CEREUS nuevamente escándalo

CodigoPoker – Poker Online – CEREUS – Nuevamente UltimateBet y AbsolutePoker están a punto de entrar en el ojo del huracán. Los chicos de PokerTableRatings han descubierto un agujero de seguridad en el software de ambas salas que permite a un atacante interceptar, entre otras cosas, el nombre de usuario, la contraseña y las cartas de cualquier jugador identificado en la sala.

La vulnerabilidad se debe a que, tanto UltimateBet como Absolute Poker, no utilizan el sistema de encriptación estándar (SSL) para transmitir los datos, sino por un método que presenta muchas debilidades. De acuerdo con el informe, los responsables ya fueron avisados.

No es posible saber si este bug ha sido usado con anterioridad o, por el contrario, fueron los chicos de PTR los primeros en descubrirlo. Esta es la descripción técnica que dio a conocer Poker Table Ratings:
“La red CEREUS usa un sistema débil de encriptación para todas las transmisiones de datos basado en XOR, en lugar del estándar SSL. La clave de encriptación puede ser fácilmente identificada con una petición a la red y usarla para desencriptar toda la información transmitida entre la máquina local y los servidores de la red CEREUS”.

“En nuestro laboratorio fuimos capaces de interceptar y decodificar el nombre de usuario y recibir una cadena MD5 de la contraseña, así como el número de asiento en la mesa y sus hole cards. Una vez que la contraseña ha sido interceptada, pudimos identificarnos usando el nombre de usuario y sobrescribiendo el paquete de identificación saliente con la cadena MD5 interceptada”.

“De esta manera, pudimos identificarnos en la cuenta de la víctima sin su conocimiento. También pudimos mostrar de manera remota todos los asientos y sus respectivas hole cards”.

La solución al problema es sencilla: cambiar inmediatamente al sistema SSL, que por algo es el estándar. Lo curioso, y esto no han tardado en señalarlo en los foros de 2+2, es que una decisión de este tipo (usar una manera u otra de encriptar) no se toma a la ligera y quienes estaban al tanto de esta decisión, sabían perfectamente que este tipo de cosas podían ocurrir.

PTR ha puesto un video en Youtube explicando la vulnerabilidad. Entran a Absolute Poker desde una computadora y otra, con Linux instalado, recibe las cartas del primer jugador.

 


Fuente: Poker-Red

¿Quieres enterarte primero de todo lo que sucede en el mundo del poker? CodigoPoker te brinda la mejor información minuto a minuto en tu social media. Síguenos en Facebook, Twitter, Youtube y Google

NOTICIAS MÁS LEIDAS Presentadas por