Μια εταιρία που ειδικεύεται σε θέματα ασφάλειας online επικεντρώθηκε στο θέμα, ανακαλύπτοντας ότι πολλά skins πάσχουν από κενά ασφαλείας, γεγονός που τα κάνει εύκολους στόχους σε περίπτωση επίθεσης.
Οι Luigi Auriemma και Donato Ferrante της ReVuln είναι οι ειδικοί που διεξήγαγαν την έρευνα. Το πλήρες κείμενο με τα συμπεράσματά τους.
«Ένα κενό ασφαλείας σε μια έκδοση λογισμικού μπορεί να επηρεάζει πολλά skins και εκατομμύρια παικτών» γράφουν.
Αυτό που κάνει ιδιαίτερο το λογισμικό των αιθουσών πόκερ είναι ότι προκειμένου να βελτιώσει την εμπειρία των παικτών, μεταφέρει δεδομένα χρησιμοποιώντας διαφορετικά πρωτόκολλα. Σύμφωνα με τους δύο ερευνητές, το λογισμικό αυτό είναι «ανοιχτό» σε επιθέσεις.
Για παράδειγμα, οι περισσότεροι clients κάνουν update (ή ελέγχουν αν υπάρχει update) μόλις ανοίξουν. Αλλά αυτό που ανακάλυψαν οι Μαλτέζοι είναι ότι σε πολλές περιπτώσεις δεν υπάρχει ψηφιακή υπογραφή στα πακέτα δεδομένων που στέλνονται, ούτε χρησιμοποιείται το Secure Sockets Layer (SSL) encryption. Αυτό σημαίνει ότι όταν κατεβάζετε ένα update θα μπορούσατε (θεωρητικά) να κατεβάζετε έναν Δούρειο Ίππο – επιτρέποντας σε κάποιον να χρησιμοποιήσει τον υπολογιστή σας.
Με βάση την ανάλυση, τα update γίνονται μέσω μιας μη ασφαλούς σύνδεσης HTTP (πρωτόκολλο). Επιπλέον, αποθηκεύονται στον υπολογιστή χωρίς ηλεκτρονικές υπογραφές, σε “.exe” αρχεία που δεν ζητούν επιβεβαίωση πριν την εκτέλεσή τους.
Ένα άλλο πρόβλημα είναι ότι οι πολλές εταιρίες έχουν ένα απλό σύστημα υποβολής Ονόματος Χρήστη και Κωδικού, προκειμένου να δώσουν πρόσβαση σε έναν λογαριασμό. Οι περισσότερες δε, επιτρέπουν την αποθήκευση των στοιχείων αυτών στον υπολογιστή, αν και δεν παρέχουν κάποιον τρόπο προφύλαξης των στοιχείων σε περίπτωση που ο υπολογιστής χρησιμοποιηθεί από κάποιον άλλο.
Ένα λογισμικό που «δείχνει» η έρευνα ως ευαίσθητο σε περίπτωση επίθεσης είναι αυτό της Microgaming, ενώ στον αντίποδα, σημειώνει ότι η Playtech είναι στο σωστό δρόμο, επιβεβαιώνοντας ηλεκτρονικές υπογραφές. Ωστόσο τα αρχεία που παρέχουν είναι ανοιχτά σε αλλαγές.
Το PC Magazine προσπάθησε να επικοινωνήσει με τις εταιρίες που κατονομάζονται στην έρευνα, αλλά σημειώνει ότι οι εταιρίες «δεν ήταν διαθέσιμες να σχολιάσουν».
πηγή : www.pokerlobbygr.com
0 σχόλια:
Δημοσίευση σχολίου