Nemzetközi póker hírek

Biztonsági rés a Cereus hálózat szoftverében!

A PokerTableRatings biztonsági rést talált a Cereus hálózat szoftverében, felhívásban figyelmeztetik a játékosokat, a hiba javításáig ne pókerezzenek a hálózat termeiben.
author-picture Admin - 2010. május 07.

A következő cikk eredeti válozata a PokerTableRatings oldalán található:

A PokerTableRatings felfedezett egy kritikus hibát a Cereus hálózat szoftverében. A hiba tehát olyan termeket érint, mint az Absolute Poker és az UB. Az általunk felfedezett biztonsági rés lehetővé teszi a hackereknek, hogy hozzáférjenek pókerszámlákhoz és megjelenítsék ellenfeleik lapjait az asztaloknál. Figyelmeztettük a Cereus munkatársait, reméljük, e-mailünk és az alábbi közlemény kellő motivációt jelent arra, hogy mielőbb megoldják a problémát.

A közlemény célja természetesen nem az, hogy minél többen kihasználják a hibát és megkárosítsák a Cereus felhasználóit, hanem hogy figyelmeztessük a játékosokat, hogy megvédhessék pénzüket a csalóktól.

A probléma lényege röviden: a Cereus nem a szabványnak tekintett SSL titkosítást használja, hanem egy egyéni kódolást, amely bárki számára könnyedén feltörhető.




Biztonsági rés:


Amikor a játékos belép számítógépén keresztül a póker kliensbe, kapcsolat jön létre a szerver tulajdonosa és üzemeltetője valamint a pókerhálózat között. Ezen a kapcsolaton keresztül fut minden információ, beleértve a játékos felhasználónevét, jelszavát, a pókerasztalnál kapott lapjait és itt indított akcióit.   

Ezt körülbelül úgy kell érteni, mintha egy beszélgetés futna a PC és a szerver között, valahogy így:

PC: Szeretnék pókerezni, a felhasználónevem BOB, a a jelszavam 123456.
Szerver: Máris be vagy jelentkezve.

Vagy:

Szerver: Új leosztás indul az 1-es asztalon.
PC: Ok.
Szerver: A lapjaid Ac Jh.
PC: Ok.


Minden pókerhálózat titkosítja ezeket az adatokat, hogy lehetetlenné tegyék mások számára a hozzáférést fiókunkhoz, illetve hogy ne kerüljenek olyan információk birtokába, mint lapjaink. Majdnem minden pókerhálózat SSL protokollt használ az adatok biztosítására, akár a bankok vagy a kormányhivatalok. Számos nyílt SSL forráskód létezik, például az OpenSSL. Az SSL egy ipari szabvány, amire a legtöbben úgy tekintenek, mint a védelem legjobb eszköze.

A Cereus azonban nem SSL titkosítást használ, hanem egyéni XOR alapú titkosítást, ami közismerten gyenge, egy átlagos számítógép felhasználó is könnyedén feltörheti. Valójában nem is titkosítás ez, inkább csak egyszerű kódolás, amit a Windows számológéppel általunk is értelmezhető jelekre alakíthatunk. Ehhez mindössze annyit kell tennünk, hogy a számológép nézetét normálról tudományosra állítjuk, majd az XOR gomb megnyomásával dekódoljuk az adatokat.

A Cereus-biztonsági rés kihasználásának legfőbb kulcsa az internet hozzáférés. Ez azt jelenti, hogyha nyilvános wireless, esetleg feltört wireless vagy vezetékes kapcsolaton keresztül játszol, a támadók látják a hálózati forgalmadat, innentől pedig szabad préda vagy számukra.

Következmények:

A hacker feltörheti a számlád és megszerezheti a pénzed, sőt úgy is kifoszthat, hogy észre sem veszed. Mivel látja lapjaidat gond nélkül lejátszhat az asztalról.

A támadás lehet célzott (amikor egy olyan pókeres a célpont, aki közismerten a Cereus hálózaton játszik, feltörik a kapcsolatát és kifosztják) vagy passzív (amikor nyílt intenet kapcsolattal rendelkezőkre vadásznak).

A vezeték nélküli hálózatok különösen veszélyesek, de a fizikai hálózatok sincsenek tökéletes biztonságban, főként ha switch helyett hubot használunk az internet megosztására (vagy olyan helyen pókerezünk, ahol hubbal osztják a netet). A megosztás nélküli hálózatok egy ARP-támadással játszhatók ki (az ARP protokoll feladata az IP címekhez tartozó Ethernet vagy Token Ring fizikai címek tárolása).

