"Отдел безопасности сайта PTR раскрыл существенную уязвимость в системе кодирования сети Cake. Соединение между сетью и игроком является небезопасным и допускает вмешательство третьего лица…
OldBoy
27.07.2010
Уязвимость
учётных записей и сдаваемых игроку карт была раскрыта сотрудниками
сайта pokertableratings.com. Система передачи данных в Cake Network
организована таким образом, что любой, кто в состоянии перехватить
трафик идущий от сервера к игроку сможет овладеть информацией о пароле к
чётной записи или карманных картах. Это означает, что пользователи
беспроводных сетей (а в особенности небезопасных) находятся под
наибольшей угрозой.
«Уязвимость сети анaлoгична той, которая
была раскрыта работниками PTR в Cereus Network и в настоящее время
устранена. Однако есть некоторые различия с текущей ситуацией, подробнее
о которых мы расскажем в пункте «Специальные замечания». Мы
предполагаем, что исследованная нами уязвимость имеется во всех витринах
сети Cake (прямой анализ захватил лишь Cake Poker и Doyle’s Room), а
так же во всех версиях программного обеспечения – текущем клиенте Cake
Network и разрабатываемой Beta v2.0. Если возможности ознакомиться с
данной статьей у вас нет, но мы настоятельно рекомендуем прочесть пункты
«Уровень риска для игроков» и «Предложения для игроков». Прочтение
указанных пунктов это обязательный минимум для тех, кто принимает
участие в играх Cake Network.
Пояснение:
Сложившаяся
ситуация – анaлoгична уязвимости обнаруженной в Cereus Poker network
некоторое время назад, поэтому если вы знакомы с подробностями решённой
тогда проблемы, можете пропустить следующее далее описание.
В тот
момент, когда вы логинитесь в покер клиент с вашего компьютера, то
происходящее «за кулисами» это установка соединения между серверами под
руководством покерной сети. Это соединение используется для обмена всеми
данными посылаемыми вашим компьютером к серверу и наоборот, включая
пароль от аккаунта, ваши действия и карманные карты за столом. В общем
смысле, «общение» между сервером и вашим ПК происходит по
приблизительной схеме:
ПК: я бы хотел поиграть в покер, мое имя bob и мой пароль 123456
Сервер: вы вошли в систему
или
Сервер: новая сдача начинается за столом #1
ПК: ok
Сервер: ваши карманные карты за столом #1 – Ac Jh
ПК: ok
Во
всех покерных клиентах вышеуказанные данные зашифрованы, что в
обязательном порядке предотвращает раскрытие информации о вашей чётной
записи или карманных картах. Отталкиваясь от приведённого примера,
беседа между ПК и Сервером затенена, благодаря чему любой слушатель не
сумеет «услышать» ваш пароль.
В большинстве случаев покер румы
осуществляют шифрование благодаря специальному протоколу SSL, который по
принципу своего действия схож с механизмом используемым агентствами
банков правительства, для засекречивания данных. Существует несколько
доступных версий вышеуказанного протокола, включая открытый источник
OpenSSL. В своей сути SSL это стандарт шифрования, который
гарантированно обеспечит наилучший практический результат передаваемых
внутри сети данных.
Проблема Cake Network в том, что они не
используют SSL в процессе шифрования коммуникаций; в Cake используется
альтернативный инструмент кодировки, основанный на протоколе XOR. Данный
метод кодировки – экстремально слаб из-за специфического способа
работы, благодаря которому отыскать ключ шифрования не составляет труда.
По сути, всё шифрование данных в Cake Network основывается на
кодировании данных (другими словами, имея ключ к раскодированию,
перехваченный фрагмент информации от пользователя к серверу и наоборот –
можно превратить в реальные данные). Чтобы увидеть насколько просто
расшифровывается указанная информация, откройте windows калькулятор,
переключите его в «инженерный» режим. Теперь, всё что нужно для
расшифрования потока данных – нажать на кнопку «Xor».
