Come un ragazzo riuscì a rubare il codice sorgente del videogioco più atteso del 2004.

A scapito di qualsivoglia intento nobile possa essere celato dietro un attacco informatico, la missione di un hacker è principalmente causare disordine e caos all’interno di una compagnia. I mezzi per farlo non mancano e si spazia dal classico attacco ransomware, sino a giungere al furto di proprietà intellettuale (IP).

Half Life 2 source code theft

Quest’ultimo è il peggiore dei casi, in quanto le IP rappresentano il pilastro con cui le aziende generano profitto per rimanere sul mercato e pagare i propri dipendenti.
Valve Corporation, storica software house produttrice di videogiochi e leader del mercato di distribuzione digitale, ha affrontato in maniera diretta questo problema all’alba del lancio del suo titolo più ambizioso e uno dei più attesi dagli appassionati del settore: Half-Life 2.

Ma andiamo con ordine e affrontiamo per gradi l’argomento.

Due parole su Valve Corporation

Gli appassionati di videogiochi, in particolare i giocatori PC, conoscono molto bene la compagnia.
Fondata nel 1996 dai programmatori Gabe Newell e Mike Harrington, Valve Corporation si è resa nota al grande pubblico due anni più tardi, quando venne pubblicato il suo primo videogioco: Half-Life. Questo rappresentò una rivoluzione per la narrazione in un videogioco, poiché avveniva attraverso gli occhi del giocatore stesso, che era libero di esplorare liberamente gli scenari di gioco senza costrizioni o blocchi legati a scene di intermezzo.

Ottenuto sia il plauso della critica specializzata, che ottimi riscontri di vendita, Valve iniziò una serie di acquisizioni ed espansioni, atta a consolidare ulteriormente la sua immagine e ad aprirsi a nuovi talenti. Il successo che la consolidò definitivamente arrivò a fine 2004, con il rilascio della piattaforma Steam, oggigiorno divenuta il punto di riferimento per l’acquisto e la pubblicazione dei videogiochi per PC.

Tra il 2006 e il 2014 Valve ha continuato ad acquisire team indipendenti e modders, permettendo loro di portare a termine i loro progetti finanziandoli direttamente. Tra i videogiochi più apprezzati di questo periodo troviamo:

  • Half-Life 2: Episode One e Episode Two
  • Team Fortress 2
  • Portal 2
  • Left 4 Dead 2
  • Counter Strike: Global Offensive
  • Dota 2

Oltre al software Valve si è estesa anche nel settore hardware, puntando sia sulla realtà virtuale con il progetto Oculus Rift, che sulle console basate su hardware PC. Queste ultime ebbero dapprima scarso successo come sistemi fissi denominati Steam Machine, ma trovarono il loro mercato solo nel 2022, quando furono convertite in hardware portatile e rinominate Steam Deck.

Lo sviluppo di Half-Life 2

Il successo ottenuto da Half-Life spinse Gabe Newell e la sua squadra alla pianificazione di un sequel, puntando tutto sull’innovare ulteriormente il genere. A tal proposito il team abbandonò il vecchio motore grafico, derivato direttamente dall’id Tech 2 di John Carmack, in favore di uno proprietario scritto da zero: il Source Engine.

Secondo la visione di Newell, il nuovo motore avrebbe incorporato:

  • Intelligenza artificiale di nuova generazione.
  • Sistema di illuminazione globale basato su Radiosity.
  • Supporto alle API grafiche DirectX 9.0
  • Havok Physics, un motore fisico per simulazioni realistiche in tempo reale di collisioni e dinamica di corpi rigidi.

Lo sviluppo del motore grafico e del videogioco avvennero simultaneamente e coinvolse una squadra di circa 100 persone. Il monumentale progetto si svolse dal 1999 al 2004 e richiese un budget pari a 40 milioni di dollari. Il primo annuncio di Half-Life 2 si ebbe all’E3 del 2003, con la presentazione di una demo giocabile atta dimostrare le potenzialità grafiche del Source Engine e le sue simulazioni fisiche.

Tuttavia, questo fu anche l’inizio dell’incubo di Valve.

Il furto del codice sorgente

Il 2 ottobre 2003 Gabe Newell scoprì che il codice sorgente di Half-Life 2 era apparso su internet.
Il gioco era in lavorazione ormai da quasi cinque anni, ma il team era indietro coi lavori di quasi un anno. La fuga di notizie non solo era pericolosa dal punto di vista finanziario, ma anche per l’immagine, poiché avrebbe intaccato direttamente la credibilità che Valve aveva costruito sino a quel momento.

Newell scrisse sul forum di Half-Life 2 un messaggio intitolato “Ho bisogno dell’assistenza della community”, nel quale dichiarò che il codice sorgente apparso in rete era proprio quello dell’attesissimo gioco. Nel messaggio il direttore creativo spiegò che il furto era avvenuto mediante un attacco di tipo keystroke logging.

