Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Alles, was nicht in ein anderes Forum gehört: Hier rein
Forumsregeln
Datenschutzerklärung: https://www.gamespodcast.de/datenschutzerklaerung/
Impressum: https://www.gamespodcast.de/impressum/

Forenregeln und zukünftige Weltverfassung
ART 1: Behandle andere Nutzer mit Respekt.
ART 2: Do NOT piss off the Podcasters

Lies bitte weitere Hinweise hier: viewtopic.php?f=4&t=2789
Benutzeravatar
Lurtz
Beiträge: 3929
Registriert: 22. Feb 2016, 17:19

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Lurtz »

Rick Wertz hat geschrieben: 24. Jan 2022, 01:01 Diese ganzen Vergleiche sind relativ sinnlos, denn Software in hinreichender Komplexität wird immer Bugs haben, Bugfreiheit kann niemand garantieren. Auch in Windows, mac os, Android, Ios etc. gibt es dauernd aus der Entfernung exploitbare Fehler. Relevant ist, wie der Hersteller reagiert wenn das Problem bekannt wird und dass er sich schnell darum kümmert.

Software ist kein Skateboard.
Diese Haltung hat uns in ein Zeitalter geführt, in dem mittlerweile alles, vom Kassenautomaten über Medizingeräte in einer Klinik, bis hin zu den Datenbanken riesiger Unternehmen, gehackt werden kann, und alle paar Tage Millionen privater Daten irgendwo abhanden gekommen.
Smutje187 hat geschrieben: 23. Jan 2022, 20:36 Je nachdem könnte Steam auf Windows dafür sorgen, dass Games mit einer speziellen Benutzergruppe laufen, die damit zum Beispiel nicht mehr schreibend auf Dateien von Firefox zugreifen kann, weil sie keine Schreibrechte für die Dateien des Firefox-Besitzers hat sondern nur auf die Dateien des eigenen Spiels.

Ich merke schon, ich muss mich mal in die Windows-Benutzerkonzepte einlesen :D
Microsoft hat mit UWP versucht Spiele in einem geschützten Containerformat laufen zu lassen. Kam nicht so gut an.
Children are dying.
That's a succinct summary of humankind, I'd say. Who needs tomes and volumes of history? Children are dying. The injustices of the world hide in those three words.
Benutzeravatar
Dr. Zoidberg [np]
Cronjob of Justice
Beiträge: 3888
Registriert: 7. Jul 2016, 23:28
Kontaktdaten:

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Dr. Zoidberg [np] »

Rigolax hat geschrieben: 24. Jan 2022, 00:41 Der Unterschied zu Unity/Epic und deren APIs in Engines ist ja, dass Steam/Valve sowohl Store sind ("Media Markt"), als auch technisch auf API/Server-Ebene involviert beim Multiplayer. Aber wie ich meinte, im Endeffekt ist es egal, weil Steam nur allgemein zuliefert und damit privilegiert ist, und das sollte auch so sein grundsätzlich.
Die Server liegen nach wie vor bei From Software, damit hat Steam nichts am Hut, die API von Steam ermöglicht/erleichtert es nur Leute zu finden. Ja, es gibt auch Steam Server (die Steamworks Multiplayer Doku gibt es hier), aber auch dann hat hier Steam keine Verantwortung, solange das Problem nicht an deren APIs oder Servern liegt.
Rigolax hat geschrieben: 24. Jan 2022, 00:41 Ich versuch's mal so: Steam verkauft Skateboards verschiedener Hersteller und unterstützt gleichzeitig regionale Skateparks; diese Skateparks werden von Skateboard-Herstellern betrieben, aber Steam leistet essentielle technische Unterstützung.

Jemand kauft ein Skateboard von der Firma From Software bei Steam und skatet in einem From-Software-Skatepark (der mit Support von Steam betrieben wird), und bricht sich dabei ein Bein, weil From Software grob fahrlässig ein gefährliches Hindernis[1] nicht entfernt hat, obwohl sie schon diverse Male darauf hingewiesen wurden; auch Steam wurde darauf schon mal hingewiesen.

