image

Keylogger in Flight Sim-extensie was tegen softwarepiraat gericht

dinsdag 20 februari 2018, 10:25 door Redactie, 16 reacties

Het bedrijf Flight Sim Labs dat uitbreidingen voor Microsoft Flight Simulator ontwikkelt heeft aan de laatste versie een keylogger toegevoegd om inloggegevens van één specifieke softwarepiraat te achterhalen, zo heeft de softwareontwikkelaar op de eigen website bekendgemaakt.

Op Reddit ontstond ophef nadat een gebruiker in de laatste uitbreiding van Flight Sim Labs een keylogger ontdekte. De malware bleek in Chrome opgeslagen gebruikersnamen en wachtwoorden te kunnen stelen. In een verklaring laat de softwareontwikkelaar weten dat de keylogger alleen bij het invoeren van specifieke gegevens werd geactiveerd. Dit gebeurde niet bij legitieme gebruikers en er zijn ook geen persoonsgegevens van legitieme gebruikers gestolen, aldus de ontwikkelaar.

De keylogger was namelijk tegen één specifieke softwarepiraat gericht. Bij de lancering van een vorige uitbreiding voor Flight Simulator bleek dat er specifieke softwarekrakers waren die de kopieerbeveiliging door middel van offline serienummergeneratoren wisten te omzeilen. Flight Sim Labs had geen idee hoe dit precies gebeurde, maar zag wel steeds bepaalde informatie, zoals gebruikersnaam, e-mailadres en serienummer, van specifieke ip-adressen komen.

Aan nieuwere versies van het installatieprogramma werden meer "tests" toegevoegd om de identiteit van de krakers te achterhalen, wat uiteindelijk ook lukte. Het bleek om één specifiek persoon te gaan en Flight Sim Labs zegt de naam van deze kraker te hebben. De kraker was op bepaalde besloten websites actief waar hij zijn gegevens met andere softwarepiraten deelde. Uit de informatie die Flight Sim Labs had verzameld bleek dat de softwarepiraat in kwestie Google Chrome gebruikte. Daarom werd besloten om in de meest recente versie van de uitbreiding een Chrome-keylogger toe te voegen die in de browser opgeslagen wachtwoorden van alleen de softwarepiraat achterhaalde.

Op deze manier wilde de softwareontwikkelaar de inloggegevens achterhalen waarmee er toegang tot de besloten websites kon worden verkregen die de softwarepiraat gebruikt. Deze werkwijze was succesvol, laat Flight Sim Labs weten. De softwareontwikkelaar ontdekte naar eigen zeggen een heel web van softwarepiraterij waar veel meer extensie-ontwikkelaars voor Flight Simulator het doelwit waren. Achteraf gezien was het volgens de softwareontwikkelaar geen goede beslissing om de keylogger toe te voegen en maakt het excuses voor het vertrouwen dat is geschaad. Ook biedt het klanten de mogelijkheid om hun geld terug te vragen. Inmiddels is er een nieuwe versie uitgekomen waarin de keylogger is verwijderd.

Reacties (16)
20-02-2018, 10:35 door Anoniem
In plaats van zo vuil te zijn kunnen ze ook gewoon de DRM eruit slopen en eerlijker werken, wat uitermate tot meer omzet lijdt, omdat je dan als bedrijf meer respect krijgt.

