Valve bannt Entwickler der nur helfen wollte

Valve hat den Entwickler Tomáš Duda auf Steam gesperrt, nachdem dieser mir einem Javascript eine Sicherheitslücke aufgezeigt hatte.

Update: Wir haben einen sehr guten Einwand zu diesem Artikel von einem Leser auf Facebook erhalten, den wir an dieser Stelle gerne zitieren würden:

Meiner Meinung nach hatte Tomáš Duda keinen Grund sich zu wundern dass sein Account gesperrt wird. Genaugenommen fand ich es sogar noch ziemlich nett von Steam, dass sie ihm nur die Community Aktivitäten gesperrt und nicht direkt den ganzen Account dicht gemacht haben. Was ich sagen will ist, dass bei diesem Beispiel sowohl Steam als auch der Entwickler Mist gebaut haben. Allerdings ist es zwar nicht schlau von Steam Sicherheitslücken in ihrem System die ihnen aufgezeigt werden nicht zu beheben, allerdings ist das ihre Entscheidung. Der Entwickler auf der anderen Seite hat einen "Angriff" auf ein System ausgeführt an dem er keinerlei Rechte hatte wobei vollkommen irrelevant ist ob dabei Schäden entstanden sind oder nicht. Deshalb finde ich es nicht richtig den Entwickler in eurem Artikel als armes Opfer hinzustellen...

 

Ja, dem muss ich wohl zustimmen. Mein Artikel betrachtet die Sachlage tatsächlich etwas einseitig und beschränkt sich auf die Fehler seitens Valve. Natürlich hat Tomáš Duda klar gegen die Steam Nutzungsbedingungen verstoßen, guter Zweck hin oder her. Danke für den Hinweis, und hoffen wir, dass so etwas in Zukunft nicht mehr nötig ist.

Logo von ValveOriginalmeldung: Valve kommuniziert sich ja immer als ein Unternehmen, das auf das Feedback seiner Kunden eingeht und dieses auch schätzt. Dass einem Entwickler sein Zugang gesperrt wird nachdem er auf recht konstruktiver Weise eine Sicherheitslücke auf den Steam Entwicklerseiten offen gelegt hat, das will da irgendwie nicht so recht zu passen. Doch bevor euch jetzt der Kragen platzt: Valve hat die Sperre inzwischen wieder aufgehoben. Ob dies aufgrund des offenen Protestes vieler User geschehen war, oder ob sie sich von selbst an ihre eigenen Prinzipien erinnert haben, das werden wir wohl nie erfahren. Allerdings lohnt es sich, diese interessante Story noch einmal im Detail zu betrachten, und sei es nur um sich daran zu erinnern, dass nichts jemals wirklich 100% sicher ist im Internet.

 

 

 

Die Sicherheitslücke in Steam

Betrachten wir zuerst die technische Seite der Geschichte, nämlich die Sicherheitslücke selbst. Also, woraus bestand sie, wo war sie, und wozu hätte sie führen können? Um die 3 Antworten schnell vorweg zu nehmen: Javascript, News Seite der Entwickler, zu geradezu ALLEM.

Jacascript LogoEin Javascript (nicht zu verwechseln mit JAVA) ist ein Stück Code, dass man in Internetseiten einbaut um sie interaktiver und attraktiver zu gestalten. Ihr habt schon mal auf ein Bild in einer Gallery geklickt und dann hat sich in einem weichen Übergang ein Rahmen mit einer größeren Version des Bildes geöffnet? Nun, dahinter steckt Javascript. Ihr erinnert euch an diese Counter auf alten Seiten? – Javascript. Irgendwas bewegt sich auf einer Seite oder ist sonst wie nicht statisch? –(I.d.R) Javascript.

Das Problem mit Javascript ist, dass es aufgrund seiner vielseitigen Anwendbarkeit auch viel Platz für Sicherheitslücken lässt. Aufgabe eines Seitenbetreibers ist es also, die „Rechte“ des Javascripts so weit zu beschränken, dass für die User keine Gefahr besteht. Viele Betreiber deaktivieren es deshalb für bestimmte Unterseiten komplett.

Das Javascript, das in unserer Geschichte zum Einsatz kam, war dieses hier:

https://gist.github.com/commadelimited/4958196#file-harlem-shake-js

Keine Angst vor dem Link, denn 1. führt es euch nur zum Quellcode und nicht zu einer Seite auf der es eingebaut ist, und 2. ist das Ding harmlos. Nervig zwar, aber harmlos. Es lässt euren Bildschirm zum Harlem Shake tanzen, ein reiner audiovisueller Effekt also, ohne Datensammlung, ohne Viren, ohne Malware, kurz: ohne jeden Schaden zu verursachen (außer vielleicht an euren Ohren, aber das ist Geschmackssache).

