######################################################################## Titolo: Commenti, citazioni, e-mails, prove, analisi e distruzione del castello di bugie ed accuse ad un mese di distanza dalle vergognose azioni di Gamespy Data: 12 Dec 2003 Autore: Luigi Auriemma e-mail: aluigi@autistici.org web: aluigi.org ######################################################################## Esattamente un mese fa venni contattato dai legali di Gamespy con l'incredibile e assurda richiesta di rimuovere dal mio sito il materiale inerente la ricerca di vulnerabilita' che feci sui "cosiddetti" software distribuiti da Gamespy. Quindi ad un mese di distanza mi ritrovo a scrivere ancora riguardo questa storia per due motivi: 1) smontare passo passo tutte le accuse ed il castello di bugie che Gamespy ha mosso riguardo un certo "ragazzo" di cui non e' mai stato specificato il nome ma che e' stato associato a me per via delle numerose analogie 2) riportare cosa e' cambiato (o per meglio dire cosa non e' cambiato) dopo tale periodo di tempo Ed ecco infatti che subito iniziano le cose alquanto strane che compaiono leggendo quello che Gamespy ha chiamato "Chairman details the need to protect gamers rights and provide security" http://www.gamespydaily.com/news/fullstory.asp?id=5474 Non esistono nomi o riferimenti se non la "casuale" uscita di tale responso lo stesso giorno che ho inviato la mail a Bugtraq raccontando i fatti http://www.securityfocus.com/archive/1/344214 Questa e' una chiara manovra per poter sparare accuse e falsita' contro qualcuno che non viene identificato direttamente dall'autore del testo ma lascia che siano le altre persone ad intuire di chi si stia parlando in realta'. Quindi si capisce tranquillamente che tale responso e' falso sin dall'inizio e che e' anche stato scritto dietro guida degli avvocati di Gamespy che molto probabilmente hanno sempre curato tutta la vicenda (sin dal primo C&D di Giugno 2003) senza neanche chiedere nulla ai loro clienti e cio' lo si intuisce benissimo dalle banalita' scritte nei loro C&D (il secondo e' disponibile qui http://aluigi.org/misc/75395-1.pdf) in cui si fa riferimento persino ad una applicazione che non ha nulla a che vedere con Gamespy. Ma questo e' solo l'inizio, l'analisi e' lunga e quindi andiamo con ordine. La prima frase che mi fa sorridere riguarda i ringraziamenti che Gamespy dice di avermi inviato via lettera (nota, e' stata usata proprio la parola "lettera" e non e-mail) che loro hanno anche conservato in un file. Questa gente non sapeva neanche che io fossi italiano (basta vedere il C&D e le citazioni di leggi statunitensi) quindi non possono inviarmi alcuna lettera via posta. L'unica discussione (ossia due persone che parlano) e' avvenuta solo per i primi 2 bugs di RogerWilco risalenti a fine Maggio 2003 e l'unica parola di ringraziamento che ho ricevuto e' stato un secco "Thanks for the info", quindi qualcosa che viene detto da qualsiasi sviluppatore che riceve feedback da un utente e non un chissa' cosa come cerca di far intendere Gamespy. Nel responso poi si inizia a parlare dell'algoritmo di generazione di chiavi per RogerWilco e soprattutto si cerca di generalizzare la cosa tirando in mezzo delle fantomatiche "tecniche di pirataggio dei giochi". Sono proprio curioso di sapere quali sarebbero tali tecniche e soprattutto cosa si intende. La cosa interessante e' che non mi e' stato mai chiesto di rimuovere il codice sorgente che rilasciai per l'algoritmo di RogerWilco e non e' stato mai menzionato in nessun C&D (il secondo C&D e' pubblico e chiunque e' libero di controllarlo) quindi non capisco perche' se ne ricordino solo cosi' all'improvviso soprattutto considerando che tale codice sorgente lo rilasciai a scopo educativo (come scritto ovunque nel sorgente) in quanto in giro gia' esistono tantissimi codici seriali funzionanti e key generators per RogerWilco con tanto di GUI per utilizzarli facilmente, tutti precompilati senza codice sorgente disponibile e con la chiara dicitura di key generators. Da notare poi il numeroso uso della parola "CDKey" (ben quattro volte) e l'uso del maiuscolo proprio per mettere in evidenza tale parola. C'e' inoltre da sottolineare l'uso errato di "CDKey" in quanto in Roger Wilco si tratta di un seriale che viene calcolato dall'e-mail fornita nei campi di registrazione e non una cd-key. Il tirare in causa dei fatti non inerenti all'argomento principale (in questo caso il DMCA usato per dei bugs di sicurezza segnalati ed