Πιθανότητα ύπαρξης super-users με το προηγούμενο πρωτόκολλο ασφαλείας στο Cake Poker;

Γιάννης ΠερτσινίδηςLeave a Comment

Η ιστορία αποκαλύφθηκε αρχικά στα τέλη Ιουλίου όταν το pokertableratings.com ανακάλυψε ένα τρωτό σημείο στο σύστημα ασφαλείας του Cake Poker. Το πρόβλημα στο σύστημα κρυπτογράφησης έδινε τη δυνατότητα σε κάποιον χάκερ να δει το password του παίκτη και τα αρχικά του φύλλα, καθώς και άλλες σημαντικές πληροφορίες. Την περασμένη εβδομάδα το Cake Poker ενσωμάτωσε το πρωτόκολλο SSL που διόρθωσε τις ‘μαύρες τρύπες’ στο σύστημα ασφαλείας, όπως διαπιστώθηκε από το PTR.

Παρ’ όλα αυτά ερωτήματα προέκυψαν εν τω μεταξύ για το πόσο ασφαλές ήταν το Cake πριν τεθεί σε ισχύ το νέο πρωτόκολλο κρυπτογράφησης. Το Cake Poker και ο μάνατζερ του card room Λη Τζόουνς διατηρούσαν τους πελάτες τους ενήμερους για την διαδικασία επίλυσης του προβλήματος σε επίμαχο thread.

Κατά την διάρκεια αυτού του thread, αρκετοί ήταν αυτοί που αναρωτήθηκαν εύλογα για το πιθανό διάστημα που η πλατφόρμα του Cake ήταν ευπρόσβλητη και αν υπήρχε η πιθανότητα ύπαρξης “super-users” που μπορούσαν να δουν τα αρχικά φύλλα όλων των παικτών και να αξιοποιήσουν τις πληροφορίες προς όφελος τους. (Ένα παρόμοιο σκάνδαλο με super-users είχε προκύψει τα προηγούμενα χρόνια και στο δίκτυο Cereus – UB.com και Absolute Poker – στο οποίο αποδείχθηκε ότι υπήρχαν super-users που μπορούσαν να δουν τα φύλλα των υπόλοιπων παικτών).

Ένα νέο thread ξεκίνησε πλέον στο 2+2 με θέμα το σύστημα ασφαλείας και την πιθανότητα ύπαρξης super-user accounts στο Cake. Τα επίμαχα σημεία στο συγκεκριμένο thread, αναφέρουν τα εξής:

– Δεν υπήρχε κανένα πραγματικό σύστημα κρυπτογράφησης για μια περίοδο που ο Λη δεν θέλει ν’ αποκαλύψει. Ως αποτέλεσμα της έλλειψης πρωτοκόλλου, οποιοσδήποτε είχε πρόσβαση στην δημόσια σύνδεση κάποιου χρήστη (ακόμη πιο ευάλωτοι οι χρήστες με ασύρματο δίκτυο) στο Cake θα μπορούσε να διαβάσει τα αρχικά του φύλλα και άλλα δεδομένα.

– Οι προγραμματιστές του Cake -που σύμφωνα με τον ίδιο τον Λη του είπαν ψέματα για το πρωτόκολλο κρυπτογράφησης όταν τους ρώτησε σχετικά- είχαν τελικά πρόσβαση στο δίκτυο που είναι οι servers. Επομένως οι προγραμματιστές του Cake θα μπορούσαν να είναι οι ίδιοι super-users!

– Το Cake δεν επιτρέπει το data-mining (εξόρυξη δεδομένων), αλλά επιτρέπει την αλλαγή ονομάτων καθιστώντας σχεδόν απίθανο να ελεγχθούν οι super-users από την ίδια την κοινότητα.

