Säkerhetsrisk i programvaran

[wyllyw]

Hej alla pokerspelare!

 

Vill utfärda en varning till alla som använder sig av programvaran tillverkad av B2B Poker Sweden AB för pokerspel online.

 

När man vill logga in på sitt konto från programvaran och fyllt i sitt användarnamn och lösenord, så kan man klicka i en liten "checkbox" för att slippa slippa fylla i användarnamn och lösenord varje gång man skall logga in till kontot.

 

VARNING!!! Klicka INTE i checkboxen!

 

Vad som händer om du gör detta är att programmet lagrar dina användaruppgifter i två filer på din hårddisk. **text borttagen**

Dessa filer skall antagligen vara krypterade, men problemet är att just lösenordet inte är krypterat utan fullt läsbart med vilken texteditor som helst.

 

Jag har skrivit till B2B Poker Sweden AB och påtalat detta för dem, men ännu inte fått något svar.

 

 

Här är mitt brev till B2B Poker Sweden AB:

 

Hej!

 

Jag har använt ert program för att spela poker på Internet via 24hPoker.com.

 

Det är några saker som jag undrar över angående programvaran.

 

Det ena gäller hur korten slumpas fram.

Blandas hela kortleken först och läggs fram som en ”riktig kortlek”, d.v.s. alla kort som delas ut i spelomgången tas överst från en färdigblandad kortlek?

 

Eller slumpas korten ut efter hand som spelet fortgår?

 

Det är en intressant frågeställning för mig som spelare, eftersom jag gärna vill kunna följa spelet och se vilka kort som skulle ha kommit fram om jag har lagt mig i spelomgången.

 

 

Vidare undrar jag över säkerheten i programvaran.

 

När jag skapade ett användarkonto på 24hPoker.com var jag tvungen att använda mig av ett väldigt långt lösenord som dessutom var tvunget att innehålla siffror.

 

Det är väl i och för sig bra att ha ett svårknäckt lösenord till sitt användarkonto för att obehöriga inte skall kunna få tillgång till mina pengar som finns där.

 

Men jag förstår inte poängen med att ha ett starkt lösenord om programvaran samtidigt lagrar detta lösenord i ren klartext på min hårddisk på datorn.

 

Man kan ju föreställa sig att det finns många tiotusentals personer som använder detta program och av dessa finns det säkerligen många som dessutom använder sig av olika fildelningsprogram såsom DC, Kazaa m.m.

 

Problemet för många datoranvändare är bristen på kunskap om hur de skall skydda sin dator mot obehörig åtkomst och det finns gott om användare av fildelningsprogram som inte vet hur de skall konfigurera programvaran för fildelning, utan delar ut hela hårddisken för allmän beskådning bland fildelarna.

 

Om någon är ute efter att samla på sig de filer som innehåller lösenordet, så kan denna helt enkelt söka efter filnamnen bland fildelarna, ladda hem dessa, läsa av lösenordet i Notepad och sedan logga in på användarens konto.

 

Det finns massvis med fler situationer där någon som har fysisk tillgång till datorn kan läsa dessa filer, men jag tror ni förstår vad jag menar.

 

 

Svar emotses tacksamt

 

Med vänliga hälsningar

[TANDEMCYKELN]

Vän,

 

Hur tänker du, då du sparar lösenordet i klienten?

 

Det är inte fel på B2B:s klient (även om filen var krypterad skulle den gå att knäcka ganska enkelt), det är fel på ditt säkerhetstänkande. Lösenord är till för att användas.

[Mjonasson]

wyllyw: Att gå ut med informationen innna 24hPoker har givits tillfälle att ordna till eventuella brister är riskabelt. Framförallt då du detaljerat beskriver den eventuella bristen. Ett tips hade varit att invänta svar från 24hPoker och/eller inte beskriva HUR bristen såg ut i klienten.

 

TANDEMCYKELN: Du har en poäng, men det hindrar inte från att man på ett smartare sätt lagrar informationen i klienten. Kryptering hade t ex varit bra på dessa filer.

[Andersson]

Hur tänker du, då du sparar lösenordet i klienten?

Det är en sak, men om det nu finns en funktion för att spara lösenordet så kunde man ju faktiskt göra det lite svårare att uttnyttja. Kryptering och kryptering, det måste ju ändå kunna dekrypteras automatiskt? Jag vet inte om det blir säkrare, kanske svårare att upptäcka. Men kanske kunde programmet skapa ett slumplösenord som funkar parallellt med det man själv valt, men som är låst till ett ip-nummer. Eller nåt.

