Gamespy droht mit US-Copyright-Gesetz

Luigi Auriemma, unabhängiger Sicherheitsforscher, hatte seit Mai dieses Jahres diverse Sicherheitslücken in Gamespys Voice-Chat-Programm Roger Wilco und im Online-Gametool Gamespy3D gefunden und auf seiner Homepage veröffentlicht. Nun hat Gamespy den Italiener mit einem Brief abgemahnt: Seine Veröffentlichungen verstoßen gegen das US-Copyrightgesetz Digital Millennium Coyright Act (DMCA) und er solle sie von seiner Homepage entfernen -- Auriemma befolgte dies.

Gamespy begründet die Vorgehensweise damit, dass es sich nicht um eigentliche Sicherheitslücken handelte, sondern um interne Informationen über die eigenen Produkte. So hatte Auriemma beispielsweise eine Schwachstelle beschrieben, durch die ein Angreifer in Gamespy3D-Server einbrechen und die Kontrolle übernehmen könnte.

"Man muss sich fragen, warum [er] sich darauf konzentriert", sagt Chris Wildermuth von Gamespy. "Das ist keine besonders kritische Sache, Nutzerdaten sind nicht gefährdet. Prinzipiell reden wir von Software-Piraterie." Auriemma sieht das natürlich anders -- es ginge ihm keineswegs darum, Raubkopierer zu unterstützen, sein einziges Ziel sei es, freie Informationen anzubieten.

Zwar ist der DMCA ein US-amerikanisches Gesetz und damit nicht für Auriemma gültig, jedoch sieht das anders aus, wenn der Italiener die USA besuchen würde. Indes kritisieren einige Leute aus der Sicherheitsszene das Vorgehen von Gamespy. Ganz gleich, um welche Schwachstellen es sich handelt, es dürfe keine Schule machen, dass mit dem DMCA gegen das Veröffentlichen von Sicherheitslöchern vorgegangen wird.

Schon 2001 gab es einen vergleichbaren Vorfall, als der Russe Dmitry Sklyarov auf der Hacker-Convention DefCon 9 spektakulär in Handschellen vom FBI abgeführt wurde. Sklyarov hatte in einem Vortrag erklärt, wie einfach man den Kopierschutz von Adobes eBook Reader aushebeln konnte -- Adobe hatte die Festnahme im Vorfeld veranlasst, da er bereits vor der Convention ein Tool zum Aushebeln des Kopierschutzes im Internet bereitgestellt hatte. Letztlich zog Adobe seine Klage zurück, nachdem die Öffentlichkeit mit Boykott-Aufrufen und Mailinglisten heftig protestierte.

Vor einem Jahr gab es einen weiteren Vorfall, als Hewlett-Packard die Sicherheitsspezialisten von SnoSoft davor warnte, Exploits für Sicherheitslücken im HP-UX zu veröffentlichen -- unter Berufung auf den DMCA drohte HP seinerzeit eine Geldstrafe von bis zu 500.000 US-Dollar und bis fünf Jahre Gefängnis an. Aber auch HP zog die Drohung nach wenigen Tagen wieder zurück.

Im aktuellen Fall scheint sich die Geschichte aber nicht so einfach erledigen zu lassen: Nicht Gamespy, sondern Auriemma hat nachgegeben. Allerdings ist der Fall auch nicht ganz vergleichbar. Laut einer Erklärung von Gamespy habe Auriemma auch ein Programm bereitgestellt, mit dem man CD-Keys von Roger Wilco mittels Brute Force knacken konnte -- was in der Tat wenig mit Sicherheitslücken zu tun hätte. Auriemma dementiert allerdings eine solche Veröffentlichung.

Auch Erpressung warf Gamespy dem Italiener vor: Er habe zunächst über seinem damaligen Arbeitgeber PivX Kontakt mit Gamespy aufgenommen und Informationen über die Sicherheitslücken gegen Geld angeboten. Wenn Gamespy nicht zahlen wolle, würde er die Information veröffentlichen, soll Auriemma erklärt haben. Er bestreitet jedoch auch dies vehement, er habe zu keiner Zeit nach Geld gefragt und auch nicht für PivX gearbeitet, sondern lediglich eine Partnerschaft mit dem Sicherheitsunternehmen geführt. PivX und Auriemma allerdings gehen seit dem Vorfall getrennte Wege. (pab)