Dennoch manipuliert er euer Bild und euer Audiogerät, und wenn ein Javascript befugt ist, so etwas zu tun, dann kann es noch ganz andere Sachen machen. Es kann euch z.B. den Steam Store vortäuschen, wo ihr dann schön eure Zahlungsdaten eingebt und euch wundert, weshalb das bestellte Spiel niemals auf eurem Steam Konto ankommt. Und weshalb all euer mühsam erspartes Geld plötzlich von eurem Konto verschwunden ist. –Nur das klassische Beispiel, doch wer kreativ ist, der findet noch bösartigere Sachen, um so ein Javascript zu kriminalisieren.

Lange Rede kurzer Sinn: die Sicherheitslücke in Steam war nicht zu unterschätzen.

 

 

Tomáš Duda, sein Anliegen und seine Sperre

 

Tomáš Duda arbeitet für SCS Software. Die haben beispielsweise Euro Truck Simulator 2 zu verantworten, doch wehe dem, der die Entwickler dort für verschwitzte bärtige Trucker hält die auf ihrer Tour nichts als die nächste Bar im Sinn haben. Insbesondere Tomáš Duda wurde bei SCS Software aufgrund seiner fundierten Kenntnisse über Steam eingestellt, und tatsächlich hatte der schon häufiger auf Probleme im Quellcode bei Valve aufmerksam gemacht. Auch auf die besagte Javascript Sicherheitslücke hatte er schon Mail auf Mail folgen lassen – ohne den schlafenden Bären namens Valve jemals wachrütteln zu können.

Tomáš Duda Profilseite auf Steam

So entschied er sich, zur Tat zu schreiten. Um Valves Aufmerksamkeit zu erregen, baute er das o.g. Javascript in eine ältere Spielenews ein. Und siehe da: der Bär erwachte aus seinem Winterschlaf. Aber wie alle Bären war auch dieser nicht gerade begeistert, als er mit dieser Stecknadel in seinem dicken Hintern aus seinen süßen SteamOS Träumen gerissen wurde. Nein, er ließ Pranken und Zähne sprechen, und sprach einen Ban auf Tomáš Duda aus. Fortan konnte der zwar noch auf seine Spielesammlung zugreifen, die immerhin über 1.200 Titel umfasst, allerdings konnte er nichts mehr in der Community posten. Keine News, keine Kommentare, keine Nachrichten. Schlecht für ihn, denn genau das ist sein Aufgabenbereich bei SCS Software.

Valve stopfte derweil schnell die Lücke, während sich unter den Steam Usern Empörung breit machte. Die Website http://istimmystillbanned.info/ wurde ins Leben gerufen, eine Steamgruppe gegründet und der Hashtag #freetimmy florierte. Eine PR Katastrophe für Valve.

 

Corsual Fazit

Inzwischen ist Valve wieder zu Vernunft gekommen, ein Glück. Ich persönlich möchte einfach nicht den Glauben daran verlieren, dass Valve eine der mehr oder weniger korrekten Firmen in diesem Geschäft ist. Sicher, diese Aktion war als Provokation gedacht, und klar, so hat Valve sie zuerst auch aufgenommen. Und wenn Valve sich provoziert fühlt, dann verbannt Valve halt seine Gegner, so sind die Regeln. Dass das in diesem Fall leider völlig unangebracht war, das schreit meiner Meinung nach nach einer öffentlichen Entschuldigung.

Ernsthaft: gerade Valve preist immer wieder die Wunder und das Glück der Linux Community, all die Vorzüge eines offenen Systems zu dem jeder etwas beitragen kann. Wenn man in dieser Liga mitspielen will, dann muss man, ja dann MUSS MAN aber auch stets selbst ein offenes Ohr für Verbesserungsvorschläge haben, das ist ein wesentlicher Teil des Deals! Wenn man nämlich nur seinen Shit anbietet und andere Leute, die freiwillig ihre Zeit opfern um das Produkt zu verbessern, einfach ignoriert, dann hat man das Prinzip hinter Open Source NICHT VERSTANDEN!!!

Steam OS LogoIch persönlich hatte von der ersten Sekunde, in der Gabe Newell mit seinen Lobpreisungen auf Linux angefangen hat, ein seltsames Gefühl im Magen. Ich war und bin misstrauisch. Das alles könnten theoretisch reine Marketingsprüche sein die mit den Ängsten und Gefühlen der User spielen, nur damit Valve am Ende ein Betriebssystem hat, das sie komplett ohne Microsoft und ohne Apple kontrollieren können. Warum bei wem anders ins Boot steigen, wenn man in seinem eigenen Boot der Kapitän sein kann?

Dies alles mögen reine Paranoia meinerseits sein. Doch eines weiß ich mit Sicherheit: wer so tut, als sei er ein Freund der Open Source Gemeinde rund um Linux, und sich am Ende genauso verhält wie Microsoft und Apple, der wird sich im (für ihn) letzten Akt damit rühmen können, auf der Abschussliste der Open Source Gemeinde ganz oben zu stehen. Deshalb kann man Valve nur raten: Wenn euch jemand einen Fehler aufzeigt, dann sagt „danke“ und behebt den Fehler. Und macht ja niemals wieder so einen Blödsinn!