Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Alles, was nicht in ein anderes Forum gehört: Hier rein
Forumsregeln
Datenschutzerklärung: https://www.gamespodcast.de/datenschutzerklaerung/
Impressum: https://www.gamespodcast.de/impressum/

Forenregeln und zukünftige Weltverfassung
ART 1: Behandle andere Nutzer mit Respekt.
ART 2: Do NOT piss off the Podcasters

Lies bitte weitere Hinweise hier: viewtopic.php?f=4&t=2789
Benutzeravatar
Smutje187
Beiträge: 2129
Registriert: 8. Mär 2021, 14:44
Wohnort: Edinburgh

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Smutje187 »

Gibt’s irgendwo mehr technische Details, wie die RCE orchestriert wurde? Ich habe DS noch nie online gespielt, daher keine Ahnung wie da die möglichen Interaktionen sind - spezielle Usernamen, präparierte Nachrichten („Great exploit ahead“), sonst was? :)
Benutzeravatar
Boris
Beiträge: 406
Registriert: 30. Jan 2017, 20:54

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Boris »

Rigolax hat geschrieben: 23. Jan 2022, 15:36 Streng genommen geht doch nicht aus dem Tweet hervor, dass die Server wegen dieses aktuellen RCE-Exploits abgestellt wurden?
Ok, das muss ich eingestehen :-D
Mein Marketing-Blabla-Filter im Kopf hatte schon um die “aber lass uns erstmal gar nix bestaetigen”-Formulierungen herumgelesen :doh:
Otis
Beiträge: 1295
Registriert: 23. Mai 2021, 19:30

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Otis »

Wie kann denn Elden Ring dieses Problem auch haben bzw. das schon bekannt sein? Nehmen die einfach ihr Ur-Demon's-Souls und basteln daraus ihre neuen Spiele oder was? Und das Spiel ist doch noch nicht mal erschienen, wer hat da schon was zum exploiten gefunden? (Außer die eigene QA, aber das machen die ja nicht publik.)
imanzuel
Beiträge: 3586
Registriert: 8. Feb 2017, 22:58

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von imanzuel »

Otis hat geschrieben: 23. Jan 2022, 17:44 Wie kann denn Elden Ring dieses Problem auch haben bzw. das schon bekannt sein?
100% sicher ist es nicht, aber der PS4-Code von der Tech Beta wurde schon gehackt, der Netzwerk-Code ist identisch zu den von vorherigen From Software Spiele. Deswegen wird angenommen das der Exploit da auch funktioniert.
Notiz für mich
2022: 1. Elden Ring 10/10 2. HFW 7/10 3. DL2 6/10
Benutzeravatar
Dr. Zoidberg [np]
Cronjob of Justice
Beiträge: 3888
Registriert: 7. Jul 2016, 23:28
Kontaktdaten:

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Dr. Zoidberg [np] »

Ingoknito hat geschrieben: 23. Jan 2022, 15:15 eigentlich ist auch steam hier stärker in die Verantwortung zu nehmen.
Ingoknito hat geschrieben: 23. Jan 2022, 15:44 wie gesagt Steam ist hier gefordert.
Wenn überhaupt, dann kann Steam hier nur für irgendwelche Gewährleistungsansprüche herangezogen werden, ansonsten haben die damit nichts am Hut.
"I'm still tired from all the crossfit this morning" - "It's pronounced croissant and you ate 4 of them"
Ingoknito
Beiträge: 747
Registriert: 19. Jul 2021, 21:55

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Ingoknito »

Dr. Zoidberg [np] hat geschrieben: 23. Jan 2022, 18:33
Ingoknito hat geschrieben: 23. Jan 2022, 15:15 eigentlich ist auch steam hier stärker in die Verantwortung zu nehmen.
Ingoknito hat geschrieben: 23. Jan 2022, 15:44 wie gesagt Steam ist hier gefordert.
Wenn überhaupt, dann kann Steam hier nur für irgendwelche Gewährleistungsansprüche herangezogen werden, ansonsten haben die damit nichts am Hut.
dann kann es theoretisch bei jedem Spiel passieren. um die Haftbarkeit geht es hier denke ich auch nicht.
sondern darum die User zu schützen.
Benutzeravatar
Desotho
Beiträge: 5514
Registriert: 13. Dez 2016, 19:05
Kontaktdaten:

