Gambling-Softwareentwickler rückt Fehler im Pokerspiel in den Griff

Ein Softwareentwickler plant, diese Woche eine Schwachstelle zu implementieren, die kürzlich von zwei Sicherheitsforschern entdeckt wurde, die eine seiner Glücksspielanwendungen analysiert haben.

B3W Group, Malta, sagte, es habe das Grundproblem identifiziert, das in einem Bericht von Luigi Auriemma und Donato Ferrante von ReVuln, einer in Malta ansässigen Beratungsfirma für Schwachstellenforschung, erwähnt wurde.

B3W stellt eine Reihe von Glücksspielsoftware her, einschließlich jener, die für Online-Poker verwendet wird Räume, auch bekannt als Skins, für Variationen von Poker wie Texas Hold'em, Omaha und Stud. Bei vielen Pokerspielen müssen Benutzer Software auf ihren Computer herunterladen, die dann mit einem Webdienst interagieren, um ein realistisches Echtzeitspiel zu ermöglichen.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

ReVulns Bericht, die sich auch mit Produkten der Unternehmen Microgaming und Playtech beschäftigt, konzentriert sich auf Poker-Software, da der heruntergeladene Client es Angreifern ermöglicht, einen Teil des Software-Designs des Spiels zu betrachten.

AJ Thompson, Strategic Director von B3W, schrieb in einem E-Mail an den IDG News Service, dass Spieler, die ihre Software verwenden, seit 12 Jahren nicht mehr online gehackt wurden. B3W nimmt "die Sicherheit unserer Kunden sehr ernst", schrieb er.

Die Forscher fanden heraus, dass sich die Software von B3W über eine unsichere HTTP-Verbindung aktualisiert. Aktualisierte Dateien werden ohne digitale Signaturen gespeichert und ".exe" -Dateien werden vor der Installation nicht überprüft. Sie fanden auch Probleme damit, wie die Software von B3W Passwörter auf dem Computer einer Person speichert.

Der Industriestandard für die Verteilung neuer Pokerclients ist durch Content-Delivery-Netzwerke, schrieb Thompson. B3W verwendet ein CDN von Fileburst.

Eine sichere Verbindung mit FileBurst ist möglich, aber das digital signierte Sicherheitszertifikat würde nicht mit dem der gelieferten Software übereinstimmen, schrieb Thomas. Aber B3W hat eine Lösung gefunden, um sichere Updates zu liefern.

"Wir haben daher beschlossen, alle Client-Updates über SSL [Secure Sockets Layer] in unsere eigenen Rechenzentren zu verschieben, indem wir ein signiertes Zertifikat verwenden, das dem Poker-Client-Code vertraut." er schrieb.

Die Änderungen werden drei von ReVuln umrissene Probleme beseitigen, einschließlich derjenigen, die eine nicht überprüfte Datei, ein transversales Verzeichnisproblem und einen stapelbasierten Pufferüberlauf ausführen, schrieb Thompson.

B3W hat nicht entschieden, wie es zu handhaben ist Passwörter, die vom Poker-Client gespeichert werden. Passwörter, die nicht von einer Passwortschlüsselkette gespeichert werden, können nur verschleiert werden, und ein Passwort für ein Passwort zu erstellen, wäre für Spieler weniger praktisch, schrieb Thompson.

"Wir haben einen Build eines Clients, der das nicht erlaubt Speichern des Passworts, und wir erwägen die Einführung dieses zu dem Core-Client-Build ", schrieb Thompson.