Κι ενώ οι επιτελείς του Cake ήταν αρκετά πρόθυμοι να συζητήσουν για τα αρχικά προβλήματα ασφαλείας, όταν η συζήτηση παρεκτράπη στην πιθανότητα ύπαρξης super-users τότε ξαφνικά άρχισε μια κωλυσιεργία. Μετά από αρκετές πιέσεις ο Τζόουνς τελικά δημοσίευσε μια μακροσκελή δήλωση σε σχέση με το ζήτημα. Μπορείτε να διαβάσετε ολόκληρη την δήλωση εδώ, ή να δείτε παρακάτω τα κυριότερα σημεία:

–Το πρωτόκολλο κρυπτογράφησης στο Cake ήταν αδύναμο για μια περίοδο 18 μηνών μέχρι που επιδιορθώθηκε την περασμένη εβδομάδα. Παρακάτω ο Τζόουνς εξηγεί με κάποια τεχνική ορολογία το θέμα με το σύστημα κρυπτογράφησης:

Περίπου 18 μήνες πριν, ο κώδικας TwoFish σταμάτησε να λειτουργεί λόγω μιας αλλαγής σ’ ένα μη σχετικό θέμα με τον πελάτη. Ένας από τους προγραμματιστές μας, κάτω από αυστηρό χρονοδιάγραμμα, αντικατέστησε το TwoFish με το πρωτόκολλο XOR. Προφανώς ήταν μια κακή ιδέα. Υπήρχαν κάποιες τεχνικές συζητήσεις σε σχέση μ’ αυτή την αλλαγή, αλλά δυστυχώς δεν υπήρξε αναδιάταξη του TwoFish (ή του SSL) στον κώδικα.

Επίσης κακώς κανένας δεν σκέφτηκε να αναβαθμίσει την ιστοσελίδα αναλογιζόμενος το γεγονός ότι το TwoFish είχε απομακρυνθεί. Ήταν ένα κλασικό επικοινωνιακό λάθος μεταξύ των τεχνικών μας και των ανθρώπων που διαχειρίζονται την ιστοσελίδα. Δεν δικαιολογούμαστε, απλά έγινε ένα σημαντικό λάθος.’

–Οι έλεγχοι πραγματοποιούνται ώστε να εξακριβωθεί το κατά πόσον είχε κάποιος την δυνατότητα να εκμεταλλευθεί το κενό ασφαλείας και να αποκομίσει κέρδη, με τον Τζόουνς ν’ αναφέρει:

Κι ενώ πιστεύουμε ότι κανένας δεν έχασε τα χρήματα του ως απόρροια της ευπροσβλητότητας του δικτύου μας, δεν το αποκλείουμε εντελώς. Πραγματοποιούμε μια πλήρη εξέταση των κορυφαίων νικητών από τις 26 Ιουλίου και μετά (όταν διαπιστώθηκε αρχικά το κενό ασφαλείας) και τα μεγαλύτερα pots που είχαν παιχθεί. Απ’ τη στιγμή που ολοκληρώσουμε τον έλεγχο σκοπεύουμε να επεκτείνουμε την έρευνα και να ερευνήσουμε την περίοδο που το TwoFish είχε απομακρυνθεί.

Επαναλαμβάνουμε πως δεν πιστεύουμε ότι θα διαπιστωθεί απώλεια χρημάτων για κάποιον παίκτη αλλά έχουμε την ευθύνη να πραγματοποιήσουμε τον συγκεκριμένο έλεγχο. Ο Σερζ Ρέητιτς (adanthar) έχει τεθεί επικεφαλής της σχετικής έρευνας. Ίσως να θυμάστε ότι είναι ένας από τους ανθρώπους που αποκάλυψαν την υπόθεση PotRipper και θεωρείται ειδικός του είδους.

Αυτή τη στιγμή το Cake λοιπόν επικεντρώνεται στον έλεγχο της περιόδου από τότε που το PTR ανακοίνωσε το πρόβλημα ευπροσβλητότητας μέχρι που επιδιορθώθηκε τελικά την περασμένη εβδομάδα. Φυσικά πολλοί αναρωτιούνται γιατί το Cake λειτουργούσε καθ’ όλη την διάρκεια αυτής της περιόδου μ’ ένα τόσο σημαντικό κενό ασφαλείας στο δίκτυο του, παρότι ο Τζόουνς επιμένει ότι το ρίσκο για τους χρήστες του Cake ήταν μηδαμινό.

Αφότου ολοκληρωθεί ο συγκεκριμένος έλεγχος θα πραγματοποιηθεί ένας ακόμη μεγαλύτερος για ολόκληρο το διάστημα των 18 μηνών με σκοπό να εξακριβωθεί η πιθανότητα ύπαρξης ή όχι super-user accounts και σύσσωμη η κοινότητα του πόκερ αναμένει με ενδιαφέρον τις εξελίξεις.