Roma – Luigi Auriemma, un giovane milanese di 22 anni appassionato di sicurezza, rischia di finire nei guai per aver creato e distribuito alcuni programmi e documenti sulla sicurezza relativi a certi prodotti di GameSpy , celebre portale americano dedicato ai videogiochi e al gaming on-line.
Con un ordine di cessazione datato 6 novembre 2003, e reso pubblico da Auriemma lo scorso mercoledì, i legali di GameSpy hanno intimato allo sviluppatore italiano di rimuovere immediatamente dal proprio sito, aluigi.altervista.org , tutti i file da loro indicati: nel documento si sostiene che tale materiale infrange le proprietà intellettuali di GameSpy e viola il DMCA , la famigerata normativa americana sul copyright che, qui in Europa, trova un forte alleato nella direttiva EUCD .
“È stato posto alla nostra attenzione – si legge nel documento legale che GameSpy ha inviato ad Auriemma e al provider italiano che ospita il suo sito – che lei ha commesso numerose violazioni di leggi statali e federali entrando illegalmente sui server di GameSpy e creando, commercializzando e distribuendo software che aggira i meccanismi crittografici che proteggono l’accesso ai server di GameSpy. In aggiunta a questo, lei ha pubblicato dei così chiamati “security advisories” che forniscono ad altri le istruzioni passo-passo per aggirare la sicurezza sui server di GameSpy”.
I legali della società americana sottolineano come alcuni di questi programmi possono causare il crash dei server di GameSpy o dare l’accesso a informazioni “confidenziali, di valore e proprietarie”, inclusa l’identità e i dati di accesso di un numero imprecisato di server di tutto il mondo connessi al network di GameSpy.
Lo studio legale afferma che Auriemma rischia, in base alle leggi americane, fino a 575.000 dollari di sanzioni penali e civili e un massimo di 5 anni di carcere .
Auriemma, con cui Punto Informatico è in contatto, si difende sostenendo che i file incriminati consistono in “proof-of-concept”, ossia “exploit dimostrativi che non permettono esecuzione di codice e hanno il solo scopo di mostrare l’esistenza e il livello di pericolosità di alcuni bug”.
GameSpy ha puntato particolarmente il dito su di un generatore di chiavi che può essere utilizzato per registrare RogerWilco, un noto programma di chat vocale dedicato a chi gioca via Internet.
“Quello che non dicono – ha spiegato Auriemma a PI – è che a me interessa solo l’algoritmo del programma, di certo non le chiavi generate visto che ci sono tantissimi key generator e seriali su Internet proprio per RogerWilco. A dimostrazione di questo, ho rilasciato solo il codice sorgente del programma: c’è molta gente che impara studiando il codice degli altri, quindi perché impedire questa cosa?”
Il ricercatore di sicurezza afferma poi che uno dei programmi finiti sotto accusa, gsinfo.zip , non ha nulla a che fare con GameSpy. “Questo la dice lunga – ha detto a PI – sull’attendibilità delle accuse di GameSpy”.
Auriemma ha poi aggiunto che tutti gli avvisi di sicurezza che riguardano GameSpy sono lì da tempo e sono apparsi su varie mailing list pubbliche che trattano di sicurezza: alcuni dei bug segnalati, fra cui uno risalente allo scorso maggio, non sarebbero ancora stati corretti.
“Questo materiale – ha chiarito il giovane sviluppatore – non è stato rilasciato da un momento all’altro (quello che in gergo si chiama “0days”): ogni volta che ho trovato un bug nei loro prodotti ho contattato ripetutamente GameSpy per metterla al corrente del problema”.
Qualche mese fa Auriemma aveva già ricevuto una lettera di diffida da GameSpy per aver fatto il reverse engineering di un algoritmo utilizzato per ottenere la lista dei server di gioco: il ricercatore afferma che era sua intenzione implementarne una versione open source che potesse funzionare anche sotto Linux. I dettagli si trovano qui .
Mark Surfas, chairman e fondatore di GameSpy, ha di recente dedicato al caso una lettera pubblicata sul proprio portale: di seguito se ne riporta una sintesi insieme ai commenti di Auriemma.
