S používaním služby Steam sa stretol hádam každý, kto si zvykne z času na čas spíjemniť voľné chvíle hraním videohier. Služba ponúkajúca milióny herných titulov, či už na PC alebo Mac, však okrem hier disponovala aj závažnou chybou v systéme. Klient Steam v sebe ukrýval závažnú chybu, na ktorú upozornil bezpečnostný špecialista Tom Court. Prostredníctvom tejto medzery, ktorá je nazývaná „remote code execution“ bolo možné cez klienta služby Steam na diaľku hacknúť PC hráčov a ich kontá. Chybu však zrejme neobjavil nikto, okrem spomínaného špecialistu, ktorý ju nahlásil priamo spoločnosti Valve. Šokujúce však je, že tento problém sa v klientovi nachádzal až 10 rokov.
Mohlo by vás zajímat
Jadrom tohoto problému bola chyba, ktorá umožňovala nabúrať sa na diaľku k iným hráčom prostredníctvom klientskej knižnice služby Steam. Problém bol identifikovaný v oblasti kódu, ktorý sa zaoberal rozdelením fragmentov datagramu z viacerých prijatých paketov UDP (používateľský datagramový protokol).
Steam klient komunikuje pomocou vlastného protokolu – „Steam protocol“ – ktorý je zasadený nad UDP. Protokol pracuje s dvoma oblasťami, ktoré sú pre tento problém relevantné. To zahŕňa dĺžku paketu a celkovú zostavenú dĺžku datagramu. Chyba bola spôsobená absenciou jednoduchej kontroly, ktorá má zabezpečovať, že pre prvý paket fragmentovaného datagramu má disponovať menšou alebo rovnakou dĺžkou celkového datagramu.
Napriek tomu, že sa chyba v systéme nachádzala veľmi dlhú dobu, podľa informácii sa ju nikomu nepodarilo zneužiť. Systém je maximálne náročny na údržbu a kontrolu, čo sem tam vyústi v podobnú nepríjemnosť. Počas dlhých rokov fungovania Steamu, sa Valve obdobné problémy snažilo riešiť v čo najrýchlejšom čase, aby sa predišlo zbytočným komplikáciám spojeným s funkčnosťou serverov. Hráčske kontá a knižnice však našťastie neboli hacknuté a problém bol po nahlásení okamžite vyriešený.
Co když to Lidi veděli už dřív, ale kvůli své špatnosti to neříkali Valve schválně, aby si mohli občas něco přeposlat nebo tak…? ?
*Just a Theory xd