Известные хакеры Луиджи Ауриемма и Донато Ферранте из компании ReVuln опубликовали новое исследование. На этот раз в сферу их внимания попало ПО для онлайн-покера. Были проверены несколько программных клиентов разных производителей, но в итоговый официальный отчёт (pdf) попали только три программы: B3W, Microgaming и Playtech. В каждом из них найдены очень опасные уязвимости. Например, Microgaming плохо шифрует пароли при хранении в реестре, а Playtech проверяет цифровые подписи не всех DLL при обновлении, допуская инъекцию зловреда.
Кроме того, клиент Playtech генерирует ключ для шифрования пароля на основании HDSLN-значения Windows Genuine Advantage и трёх известных параметров dwProcessorType, wProcessorLevel и wProcessorRevision, которые получает через GetSystemInfo.
Из бесплатного отчёта удалены исходные коды эксплойтов, которые использовались для эксплуатации уязвимостей в программном обеспечении.
Исследователи подчёркивают, что покерный софт занимает уникальное положение во всей индустрии азартных игр, потому что только в покере игроки получают доступ к сети исключительно через отдельную клиентскую программу, которую нужно устанавливать на локальном ПК. Для хакера это очень удобно, потому что программное обеспечение находится в его полном распоряжении — и он может анализировать его, изменять код и модифицировать сетевой трафик, как ему угодно.
Луиджи Ауриемма и Донато Ферранте проанализировали несколько возможных векторов атаки на покерный софт:
1. Апдейты. Одна из ключевых функций покерного клиента: каждый инсталлятор обязательно проверяет наличие свежих апдейтов после запуска. Этот механизм могут использовать злоумышленники для установки на компьютер пользователя вредоносной программы. Перехват трафика для обновления клиента осуществляется через открытые точки доступа, скомпрометированные каналы или с помощью троянов на компьютере жертвы. Основная причина возможных взломов — отсутствие проверки цифровой подписи на апдейтах и связь по незащищённому каналу без SSL. Впрочем, как показал анализ, в одном из покерных клиентов даже наличие цифровых подписей не защищает от установки поддельного апдейта.
2. Система хранения паролей и/или ключи шифрования. Имя пользователя и пароль — обычно единственная информация, которая нужна злоумышленнику для доступа в чужой аккаунт. Абсолютно все покерные клиенты позволяют пользователю автоматически сохранять имя пользователя и пароль на жёстком диске. Зачастую они просто обфусцируются или шифруются фиксированными ключами. Доступ к реестру (иногда даже удалённый доступ) позволяют злоумышленнику получить эту информацию. Лишь немногие компании, как PokerStars, внедрили дополнительные меры защиты пользователей, как RSA-токены и пинкоды.
3. Другие векторы атаки: замена файла на вредоносный и проч.
В качестве бонуса авторы исследования описали, как шифруются пароли в покерных клиентах Cake Poker, Full Tilt Poker, PartyPoker и PokerStars (см. стр. 8).