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Desotho »

Was erwartest Du konkret von Steam?
El Psy Kongroo
Benutzeravatar
Dr. Zoidberg [np]
Cronjob of Justice
Beiträge: 3888
Registriert: 7. Jul 2016, 23:28
Kontaktdaten:

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Dr. Zoidberg [np] »

Ingoknito hat geschrieben: 23. Jan 2022, 18:48 dann kann es theoretisch bei jedem Spiel passieren. um die Haftbarkeit geht es hier denke ich auch nicht.
sondern darum die User zu schützen.
Das ist nicht Steams Aufgabe. Genauso wenig wie es die Aufgabe von Media Markt ist irgendwas zu unternehmen, wenn in den verkauften Smart-TVs irgendwelche Sicherheitslücken auftauchen.
"I'm still tired from all the crossfit this morning" - "It's pronounced croissant and you ate 4 of them"
Benutzeravatar
Smutje187
Beiträge: 2129
Registriert: 8. Mär 2021, 14:44
Wohnort: Edinburgh

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Smutje187 »

Je nachdem könnte Steam auf Windows dafür sorgen, dass Games mit einer speziellen Benutzergruppe laufen, die damit zum Beispiel nicht mehr schreibend auf Dateien von Firefox zugreifen kann, weil sie keine Schreibrechte für die Dateien des Firefox-Besitzers hat sondern nur auf die Dateien des eigenen Spiels.

Ich merke schon, ich muss mich mal in die Windows-Benutzerkonzepte einlesen :D
Ingoknito
Beiträge: 747
Registriert: 19. Jul 2021, 21:55

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Ingoknito »

Dr. Zoidberg [np] hat geschrieben: 23. Jan 2022, 20:30
Ingoknito hat geschrieben: 23. Jan 2022, 18:48 dann kann es theoretisch bei jedem Spiel passieren. um die Haftbarkeit geht es hier denke ich auch nicht.
sondern darum die User zu schützen.
Das ist nicht Steams Aufgabe. Genauso wenig wie es die Aufgabe von Media Markt ist irgendwas zu unternehmen, wenn in den verkauften Smart-TVs irgendwelche Sicherheitslücken auftauchen.
doch das ist genau die Aufgabe. beispielsweise müssen Supermärkte gewährleisten dass keine Ware im Sortiment ist, die bspw. gesundheitsschädigend ist (auch wenn es keine Eigenmarken sind).
ähnlich sieht es mit deinem Mediamarkt-Beispiel aus.

viele nutzen Steam weil sie hier das Gefühl haben vor Viren und Schadsoftware einigermaßen geschützt zu sein und nicht weil sie aus Prinzip gegen Piraterie sind. sollten entsprechende Sicherheitslücken öfters bei Steam-Spielen auftauchen, wird Steam entsprechend reagieren und wird versuchen dem irgendwie vorzubeugen.
Rigolax
Beiträge: 2090
Registriert: 20. Feb 2018, 15:53

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Rigolax »

Dr. Zoidberg [np] hat geschrieben: 23. Jan 2022, 20:30
Ingoknito hat geschrieben: 23. Jan 2022, 18:48 dann kann es theoretisch bei jedem Spiel passieren. um die Haftbarkeit geht es hier denke ich auch nicht.
sondern darum die User zu schützen.
Das ist nicht Steams Aufgabe. Genauso wenig wie es die Aufgabe von Media Markt ist irgendwas zu unternehmen, wenn in den verkauften Smart-TVs irgendwelche Sicherheitslücken auftauchen.
Afaik nutzt mindestens Dark Souls 1 Steamworks für den Multiplayer; das wurde irgendwann von Games for Windows Live umgestellt. Vgl. zum Beispiel: https://www.gamestar.de/artikel/dark-so ... 71171.html "Dagegen spricht auch die aufwendige Übertragung der Online-Funktionen von Games for Windows Live auf die Steamworks-Server." -- Steamworks-Dokumentation zu deren Matchmaking: https://partner.steamgames.com/doc/feat ... atchmaking