il disinteressamento di Gamespy nel correggere dei vecchi bugs) e' un classico metodo usato proprio da chi e' in difficolta' per spostare l'attenzione dal fatto principale su cui si e' in torto su di un altro su cui si "pensa" di poter avere qualche chance in piu' e su cui si faccia ampio uso di luoghi comuni. In questo caso anche l'altro argomento e' un buco nell'acqua per Gamespy. La parte piu' interessante del responso comunque sono proprio le accuse diffamanti rivolte verso la "persona" innominata nel responso. Si parla infatti di una richiesta di compenso monetario per correggere gli "hacks" e soprattutto di una compagnia di sicurezza coinvolta nel "ricatto". La prima domanda e': quali sono questi "hacks" a cui si fa' riferimento? Stiamo parlando di vulnerabilita' peraltro molto pericolose e che andrebbero corrette nel giro di ore, ma loro dicono anche "these were not bugs"... bene, invito chiunque conosca minimamente un po' di sicurezza informatica a dire che un buffer-overflow remoto in realta' non e' un bug di sicurezza. Inoltre si parla anche di Denial of Service (DoS) che e' appunto un effetto causato dalla quasi totalita' dei bugs di sicurezza e quindi non correggendo un bug non verra' mai eliminato il relativo DoS e gli altri possibili effetti. Dopo delle affermazioni simili e' chiaro che Gamespy non scrive software e non ha alcuna competenza in ambito informatico e cosa piu' grave non si vergogna di cio' che dice pubblicamente. La seconda domanda invece e': qual e' questa compagnia che avrebbe appoggiato il "ricatto" e che poi avrebbe sciolto il contratto con il ragazzo del responso? Se il ragazzo sono io allora penso che la societa' sia PivX ma: 1) i bugs li ho sempre trovati e segnalati io quindi cosa c'entra PivX? PivX non si e' mai permessa di intromettersi nei miei bug reports proprio perche' solo io ero a conoscenza dei dettagli di tali bugs 2) il contratto esiste ancora, e' controfirmato ed e' nel mio cassetto. Ho scelto io di distaccarmi da PivX dopo i bugs trovati in Half-Life per ragioni filosofiche in quanto non mi piace il tono commerciale e schematico delle aziende, tono che traspare in maniera fin troppo evidente negli ultimi advisories rilasciati con PivX proprio per i bugs in Half-Life: http://aluigi.org/adv/hlbof-client-adv.txt http://aluigi.org/adv/hlbof-server-adv.txt http://aluigi.org/adv/hlmods-adv.txt Poi sarei proprio curioso di sapere come mai se sono stato "rimosso" dai loro servers c'e' ancora il mio materiale hostato... mah... Mi ha fatto molto piacere leggere su Slashdot http://yro.slashdot.org/article.pl?sid=03%2F11%2F12%2F1735212 i commenti degli utenti in cui compaiono degli evidenti controsensi nei vari responsi inviati da Gamespy ad alcune persone prima di quello "ufficiale" che e' stato reso pubblico successivamente. Ad esempio nelle prime risposte Gamespy ha detto esattamente: "Unfortunately, he's not telling the truth. What is happening is simply attempted extortion. He didn't contact us, never has, and has been harassing us for over a year." Traduzione: "Sfortunatamente, lui non sta' dicendo il vero. Cio' che e' accaduto e' semplicemente un tentativo di estorsione. Non ci contatto', non lo ha mai fatto, e ci ha perseguitato ripetutamente per oltre un anno." Contraddizione: come avrei fatto a "perseguitarli ripetutamente" se non li ho mai contattati? Da sottolineare il "never has" ed il successivo "for over a year". Inoltre i primi bugs di RogerWilco risalgono a fine Maggio 2003 quindi non piu' di sei mesi prima e cio' e' visibile anche nel mio primo advisory rilasciato per RogerWilco. Le accuse di estorsione sono molto gravi e perseguibili penalmente ecco perche' qualsiasi nome o riferimento e' stato "volutamente" omesso da Gamespy anche se esistono ugualmente gli estremi per una causa legale per diffamazione. Ma non ho tempo e soldi da perdere con avvocati e quindi preferisco smontare le loro accuse pubblicamente su Internet con tale documento. A questo punto e' necessario mettere in campo un po' di prove in quanto le parole senza fatti rimangono solo parole ed io non mi chiamo Mark Surfas. Cio' che io faccio sempre quando trovo un bug in un programma e' semplicemente contattare i programmatori con almeno due e-mails e se non ricevo risposta per molto tempo o il bug viene corretto rilascio i risultati della mia ricerca seguendo la full-disclosure, quindi con tutti i dettagli tecnici e del codice dimostrativo (chiamato in gergo proof-of-concept). Nella sicurezza