Surfas nella sua lettera, che non cita espressamente il nome del ventiduenne milanese, afferma di aver sempre apprezzato le segnalazioni di bug inviate loro “da questa persona” , tuttavia sostiene che il ricercatore italiano sarebbe andato “ben oltre il fare reverse engineering di due dei nostri prodotti, RogerWilco e GameSpy3D: ha descritto i nostri servizi di backend e ha pubblicato informazioni sulla generazione di CDkey senza farcelo sapere”.
Auriemma controbatte dicendo che “il reverse engineering è alla base della ricerca dei bug. Se non conosci il protocollo utilizzato da un’applicazione non puoi trovare bug”. Il giovane ricercatore precisa inoltre che GameSpy ha risposto alle sue e-mail solo inizialmente, dopodiché silenzio.
“L’impressione – dice Auriemma – è che le mie notifiche non fossero più gradite”.
Surfas prosegue la sua lettera affermando che i tool per “fare attacchi di forza bruta alle chiavi di RogerWilco, insieme e alla pubblicazione di hack per ottenere le CDkey di altri giochi” vanno considerate “tecniche di pirateria”. Il boss della società americana sostiene poi che pubblicare informazioni su come attaccare il network di GameSpy non è un modo etico di comportarsi.
“Non avendo argomenti reali di cui parlare – ha ribattuto Auriemma – cercano di tirare in ballo dei luoghi comuni che nulla hanno a che fare con le mie passioni. Il mio è uno studio riguardo ai vari metodi di protezione che vengono adottati dai videogiochi e durante le mie ricerche preferisco rilasciare pubblicamente il mio codice piuttosto che tenerlo a marcire sul disco. Questo tenendo ferma la volontà, da parte mia, di avvertire sempre gli interessati dei bug che scopro”.
Ma le accuse non finiscono qui. Il chairman di GameSpy afferma che il ricercatore, presentatosi come dipendente di una piccola società di sicurezza (di nome PivX, N.d.R.), avrebbe preteso da GameSpy “una parcella per le consulenze prestate”.
“Ma quelli che ci sono stati segnalati – scrive Surfas – non sono bug: sono informazioni che descrivono il funzionamento dei nostri prodotti. Quando noi abbiamo fatto presente tutto ciò alla società di sicurezza, loro hanno interrotto il proprio rapporto con questa persona e l’hanno rimossa dai loro server”.
Surfas arriva persino ad introdurre l’idea che le richieste di Auriemma fossero ricattatorie , del tipo “pagatemi o pubblico tutto”.
“Semplicemente ridicolo”, commenta Auriemma. “Ho sempre contattato GameSpy personalmente e senza mai tirare in ballo PivX. Da quest’ultima società mi sono effettivamente allontanato, ma questo dietro mia spontanea volontà e in base a ragioni che nulla hanno a che fare con GameSpy. In quanto al presunto ricatto, credo che l’accusa si commenti da sola. La loro tattica è quella di screditarmi prendendo di mira ciò che comunemente viene considerato un “brutto cattivo black-hat”, ma anche questa è ricerca. Senza reverse engineering non esisterebbero prodotti come OpenOffice, Samba, MLDonkey, eMule e tanti altri progetti utilizzati da moltissime persone in tutto il mondo”.
L’ultimatum di GameSpy termina proprio oggi, 14 novembre, e a quanto pare Auriemma seguirà l’avvertimento di GameSpy.
“La mia intenzione – ha detto a PI – è rimuovere il materiale (tranne gsinfo) entro stasera (ieri sera per chi legge, N.d.R.), tanto ormai i miei file sono ovunque su Internet. La comunità di ricercatori ha ottenuto ugualmente una vittoria, ora bisogna darsi da fare con forme di protesta migliori e capaci di sventare futuri attacchi alla libertà di ricerca e di studio fatti da certe aziende che impugnano come arma il DMCA o l’EUCD”.
Ti potrebbe interessare
14 nov 2003