(Dagbladet.no): Da kvartalsrapporten for spillselskapet Funcom ble lagt fram i midten av august, ble det klart spillernes interesse rundt storsatsninga «Age of Conan» hadde avtatt noe siden lanseringa tidligere i år.

Tidligere har da også flere brukere slaktet spillet på grunn av en rekke feil og mangler. Nå kan feilene vise seg å være mer alvorlig enn tidligere antatt.

I forrige uke kunne nemlig det amerikanske firmaet Independent Security Evaluators (ISE) avsløre alvorlige sikkerhetsbrister i kodinga av begge de to populære MMO-spillene «Anarchy Online» og «Age of Conan».


Lese andres filer
Ansvarlig for begge spillene er det norske selskapet Funcom. ISE har som hovedoppgave å foreta uavhengige og vitenskapelig motiverte undersøkelser av sikkerheten i ulike dataprogrammer.

Feilene ble først oppdaget i «Age of Conan». Svakhetene i kodinga gjorde det mulig for uærlige spillere å lese vilkårlige filer på andre deltakeres datamaskiner, samt å kræsje spillet underveis.

I «Anarchy Online»s tilfelle var det også mulig å få fullstendig kontroll over andre spilleres datamaskiner. Slik kunne man enkelt få tilgang til sensitiv og personlig informasjon, slik som passord og kontoopplysninger, skriver ISE på sine hjemmesider.


«Uskyldig» link
Fremgangsmåten for å lese andre spilleres filer i «Age of Conan» var heller enkel.

«Angriperens» avatar sender en tilsynelatende uskyldig link til «offeret» mens spillet pågår. Linken viser imidlertid til filer som inneholder kommandoer i skriptspråk.

Linken peker altså ut av «Age of Conan»-folderen, og setter i gang et skript fra et annet sted på offerets datamaskin. Videre sender selve spillet teksten i denne fila til alle spillere som måtte befinne seg i den virtuelle nærhet av offeret, slik at også disse får lesetilgang til filer på offerets datamaskin.

• Se ISEs demonstrasjon i videoen ovenfor.

For å få spillet til å kræsje, sender angriperen en link til et skript som inneholder mye tekst. Dersom en tekstlinje i skriptet er for lang, kræsjer simpelthen spillet.

De mest alvorlige sikkerhetsfeilene er nå rettet opp av Funcom, men ifølge ISE er det fortsatt mulig å kræsje spillet på den foreskrevne måten.


- Attraktivt for kriminelle
Sikkerhetsanalytiker Stephen Bono i ISE mener at oppmerksomheten rundt sikkerhet i MMO-spill er alt for lav.

- De fleste veit at man ikke skal åpne e-post eller klikke på linker fra folk de ikke kjenner. Men onlinespillerne er mer opptatt av at man ikke skal kunne gå gjennom vegger, ikke at noen kan kapre maskina deres og stjele personlig data, sier Bono til The Baltimore Sun.

- Bevisstheten er fraværende. Det er et stort problem, fordi mange av disse spillene involverer økonomi, der ekte penger veksles inn i virtuelle penger og goder, fortsetter Bono.

- Når disse spillene vokser seg større, flere spiller dem og mer ekte penger er involvert, blir dette attraktivt for kriminelle.


- Retter så fort som mulig
Produktsjef Erling Ellingsen i Funcom ble klar over sikkerhetshullene da selskapet ble kontaktet av ISE direkte. Ellingsen presiserer at de viktigste feilene nå er rettet opp.

- Slike sikkerhetsfeil kan oppstå i all internettbasert programvare, også i for eksempel Internett Explorer eller Firefox, sier Ellingsen.

- Det var på en måte forventet at sikkerhetshull kunne oppstå, og vår oppgave er å tette disse så fort som mulig, fortsetter produktsjefen, som understreker at sikkerhet er et «ufattelig viktig tema» for Funcom.

- Vi har programmerere som kontinuerlig jobber med å rette opp feil og mangler. Dersom en spiller kontakter oss og peker på en feil, vil denne bli rettet opp så fort som mulig, sier Ellingsen.

- ISE hevder på sine hjemmesider at det fortsatt er mulig å kræsje «Age of Conan»?

- Det kan være at den feilen fortsatt er der. Men dersom det er tilfellet, vil den bli rettet opp. Vi har ennå ikke mottatt noen rapporter om at sikkerhetshullene har blitt tatt i bruk, avslutter produktsjefen.