Deweloper oprogramowania hazardowego przesuwa się, by naprawić błędy gry w pokera

Producent oprogramowania pokerowego planuje wprowadzić w tym tygodniu poprawkę na lukę w zabezpieczeniach odkrytą ostatnio przez dwóch badaczy bezpieczeństwa, którzy przeanalizowali jedną z aplikacji hazardowych.

Grupa B3W z siedzibą na Malcie, powiedział, że zidentyfikował główny problem wskazany w raporcie opublikowanym w zeszłym tygodniu przez Luigiego Auriemmę i Donato Ferrante'a z ReVuln, konsultanta ds. analizy luk w zabezpieczeniach również z siedzibą na Malcie.

B3W oferuje gamę gier hazardowych, w tym oprogramowanie wykorzystywane w pokerze online pokoje, znane również jako skórki, do odmian pokera, takich jak Texas Hold'em, Omaha i Stud. Wiele gier pokerowych wymaga od użytkowników pobierania oprogramowania na swoje komputery, które następnie wchodzą w interakcję z usługą sieciową w realistycznej grze w czasie rzeczywistym.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Raport ReVulna, która również przyjrzała się produktom od firm Microgaming i Playtech, koncentrując się na oprogramowaniu pokerowym, ponieważ pobrany klient pozwala atakującym dobrze przyjrzeć się części oprogramowania gry.

AJ Thompson, dyrektor strategii B3W, napisał w e-mail do IDG News Service, że gracze używający tego oprogramowania nie zostali zhackowani przez 12 lat pracy w Internecie. B3W bardzo poważnie podchodzi do "bezpieczeństwa naszych klientów", napisał.

Naukowcy odkryli, że oprogramowanie B3W aktualizuje się przez niezabezpieczone połączenie HTTP. Zaktualizowane pliki są przechowywane bez podpisów cyfrowych, a pliki ".exe" nie są weryfikowane przed instalacją. Znaleźli również problemy z tym, w jaki sposób oprogramowanie B3W przechowuje hasła na komputerze danej osoby.

Standardem branżowym dystrybucji nowych klientów pokerowych jest sieć dostarczania treści, napisał Thompson. B3W używa CDN z Fileburst.

Korzystanie z bezpiecznego połączenia z Fileburst jest możliwe, ale podpisany cyfrowo certyfikat bezpieczeństwa nie jest zgodny z dostarczonym oprogramowaniem, napisał Thomas. Ale B3W znalazło rozwiązanie w celu dostarczenia bezpiecznych aktualizacji.

"Dlatego postanowiliśmy przenieść wszystkie aktualizacje klientów do naszych własnych centrów danych za pośrednictwem protokołu SSL [Secure Sockets Layer] przy użyciu podpisanego certyfikatu zaufanego przez kod klienta pokerowego," pisał.

Zmiany wyeliminują trzy problemy opisane przez ReVulna, w tym te dotyczące wykonywania niezweryfikowanego pliku, problem z przekierowaniem katalogów i przepełnienie bufora na stosie, napisał Thompson.

B3W nie zdecydował, jak sobie poradzić hasła zapisane przez klienta pokera. Hasła, które nie są przechowywane przez łańcuch kluczy haseł, mogą być zaciemniane, a utworzenie hasła do hasła byłoby mniej wygodne dla graczy, napisał Thompson.

"Mamy kompilację klienta, który nie pozwala na zapisanie hasła i rozważamy wprowadzenie tego do podstawowej wersji klienta, "napisał Thompson.