Biztonsági probléma a Cake hálózatban

A PokerTableRatings újabb pókerteremben fedett fel biztonsági problémát: a Cake hálózatban a közzétettnél gyengébb kódolási rendszert használnak, ami lehetővé teszi az adatok ellopását.

A hiba majdnem ugyanolyan, mint a Cereus hálózatnál: a gyenge kódolás lehetővé teszi a játékos számlájának ellopását, zárt kártyáinak megtekintését bárki számára, aki a játékos és a Cake szerverei között van – a Cake-nél vagy a terem internetszolgáltatójánál dolgozik – vagy képes a játékos internetforgalmának megcsapolására. Bár a PTR a Cake Pokert és a Doyle’s Roomot vizsgálta, biztosak benne, hogy a probléma a hálózat összes termében fennáll.

A pókertermek szerverei és a játékosok számítógépei közötti adatforgalomban olyan fontos információk fordulnak elő, mint a játékos azonosítója, jelszava, illetve zárt kártyái. Éppen ezért a pókertermek általában valamilyen SSL protokollt használnak az adatok kódolására, a Cake hálózat pedig elvileg az ettől eltérő, de biztonságos TwoFish rendszert. Azonban a Cake hálózat valójában XOR-alapú kódolást használ, amely egy windowsos számológéppel feltörhető.

A PokerTableRatings munkatársai természetesen ki is próbálták, hogy valóban el lehet-e lopni a játékosok adatait, és kiderült, hogy a jelszavat még könnyebben el tudják lopni, mint a Cereus hálózat esetében, ahol azt még dekódolni kellett. Az adatlopáshoz olcsó kiskereskedelemben kapható laptopot és ingyenes programokat használtak.

A PokerTableRatings felhívta a figyelmet a Cereus és a Cake hálózat biztonsági problémája közti különbségekre:
- A Cake esetében egyszerű szövegként kaphatták meg a jelszót, míg a Cereusnál dekódolni kellett.
- A Cake folyton változó kódolási kulcsot használt, míg a Cereus adatforgalma egyszerűbben feltörhető volt. Azonban ezt a változó kulcsot is könnyen kitalálták a PTR tesztje során.
- A Cereus esetében nem vezették félre a játékosokat a kódolásról, a Cake honlapján azonban szerepel egy állítás, mely szerint 256 bites TwoFish kódolást használnak, azonban helyette egy sima 32 bitest alkalmaztak.

A PokerTableratings veszélyességi szinteket állított fel a különböző típusú kapcsolatokra:

Hálózat típusa	Veszély
Nyilvámos nem kódolt vezeték nélküli	Súlyos
Nyilvános kódolt vezeték nélküli	Közepes-magas
Nyilvános vezetékes	Közepes
Otthoni nem kódolt vezeték nélküli	Közepes
Otthoni kódolt vezeték nélküli	Közepes-alacsony
Otthoni vezetékes	Alacsony

Nyilvános nem kódolt hálózatra a kollégiumok környékét és a kávézókat hozzák fel példának, a nyilvános kódoltra a repülőtereket. Az otthoni vezeték nélküli hálózat akkor kódolt, ha WPA2 kulcsot használ.

A PokerTableratings azt javasolja a játékosoknak, hogy változtassák meg a jelszavukat és eddig ne játsszanak a Cake hálózatban, amíg nem hárítják el a hibát, nem váltanak OpenSSL vagy TwoFish kódolásra. Ha valakinek valamiért mégis játszania kell, használjon vezetékes netet vagy WPA2 kódolású vezeték nélküli hálózatot.

Lee Jones, a Cake Poker kártyatere-igazgatója órákon belül válaszolt a PokerTableRatings cikkére és a felháborodott 2p2 fórumozóknak.
- Szerinte a hackernek nagyon tapasztaltnak kell lennie a kódolási eljárásokban és viszonylag ritkán fordulnak elő olyan körülmények, amelyek lehetővé teszik a számla feltörését.
- Nagyon kicsi a lopás valódi valószínűsége, tudomásuk szerint senkinek sem lopták el a számláját, mivel senki sem jelentett ilyesmit.
- Azonnal nekiláttak orvosolni a problémát, addig is a játékosok nyugodtan játszhatnak vezetékes vagy kódolt vezeték nélküli hálózaton a Cake termeiben.
- Valóban helytelen információt közöltek a honlapjukon, jelenleg nem alkalmaznak TwoFish kódolást. Korábban ezt használták, de felfedeztek egy hibát az implementálásában, így amíg áttérnek egy új algoritmusra, átmeneti megoldásként választották a PTR által kárhoztatott kódolást. Elnézést kérnek a félretájékoztatásért.

2010. július 27.