Steam/Valve scheint mir daher stärker befangen als ein Media Markt, der einen Smart TV mit schlechter Software verkauft, da sie ja wohl in dem Fall den Multiplayer serverseiting/technisch mit-ermöglichen. Allerdings wird man bei diesem Exploit hier nicht daraus ableiten können, dass es die (technische) Sorge von Valve/Steam sein sollte bzw. überhaupt sein könnte. Gewährleistungsansprüche bzw. allgemeiner Kundenschutz stehen davon ab ja im Raum, wie schon gesagt wurde.
Benutzeravatar
Dr. Zoidberg [np]
Cronjob of Justice
Beiträge: 3888
Registriert: 7. Jul 2016, 23:28
Kontaktdaten:

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Dr. Zoidberg [np] »

Ingoknito hat geschrieben: 23. Jan 2022, 20:53 doch das ist genau die Aufgabe. beispielsweise müssen Supermärkte gewährleisten dass keine Ware im Sortiment ist, die bspw. gesundheitsschädigend ist (auch wenn es keine Eigenmarken sind).
ähnlich sieht es mit deinem Mediamarkt-Beispiel aus.
Die Möglichkeiten etwas im Voraus zu überprüfen sind begrenzt (auch für einen Super- oder Media Markt) und die übliche Reaktion wäre "aus dem Sortiment" nehmen. Braucht es hier ja aber gar nicht, weil die MP-Komponente ja aktuell abgeschaltet wurde - abgesehen davon hat Steam ja auch schon oft genug Spiele wieder aus dem Store geschmissen. Von Steam zu verlangen die technische Qualität zu gewährleisten ist nicht nur nicht leistbar, sondern ähnlich absurd, wie zu erwarten, dass im Supermarkt bei jedem Joghurt qualitativ hochwertige Joghortkulturen verwendet würden.
Ingoknito hat geschrieben: 23. Jan 2022, 20:53 viele nutzen Steam weil sie hier das Gefühl haben vor Viren und Schadsoftware einigermaßen geschützt zu sein und nicht weil sie aus Prinzip gegen Piraterie sind. sollten entsprechende Sicherheitslücken öfters bei Steam-Spielen auftauchen, wird Steam entsprechend reagieren und wird versuchen dem irgendwie vorzubeugen.
Sowas höre ich zum ersten mal, und wenn sie das tun, dann sage ich mal salopp "selber schuld", weil das mWn nirgendwo in der Form überhaupt beworben wird (und ich null verstehe, woher das überhaupt kommt).
Rigolax hat geschrieben: 23. Jan 2022, 20:57 Steam/Valve scheint mir daher stärker befangen als ein Media Markt, der einen Smart TV mit schlechter Software verkauft, da sie ja wohl in dem Fall den Multiplayer serverseiting/technisch mit-ermöglichen. Allerdings wird man bei diesem Exploit hier nicht daraus ableiten können, dass es die (technische) Sorge von Valve/Steam sein sollte bzw. überhaupt sein könnte. Gewährleistungsansprüche bzw. allgemeiner Kundenschutz stehen davon ab ja im Raum, wie schon gesagt wurde.
Die Nutzung einer API sagt nichts aus. Dann müsstest du in fast allen Fällen ja ebenfalls Verlangen, dass Unity oder Epic irgendwas gewährleisten, weil eine deren APIs aus der Engine genutzt wurde.

