Ο προγραμματιστής λογισμικού παιχνιδιού κινείται για να διορθώσει ελαττώματα παιχνιδιού πόκερ

Ένας προγραμματιστής λογισμικού πόκερ σχεδιάζει να εφαρμόσει μια λύση αυτή την εβδομάδα για μια ευπάθεια που πρόσφατα ανακάλυψε δύο ερευνητές ασφαλείας που ανέλυσαν μία από τις εφαρμογές παιχνιδιού του.

Ο όμιλος B3W, δήλωσε ότι είχε εντοπίσει το ριζικό πρόβλημα που επισημάνθηκε σε μια έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα από τους Luigi Auriemma και Donato Ferrante της ReVuln, μια ερευνητική συμβουλευτική για τρωτά σημεία που επίσης εδρεύει στη Μάλτα.

Η B3W κάνει μια σειρά λογισμικού τυχερών παιχνιδιών, δωμάτια, επίσης γνωστά ως δέρματα, για παραλλαγές του πόκερ όπως το Texas Hold'em, το Omaha και το Stud. Πολλά παιχνίδια πόκερ απαιτούν από τους χρήστες να κατεβάζουν λογισμικό στους υπολογιστές τους, οι οποίοι στη συνέχεια αλληλεπιδρούν με μια υπηρεσία ιστού για ρεαλιστικό παιχνίδι σε πραγματικό χρόνο.

Αναφορά του ReVuln, η οποία εξέτασε επίσης προϊόντα από τις εταιρείες Microgaming και Playtech, επικεντρώθηκε στο λογισμικό πόκερ, καθώς ο μεταφορτωμένος πελάτης επιτρέπει στους επιτιθέμενους να δουν μια καλή ματιά σε ένα μέρος του σχεδιασμού του παιχνιδιού.

Ο AJ Thompson, διευθυντής στρατηγικής της B3W, μέσω ηλεκτρονικού ταχυδρομείου στην IDG News Service ότι οι παίκτες που χρησιμοποιούν το λογισμικό τους δεν έχουν πειραχτεί σε 12 χρόνια λειτουργίας στο διαδίκτυο. Το B3W παίρνει εξαιρετικά σοβαρά την ασφάλεια των πελατών μας », έγραψε ο ίδιος.

Οι ερευνητές διαπίστωσαν ότι το λογισμικό του B3W ανανεώνεται μέσω μιας μη ασφαλούς σύνδεσης HTTP. Τα ενημερωμένα αρχεία αποθηκεύονται χωρίς ψηφιακές υπογραφές και τα αρχεία.exe δεν επαληθεύονται πριν από την εγκατάσταση. Βρήκαν επίσης προβλήματα με το πώς το λογισμικό του B3W αποθηκεύει κωδικούς πρόσβασης στον υπολογιστή ενός ατόμου.

Το βιομηχανικό πρότυπο για τη διανομή νέων πελατών πόκερ είναι μέσω δικτύων παροχής περιεχομένου, συνέγραψε ο Thompson. Το B3W χρησιμοποιεί CDN από το Fileburst.

Είναι δυνατή η χρήση ασφαλούς σύνδεσης με το Fileburst, αλλά το ψηφιακά υπογεγραμμένο πιστοποιητικό ασφαλείας δεν θα ταιριάζει με αυτό του λογισμικού που παραδίδεται, έγραψε ο Thomas. Όμως, η B3W βρήκε μια λύση για την παροχή ασφαλών ενημερώσεων.

"Επομένως, αποφασίσαμε να μεταφέρουμε όλες τις ενημερώσεις πελατών στα δικά μας κέντρα δεδομένων μέσω SSL [Secure Sockets Layer] χρησιμοποιώντας ένα πιστοποιητικό που υπογράφηκε από τον κωδικό πελάτη πόκερ" έγραψε ο κ. Thompson

Οι αλλαγές θα εξαλείψουν τρία ζητήματα που περιγράφονται από τον ReVuln, συμπεριλαμβανομένων αυτών που εκτελούν ένα μη επαληθευμένο αρχείο, ένα εγκάρσιο ζήτημα καταλόγου και μια υπερχείλιση buffer που βασίζεται σε στοίβα. τους κωδικούς πρόσβασης που αποθηκεύονται από τον πελάτη πόκερ. Οι κωδικοί πρόσβασης που δεν αποθηκεύονται από μια αλυσίδα κλειδιού κωδικού πρόσβασης μπορούν να μπερδευτούν μόνο και να δημιουργηθεί ένας κωδικός πρόσβασης για έναν κωδικό πρόσβασης θα ήταν λιγότερο βολικό για τους παίκτες, γράφει ο Thompson

"Έχουμε ένα build ενός πελάτη που δεν επιτρέπει την την αποθήκευση του κωδικού πρόσβασης και εξετάζουμε την εισαγωγή αυτού στο βασικό build client ", έγραψε ο Thompson.