Desarrollador de aplicaciones de juegos de azar se mueve para reparar fallas en juegos de poker

Un desarrollador de software de poker planea implementar una solución esta semana para una vulnerabilidad descubierta recientemente por dos investigadores de seguridad que analizaron una de sus aplicaciones de juegos de apuestas.

Grupo B3W, con sede en Malta, dijo que había identificado el problema raíz señalado en un informe publicado la semana pasada por Luigi Auriemma y Donato Ferrante de ReVuln, una consultora de investigación de vulnerabilidades también con sede en Malta.

B3W hace una gama de software de juegos de apuestas, incluido el utilizado para el póker en línea salas, también conocidas como máscaras, para variaciones de póker como Texas Hold'em, Omaha y Stud. Muchos juegos de póker requieren que los usuarios descarguen software en sus computadoras, que luego interactúan con un servicio web para un juego real y realista en tiempo real.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

ReVuln's report, que también analizó productos de las compañías Microgaming y Playtech, se centró en el software de póquer ya que el cliente descargado permite a los atacantes obtener una buena visión de parte del diseño del software del juego.

AJ Thompson, director de estrategia de B3W, escribió envíe un correo electrónico a IDG News Service para informarles que los jugadores que utilizan su software no han sido hackeados en 12 años de operación en línea. B3W toma "la seguridad de nuestros clientes muy en serio", escribió.

Los investigadores descubrieron que el software de B3W se actualiza a sí mismo a través de una conexión HTTP insegura. Los archivos actualizados se almacenan sin firmas digitales, y los archivos ".exe" no se verifican antes de la instalación. También encontraron problemas con la forma en que el software de B3W almacena contraseñas en la computadora de una persona.

El estándar de la industria para distribuir nuevos clientes de póker es a través de redes de distribución de contenido, escribió Thompson. B3W usa un CDN de Fileburst.

Es posible usar una conexión segura con Fileburst, pero el certificado de seguridad firmado digitalmente no coincidiría con el del software entregado, escribió Thomas. Pero B3W ha encontrado una solución para entregar actualizaciones seguras.

"Por lo tanto, hemos decidido trasladar todas las actualizaciones de clientes a nuestros propios centros de datos a través de SSL [Nivel de sockets seguros] utilizando un certificado firmado confiable por el código de cliente de poker". escribió.

Los cambios eliminarán tres problemas planteados por ReVuln, incluidos aquellos relacionados con la ejecución de un archivo no verificado, un problema transversal de directorio y un desbordamiento de búfer basado en la pila, escribió Thompson.

B3W no ha decidido cómo manejarlo contraseñas que son guardadas por el cliente de póquer. Las contraseñas que no están almacenadas mediante un llavero de contraseña solo pueden ofuscarse, y crear una contraseña para una contraseña sería menos conveniente para los jugadores, escribió Thompson.

"Tenemos una compilación de un cliente que no permite la guardando la contraseña, y estamos considerando la introducción de esto en la construcción del cliente central ", escribió Thompson.