Значение:
Кража
карманных карт крайне возможна при использовании уязвимости, однако,
наибольшие опасения вызывает кража банкроллов. В теории, нападающий в
состоянии определить свою жертву и припарковаться недалеко от места, где
жертва будет пытаться играть с помощью беспроводной сети. Прослушав
канал передачи информации, мошенник перехватит логин и пароль игрока, а
затем отправится домой, обналичив средства с украденного аккаунта.
Возможно, подобное никогда не случалось, однако это осуществимо.
Ошибочность
представления уязвимости в Cereus Network заключалось в том, что в
опасности должны были находиться только лишь пользователи беспроводных
сетей. Мы видели множество сообщений о преуменьшении проблемы. На этот
раз мы бы хотели внести некоторую ясность: независимо от того, какую
сеть использует игрок для подключения к серверу покерного клиента Cake.
Любой нападающий, который в состоянии прослушать трафик между вами и
сервером Cake Poker – может украсть вашу личную информацию. Причиной
тому, что предпочтительной целью мошенников могут являться пользователи
беспроводных сетей, это возможность вторжения в соединение без
каких-либо физических контактов.
Кроме технического значения
вопроса в данной ситуации возникает и множество вопросов об индустрии в
целом, которые продолжают возникать из-за существования подобного опыта.
Каким образом ещё одна покерная сеть может получить лицензию и
положительные отзывы, при том, что в системе не были соблюдены самые
минимальные требования по механизмам безопасности? В действительности ли
за этим не следит никто, кроме нас?
Благодаря проведённому тестированию, были выявлены степени риска для наиболее часто используемых соединений:
Предложения для игроков:
Из
сказанного ранее следует вывод – не существует способа достижения
стопроцентной безопасности, играя в Cake Poker Network. Недопустимо
полагать, что вы в безопасности, даже если вы подключены к своему
собственному роутеру. Единственным гарантом безопасности может стать
изменение пароля от вашей учётной записи и остановка игры в рамках Cake
Poker, до того момента пока неполадки не будут устранены и не
подтверждены нашей лабораторией. До тех пора пор, пока Cake не перейдут к
использованию протокола SSL, или на их сайте не будет использоваться
алгоритм блочного шифрования TwoFish, невозможно говорить о безопасности
в рамках этой покерной сети.
В случае, если вы не имеете
возможность прервать свою деятельность в Cake Poker в настоящее время,
вы должны убедиться, что подключены напрямую к вашему роутеру или
кабельному модему. Если данная опция не доступна, вы должны быть
совершенно уверены в том, что шифрование вашего интернет соединения
производится с использованием метода WPA2. НЕ играйте в неизвестных или
публичных местах, особенно – с беспроводным интернетом.
Специальные замечания:
В
начале статьи мы упоминали, что уязвимость в Cake Network схожа с
решённой проблемой в Cereus, однако с некоторыми различиями. Далее – мы
рассмотрим эти различия.
Технические различия:
Фактически,
большим различием является возможность восстановления простого
текстового пароля из потока данных покерной сети Cake. Это намного
проще, чем обязательное наличие «инъекции», которую необходимо было бы
использовать для угона аккаунта из сети Cereus. Вор просто может взять
логин и пароль пользователя Cake Poker в любое удобное для него время.
В
техническом же плане, в данной ситуации есть несколько различий. В
Cereus использовался одинарный сильно закодированный шифровальный ключ
(метод шифрования), на который мы наткнулись благодаря сбою в алгоритме
работы сети. В Cake же использовался полиморфный, постоянно изменяющийся
шифровальный ключ, который имел один вид во время запуска и менялся для
отправления пакетов данных.
Другое техническое различие – способ
раскрытия шифровального ключа с помощью уязвимости. В общем, существует
два пути получения ключа. Первый, тяжёлый способ, это постоянная
отправка простой текстовой информации внутри сети, для того чтобы
проследить – каким способом изменится отправленная вами информация, т.е.