Um es anders zu formulieren: Wenn sich jemand ein Messer kauft und damit Leute verletzt, dann können dafür (im Normalfall) weder Verkäufer noch Hersteller belangt werden
"I'm still tired from all the crossfit this morning" - "It's pronounced croissant and you ate 4 of them"
Rigolax
Beiträge: 2090
Registriert: 20. Feb 2018, 15:53

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Rigolax »

Dr. Zoidberg [np] hat geschrieben: 23. Jan 2022, 22:32 Die Nutzung einer API sagt nichts aus. Dann müsstest du in fast allen Fällen ja ebenfalls Verlangen, dass Unity oder Epic irgendwas gewährleisten, weil eine deren APIs aus der Engine genutzt wurde.
Der Unterschied zu Unity/Epic und deren APIs in Engines ist ja, dass Steam/Valve sowohl Store sind ("Media Markt"), als auch technisch auf API/Server-Ebene involviert beim Multiplayer. Aber wie ich meinte, im Endeffekt ist es egal, weil Steam nur allgemein zuliefert und damit privilegiert ist, und das sollte auch so sein grundsätzlich.
Dr. Zoidberg [np] hat geschrieben: 23. Jan 2022, 22:32Um es anders zu formulieren: Wenn sich jemand ein Messer kauft und damit Leute verletzt, dann können dafür (im Normalfall) weder Verkäufer noch Hersteller belangt werden
Ich versuch's mal so: Steam verkauft Skateboards verschiedener Hersteller und unterstützt gleichzeitig regionale Skateparks; diese Skateparks werden von Skateboard-Herstellern betrieben, aber Steam leistet essentielle technische Unterstützung.

Jemand kauft ein Skateboard von der Firma From Software bei Steam und skatet in einem From-Software-Skatepark (der mit Support von Steam betrieben wird), und bricht sich dabei ein Bein, weil From Software grob fahrlässig ein gefährliches Hindernis[1] nicht entfernt hat, obwohl sie schon diverse Male darauf hingewiesen wurden; auch Steam wurde darauf schon mal hingewiesen.

[1]Zum Beispiel ein Loch im Boden, eine...Sicherheitslücke.
Rick Wertz
Beiträge: 1190
Registriert: 13. Apr 2018, 10:40

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Rick Wertz »

Diese ganzen Vergleiche sind relativ sinnlos, denn Software in hinreichender Komplexität wird immer Bugs haben, Bugfreiheit kann niemand garantieren. Auch in Windows, mac os, Android, Ios etc. gibt es dauernd aus der Entfernung exploitbare Fehler. Relevant ist, wie der Hersteller reagiert wenn das Problem bekannt wird und dass er sich schnell darum kümmert.

Software ist kein Skateboard.
Rigolax
Beiträge: 2090
Registriert: 20. Feb 2018, 15:53

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Rigolax »

Rick Wertz hat geschrieben: 24. Jan 2022, 01:01 Software ist kein Skateboard.
Korrekt.

Die in diesem Fall relevante Software, der Multiplayer-Mode, ist der Skatepark mit Loch im Boden.
Rick Wertz
Beiträge: 1190
Registriert: 13. Apr 2018, 10:40

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Rick Wertz »

Rigolax hat geschrieben: 24. Jan 2022, 01:04 Die in diesem Fall relevante Software, der Multiplayer-Mode, ist der Skatepark mit Loch im Boden.
Nein. Bugfreie Software zu garantieren ist schlicht und ergreifend nicht möglich. Und auch ein Bugfix kann neue, bisher unbekannte Probleme aufreißen. Oder erwartest du jetzt auch von Apple, keine Iphones mehr zu verkaufen weil die auch exploitbare Fehler haben (die vor wenigen Monaten sogar zum massenhaften Ausspähen von Dissidenten und Journalisten geführt haben!)
Otis hat geschrieben: 23. Jan 2022, 17:44 Wie kann denn Elden Ring dieses Problem auch haben bzw. das schon bekannt sein? Nehmen die einfach ihr Ur-Demon's-Souls und basteln daraus ihre neuen Spiele oder was? Und das Spiel ist doch noch nicht mal erschienen, wer hat da schon was zum exploiten gefunden? (Außer die eigene QA, aber das machen die ja nicht publik.)
Selbe Engine, selbe Library, da gibts viele Möglichkeiten. Eine Sicherheitslücke in einer populären Library hat kürzlich einen Großteil des Internets angreifbar gemacht.
Rigolax
Beiträge: 2090
Registriert: 20. Feb 2018, 15:53

