Skip to main content
Als je op een link klikt en een aankoop doet, krijgen we mogelijks een kleine commissie. Lees ons redactiebeleid.

De jongen die Half-Life 2 stal

Het verhaal achter de overval van $250 miljoen.

Mening door Maarten Weyters Editor Eurogamer Benelux
Laatste update op
1 comment

Insertie

Gembe's misdrijven waren ongetwijfeld beschadigend, maar ze werden gedreven door een passie voor games in plaats van puur winstbejag.

Zijn favoriete game was Half-Life. In 2002 was hij net als zovele fans hongerig naar details over de sequel. Toen kreeg hij het idee. Als hij het netwerk Valve kon hacken, kon hij misschien details over de game vinden. Als een eenzaat die een strenge opvoeding had ondergaan, zou hij op deze manier status verwerven bij de community van gamers die hij als familie zag. Het was een poging waard.

"Ik had eigenlijk niet verwacht om iets te vinden," zegt Gembe. "Maar de eerste poging was makkelijk. Het gebeurde zelfs per ongeluk."

"Ik was het netwerk van Valve aan het checken voor toegankelijke web servers, waar ik dacht dat er informatie te vinden zou zijn. Het netwerk was redelijk goed beveiligd, maar had een zwakte. De name server liet anonieme AXFR's toe, wat mij vrij veel informatie gaf."

AXFR staat voor Asynchronous Full Zone Transfer, een tool gebruikt om DNS servers te synchroniseren met dezelfde data als de primaire server. Maar het is ook een protocol dat gebruikt word door hackers om een sneak peek te krijgen van de data op de website. Door de data te transfereren, ontdekte Gembe al subdomeinnamen van Valve Software.

Rond juli 2003 wist Newell dat zijn team de releasedatum van 30 september niet zou halen, maar dat moest hij nog aan de community vertellen.

"In de port scan logs vond ik een interessante server, namelijk dat van een ander bedrijf: Tangis. Zij specialiseerden zich in motion computing," zegt Gembe.

"De server had een publiek beschrijfbare web root, waar ik ASP scripts kon opladen en laten uitvoeren via de web server. Valve zette geen firewall in tegen deze server op het interne netwerk."

Gembe had een onbewaakte doorgang gevonden bij zijn eerste poging.

"De Valve PDC had een username 'gebouwd' met een leeg paswoord," verklaart hij. "Dit liet mij toe om de hashed passwords te dumpen voor het systeem. In die tijd stelde de Eidgenössische Technische Hochschule Zürich een online cracker voor hashes beschikbaar. Zo kon ik de paswoorden zonder problemen kraken."

"Toen dat achter de rug was ... Wel, toen had ik de sleutels van het koninkrijk."

Lek

Op dit punt was Gembe niet bezorgd om zijn sporen uit te wissen. Hij had nog niets om te verbergen. Maar hij wou zeker zijn dat hij niet op te sporen zou zijn bij verder exploratie.

"Het enige waar ik om gaf op dit punt, was om niet uit het systeem te worden gegooid," zegt hij. "Maar ik had toegang tot een oneindig aantal proxy servers, is was dus niet bezorgd. Mijn eerste taak was het vinden van een host, waar ik een soort van schuilplaats kon opzetten."

Gembe ging toen op zoek naar informatie rond Half-Life 2. Hij vond verschillende design documents en teksten over de ontwikkeling. Dit was wat hij zocht. Dit was waarom hij hier was.

De weken vlogen voorbij en Gembe realiseerde zich dat niemand bij Valve zijn aanwezigheid had opgemerkt. Hij ging nog verder zoeken.

Kort na het lek doken er afbeeldingen op van personages die in allerlei seksuele posities dingen zaten te doen, tot grote verveling van Newell.

Toen stootte hij op de heilige graal: de source code van de game waar hij al jaren op wachtte.

De verleiding was te groot. Op 19 september 2003 besloot Gembe om de downloadknop in te drukken en zo Valve's kroonjuweel te stelen.

"De source code binnenhalen was makkelijk, dankzij de netwerkperformantie van de Perforce client. Maar de SourceSafe client voor de game data was verschrikkelijk," verklaart hij.

"Daarom codeerde ik mijn eigen client die zijn eigen transfermechanisme had over TCP. De code detecteerde veranderde files door hashing en ik transfereerde de veranderingen."

"De game liep niet op mijn computer. Ik veranderde de code om het aan de gang te krijgen op een zeer basic manier, zonder shaders en dergelijke. Het was niet fijn. Ik had ook enkel het grootste deel van de development trunk. Er waren zoveel verschillende vertakkingen dat ik niet alles kon nakijken."

Tot op vandaag blijft Gembe ontkennen dat hij de source code op het internet liet lekken. Er valt echter niet te ontkennen dat hij de code overhandigde aan degene die het wel deed.

"Ik dacht niet na," zegt hij. "Er was uiteraard een element van opscheppen. Maar de persoon met wie ik het deelde, verzekerde mij dat hij de code niet zou lekken. Dat was een leugen."

Eens de game verscheen op BitTorrent was er geen houden aan.

"De kat was uit de zak," zegt Gembe. "Je kan het internet niet stoppen."