[1]Zum Beispiel ein Loch im Boden, eine...Sicherheitslücke.
Bei deinem Beispiel wäre die Hilfe aber, indem Steam Bauteile für den Skatepark anbietet. Wenn die Bauteile aber schlecht gewartet oder falsch eingesetzt werden, ist das nach wie vor nicht Steams Verantwortung.
Rigolax hat geschrieben: 24. Jan 2022, 01:25
Rick Wertz hat geschrieben: 24. Jan 2022, 01:15 War denn das Problem schon lange bekannt? So wie ich das sehe wissen wir erst seit zwei Tagen davon, From Software scheint mir durchaus recht schnell reagiert zu haben.
Siehe direkt der erste Post dieses Threads:
Lurtz hat geschrieben: 23. Jan 2022, 01:27 Es gibt leider einen Exploit im Online Modus von Dark Souls 3, der neben den ganzen anderen schwerwiegenden Bugs wie Savegame Corruption nun auch Remote Code Executions auf PCs ermöglicht, also sicherheitstechnisch so ziemlich der Worst Case. Der Entdecker hat From bereits seit Monaten darüber informiert, passiert ist wie so oft nichts.
Ich habe dafür jetzt spontan aber keine Quelle.
Dafür braucht es nicht mal direkt eine Quelle, das ist übliche Vorgehensweise bei Sicherheitslücken. Die Hersteller werden darüber informiert und die Lücke wird nur/erst dann publik gemacht, wenn der jeweilige Hersteller x Wochen/Monate lang nicht reagiert.
Lurtz hat geschrieben: 24. Jan 2022, 08:00 Microsoft hat mit UWP versucht Spiele in einem geschützten Containerformat laufen zu lassen. Kam nicht so gut an.
iirc lag das aber auch daran, weil die Performance darunter massiv gelitten hat
"I'm still tired from all the crossfit this morning" - "It's pronounced croissant and you ate 4 of them"
Benutzeravatar
Smutje187
Beiträge: 2129
Registriert: 8. Mär 2021, 14:44
Wohnort: Edinburgh

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Smutje187 »

Die erste Regel bei Sandboxen war doch schon seit eh und je, dass es nur eine Frage der Zeit ist, bis jemand aus der Sandbox ausbricht. Klar und sauber definierte API zwischen Betriebssystem und Anwendungen, dramatische Reduktion von Komplexität, kein „privilegierter“ Zugang für irgendwelche closed-source Tools Dritter ist der einzig gangbare Weg (siehe auch das Log4J-Debakel letztens).
Benutzeravatar
Lurtz
Beiträge: 3929
Registriert: 22. Feb 2016, 17:19

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Lurtz »

Dr. Zoidberg [np] hat geschrieben: 24. Jan 2022, 09:06iirc lag das aber auch daran, weil die Performance darunter massiv gelitten hat
Nicht wirklich oder nur in Ausnahmen. Es gab am Anfang Probleme mit dem Framepacing und Technologien wie VRR, das hat man aber relativ schnell abgestellt (für Microsoft-Verhältnisse :ugly:).
Smutje187 hat geschrieben: 24. Jan 2022, 10:28 Die erste Regel bei Sandboxen war doch schon seit eh und je, dass es nur eine Frage der Zeit ist, bis jemand aus der Sandbox ausbricht. Klar und sauber definierte API zwischen Betriebssystem und Anwendungen, dramatische Reduktion von Komplexität, kein „privilegierter“ Zugang für irgendwelche closed-source Tools Dritter ist der einzig gangbare Weg (siehe auch das Log4J-Debakel letztens).
Sandboxen sind eine der wenigen Möglichkeiten, den Zugriff auf Windows-APIs zu unterbinden :think: Sie sind sicher kein Allheilmittel, aber sie haben bei einiger Software dafür gesorgt, dass es schwieriger ist Bugs auszunutzen.
Die anderen Punkte sind aber ebenfalls essenziell.
Children are dying.
That's a succinct summary of humankind, I'd say. Who needs tomes and volumes of history? Children are dying. The injustices of the world hide in those three words.
Santiago Garcia
Master of Fantasy
Beiträge: 832
Registriert: 13. Feb 2016, 15:56

