Σοβαρό πρόβλημα ασφαλείας και στο δίκτυο του Cake αποκαλύπτει το PTR !

Γιάννης ΠερτσινίδηςLeave a Comment

Αυτό σημαίνει ότι εκείνοι οι παίκτες που χρησιμοποιούν ασύρματα δίκτυα (ιδιαίτερα όσα είναι μή ασφαλή) αντιμετωπίζουν σοβαρότατο κίνδυνο.

Αυτό το κενό ασφαλείας είναι σχεδόν όμοιο με εκείνο που αποκάλυψε πριν λίγο καιρό το PTR για το δίκτυο Cereus (κλικ εδώ για να δείτε τη σχετική είδηση) το οποίο έχει πλέον διορθωθεί, όμως συνάμα υπάρχουν μεταξύ των δύο περιπτώσεων ορισμένες σημαντικές διαφορές.

Το PTR πιστεύει ότι το κενό ασφαλείας υπάρχει σε κάθε σκιν του δικτύου Cake (αν και οι δοκιμές έγιναν μόνο στο site του Cake poker και στο Doyle’s room). Επίσης επιβεβαιώνει ότι το πρόβλημα υπάρχει τόσο στον client που χρησιμοποιείται τώρα από το Cake όσο και στο νέο Beta client v2.0.

Επεξήγηση

Όταν ανοίγετε ένα πόκερ client στο PC σας για να παίξετε, αυτό που στην πράξη συμβαίνει στο παρασκήνιο είναι ότι συνδέεστε με τους σέρβερς του αντίστοιχου δικτύου πόκερ. Η σύνδεση αυτή χρησιμοποιείται για να μεταφέρει όλα τα δεδομένα μεταξύ του δικού σας υπολογιστή και των σέρβερς, περιλαμβανομένων του username, του password, των στοιχηματικών αποφάσεων και φυσικά των αρχικών σας φύλλων.

Αυτό μπορεί να παρομοιαστεί με μία “συζήτηση” που γίνεται ανάμεσα στον υπολογιστή σας και στο δίκτυο πόκερ, η οποία πηγαίνει κάπως έτσι:

PC: Θέλω να παίξω πόκερ, το username μου είναι “bob” και το password είναι το 123456

Server: Έχεις συνδεθεί.

Ή:

Server: Ένα νέο hand ξεκίνησε στο Table 1

PC: Οκ

Server: Τα αρχικά σας φύλλα για το Table 1 είναι Ac Jh

PC: Οκ

Σε όλα τα δίκτυα πόκερ αυτά τα δεδομένα μεταφέρονται κρυπτογραφημένα με τέτοιον τρόπο ώστε να αποτρέπεται η κλοπή οποιουδήποτε στοιχείου το οποίο θα μπορούσε να χρησιμοποιηθεί από κάποιον κακόβουλο για να αποκτήσει πρόσβαση στον λογαριασμός σας ή για να βλέπει τα αρχικά σας φύλλα.

Με απλά λόγια η παραπάνω “συζήτηση” είναι κρυφή, κρυπτογραφημένη ώστε οποιοσδήποτε “κρυφακούει” να μην μπορεί να “ακούσει” ποιο είναι το password.

Σχεδόν κάθε δίκτυο πόκερ εφαρμόζει το στάνταρ πρωτόκολλο SSL, δηλαδή τον ίδιο μηχανισμό ασφαλείας που χρησιμοποιούν όλοι για να διατηρούν τα δεδομένα τους ασφαλή , από τις τράπεζες μέχρι τις κυβερνητικές υπηρεσίες. Υπάρχουν μάλιστα και μερικές δωρεάν εκδοχές αυτού του πρωτόκολου ασφαλείας, όπως για παράδειγμα το ανοιχτού κώδικα OpenSSL .

Το πρόβλημα είναι ότι το Cake Poker network δεν χρησιμοποιεί το SSL για την κρυπτογράφηση των επικοινωνιών του. Αντιθέτως χρησιμοποιούν μία ειδική μορφή κωδικοποίησης που βασίζεται στο XOR. Η μορφή αυτή είναι ιδιαίτερα αδύναμη, και στην πράξη η εφαρμογή της καθιστά εξαιρετικά απλή υπόθεση την αποκρυπτογράφηση των δεδομένων που μεταφέρονται στο δίκτυο μέσω ενός πολύ εύκολα ανακτήσιμου “κλειδιού”.

