcą i kiedy chcą nie ponosząc za to żadnej odpowiedzialności a zmiana hasła to tylko tymczasowa ochrona… Co za czasy.
Nie musicie zmieniać hasła. Steam przetrzymuje je w taki sposób, że naprawdę byłoby ciężko… Jak to działa?
moje_hasło -> hashowanie -> O)ad&#$09aC(#(uf
Jeśli algorytm jest dobry, byłoby naprawdę cholernie ciężko złamać taki zapis. Teraz solenie, czyli coś co tym bardziej utrudnia odgadnięcie hashu, wygląda następująco:
moje_hasło -> solenie -> dzień_moje_hasło_dobry -> hashowanie -> )D*Xg93JUX7%^(#
Otrzymujemy zupełnie inny hash i samo jego przechwycenie nic tak naprawdę nie daje. Tylko system wie „jak soli” hasła i robi to u siebie, szyfrując i deszyfrując hashe. Logowanie jest 2 lub więcej etapowe:
1. Wpisuję hasło.
2. System soli i hashuje. Odsyła i usuwa z pamięci.
3. Porównanie hashu.
4. Informacja zwrotna.
Samo przechwycenie hashu na nic się nie zda. Można zresztą solić hashe które zostały już posolone. Taki myk niemal całkowicie eliminuje ryzyko po przejęciu hasha, gdyż mało komu chciałoby się tyle kombinować. Często stosuje się reguły solenia dla odpowiednich typów sylabowych, solenie ze względu na czas połączenia ze znakiem rozpoznawczym w samym zapisie łącznie, itd. Poza tym, pamiętajmy, że wszystko dzieje się po wewnętrznej stronie systemu. Nie da się tam zajrzeć, modyfikować, zapisać. Więc aby złamać hasło w 100%, musielibyście włamać się od strony serwerowni i podejrzeć program który obsługuje logowanie i rejestrację. A taki program jedyny kontakt jaki utrzymuje z systemem frontendu, prowadzi na zasadzie:
1. Hasło przyszło.
2. Liczę.
3. Odsyłam hasło.
Lub:
1. Hasło przyszło.
2. Liczę.
3. Odsyłam informację.
Niekiedy rozbija się takie procedury na 2 lub 3 kroki. W przypadku Valve wiem, że ich proces szyfrowania jest wyjątkowo mocny. Identyczny jak nawet nie lepszy który opisałem.
Dla równowagi wyjawię pewien śmieszny fakt… chyba. Allegro trzyma nasze hasła w postaci plain-text, innymi słowy ich nie szyfruje. Jeśli dostaniesz się do bazy danych allegro (ponoć już CISCO bo mysql im nie wyrabiał [mysql na którym facebook spokojnie daje radę ;)]), zobaczysz wszystkie swoje informacje w takiej formie w jakiej je podawałaś. Taka ciekawostka ;)
Ah no i SteamGuard. Na konto steam można wejść tylko z autoryzowanych komputerów. Autoryzację dla każdego nowego urządzenia trzeba potwierdzić mailowo. Nie ma więc strachu, Valve ma naprawdę rewelacyjne zaplecze informatyczne. Jednak… co do samego włamania. Wyciekły hashe i dane kont z forum. To jeszcze pół biedy. Gorzej, że w tej samej bazie znajdowała się część danych ze Steam Community – co jest totalnym idiotyzmem i ktoś powinien za to stracić pracę, a przynajmniej zostać srogo ukarany (podstawowe błędy – łączenie bazy danych kilku aplikacji w jedną zbiorczą – ryzyko uzupełniania się danych [tutaj imię, tutaj adres, i mamy pełniejszy obraz ofiary]). Osobą kwestią jest to, że włamanie na forum wynikło z braku aktualizacji Bulletin Board – ktoś musiał w końcu to zauważyć i wykorzystać.