Como um adolescente conseguiu quebrar a segurança do Steam
Andou por aí um jogo chamado Watch Paint Dry. Como o próprio nome indica, o objectivo era ver tinta a secar numa parede. Como há jogos de calibre demente por todo o lado, não será de estranhar que este “jogo” sequer exista. Mas, na verdade, este título foi muito mais que um estranho jogo na plataforma Steam. Foi uma chamada de atenção.
Ruby Nealon de 16 anos conseguiu colocar o jogo na plataforma Steam mesmo sem a aprovação da Valve. Algo que, supostamente, não devia acontecer. Basicamente, Nealon conseguiu obter uma conta de Steamworks (ferramentas que permitem preparar jogos para o Steam) e publicou um jogo fictício através de uma vulnerabilidade encontrada no código do Steam. A questão é que essa vulnerabilidade foi encontrada e denunciada por Nealon desde Fevereiro e a Valve nunca prestou a atenção devida. Então o jovem meteu mãos à obra e fez o que, para todos os efeitos, seria impossível.
Para conseguir colocar o seu jogo no Steam, Nealon teve de passar por todos os processos normais de aprovação. Primeiro teve de criar a sua página da loja Steam para obter as famosas “trading cards”, depois enviar uma versão final do jogo e, finalmente, iniciar o seu lançamento. Só que Nealon fez isso de forma ilícita ao descobrir um atalho para enganar o serviço.
Primeiro teve de obter uma conta no Steam Greenlight. Conseguiu obtê-la de uma forma que “prefere não revelar”. Depois, ao adicionar “trading cards” ao jogo e descobrir uma série de comandos escondidos no código da plataforma, obteve uma falsa confirmação de um “editor” da Valve de que o jogo estaria pronto para o Steam. Depois, bastou-lhe procurar pelo comando para adicionar um ID para o jogo e lançá-lo. Tudo isto sem qualquer funcionário da Valve supervisionar o processo. Se desejarem, podem acompanhar todos os passos que Nealon deu para este feito na sua página pessoal.
O “jogo” em si é deplorável, como é lógico. Os jogos que são lançados no Steam, porém, possuem um escrutínio cerrado e todos estranharam como este título passou no filtro do Greenlight. Nealon nem sequer é produtor de videojogos. Após uma onda de protestos da comunidade, sobretudo de quem comprou o jogo e se sentiu enganado (o que esperavam de um jogo cujo objectivo é ver tinta a secar durante 45 segundos?), a Valve finalmente virou a sua atenção para as alegações de Ruby Nealon. Afinal, não era só teoria, na prática a falha que Nealon tinha evidenciado tinha sido posta em prática.
O jovem planeava fazer este grande golpe no “dia das mentiras”, 1 de Abril, mas o jogo acabou nos “Novos Lançamentos” no passado Domingo, contra todas as medidas implementadas pela Valve. Se tivesse conseguido nessa data, porém, seria a partida perfeita. No entanto, o objectivo era chamar a atenção da Valve e o adolescente conseguiu. Não só o jogo acabou removido da loja, como a falha foi corrigida e toda a situação foi sanada com reembolsos feitos e uma grande lição tirada.
Em entrevista ao site Steamed, Nealon explica que fez tudo “por piada” e os seus objectivos, como “caçador” de bugs e habitual consultor de segurança foi alertar para a falha de segurança que já tinha reportado à Valve desde Fevereiro. Por seu lado, a Valve agradeceu a Nealon “pela dica” e até permitiu que mantivesse a sua conta na Steamworks para continuar a buscar mais erros.
Na mesma entrevista, fica claro que Nealon já tem feito trabalho “mercenário” para outras empresas. A Google, por exemplo, oferece prémios a caçadores de erros ou falhas de segurança nos seus serviços. Esta actividade permite às empresas obter correcções e melhorias de serviços, além do seu trabalho interno, pagando a terceiros, geralmente hackers ou crackers, para encontrarem e resolverem falhas maiores ou menores nos seus serviços.
No final, a partida resultou e acabou bem, com mais uma vulnerabilidade no Steam resolvida. No rigor, porém, com esta vulnerabilidade outra pessoa com fins menos éticos poderia ter publicado, não um jogo ridículo, mas algum malware ou vírus. E Ruby Nealon disse ao Steamed que ainda pensou em chamar ao jogo fictício de “Half Life 3″. Certamente isso iria irritar a Valve e talvez abrir-lhe um processo judicial. No entanto, essa sim, seria a partida do ano…
Comentários