Αυτό που εφαρμόζει το Cake Network δεν είναι κρυπτογράφηση αλλά απλή κωδικοποίηση. Για να καταλάβετε πόσο απλό είναι να αποκωδικοποιήσετε αυτά τα δεδομένα, ανοίξτε το calculator που έχουν τα Windows και βάλτε το στο scientific mode. Το μόνο που χρειάζεται τώρα για να αποκωδικοποιήσετε την ροή των δεδομένων είναι να πατήσετε το κουμπί XOR….

Η μόνη απαίτηση που υπάρχει για να μπορεί κάποιος να εκμεταλλευθεί το κενό αυτό ασφαλείας είναι να έχει πρόσβαση στο δίκτυο. Αυτό σημαίνει ότι αν παίζετε σε ανοιχτό ασύρματο δίκτυο, σε ασύρματο δίκτυο που μπορεί κάποιος να “σπάσει” (κάτι ιδιαίτερα εύκολο), ή σε ένα φυσικό δίκτυο που έχει παγιδευθεί – ένας χάκερ μπορεί πολύ εύκολα να αποκτήσει πρόσβαση σε όλα τα δεδομένα που μεταδίδονται στο δίκτυο…

Επιπτώσεις

Η πρόσβαση στα αρχικά φύλλα είναι πολύ πιθανή με αυτό το πρόβλημα στην ασφάλεια του δικτύου. Ωστόσο η μεγαλύτερη ανησυχία είναι η κλοπή ολόκληρων bankrolls. Θεωρητικά ένας κακόβουλος χάκερ θα μπορούσε να εντοπίσει ένα πιθανό θύμα, να παρκάρει το αυτοκίνητό του στο δρόμο μπροστά από το σπίτι του, και αν το “θύμα” παίζει μέσω ασυρμάτου δικτύου να κλέψει τα στοιχεία σύνδεσης (username/password) και στη συνέχεια να τα χρησιμοποιήσει για να μεταφέρει τα χρήματα σε άλλους λογαριασμούς. Αυτό μπορεί να ακούγεται εξαιρετικά απίθανο να συμβεί, όμως είναι δυνατό να γίνει.

Μία μεγάλη παρανόηση με το πρόβλημα ασφαλείας του Cereus, ήταν ότι ο κόσμος πίστεψε πως μόνο όσοι παίζουν σε ασύρματα δίκτυα διατρέχουν κίνδυνο. Είδαμε πάρα πολλές λανθασμένες διαπιστώσεις, οι οποίες υποβάθμιζαν τη σοβαρότητα του κινδύνου. Έτσι αυτή την φορά το PTR ξεκαθαρίζει ότι ανεξαρτήτως τι δίκτυο χρησιμοποιείτε, διατρέχετε κίνδυνο αν παίζετε στο δίκτυο Cake. Οποιοσδήποτε χάκερ μπει ανάμεσα στον υπολογιστή σας (ή τον ακούει όπως στην περίπτωση του ασύρματου δικτύου) και στους σέρβερς του Cake στο Κουρακάο, μπορεί θεωρητικά πάντα να υποκλέψει τα προσωπικά σας στοιχεία και να βλέπει τα αρχικά σας φύλλα.

Ο λόγος που τα ασύρματα δίκτυα στοχοποιούνται περισσότερο είναι ότι εκεί δεν απαιτείται να μπείτε – με κάποιον φυσικό τρόπο – ανάμεσα στον υπολογιστή του θύματος και τους σέρβερς του Cake, αλλά απλώς να παρατηρείτε τη ροή των δεδομένων.

Παρά τις τεχνικές επιπτώσεις , εδώ ανακύπτουν και μία σειρά από σοβαρά ερωτήματα που αφορούν τη λειτουργία ολόκληρου του κλάδου. Πως είναι δυνατόν ακόμη ένα πόκερ network, – και μάλιστα και αυτή τη φορά ένα από τα πολύ μεγάλα δίκτυα – να μην έχει προσέξει ότι δεν χρησιμοποιοεί ούτε καν τους πιο απλούς μηχανισμούς ασφαλείας;

Δοκιμές

Στο εργαστήριο του PTR, χρησιμοποιώντας ένα παραβιασμένο ασύρματο δίκτυο, οι τεχνικοί μπόρεσαν εύκολα να κλέψουν usernames και passwords από διάφορα skins του Cake network. Μάλιστα το username και το password ήταν απευθείας ορατά καθώς ο παίκτη πατούσε το πλήκτρο σύνδεσης, ή τη λειτουργία “αυτόματης σύνδεσης”.