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Rigolax »

Rick Wertz hat geschrieben: 24. Jan 2022, 01:06
Rigolax hat geschrieben: 24. Jan 2022, 01:04 Die in diesem Fall relevante Software, der Multiplayer-Mode, ist der Skatepark mit Loch im Boden.
Nein. Bugfreie Software zu garantieren ist schlicht und ergreifend nicht möglich. Und auch ein Bugfix kann neue, bisher unbekannte Probleme aufreißen. Oder erwartest du jetzt auch von Apple, keine Iphones mehr zu verkaufen weil die auch exploitbare Fehler haben (die vor wenigen Monaten sogar zum massenhaften Ausspähen von Dissidenten und Journalisten geführt haben!)
Habe ich doch nie behauptet. Wieso sollte ich das erwarten, wer kann das ernsthaft erwarten?

Wie ich auch schrieb, es geht um ein gefährliches Hindernis im From-Software-Skatepark, das ggf. lange nicht entfernt wurde, "obwohl sie [From Software] schon diverse Male darauf hingewiesen wurden".

Mir ist klar, dass solche Vergleiche immer hinken, aber das war ja hier schon rhetorischer Gegenstand im Thread, bevor ich hier postete und ich wollte das mit der Analogie Skateboard/Skatepark auf eine aus meiner Sicht tatsächlich sinnvolle Ebene bringen.
Rick Wertz
Beiträge: 1190
Registriert: 13. Apr 2018, 10:40

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Rick Wertz »

War denn das Problem schon lange bekannt? So wie ich das sehe wissen wir erst seit zwei Tagen davon, From Software scheint mir durchaus recht schnell reagiert zu haben.
Rigolax
Beiträge: 2090
Registriert: 20. Feb 2018, 15:53

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von Rigolax »

Rick Wertz hat geschrieben: 24. Jan 2022, 01:15 War denn das Problem schon lange bekannt? So wie ich das sehe wissen wir erst seit zwei Tagen davon, From Software scheint mir durchaus recht schnell reagiert zu haben.
Siehe direkt der erste Post dieses Threads:
Lurtz hat geschrieben: 23. Jan 2022, 01:27 Es gibt leider einen Exploit im Online Modus von Dark Souls 3, der neben den ganzen anderen schwerwiegenden Bugs wie Savegame Corruption nun auch Remote Code Executions auf PCs ermöglicht, also sicherheitstechnisch so ziemlich der Worst Case. Der Entdecker hat From bereits seit Monaten darüber informiert, passiert ist wie so oft nichts.
Ich habe dafür jetzt spontan aber keine Quelle.

Siehe auch dieser 9 Monate alte Reddit-Thread: https://www.reddit.com/r/darksouls3/com ... spreading/ ("However hacking in dark souls 3 (and games that share its engine) has the potential to not stay in a state only affecting your game and be explored further to the point of using the game to run custom code on your machine. This vulnerability has been verified privately by the developer of the blue sentinel mod and was disclosed to bandai namco several years ago. A google document about various dark souls 3 vulnerabilities by the blue sentinel developer can be found here.")

Bevor das jetzt ggf. dann noch irritiert: Mein/Ein rhetorisches Loch in einem Skatepark ist natürlich i.d.R. offenkundig für alle sichtbar. Ein Sicherheitsfehler in einer Software nicht.
Benutzeravatar
IpsilonZ
Beiträge: 1857
Registriert: 27. Dez 2015, 17:45
Wohnort: Prag
Kontaktdaten:

Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls

Beitrag von IpsilonZ »

Jap, das ist der Punkt der mich so sauer macht. Dieses Problem war bekannt und wurde auch gemeldet. Und anscheinend hat man einfach ewig nicht reagiert.
Jetzt ist es mal richtig hochgekocht und viele große Streamer etc. haben darauf hingewiesen und plötzlich werden die Server offline genommen und man reagiert. Das wirkt einfach extrem fahrlässig, wenn man bedenkt, was da alles passieren könnte. Und es waren dann wieder Modder die nen Fix bringen mussten...
Antworten