какая вариация «мутации» ключа выбрана механизмом Cake. Требованием к
данному способу является постоянный сбор информации, предполагающий
подключение к серверу Cake Network. По сути, вы должны будете «слушать»
информацию с самого начала.
Второй и более лёгкий способ
получения шифровального ключа это его brute force (полный перебор). Всё
правильно – вы можете запросто подобрать цифровое значение пароля.
Займёт это приблизительно несколько миллисекунд и способ этот более
практичен предыдущего. Все наши тесты мы проделывали именно таким
образом - brute force ключа.
Принципиальные различия:
Оставшиеся
различия несут нетехническую природу. В случае с уязвимостью в Cereus
Network, проблема несла более невежественную форму. Владельцы покерной
сети не вводили своих пользователей в заблуждение, скрывая проблему
программного обеспечения, и как утверждали ответственные лица Cereus –
они и сами не догадывались о существовании дыры в безопасности.
Однако,
Cake написали идущий далее абзац, который был размещён в нескольких
скинах сети, в разделе безопасности и защиты от хакеров:
«Все
соединения между клиентской программой запущенной на вашем компьютере и
сервером Cake Poker, установленным в Куракао, шифруется с
использованием стандарта индустрии «TwoFish» – 256-битного алгоритма
шифрования. Уникальные карты, сдаваемые каждому игроку в руме это
частная информация, поставляемая только лишь одному конкретному
компьютеру, таким образом, чтобы соблюдать баланс между безопасностью и
целостностью игры. Перехват этих информационных пакетов сторонними
игроками невозможен, как и получение любого преимущества на этой основе.
Каждая карта полученная игроком была отослана исключительно на
компьютер пользователя. Таким образом, осуществляется препятствие к
взлому программного обеспечения и ни один сторонний компьютер не в
состоянии подсмотреть ваши карманные карты».
В данном абзаце
имеются в наличии оговорки и два явных обмана. Оговорка: TwoFish никак
не является стандартом индустрии. Стандартом в данном случае является
вышеуказанный SLL, а особенно – OpenSSL. Каждая большая сеть выполняет
шифрование с использованием SSL, потому что в действительности это и
есть признанный стандарт.
Теперь, касательно обмана:
-
Cake НЕ использует шифровальный алгоритм TwoFish. TwoFish, не смотря на
нестандартность, является более безопасным чем протокол XOR, который и
используется в Cake. TwoFish не может быть взломан методом полного
перебора в любом из случаев.
- Cake НЕ использует 256-битный алгоритм. В сети используется технология простого текста, а это 32-битное значение.
Так
же стоит упомянуть, что Cake занялись написанием нового программного
обеспечения, бета-версия которого, насколько мы можем предполагать,
написана на полностью новом языке программирования способом «подъема»
(копирования исходного кода старой программы и создания на его базе -
нового). Тем не менее, проблема безопасности сохранилась, то есть Cake
скопировали старый код с уязвимостью, поняли это, и всё равно создали на
его базе новый софт. В этой связи можно утверждать, что дыра в
безопасности сети имеет НЕ невежественный характер, по крайней мере, на
уровне программистов. Вероятно, большие шишки достаточно наивны, чтобы
не подозревать о проблеме, потому что кто-то, где-то, обязательно знал
обо всём.
Резюме:
Критическая уязвимость
программного обеспечения в программном обеспечении Cake Network делает
возможным воровство информации об аккаунтах, включая логин и пароль, а
так же карманные карты. 100% способа защиты не существует, до тех пор
пока Cake не перейдёт на протокол SSL. У Cake есть ложное уведомление о
безопасности на их веб сайте о том, что они используют метод шифрования,
которого фактически у них – нет.
Как и прежде, мы не обладаем
информацией – использовалась ли уязвимость некоторыми игроками до
настоящего времени. Сотрудники PokerTableRatings.com создали несколько
тестовых аккаунтов , на время фазы тестирования. Мы не владеем паролями к
любым сторонним учётным записям в сети. В Cake Poker Network была
зарегистрирована проблема и мы будем сообщать о развитии событий по
этому делу»."