informatica non esistono "obblighi" o "date da rispettare" ma e' tutto a completa discrezione di chi trova il bug infatti c'e' chi avverte il "vendor" nel momento stesso in cui viene reso pubblico l'advisory, chi non lo avverte proprio ed altri che aspettano almeno una risposta, ma comunque si parla sempre di qualcosa di facoltativo e positivo (l'altra scelta e' il canale dell'underground e non e' molto piacevole per gli utenti e per i programmatori del software vulnerabile). Questa e' una cosa molto importante e che viene spesso dimenticata da chi "parla" di sicurezza informatica. Io ho deciso volutamente di contattare Gamespy segnalando i bugs e soprattutto aspettando diversi mesi invano prima di rilasciare il mio materiale pubblicamente, cio' e' stato esattamente quello che faccio sempre. Siccome di bugs ne ho trovati abbastanza sino ad ora, ho molte persone e societa' che possono testimoniare (testimoni = prova concreta, non parole campate in aria come quelle di Gamespy) riguardo ai miei bug reports e soprattutto possono dire che l'unica cosa che ho sempre "richiesto" sono state le conferme dell'esistenza dei bugs segnalati (questa prova e' comunque visibile anche nell'articolo scritto da Robert Lemos http://news.com.com/2100-7355-5107305.html). Inoltre le stesse persone di Gamespy sono dei testimoni infatti durante lo scambio di e-mails per i primi bugs di RogerWilco si complimentarono con me per la mia diligenza e la mia pazienza, quindi come e' possibile che la loro versione dei fatti riguardo al mio comportamento sia cambiata completamente nel loro C&D e nel loro responso? Dopodiche' come seconda prova ci sono proprio i miei advisories che sono tutti pubblici (e ad esempio su Bugtraq http://www.securityfocus.com/archive/1 sono riportate anche le date di rilascio) e contengono tutti i miei commenti e dettagli riguardo i tempi di risposta o l'eventuale disinteressamento dei programmatori nel correggere i problemi segnalati. Ed infine abbiamo proprio le e-mails, le tanto discusse e-mails che Gamespy sostiene contengano minacce e richieste di soldi ma appunto loro hanno soltanto parole mentre io ho persino le date dello scambio di e-mails avvenuto dopo la "finta" correzione dei primi bugs di RogerWilco (quindi dal momento in cui hanno iniziato ad ignorarmi): Da: Data: ------------------------------------- me Thu, 26 Jun 2003 10:18:11 +0000 me Wed, 30 Jul 2003 12:48:24 +0000 me Thu, 31 Jul 2003 12:28:49 +0000 loro Thu, 31 Jul 2003 09:55:11 -0700 me Thu, 31 Jul 2003 19:09:49 +0000 me Thu, 28 Aug 2003 12:58:25 +0000 me Tue, 16 Sep 2003 10:43:01 +0000 me Sun, 21 Sep 2003 14:09:46 +0000 me bug report via form web UPDATE 16 Feb 2009: finalmente ho deciso di pubblicare tutte le mail originali inviate e ricevute: http://aluigi.org/misc/gamespy_mails_of_shame.zip Evito di sprecare spazio riportando anche il contenuto delle mie e-mails in quanto sono solo dei bug reports e delle richieste di spiegazioni riguardo il loro disinteressamento ai miei reports. Nelle e-mail di Luglio ho chiesto esplicitamente di controllare il buffer-overflow riportato un mese prima e soprattutto ho chiesto spiegazioni sul motivo per cui non mi avevano ancora risposto. La loro risposta e' stata molto semplice e vaga: "thanks, we have received your info and we are acting on it." Se loro hanno ricevuto il mio report riguardo il buffer-overflow segnalato un mese prima, perche' non hanno fatto nulla per tutto questo periodo? Il giorno stesso ho segnalato anche dei nuovi bugs ed ho chiesto nuovamente per quale motivo nessuno mi avesse risposto prima o se non avevano ricevuto le mie e-mails ma purtroppo non ho mai ricevuto una risposta e credendo nel loro "we are acting on it" ho atteso invano ancora altro tempo. Quindi io ho provato completamente cio' che ho detto mentre dalla loro parte ci sono ancora bugie confuse e contraddittorie. Ma non e' finita qui... Il C&D e' una evidente prova persino firmata di minacce e richieste di denaro, quindi anche qui e' provato che Gamespy mi ha veramente chiesto del denaro in caso non avessi rimosso il mio legittimo materiale... "o la borsa o la vita". Questa mi sembra e si puo' considerare una vera e propria forma di estorsione e ricatto. L'ultima cosa invece riguarda il continuo uso da parte di Gamespy della parola "network" intesa come "loro" rete. La falsita' di tutte le loro accuse (soprattutto quelle del C&D) viene provata proprio dai loro prodotti che non hanno bisogno di alcun server centrale per