Mediante un keylogger creato ad-hoc per colpire Valve, un hacker era penetrato nel suo account di posta elettronica tre settimane prima e aveva avuto accesso al server principale della compagnia, su cui risiedeva il codice sorgente del gioco ben lungi dall’essere completato. Lo stesso software malevolo venne rilevato in seguito su altri computer della compagnia.

Il furto ebbe serie ripercussioni su Valve, in quanto la compagnia fu costretta a posticipare la data di pubblicazione del gioco di un anno intero e a ricostruire da zero buona parte del codice trafugato, azione che causò una notevole demotivazione del team di sviluppo.

Axel Gembe e la sicurezza di Valve Corporation

Il 7 maggio 2004 un ragazzo tedesco di nome Axel Gembe si ritrovò circondato da una squadra d’assalto piombatagli in casa senza preavviso.
Il capo d’accusa era furto e diffusione di codice sorgente proprietario per un danno economico pari a 250 milioni di dollari.

Rintracciato dall’FBI, il giovane hacker tedesco fu interrogato riguardo il crimine appena commesso e questi dichiarò di aver agito non per arrecare un danno economico alla società, ma solo per giocare. All’epoca Gembe era ossessionato da Half-Life e desiderava mettere le mani sul seguito prima di chiunque altro, descrivendo agli agenti il modus operandi con cui si era infiltrato in Valve.

Dopo essere stato infettato da sdbot, un trojan camuffato da crack per Warcraft III, questi lo aveva studiato mediante reverse engineering e aveva iniziato a crearne una sua versione. Il primo accesso a Valve Corporation era avvenuto per puro caso e Gembe aveva scoperto che le misure di sicurezza della compagnia erano forti verso l’esterno, ma estremamente scarse all’interno.

Questo perché i server di backup di Valve erano sincronizzati in anonimo mediante AFTZ (acronimo di Asynchronus Full Zone Transfer), un protocollo di trasferimento dati basato su DNS usato molto spesso anche dagli hacker dell’epoca per tracciare i dati presenti in un sito web.
Le dichiarazioni di Gembe misero in luce una serie di criticità presenti nell’infrastruttura di rete di Valve e nella sua sicurezza informatica.

Tra le più gravi si citano:

  • Un server esterno gestito da una compagnia chiamata Tangis e connesso direttamente alla rete interna di Valve senza alcuna protezione firewall tra le due.
  • Username build e nessuna password di sicurezza sul server centrale.
  • Nessun controllo sugli accessi interni.
  • Traffico illimitato su tutti gli host.

Vedendo queste scarse misure di sicurezza, non è difficile comprendere come Axel Gembe sia riuscito a ottenere le chiavi del castello di Gabe Newell e accedere a tutti i segreti aziendali con relativa facilità.

Conseguenze

La reazione da parte della community alla notizia non fu delle più positive. Alcuni si espressero favorevoli ad aiutare Gabe Newell, ma la maggior parte si sentì tradita da Valve, in quanto era stato promesso che il gioco sarebbe stato pubblicato a fine 2003.

Con il morale a terra e ore di straordinario obbligatorie, il team di sviluppo riuscì a completare Half-Life 2 il 13 ottobre 2004 e il gioco venne accolto dal plauso universale della critica specializzata. L’incidente servì di lezione a Valve, poiché la compagnia decise di rivedere completamente le proprie misure di sicurezza interne.

Furono infatti eliminati sia i server privi di firewall, che la sincronizzazione di quelli di backup in anonimo. In aggiunta la rete interna venne pesantemente rivista, con l’implementazione dei moderni protocolli di sicurezza e controllo costante degli accessi interni ed esterni.

E Axel Gembe?

Alla fine, emerse che fu lui stesso ad autodenunciarsi scrivendo direttamente a Gabe Newell, in quanto pentito dalle sue azioni. Dopo aver scontato due anni di carcere per il reato commesso, ha completamente cambiato vita. Attualmente è un cybersecurity analist e database administrator.

In conclusione

Il furto del codice sorgente di un software è l’incubo peggiore di qualsiasi azienda di informatica, in quanto rappresenta sia un danno economico non indifferente, ma anche un danno d’immagine. Una compagnia vulnerabile che perde la propria IP è sempre vista con diffidenza dagli utenti finali.

Per prevenire queste spiacevoli situazioni si raccomanda:

  • l’impiego di licenze d’uso appropriate
  • criptare il codice sorgente stesso
  • verificare l’identità e i permessi in possesso di qualsiasi sviluppatore
  • denunciare tempestivamente qualsiasi comportamento giudicato sospetto.

Ecco perché occorre anche sensibilizzare sviluppatori e utenti riguardo tale evento, in quanto è comunque un furto di proprietà intellettuale, con serie ripercussioni legali nei confronti di chi lo commette.