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Santiago Garcia »

Ich wusste ja schon, dass es in Dark Souls sogenannte Invasions gibt. Dass die so krass sind, hätte ich nicht gedacht.
Benutzeravatar
Andre Peschke
Beiträge: 9734
Registriert: 9. Jan 2016, 16:16
Kontaktdaten:

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Andre Peschke »

Santiago Garcia hat geschrieben: 24. Jan 2022, 12:56 Ich wusste ja schon, dass es in Dark Souls sogenannte Invasions gibt. Dass die so krass sind, hätte ich nicht gedacht.
:lol:

Top-Kommentar!

Andre
Benutzeravatar
echtschlecht165
Beiträge: 2389
Registriert: 9. Jan 2017, 13:26

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von echtschlecht165 »

its not a Bug , its a Feature
In Stein gemeißelt
Benutzeravatar
Lurtz
Beiträge: 3929
Registriert: 22. Feb 2016, 17:19

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Lurtz »

Santiago Garcia hat geschrieben: 24. Jan 2022, 12:56 Ich wusste ja schon, dass es in Dark Souls sogenannte Invasions gibt. Dass die so krass sind, hätte ich nicht gedacht.
Das Meta-Verse schon heute erleben!
Children are dying.
That's a succinct summary of humankind, I'd say. Who needs tomes and volumes of history? Children are dying. The injustices of the world hide in those three words.
Ingoknito
Beiträge: 747
Registriert: 19. Jul 2021, 21:55

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Ingoknito »

Steam stellt ja jetzt schon sicher dass Spiele überhaupt starten oder dass es sich bei dem Download-Link nicht um einen Trojaner handelt.
Es ist also jetzt schon keine komplett offene Platform, wo jeder das drauf klatschen darf wie er will.
Ich würde diese gravierenden Sicherheitslücken auch nicht nur als Bug bezeichnen wollen. Ein klassischer Bug kann maximal dafür sorgen dass das Spiel nicht mehr spielbar ist, aber geht nicht darüber hinaus.
Zuletzt geändert von Ingoknito am 24. Jan 2022, 14:20, insgesamt 1-mal geändert.
Benutzeravatar
Symm
Beiträge: 451
Registriert: 22. Feb 2016, 18:22
Kontaktdaten:

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Symm »

Santiago Garcia hat geschrieben: 24. Jan 2022, 12:56 Ich wusste ja schon, dass es in Dark Souls sogenannte Invasions gibt. Dass die so krass sind, hätte ich nicht gedacht.
Wie ich an anderer Stelle schon sagte.
Witzig wäre, wenn der Exploit erst wirksam wird, wenn man vom Invader besiegt wird.
Dann könnte man immerhin noch argumentieren

"Ich war so schlecht, ich habs verdient"
Steam: Symm Xbox: Symmster PSN: Symmse
Benutzeravatar
Dr. Zoidberg [np]
Cronjob of Justice
Beiträge: 3888
Registriert: 7. Jul 2016, 23:28
Kontaktdaten:

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Dr. Zoidberg [np] »

Ingoknito hat geschrieben: 24. Jan 2022, 13:54 Ein klassischer Bug kann maximal dafür sorgen dass das Spiel nicht mehr spielbar ist, aber geht nicht darüber hinaus.
Nein, das stimmt so nicht und du verlangst nach wie vor zu viel von Steam. Was, wenn so ein Fehler im Nachhinein durch einen Patch hereinkommt und du hast das Spiel einst bei GameStop gekauft. Dann ist GameStop genauso wenig dafür verantwortlich wie es Steam ist.