essere usati e (per chi non conosce tali prodotti) soprattutto dalla prima domanda/risposta delle FAQ di RogerWilco http://rogerwilco.gamespy.com/products/rw/faq.html Q. Do I need to connect to a special server? A. No... Just to the computer of another friend whom you want to talk to. This Create/Join connectivity is the same used by many online games. Benissimo, il castello di bugie di Gamespy e' finalmente crollato miseramente ma non e' finita in quanto e' passato un mese ed e' giusto che ora si tirino le somme e si possa confermare tutto cio' che ho detto e ribadito sin dal primo advisory rilasciato per RogerWilco riguardo le vulnerabilita' non corrette. Nel loro report (quello che non si sa' a chi sia effettivamente rivolto) sono molto "belle" le seguenti frasi: "Let me repeat: We welcome any bug alerts and will fix any and all security breaches that come to our attention. We find and fix nearly all of them before any external sources find them" "Gamers trust us. We have to protect them from any and all attacks on our network that affect gamers." Sapete qual e' la situazione delle vulnerabilita' nel software di Gamespy ora che "chiunque" al mondo e' ancora piu' a conoscenza di tali bugs e soprattutto dopo aver letto le loro "belle" parole? ANCORA VULNERABILI!!! Dopo un mese dal C&D e dopo oltre 6 mesi dalla prima segnalazione i programmi RogerWilco (ultima versione 1.4.1.6) e Gamespy 3d (ultima versione 263021) sono ancora vulnerabili agli stessi bugs che ho trovato tanto tempo fa. Tutto questo software evidentemente non e' piu' supportato e la frase riportata prima da Gamespy e' da considerarsi completamente falsa, priva di fondamento ed un inganno per le persone che l'hanno letta e ci hanno creduto. E' un diritto del consumatore ricevere supporto per cio' che ha comprato in particolare se da cio' possono derivare danni e conseguenze spiacevoli o gravi dovute all'incompetenza ed il disinteressamento di chi vende un prodotto senza supporto. Quindi chi ha pagato per RogerWilco e Gamespy3d ha in realta' soltanto pagato i loro avvocati e non il supporto per cosa ha comprato. Infatti dalle FAQ di RogerWilco e' interessante leggere l'ultima domanda/risposta: Q. How much does Roger Wilco cost? A. Roger Wilco is a Shareware / Subscription product -- you can use it as long as you like, but if you subscribe today you'll get access to the subscriber benefits in ALL of GameSpy's software products (Roger Wilco, GameSpy Arcade and GameSpy3D) and you'll help support future Roger Wilco development! E consiglio un'occhiata anche alla seguente frase che campeggia nella pagina principale del programma: "Plus, you'll be supporting further development of the revolutionary software that enables you to talk with friends, family and fellow gamers over your PC." E' persino scritto dalle stesse persone di Gamespy che i soldi degli utenti registrati serviranno a continuare lo sviluppo di RogerWilco quindi anche qui si parla di falsita' scritte per abbindolare gli utenti. Per chi avesse comprato uno dei 2 prodotti ribadisco che i bugs esistenti sono decisamente pericolosi e critici, in particolare quelli di RogerWilco che portano all'esecuzione di codice remoto non solo contro il computer dell'utente che fa da server ma in alcune versioni anche contro tutti gli altri utenti connessi ad esso, quindi consiglio vivamente a tali utenti di passare a software migliore e soprattutto "supportato". Ho solo parole di disprezzo riguardo un comportamento simile che non puo' essere giustificato in alcun modo e soprattutto non e' praticato da alcuna azienda nel settore informatico. Quindi ancora una volta: vergogna, vergogna ed ancora vergogna! Non solo per la richiesta di rimozione del mio materiale e per tutte le false accuse scritte verso di me, ma anche per tutti gli utenti che vengono ingannati ogni giorno, per chi ha creduto ad almeno una sola parola del mare di bugie che scorrono dai portavoce di Gamespy ed infine per l'uso del DMCA col solo intento di eliminare il diritto di parola e di informazione che e' sancito da tutti i paesi considerati civili. Ora ho definitivamente concluso con i miei commenti riguardo questa storia e se il ragazzo di cui si parla nel responso non sono io, beh allora mi sono voluto immedesimare in quella persona ed ho espresso le mie idee in merito, ma se tale responso e' effettivamente diretto a me allora finalmente tutto e' stato chiarito. ########################################################################