 

Men visst, det finns ingen anledning att inte använda ett bra lösenord.

[kydyl]

Mjonasson

Att tiga om brister för ökad säkerhet fungerar inte. Bättre att göra folk medvetna. Dessutom har detta varit känt länge på forumet och B2B verkar tycka att det är bra som det är eftersom de inte gör någonting åt det.

[TANDEMCYKELN]

Dessutom har detta varit kännt länge på forumet och B2B verkar tycka att det är bra som det är eftersom de inte gör någonting åt det.

 

Det beror på att det finns så mycket idioter i samhället. En stor del människor klarar inte av att memorera ett simpelt lösenord i huvudet. Själv har jag säkert 30 olika lösenord i huvudet för olika saker. Så jävla svårt är det inte att memorera diverse saker i huvudet. Återanvänd gamla lösenord plus något/några tecken, använd kombinationer som inte någon annan kan relatera till osv. Snälla nån.

 

Om nu folk är helt pantade i huvudet, vilket är fallet för många människor, så skriv upp lösenordet på en bit papper och spara den i byrålådan. Spara inte lösenordet på en jävla dator som är kopplad till internet för fan! Hur jävla pantad får man bli? Dessutom har väl en stor del av nissarna inte ens en jävla brandvägg.

 

Negativ IQ är ett faktum!

[baller]

Ok Tandemcykeln du har givetvis en poäng det är ganska dumt att spara sitt lösen på en dator som står öppen för insyn... men vi kan ju lugna ner oss lite när vi diskuterar det här. Precis som kyldyl säger så har det här uppmärksammats tidigare här på forumet då det diskuerades med "varning osv" som ämnesrubrik... Nu hittar jag dock inte den tråden så att vi kan återuppliva den...

[QoS]

Var inte detta löst tidigare iår?

 

Tänker på tråden http://pokerforum.nu/forum/viewtopic.php?t=9410

 

Gjorden en snabb kolla på mina filer, båda filerna är krypterade och är det ** får det anses som en relativt start asymetrisk cryptolösning.

 

Vet att vi har lite B2B folk här på forumet, kan ni inte kolla upp det och återkomma med lite besked, antingen i denna tråd eller PMa mig.

 

- QoS

[DunderKlump]

Kikade i min och mycket riktigt, någonstans såg jag mitt lösenord.. Jisses.

[Nusseman]

Jo, det är fortfarande oskyddat, eftersom alla andra tecken än just lösenordet är kalle anka så är det inte så svårt att hitta lösenordet i filen fil **text borttagen**...

 

Rekommenderar er att inte dela ut programmappen på DC och liknande. En (ganska klantig) polare till mig gjorde det för nåt halvår sen. Det blev dyrt...

[Roggan]

det är ju helt sjukt, helt öppet.. kollade mina filer, jag använder dock inte "auto-lösen".. men såg däremot att min polares lösenord fanns för fri beskådning.. äckligt! ;P

[dollface]

Oj oj !

 

Inte bra...hoppas verkligen att B2B tar o ser över denna säkerhetsbugg. Hur är det med andra pokerklienter?

 

Jag har tagit bort namnen på filerna i denna tråd och redigerat lite. Jag har pratat med en på B2B som lovar att undersöka detta asap. Tills dess är det inte bra om det står här exakt vilka filer som man ska söka efter.

[CarlCasino]

verkar vara fixat

[wyllyw]

Stämmer bra!

Snabbt jobbat.

[crawen]

Vän,

 

Hur tänker du, då du sparar lösenordet i klienten?

 

Det är inte fel på B2B:s klient (även om filen var krypterad skulle den gå att knäcka ganska enkelt), det är fel på ditt säkerhetstänkande. Lösenord är till för att användas.

 

Nog för att det sägs vara fixat nu, men jag reagerade ändå på vad du skrev och reflekerade lite.

Hur kan du påstå att ett krypterat lösenord, med den lösenordspolicyn som 24hpoker har, skulle "gå att knäcka ganska enkelt"?

Skulle md5 användas som kryptering/hashning av lösenordet så skulle det ta ett rejält tag att knäcka det, speciellt då md5 inte är möjligt att "dekryptera" för att få fram lösenordet igen. Den enda lösningen hade då blivit att bruteforcea fram lösenordet, vilket mycket troligt skulle ta ett bra tag.