Так же еще одна новость с ЦГМ на эту же тему:
"Ли Джонс – менеджер Cake Poker Network признался, что крайне смущён оценкой безопасности их сети. По словам господина Джонса, уязвимости в системе не должно было быть…
OldBoy
28.07.2010
В
официальной ветке обсуждения проблемы безопасности на форуме 2+2, Ли
Джонс выступил с официальным объяснением/извинением о сложившейся
ситуации в Cake Network.
«Привет друзья! Должен сказать, что
последние несколько часов я не занимался ничем иным, кроме решения
текущей проблемы. Плохо (но не самое плохое) то, что об уязвимости в
нашей системе безопасности я узнал только лишь после официального отчёта
на сайте PTR.
Представленное сообщение об уязвимости системы
безопасности, очевидно – плохая новость. Но прошу заметить, что для
того, чтобы воспользоваться данной уязвимостью, необходим хакер
обладающий экспертными навыками в шифровании, а также удачное стечение
обстоятельств. Существует вероятность, что нападение могло в
действительности произойти, однако мы полагаем что фактическая
вероятность этого события крайне низка. Опираясь на имеющуюся нашем
распоряжении информацию – подобных происшествий не случалось. «Хорошие»
новости в данном случае: если бы преступники действительно осуществили
покушение на средства кого-то из игроков, мы бы непременно об этом
узнали. Справедливости ради хочется отметить, что если бы произошло
что-то подобное, то это мгновенно стало бы достоянием общественности.
Вся
информация об уязвимостях безопасности была немедленно направлена к
нашим специалистам по программному обеспечению. Когда проблема будет
решена – мы незамедлительно объявим об этом. Тем временем, как уже
упоминалось, рекомендуем вам играть в Cake Network только в проводных
или в беспроводных защищённых сетях.
Наконец, касательно
использования на нашем сайте алгоритм шифрования TwoFish, это, к
сожалении, не правда. Ранее, мы действительно использовали TwoFish,
однако программа дала сбой и мы вынуждены были переключиться на новый
алгоритм. Неправильное утверждение о методе шифрования на нашем сайте
это наша оплошность и мы приносим свои извинения.
Мы заботимся о
безопасности наших игроков экстремально серьёзно, и по приоритетности, в
списке пунктов развития нашего программного обеспечения, этот вопрос
занимает первое место. Мы ценим ваше понимание и терпение», -
комментировал Ли Джонс.
В качестве небольшого «бонуса», после
официального извинения за некорректную работу систем безопасности,
господин Джонс попытался объясниться о личном взгляде на проблему:
«Я
чрезвычайно горд своей репутацией в индустрии покера. Часть моей благой
репутации заключается в экстраординарной ответственности, к которой я
отношусь серьёзнее всего. Однако в данный момент я оказался
невнимательным. Дело в том, что я не был ответственен за разработку
программного обеспечения и не обладал абсолютно никакой информацией о
возможно уязвимости в Cake. Однако я полагаю, что задай я пару лишних
вопросов, сильнее надави в некоторых моментах ещё в мае (когда была
обнаружена уязвимость в Cereus), я, возможно, был бы в состоянии
обнаружить дыру в системе. Уведомляю вас о том, что я чувствую себя
ужасно по этому поводу.
Кроме некоторых технических уроков, я
усвоил один личный – не принимать первый ответ, который был дан на
сложный вопрос. Прошу прощения за то, что не стал интересоваться о
проблеме второй и третий разы, тогда, в мае».
http://www.cgm.ru/%D1%8F-%D1%83%D0%B7%D0%BD%D0%B0%D0%BB-%D0%BE%D0%B1-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8-%D0%BD%D0%B0%D1%88%D0%B5%D0%B9-%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B-%D0%B8%D0%B7-%D0%BE%D1%82%D1%87%D1%91%D1%82%D0%B0-ptr.html
В общем спасибо ПТР за то что вносят огромный вклад вклад в жизнь онлайн комьюнити, постоянно обращая внимание румов на их ляпы и недоработки.