Teszt:   

Mi is kipróbáltuk, fel tudjuk-e törni a Cereus hálózatot. Saját wifi kapcsolatunkat crackeltük, és valóban rendkívül egyszerűen hozzáfértünk a teszthez készített pókerszámlánkhoz, ugyanakkor képesek voltunk valós időben megfigyelni a lapokat.

A vizsgálathoz kereskedelmi forgalomban lévő, kifejezetten olcsónak mondható hardware-t használtunk.


A legerősebb póker technológia a Földön... Valóban?


Kockázati szintek:


Internet Rizikó faktor Valószínű helyszín,  zárójeles kiegészítés
 Nyilvános nyitott wireless
 Nagyon magas
 Kollégiumok környéke, stb. (Például linksys név)
 Nyilvános zárt wireless
 Magas  Repülőtér, stb.
 Nyilvános vezetékes kapcsolat
 Közepes  Iskolai számítógépek, stb.
 Otthoni nyitott wireless
 Közepes  (Például linksys vagy netgear név)
 Otthoni zárt wireless
 Alacsony  ---
 Otthoni vezetékes
 Alacsony  ---


Javaslat a játékosoknak:

Nem mondhatunk mást, a legjobb lépés, amit egy Cereus játékos tehet saját védelme érdekében, hogy nem pókerezik a hálózatban, amíg ki nem javítják a hibát. Jelenleg ugyanis SENKI sincs megfelelő biztonságban. Amennyiben valaki mégis úgy dönt, itt folytatja a pókert, ajánlatos néhány óvintézkedést tennie.

Kizárólag otthonról pókerezz, közvetlenül vezetékkel kapcsolódva a modemhez. Ha erre nincs lehetőséged, meg kell győződnöd arról, hogy netkapcsolatod WPA2 titkosítást használ.

Mindenki kerülje az ismeretlen vagy nyilvános kapcsolatot!

Javaslat a Cereus hálózatnak:

Annak érdekében, hogy mielőbb megoldódjon a probléma, kérjük, korszerűsítsék az internet kommunikációt, használják az OpenSSL könyvtárat, amit itt érhetnek el: http://www.openssl.org/. A változtatások során ne felejtsék el ellenőrizni a független szakértői tanúsítványokat, hogy elkerüljenek egy újabb biztonsági rést.

Utóirat:

A PokerTableRatingsnek nincs tudomása arról, hogy valaki ténylegesen kihasználta volna a biztonsági rést. Tesztjeink során erre a célra létrehozott accountokat vizsgáltunk. Nincs szükségünk a Cereus felhasználóinak adataira, mi mindössze tájékoztatjuk a felhasználókat, mint ahogyan a fejleményekről is beszámolunk.


A Cereus időközben felvette a kapcsolatot a PTR-el, megköszönték a figyelmeztetést, és igyekeznek mielőbb kijavítani a hibát. Emellett máris felkérték a PTR-t a javított szoftver tesztelésére.


Kapcsolódó cikkek

0 hozzászólás

Partnereink
Natural8
  • Óriási forgalom, minden napszakban találni elegendő asztalt
  • A világ legnagyobb online póker tornái
  • Folyamatos innováció (AoF, Mistery Bounty)
  • Számos szórakozni vágyó amatőr játékos
  • Nagylelkű központi promóciók
Ugrás a teremhez
RedStar Poker
  • Megbízható szolgáltató, kiváló ügyfélszolgálattal
  • A terem a harmadik legnagyobb póker hálózat tagja
  • Magas rakeback
  • HUD használható
Ugrás a teremhez
PokerKing
  • Amerikai játékosok
  • HUD elérhető
  • Magas központi visszatérítés
  • Minden igényt kielégítő új szoftver
  • Speciálisabb játéktípusok is elérhetőek
  • Széles verseny kínálat
Ugrás a teremhez
888poker
  • Könnyű ellenfelek
  • Előnyös VIP promóció cash game játékosoknak
  • Izgalmas játék variánsok: SNAP és BLAST
  • HUD használható
Ugrás a teremhez
Bet365 Poker
  • Prémium asztalok
  • Sok sportfogadó játékos
  • HUD használható
Ugrás a teremhez
Betkings
  • Ázsiai fishek
Ugrás a teremhez
bwin Poker
  • Akár 40% központi rakeback
  • Egyedi ajánlat játékosainknak
Ugrás a teremhez
Olasz terem
  • Privát ajánlat: Csak a PókerAkadémia játékosainak
  • Könnyű mezőny
  • HUD
Ugrás a teremhez
Everygame Poker
  • Kezdőbarát
  • Arányaiban sok rekreációs játékos
  • Fogad USA játékosokat
  • Magas rakeback
Ugrás a teremhez
Élő ügyfélszolgálat