Poker Online sicuro, parola degli sviluppatori
La “B3W”, un’azienda con sede maltese che realizza software per poker room online, sostiene di aver identificato i problemi cui hanno fatto riferimento un paio di settimane fa Luigi Auriemma e Donato Ferrante di ReVuln, un’azienda, anch’essa con sede a Malta, che si occupa di vulnerabilità dei software stessi.
Molti dei giochi di poker richiedono agli utenti il download e l’installazione, nei loro computer, di software che poi interagiscono con un web server che si occupa di “generare” il gioco in tempo reale.
Il rapporto di ReVuln, che ha considerato i prodotti lanciati sul commercio non solo nel settore del gioco online, si è concentrata sui software di poker in quanto il client scaricato dagli utenti di alcune di queste, consentirebbe agli aggressori di capire, almeno in parte, come questo è stato progettato.
AJ Thompson, il direttore della strategia della B3W, ha scritto in una lettera alla IDG News Service che i giocatori che usano il loro software non sono mai stati colpiti nei 12 anni in cui hanno operato online. La B3W dice di prendere la sicurezza dei propri clienti in modo estremamente serio.
I ricercatori hanno appurato che il software della B3Wsi aggiorna utilizzando una connessione http non sicura. I files aggiornati sono salvati senza firme digitali e gli eseguibili non sono verificati prima dell’installazione. Inoltre hanno trovato dei rischi nel modo in cui i software della B3W salva le password nei computer degli utenti.
Lo standard industriale per la distribuzione di nuovi client di poker avviene attraverso reti di distribuzione di contenuti, ha scritto Thompson, B3W utilizza una CDN di Fileburst.
Utilizzare una connessione sicura con Fileburst è possibile ma il certificato di sicurezza della firma digitale non corrisponderebbe con quello del software che viene consegnato – ha scritto Thompson – ma la B3W ha trovato una soluzione al fine di fornire aggiornamenti protetti.
Abbiamo quindi deciso di spostare tutti i client di aggiornamento per i nostri stessi data center su SSL [Secure Sockets Layer] utilizzando un certificato firmato considerato attendibile dal codice del client di poker
I cambiamenti elimineranno tre problemi evidenziati da ReVuln, compresi quelli l’esecuzione di un file non verificato, un problema di directory trasversale e uno stack-based buffer overflow
La B3W non ha ancora deciso come trattare le password che sono salvate dal client di poker. Le password non sono salvate in un portachiavi, possono solo essere offuscate, la creazione di una password per salvare la propria password di gioco sarebbe meno conveniente per i giocatori.
Abbiamo la build di un client che non consente il salvataggio della password e stiamo prendendo in cosiderazione l’idea di introdurla nel client ufficiale, ha concluso Thompson.