Du solltest dir vielleicht mal gängige Definitionen von Software Bugs durchlesen, bevor du hier solche falschen Dinge behauptest (lass dir das von einem hauptberuflichen Softwareentwickler gesagt sein).
Ingoknito hat geschrieben: 24. Jan 2022, 13:54 Steam stellt ja jetzt schon sicher dass Spiele überhaupt starten oder dass es sich bei dem Download-Link nicht um einen Trojaner handelt.
Es ist also jetzt schon keine komplett offene Platform, wo jeder das drauf klatschen darf wie er will.
Das macht ausnahmslos jede Plattform, völlig egal ob Steam, Play Store, Epic Store oder PSN.
"I'm still tired from all the crossfit this morning" - "It's pronounced croissant and you ate 4 of them"
Benutzeravatar
HerrReineke
Archduke of Banhammer
Beiträge: 2124
Registriert: 6. Apr 2018, 12:03

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von HerrReineke »

Dass da primär der Softwareentwickler (vulgo: Das Spielestudio typischerweise) die Verantwortung für hat (also: so gut es geht vorher sorgsam arbeiten sollte aber dann auch insbesondere auf entsprechende Meldungen reagieren muss) sollte hoffentlich klar sein. Aber auch ein GameStop oder ein Valve dürfte inzwischen Probleme mit der Haftung haben, da es die neuen §§ 327 - 327s BGB gibt. Der Anwendungsbereich betrifft auch Computerspiele. Und gem. § 327f Abs. 1 S. 2 BGB gehören Sicherheitspatches explizit zu den erforderlichen Aktualisierungen. Und nach dem Gesetz muss das zunächst einmal der Vertragspartner, also der Verkäufer (!) sicherstellen. Der wiederum kann nach § 327u BGB den Vertriebspartner in Regress nehmen für seine Aufwendungen etc.

Dass da der Vertragspartner zunächst in der Pflicht ist, ist rechtlich auch sehr sinnvoll. Wenn z.B. ein Softwareprodukt nicht gepatched wird aber ein Sicherheitsproblem darstellt, wirst du ja dein Geld zurück haben wollen (mindern oder vom Kaufvertrag zurücktreten oder ein Software-Abo kündigen etc.). Und das funktioniert nunmal nur bei deinem Vertagspartner. Und der muss sich dann darum kümmern, dass das Problem entweder gelöst wird oder seine dadurch entstandenen Schäden an den "Hersteller" weiterreichen.

Wie sich das in der Praxis entwickeln wird, wird übrigens sehr spannend. Die Normen sind gerade einmal seit dem Jahreswechsel in Kraft.Aber man sieht schon: Ganz so leicht wird es evtl. auch für ein Steam oder einen GameStop nicht mehr sein, wenn ein Spiel derartige Sicherheitslücken aufweist.
Quis leget haec?
Ingoknito
Beiträge: 747
Registriert: 19. Jul 2021, 21:55

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Ingoknito »

Mir ging es nur darum dass man es nicht als ein Bug wie jeder andere abtun sollte.
Die Konsolen-Stores stellen zum Beispiel sicher, dass man nicht so einfach auf Bankdaten zugreifen kann auch wenn es dort ähnliche Lücken wie bspw. beim Dark Souls-Multi-player gibt.
Ob es beim Epic-Store andere Kontrollen und Maßnahmen gibt kann ich nicht beurteilen.
Benutzeravatar
Lurtz
Beiträge: 3929
Registriert: 22. Feb 2016, 17:19

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Lurtz »

Wenn Steam anfangen würde Spiele mit sicherheitsrelevanten Lücken rauszuschmeißen, müsste man wahrscheinlich den Großteil des Katalogs entfernen. Angefangen beim Steam Client, der eine völlig veralteten Chromium-Version (bzw. CEF) verwendet :ugly:

Gerade in einem anderen Forum gelesen, Siedler 4 zB kann Maps mit Lua-Skripten einlesen, mit so schönen Funktionen wie os.execute(string) :D

Das Kind ist längst in den Brunnen gefallen, weil man in der Software-Entwicklung nach dem Mantra "fehlerfreie Software gibt es nicht" arbeitet und viele Software-Produkte noch nicht mal eine vernünftige Testabdeckung haben. In den letzten Jahren ist dann alles noch viel schlimmer geworden, weil man sich über Dritt-Libraries zig Funktionen reinholt, die niemand mehr überblicken kann und wo eine Sicherheitslücke wie bei log4j Millionen von Produkten betreffen kann.
Children are dying.
That's a succinct summary of humankind, I'd say. Who needs tomes and volumes of history? Children are dying. The injustices of the world hide in those three words.
Benutzeravatar
Lurtz
Beiträge: 3929
Registriert: 22. Feb 2016, 17:19