Ik hoop dat ze met dit voorval al hun klanten verliezen.
20-02-2018, 11:02 door CykoByte_t - Bijgewerkt: 20-02-2018, 11:03
Dit lijkt me totaal illegaal. Mag dit zomaar?
20-02-2018, 11:35 door Anoniem
Dit is dus een criminele actie van de spelontwikkelaar (computerinbraak is een criminele actie), terwijl de piraat niet eens crimineel bezig is (alleen civiele recht)
20-02-2018, 11:38 door Anoniem
Wat mij ook verrast dat Google Chrome password blijkbaar kan achterhaald worden dus wilt zeggen dat Chrome niet meer veilig is?
20-02-2018, 11:42 door Anoniem
Door CykoByte_t: Dit lijkt me totaal illegaal. Mag dit zomaar?
Nee dit is inderdaad een gevalletje wat niet zomaar gedaan mag worden. Deze manier houdt ook geen stand in een rechtszaak.
20-02-2018, 11:43 door buttonius
Door CykoByte_t: Dit lijkt me totaal illegaal. Mag dit zomaar?
Waarom denk je dat?
Deze hack werd alleen actief op de computer van de softwarepiraat. Er is dus alleen inbreuk gemaakt op de privacy van die softwarepiraat. Niet bepaald een willekeurig slachtoffer.
De vraag wordt dan: is inbreuk maken op de privacy van een persoon die jouw software illegaal gebruikt redelijk en proportioneel? Het lijkt mij niet onredelijk.
Stichting Brein krijgt van de Nederlandse rechter steeds toestemming om namen van internetters op te eisen waarvan ze alleen het IP nummer hebben. Ik ben geen fan van Brein, maar de Nederlandse rechters gaan hierin mee.
20-02-2018, 12:00 door Anoniem
Door buttonius:Deze hack werd alleen actief op de computer van de softwarepiraat.

Niet helemaal correct. In ideale omstandigheden wordt de hack alleen dan actief. Maar aangezien we niet in een ideale wereld leven, kan die ook per ongeluk actief worden en alles doorsluizen, of onterecht, of bewust door een derde partij. Dan klinkt het wel als een willekeurig slachtoffer.

Piraterij mag niet, dat kan alleen maar duidelijk zijn. Maar als je dan toch een misstap begaat, moet dan meteen heel je privéleven online gegooid worden? Kan je je inbeelden dat als je volgende keer geflitst wordt, meteen je facebook en email opengesteld worden voor 37 partijen? Proportioneel?

We zetten camera's in je huis maar we zetten ze niet aan! Enkel als we denken te detecteren dat je iets fout aan het doen bent, zetten we ze aan. Hm.
20-02-2018, 12:30 door Anoniem
Door buttonius:
Door CykoByte_t: Dit lijkt me totaal illegaal. Mag dit zomaar?
Waarom denk je dat?
Deze hack werd alleen actief op de computer van de softwarepiraat. Er is dus alleen inbreuk gemaakt op de privacy van die softwarepiraat. Niet bepaald een willekeurig slachtoffer.
De vraag wordt dan: is inbreuk maken op de privacy van een persoon die jouw software illegaal gebruikt redelijk en proportioneel? Het lijkt mij niet onredelijk.
Stichting Brein krijgt van de Nederlandse rechter steeds toestemming om namen van internetters op te eisen waarvan ze alleen het IP nummer hebben. Ik ben geen fan van Brein, maar de Nederlandse rechters gaan hierin mee.

Eigen rechter spelen is illegaal. Het ondermijnt het juridisch systeem. Op deze manier zijn we beter af zonder wetten.
20-02-2018, 12:35 door CykoByte_t - Bijgewerkt: 20-02-2018, 12:36
Door buttonius:
Door CykoByte_t: Dit lijkt me totaal illegaal. Mag dit zomaar?
Waarom denk je dat?
Deze hack werd alleen actief op de computer van de softwarepiraat. Er is dus alleen inbreuk gemaakt op de privacy van die softwarepiraat. Niet bepaald een willekeurig slachtoffer.
De vraag wordt dan: is inbreuk maken op de privacy van een persoon die jouw software illegaal gebruikt redelijk en proportioneel? Het lijkt mij niet onredelijk.
Stichting Brein krijgt van de Nederlandse rechter steeds toestemming om namen van internetters op te eisen waarvan ze alleen het IP nummer hebben. Ik ben geen fan van Brein, maar de Nederlandse rechters gaan hierin mee.
U kaart het zelf al aan: Brein krijgt toestemming van de rechter. Deze lui hebben op eigen houtje gewerkt.