 

Så kort och gott, skulle mina lösenord ligga hashade med md5 på min dator i någon fil så hade jag inte brytt mig allt för mycket, bara jag vet att jag har ett krångligt lösenord som inte är allt för lätt att bruteforcea.

 

MVH

[kydyl]

Hur ofta byter du lösenord då?

 

Spelar väl ingen roll om det tar en timme eller en vecka eller en månad att knäcka ditt lösenord om du byter det en gång per år eller ännu mer sällan.

 

Att "knäckaren" inte hinner knäcka krypteringar har man mest nytta av där datat bara är giltigt i en viss tid.

 

Fast det är ju sant det du säger att ju krångligare lösen du har desto längre tid tar det att knäcka och de kanske går vidare till ett enklare offer.

 

Angående md5 så är det knäckt på nån sekund om du använder ett ord som finns i ordlistor.

Finns ett flertal databaser på nätet där man skickar in en md5 sträng och får ut lösenordet om det finns i databasen. Här är ett exempel på vad jag menar

[vetgirig]

Jag ser det hela inte som något speciellt säkehetsproblem att spara lösenordet okrypterat på datorn. Vill man att det skall vara säkert så skall man INTE kryssa i den rutan och alltid skriva in passordet varje gång man loggar in.

 

Såfort man lagrar passordet på datorn så lagras det i en form som kan dekrypteras så att det kan skickas till servern - det gör att om någon bryter sig in på datorn så kan de alltid komma åt ditt passord och ditt konto oavsett hur väl krypterad filen är.

 

 

Det är bara stjäla filen med det krypterade passordet och installera den filen i sin egen dator och låta 24hklienten läsa filen och skicka användarnamnet och passordet som står där till servern - utan att man själv behöver dekryptera passordet. Dvs en brottsling behöver inte dekryptera passordet för att komma åt kontot.

 

Så hela denna tråden är ett storm i ett vattenglas. Tycker det är bra att passordet sparas i klartext så folk inser att om någon kommer åt filen så kommer de förlora alla sina pengar på kontot!

 

 

 

 

 

 

MD5 är en dålig algoritm att använda för att kryptera något. Använda SHA-1 i stället. Det finns flera problem med MD5 som indikerar på att den inte alls är så stark som man tidigare trott.

[wyllyw]

Var visst lite för snabb med att hålla med om att problemet är fixat.

 

Tycker nog att det är på sin plats att utfärda ännu en varning till alla som sparar sitt id och lösen på datorn.

 

Spara ALDRIG dessa uppgifter på din dator.

 

Även om lösenordet nu är krypterat, så kan obehöriga som kommer åt dessa krypterade filer via fildelning eller rent fysiskt på din dator, som vetgirig mycket riktigt påpekar, logga in med dessa från vilken annan dator som helst.

(Har redan testat och det funkar hur bra som helst)

 

Vill även ge en känga till programmerarna på B2B Poker Sweden AB.

 

Hoppas verkligen att det inte är samma programmerare som konstruerat den slumptalsgenerator som tar fram spelkorten, annars är det väl bara en tidsfråga innan någon lyckas hacka den också.

 

Klantigt!

[kydyl]

Ja det är rätt klantigt att det räcker att flytta den krypterade filen till en ny klient.

 

Det går till viss del att skydda sig mot det om programmerarna tänkt till lite. Man kan ju tex generera en checksum av filen och om någon annan fil där checksumman inte stämmer så låses automatiskt det kontot som finns i filen och kunden kan kontaktas.

 

Detta går ju naturligtvis att komma runt, det är ju bara att beräkna checksumman för nya filen och sen sen ändra där checksumman finns sparad.

 

Nu vet jag inte vad för kryptering som används, men en annan simpel grej hade ju varit att varje klientinstallation använde olika krypteringsnyckar.

 

Men även nyckeln måste ju sparas någonstans så det hjälper ju inte helt.

 

Enda slutsatsen man kan dra är spara aldrig lösenordet i din klient, inte i B2B's klient eller någon annan heller

[baller]

Enda slutsatsen man kan dra är spara aldrig lösenordet i din klient, inte i B2B's klient eller någon annan heller

 

Just det, kan inte poängteras tillräckligt...

[unfufu]

Är man så intelligent så man avänder sig av DC++ och andra tjänster som delar ut ens content, och dessutom inte har någon koll, så får man skylla sig själv.

 

my 2 öre