Αυτό το κενό ασφαλείας είναι ακόμη πιο σοβαρό από το αντίστοιχο στο δίκτυο Cereus, όπου εκεί ήταν δυνατο να ανακτηθεί μόνο μία MD5 εκδοχή του κωδικού (δηλαδή κρυπτογραφημένη), η οποία απαιτούσε ένα ιδιαίτερα εξελιγμένο μηχανισμό για να μπορούσε κάποιος να αποκτήσει πρόσβαση στον λογαριασμό. Σε αυτή την περίπτωση, παίρνουμε απευθείας σε απλό κείμενο το username και το password του θύματος!

Επίσης έγινε δυνατή η αποκάλυψη των κρυφών αρχικών φύλλων τη στιγμή που αυτά μοιράζονται, όπως μπορείτε να δείτε στο παρακάτω βίντεο επίδειξης. Πρόκειται για το ίδιο πρόβλημα ασφαλείας με το δίκτυο του Cereus.

Βαθμοί Επικινδυνότητας για τους Παίκτες

Στον παρακάτω πίνακα φαίνεται ο βαθμός επικινδυνότητας που αντιμετωπίζει ο μέσος παίκτης να πέσει θύμα μίας τέτοιας κατάστασης, ανάλογα με τον τύπο της σύνδεσής του.

Τύπος Δικτύου Βαθμός Επικινδυνότητας
Δημόσιο Μή Ασφαλές Ασύρματο Εξαιρετικά Μεγάλος
Δημόσιο Ασφαλές Ασύρματο Μεσαίος-Υψηλός
Δημόσιο Ενσύρματο Μεσαίος
Ασύρματη μή Ασφαλής Οικιακή Σύνδεση Μεσαίος
Ασύρματη Ασφαλής Οικιακή Σύνδεση Μεσαίος-Χαμηλός
Οικιακή Ενσύρματη Χαμηλός

 

Τι πρέπει να κάνουν οι Παίκτες

Όπως αναφέρθηκε παραπάνω δεν υπάρχει τρόπος να είστε 100% ασφαλείς όσο παίζετε στο δίκτυο του Cake. Δεν είναι δυνατό να γνωρίζετε ότι είστε ασφαλείς ακόμη και αν “καλωδιωθείτε” απευθείας στο μόντεμ του σπιτιού σας.

Το μόνο που μπορείτε να κάνετε προς το παρών είναι να αλλάξετε το password, και να σταματήσετε να παίζετε στο Cake network μέχρι να διευθετηθούν πλήρως όλα τα κενά ασφαλείας. Μέχρι να εφαρμόσει το Cake το πρωτόκολλο OpenSSL, ή την κρυπτογράφηση TwoFish την οποία λένε στην ιστοσελίδα τους ότι θα χρησιμοποιήσουν, δεν υπάρχει τρόπος να είστε απόλυτα ασφαλείς.

Αν συνεχίσετε να παίζετε, τότε θα πρέπει να κάνετε χρήση μόνο ενσύρματης ασφαλούς σύνδεσης. Αν αυτό δεν είναι δυνατόν τότε βεβαιωθείτε ότι το ασύρματο δίκτυο που χρησιμοποιείτε έχει WPA2 encryption.

ΜΗΝ παίζετε σε άγνωστα ή δημόσια δίκτυα, ειδικά ασύρματα. Επίσης μην γνωστοποιείτε σε τρίτους ότι παίζετε στο δίκτυο του Cake ώστε να αποφύγετε να γίνετε στόχος…

….

Η ανακοίνωση του PTR συνεχίζει με τεχνικές λεπτομέρειες παρουσιάζοντας τις διαφορές που υπάρχουν μεταξύ του προβλήματος στο Cereus και αυτό στο Cake. Επίσης αναφέρει ότι έχει ενημερώσει σχετικά τους υπευθύνους ασφαλείας του Cake και αναμένει την άμεση αντιμετώπιση του προβλήματος.

ΠΗΓΗ: PokerTableRatings.com