Ik vind het verder overkomen als een redelijke maatregel, maar ik vraag me af of het juridisch gezien allemaal klopt.
20-02-2018, 13:05 door karma4
Door Anoniem:....
Eigen rechter spelen is illegaal. Het ondermijnt het juridisch systeem. Op deze manier zijn we beter af zonder wetten.
Het probleem begon bij iemand ... de hacker die eigen wetten stelde voor het gewin.
Stel nu dat de overheid het IP adres had achterhaald met een gerichte tap door sommigen ook wel sleepnet genoemd. Wat dat dan volgens jouw wel volgens het juridisch systeem?
zo ja, dan eerst de mogelijkheden bij de handhavers zijn te krijgen.
zo nee, wat ben je dan, waar ben je op uit?
20-02-2018, 13:14 door Anoniem
Criminelen, waaronder softwarepiraten kraken de beveiliging van software en in sommige gevallen proberen ze te verdienen aan deze activiteiten. Het verheerlijken van de criminelen is natuurlijk de omgekeerde wereld. Zoals bijvoorbeeld de Antivirus en Anti-Malware industrie probeert met Honeypots en dergelijke middelen de criminelen te traceren, zo heeft deze fabrikant getracht de identiteit van de softwarepiraat te traceren. Er zijn ook systeemanalisten bezig om software te. onderzoeken op kwetsbaarheden en ongewenste functionaliteit. Deze analist heeft de keylogger ontdekt en in de publiciteit gebracht.
Het stelen van inloggegevens is een strafbaar feit, maar in dit geval kon de rechter nog wel eens een afweging gaan maken in de strafmaat. Als voorbeeld zijn de overheden en de inlichtingendiensten ook bezig met het verkrijgen van inloggegevens door middel van Malware en dergelijke. In de ICT is het ondoorgrondelijk v.w.b. de aansprakelijkheid van kwetsbaarheden in hard- en software.
20-02-2018, 13:22 door Anoniem
Door karma4:
Door Anoniem:....
Eigen rechter spelen is illegaal. Het ondermijnt het juridisch systeem. Op deze manier zijn we beter af zonder wetten.
Het probleem begon bij iemand ... de hacker die eigen wetten stelde voor het gewin.
Stel nu dat de overheid het IP adres had achterhaald met een gerichte tap door sommigen ook wel sleepnet genoemd. Wat dat dan volgens jouw wel volgens het juridisch systeem?
zo ja, dan eerst de mogelijkheden bij de handhavers zijn te krijgen.
zo nee, wat ben je dan, waar ben je op uit?

Dat je dit niet begrijpt is kwalijk. Je kan net zo goed geen rechtstaat hebben als iedereen toestemming heeft om iemand anders aan te vallen als hij vindt dat die andere persoon dat verdient. In principe zeg je nu dat ik je in elkaar mag slaan omdat ik vind dat je gezicht me niet aanstaat, en jij kan me terug neerslaan omdat je dat een correcte reactie vindt, tot een van ons elkaar heeft doodgemept. Nee zo werkt Nederland niet, sorry ????
20-02-2018, 14:49 door karma4
Door Anoniem:
Dat je dit niet begrijpt is kwalijk. Je kan net zo goed geen rechtstaat hebben als iedereen toestemming heeft om iemand anders aan te vallen als hij vindt dat die andere persoon dat verdient. In principe zeg je nu dat ik je in elkaar mag slaan omdat ik vind dat je gezicht me niet aanstaat, en jij kan me terug neerslaan omdat je dat een correcte reactie vindt, tot een van ons elkaar heeft doodgemept. Nee zo werkt Nederland niet, sorry ????
Daar heb je helemaal gelijk in.
Intussen zijn we met de rechtstaat zo ver gekomen dat:
- we van alles een privacy bedreiging vinden als de overheid iets zou gaan vastleggen en controleren.
- het recht om vrijheid van informatie misbruiken om auteursrechten te schenden.
- als we een slot op de deur doen dat een beperking vinden op het vrijelijk meenemen van andermans bezittingen.

