Egymást érik a Steam biztonsági rései
Komoly Steam-sebezhetőségekről számolt be egy 16 éves brit tinédzser, néhány napon belül mindjárt kettőről. A Valve hónapokig tartó győzködés után csak azok nyilvánosságra kerülése után foltozta be a hibákat, de bőven lehet még hiba a szolgáltatásban.
Kevesebb mint egy héten belül két komoly sebezhetőséget is felfedezett a Steam rendszerében egy brit tinédzser - a 16 éves Ruby Nealon szerint szinte biztosan akadnak további rések is a Valve online videojátékboltjának pajzsán.
A Nealon által gyors egymásutánban publikált biztonsági hibák első példánya egy HTML sebezhetőségre épült, és egy lényegében tetszőleges játék feltöltését tette lehetővé az online felületre. Noha kihasználásához egy Steamworks fejlesztői fiókra is szükség volt, azt ugyancsak egy biztonsági rést kihasználva szerezte meg - mondta el az Ars Technicának. Nealonnek ezután a Steamworks backenden egy hamis munkamenet-azonosítóval, illetve a háttérrendszer "ReleaseGame" függvényét kihasználva sikerült feltöltenie a lényegében egy képből álló "Watch paint dry" játékot, anélkül, hogy azt a Valve-nél bárki ellenőrizte vagy akár csak észrevette volna.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A cég javította a sebezhetőséget, ugyanakkor alig néhány nap elteltével Nealon a következő biztonsági rést is megtalálta. Utóbbi egy XSS (cross-site scripting) sebezhetőség volt, amely egy Steam adminisztrátori azonosító cookie-hoz engedett hozzáférést, a Steam Depot oldalán keresztül. Ezt kihasználva egy támadó gyakorlatilag a Steam rendszergazdáival megegyező jogosultságokhoz juthatott a szolgáltatás backendjén.
A Valve mára ezt a biztonsági rést is befoltozta, ugyanakkor komoly aggodalomra ad okot, hogy a vállalat szolgáltatásában egy kíváncsi fejlesztő rövid időn belül két súlyos sebezhetőséget is talált. Ahogy Nealon fogalmazott, a Steam weboldala olyan, mintha évek óta nem frissítették volna, jóval kisebb webes cégek felületeihez képest is elmaradást mutat, és maga is meglepődött, hogy egy ekkora kaliberű online üzleten milyen egyszerű volt fogást találni.
Lassú javítás, zéró jutalom
A helyzetet tovább rontja, hogy a Valve eleinte nem igazán kapkodja el a jelentett hibák kijavítását. Nealon szerint több hónapon keresztül próbálta rávenni a céget a hiba befoltozására, ám az végül csak azt követően lépett, hogy a Watch Paint Dryjal nyilvánosan demonstrálta a sebezhetőséget.
Az esetleges biztonsági rések felfedezőinek egyébként kevés motivációja van a vállalattal való együttműködésre, nem csak azért, mert abszurd módon hosszú küzdelmet kell folytatniuk azért, hogy a cég saját platformját javítsa, hanem mert a Valve a megtalált hibákért semmilyen jutalmat nem ajánl. Ugyan a cég weboldalán egy dicsőségfalon felsorolja a komolyabb sérülékenységek felfedezőit, de ide is csak azok juthatnak be, akik rendszeresen jelentenek hibákat.
A Steam egyébként sem a biztonsági megoldásairól híres, tavaly két komoly lyuk is felszínre került – egyik segítségével aktív Steam Guard mellett is meg lehetett változtatni más felhasználók jelszavát, a másik pedig óriási adatszivárgáshoz vezetett, amit a Valve napokig csak félvállról kommunikált felhasználói felé.
Egy, a felfedezett biztonsági résekért pénzjutalmat kínáló "bug bounty" program valószínűleg sokat javítana a cég ilyen irányú megítélésén. Ilyet sok nagy vállalat működtet, melyek a hiba súlyosságától függően akár nagyon komoly összegeket fizetnek a bejelentőknek. Egy hasonló program bevezetése a Valve részéről az elmúlt napok tükrében különösen hasznos lenne, a Steam oldalának gyér biztonsága ugyanis más szakértők figyelmét is felkelthette - akik ha adott esetben a Valve-től nem is, a feketepiacon nem elhanyagolható fizetséget kaphatnak egy-egy találatért.