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Lurtz »

Nicht überraschend, Bandai Namco wusste schon seit Jahren von dem Exploit:
https://www.resetera.com/threads/wccfte ... ng.548084/

Außerdem sollen Konsolen damit schwerwiegender angreifbar sein als bisher gedacht.
Children are dying.
That's a succinct summary of humankind, I'd say. Who needs tomes and volumes of history? Children are dying. The injustices of the world hide in those three words.
Benutzeravatar
IpsilonZ
Beiträge: 1857
Registriert: 27. Dez 2015, 17:45
Wohnort: Prag
Kontaktdaten:

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von IpsilonZ »

Ja, dass das schon seit Jahren hätte bekannt sein müssen hatte ich glaube ich irgendwo hier geschrieben. Das ist der Punkt der mich so sauer macht. Sie wurden gewarnt und haben es ignoriert. Finde ich gut, dass das auch noch mal hervorgehoben wird. Damit sollten solche großen Firmen (so sehr ich sie sonst auch mag) nicht einfach davonkommen.
edit: also ich spreche von From Software. Soweit ich weiß sollten die ebenfalls bescheid gewusst haben. Kann mich aber irren.

Das mit der Konsole scheint aber ein Irrtum zu sein. Ich bin in nem Discord Server mit nem anderen der ziemlich bekannt ist im Playstation Hacking und sich mit LukeYui unterhalten hat. Und er meinte grad, dass LukeYui sich das noch mal angeguckt hat und meinte, dass es so gut wie unmöglich zu sein scheint etwas auf Konsole anzurichten.

edit: jetzt kann ich auch ne Quelle dazu geben: https://twitter.com/manfightdragon/stat ... 5018944513
Rick Wertz
Beiträge: 1190
Registriert: 13. Apr 2018, 10:40

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Rick Wertz »

Das ist eine Aussage, die man so nicht treffen kann. Aber zumindest scheint es derzeit keinen verbreiteten Exploit zu geben, der diese Lücke auf Konsolen ausnutzen kann.
Benutzeravatar
Lurtz
Beiträge: 3929
Registriert: 22. Feb 2016, 17:19

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Lurtz »

Die Server werden bis nach dem Elden Ring-Release offline bleiben:
https://twitter.com/DarkSoulsGame/statu ... 9499353088

Bei Elden Ring soll es gefixt sein. Es bleibt spannend ob die Dark Souls-Server jemals wiederkommen ^^
Children are dying.
That's a succinct summary of humankind, I'd say. Who needs tomes and volumes of history? Children are dying. The injustices of the world hide in those three words.
Benutzeravatar
Smutje187
Beiträge: 2129
Registriert: 8. Mär 2021, 14:44
Wohnort: Edinburgh

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Smutje187 »

Mich würde anschließend ja interessieren, wie die Lücke genau entstanden ist - hat da jemand den Netzwerktraffic des Message-Systems mitgeschnitten und festgestellt, dass die Nachrichten im Klartext übertragen werden und dann einfach mal ausprobiert, Code zu versenden, der dann bei der Darstellung der Message auf dem PC des "Opfers" fraglos ausgeführt wird, weil nicht ordentlich escaped wurde? Gut, würde mich beim heutigen Stand der Sofwareentwicklung nicht wirklich wundern, aber lustig wärs :-)
Benutzeravatar
Boris
Beiträge: 406
Registriert: 30. Jan 2017, 20:54

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Boris »

Na immerhin sagen sie ueberhaupt nochmal was. Dass sie Updates releasen und testen muessen, war fast zu erwarten und dass sie dafuer kurz vor dem Eden Ring Release kaum Zeit haben werden auch. Ob sie die Zeit gleich danach haben werden ist auch noch fraglich.

Das wurde doch von irgendwelchen Moddern gefunden, oder? Die sind ja eh schon tief da drin und wenn man unter bestimmten Umstaenden irgendwelche Crashes beobachtet und weiss was man tut, dann forscht man da schnell auch mal weiter.
Antworten