Met dat laatste zitten we op het grijze gebied van hoeveel maatregelen legitiem zijn om je eigen rechten te beschermen. Camerabewaking heeft een duidelijk doel. Koppel dat aan gezichtsherkenning van bekende ongewenste of bekende gewenste personen en het is ineens allemaal big brother en zou niet juridisch onderbouwd zijn.

De werkelijke vraag in de zaak van het artikel zou moeten zijn, hoe gericht was het nu echt en waren er geen andere manieren om het probleem via gangbaar recht opgelost te krijgen. Heb je er geen oplossingen voor, dan zeg je eigenlijk dat het iemand anders aanvallen goed is omdat er geen handhaving mogelijk is.
20-02-2018, 18:11 door Anoniem
Al bij al is het kwalijke dat de leverancier ook nog een verplichting tot Due Care heeft en deze verzaakt. De stellige bewering op basis van het ontwerp dat de keylogger niet bij legitieme gebruikers zou zijn geactiveerd stelt niet gerust, in tegendeel komt dat neer op bewijs dat men te weinig deskundigheid heeft van kwetsbaarheden en de manieren waarop cybercrime deze vindt en misbruikt om daar deugdelijk inzicht in te hebben.

Legitieme gebruikers hebben er geen behoefte aan om onvoldoende beschermde infrastructuur kant en klaar op hun machines geplaatst te zien waardoor vervolgens hun risico geKowsolea'd te worden van het toch al veel te hoge niveau nog eens verder opgekrikt wordt. Alleen maar 'geld terug' is niet genoeg. Het is niet te veel gevraagd dat als ze dat overkomt, dat er voor gezorgd wordt dat de reputatieschade met terugwerkende kracht ongedaan gemaakt wordt.

In de tussentijd is dit een illustratie waarom het goed is dat de nieuwe GDPR zo streng is. Inderdaad, op het moment dat toch de wachtwoorden in verkeerde handen vallen, melden. Meteen na het optreden, te lang talmen met ontdekken is geen excuus. En vanwege het risico is het boetebedrag bepaald niet te laag.
20-02-2018, 18:57 door Anoniem
Door Anoniem: Wat mij ook verrast dat Google Chrome password blijkbaar kan achterhaald worden dus wilt zeggen dat Chrome niet meer veilig is?
Als je je wachtwoorden in Google Chrome opslaat dan moet je jezelf toch eens afvragen hoe veilig je aan het werk bent..
Via passwords.google.comkun je sowieso op elk apparaat toegang krijgen tot je wachtwoorden en ook in Google Chrome zelf kan je de wachtwoorden plain tekst zien mits je in de browser naar de goede pagina gaat.
20-02-2018, 20:14 door karma4
Door Anoniem: .....
In de tussentijd is dit een illustratie waarom het goed is dat de nieuwe GDPR zo streng is. Inderdaad, op het moment dat toch de wachtwoorden in verkeerde handen vallen, melden. Meteen na het optreden, te lang talmen met ontdekken is geen excuus. En vanwege het risico is het boetebedrag bepaald niet te laag.
Die gdpr is ook streng met alle risico's niet enkel een geselecteerd risico wat nu in de schijnwerper staat.
Die hacker voerde zaken uit wat legitieme gebruikers mogelijk schade berokkende. Zoiets op zijn beloop laten met een service waar je verantwoordelijk voor bent is een grove nalatigheid volgens de GDPR. Nu mag jij het advies geven wat er moet gebeuren en bij een advies dat fout uitpakt ben jij aansprakelijk
Ik zie een grote markt voor advocatuur en verzekeringen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.