Análisis de un casino on-line por un Hacker


1.- Introducción
Hasta que puede alcanzar el uso de razón del ser humano han existido los juegos de azar; desde el clásico 'cara o cruz' hasta los juegos de cartas o el dominó. En la mayoría de los juegos de este tipo los jugadores toman una decisión y de forma aparentemente aleatoria se llega a un resultado que da como ganador a uno o otro, en otros juegos las decisiones son algo más influyentes y entra un poco en juego la picaresca.

Según el momento en el que se aplica el azar podemos clasificar los juegos en dos tipos:






pre-azar: Son aquellos en que la decisión de los jugadores se realiza antes de aplicarse el azar. Un ejemplo puede ser el 'cara o cruz' en el que ambos jugadores deciden como caerá la moneda al suelo y luego se tira la moneda.
post-azar: Son aquellos juegos en los que la decisión de los jugadores se toma despues de aplicarse el azar. Un ejemplo puede ser el de 'cartas iguales' en la que se colocan las cartas en un tablón y los jugadores deben elegir dos y ganan si tiene el mismo número.

2.- De Las Vegas a Internet
Para que la movida sea completa y la emoción esté asegurada el hombre decidió incluir dinero en juego, creándose así las primeras apuestas en juegos de azar que más tarde desatarían la aparición de los casinos. Las Vegas ha sido siempre el paraíso de los casinos, mucha gente aficionada a estos juegos a realizado un largo viaje para poder pisar uno de los inmensos casinos que hay en esa ciudad, sin embargo, gracias a la era digital muchos casinos se están instalando en Internet, llegando así a una gran cantidad de público, y facilitando el control de los resultados al propietario del casino. Engañar a las leyes de la física para que una ruleta o una baraja de cartas actúen de forma premeditada es realmente complicado, sin embargo en Internet no existen dichas leyes, y es por ello que en 7a69ezine.org decidimos analizar uno de estos casinos para verificar si nos podríamos hacer ricos a su costa, lo que podéis leer a continuación es un análisis del casino de MiApuesta.

3.- Análisis de MiApuesta.
3.1.- Elección del juego
MiApuesta. es una famosa casa de apuestas deportivas y juegos de azar que se anuncia en numerosas webs y periódicos deportivos, disponen de un amplio abanico de juegos de azar, pero obviamente, para el análisis no nos interesan todos, sino los juegos 'post-azar'. Según dictamina la propia naturaleza de los juegos 'post-azar' se aplica el azar y despues tomaremos nosotros algunas decisiones que nos harán ser ganadores o perdedores, pero ¿qué ocurriría si pudiésemos ver el resultado del azar antes de tomar-las? Sencillo, que tomaríamos siempre la decisión correcta. Ganador seguro.

Dándonos un paseo por la web nos damos cuenta que no hay demasiados juegos que cumplan este requisito. Sólo hay uno; el 'rasca y gana'. Echamos unas partidas (sin pagar, pues estos casinos suelen ofrece la posibilidad de jugar 'for fun') para familiarizarnos con el entorno y funcionamiento del juego y la cosa tiene buena pinta; se genera un tablón con 3x4 casillas y debemos seleccionar 3, detrás de cada una de las casillas aparece un número, de manera que si la suma de todos los números es 4 o menos ganas, de lo contrario pierdes (simula los golpes que da un jugador de golf hasta llegar al hoyo).

3.2.- Análisis del tráfico
El servidor de MiApuesta. debe llevar un control de lo que va sucediendo en las partidas; quien gana, quien pierde, y demás. Es lógico suponer que habrá una comunicación entre el servidor y el cliente para mantener dicho control, por lo que decidimos colocar un sniffer y nos encontramos lo siguiente tras apostar '15' euros en una partida.

Lo que observamos es que el cliente en flash manda una petición HTTP con el contenido que podéis ver a continuación. Como podéis ver se mandan 3 datos en XML:

rtype: (Request type) Indica el tipo de petición que se realiza. En este caso es del tipo 'bet' (apuesta), sin embargo veremos que hay algún tipo más.
type: Determina el juego sobre el que realizamos la apuesta. Hay 3 juegos de 'rasca y gana' (uno de cartas, uno con un mapa del tesoro, y el de golf), pero los tres funcionan de igual manera.
stake: Cantidad que hemos apostado.

POST /scratch/servlet/ScratchcardFun HTTP/1.1
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (compatible; Konqueror/3.3; Linux) (KHTML, like Gecko)
Pragma: no-cache
Cache-control: no-cache
Accept: text/html, image/jpeg, image/png, text/*, image/*, */*
Accept-Charset: iso-8859-1, utf-8;q=0.5, *;q=0.5
Accept-Language: es, en
Host: jerry.MiApuesta.com
Cookie: JSESSIONID=CF33C2E9744F8B8BB0FE6419D818548A; vs_session=7EK6jGAmt6
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
<request rType="bet" type="3" stake="15." />;


El servidor responde a esa misma petición con unos los datos sorprendentes que se encuentran tras este párrafo. En este caso el XML tiene 2 datos y son los siguientes:

win: Indica si hemos ganado o no la partida.
balance: La cantidad de dinero con la que nos hemos quedado (en este caso el dinero es ficticio, 'play for fun').

HTTP/1.1 200 OK
Date: Thu, 04 Nov 2004 03:33:12 GMT
Server: Apache Coyote/1.0
Age: 3063
Connection: close
<response win="false" balance="1068.4">

Y por si aun os parece poco nuestro cliente realiza una nueva petición. En este caso el tipo de petición es 'saveData' y en el campo 'toSave' encontramos un array de 4 palabras que corresponden a tipos de casillas que podemos sacar en el juego.

POST /scratch/servlet/ScratchcardFun HTTP/1.1
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (compatible; Konqueror/3.3; Linux) (KHTML, like Gecko)
Pragma: no-cache
Cache-control: no-cache
Accept: text/html, image/jpeg, image/png, text/*, image/*, */*
Accept-Charset: iso-8859-1, utf-8;q=0.5, *;q=0.5
Accept-Language: es, en
Host: jerry.MiApuesta.com
Cookie: JSESSIONID=CF33C2E9744F8B8BB0FE6419D818548A; vs_session=7EK6jGAmt6
Content-Type: application/x-www-form-urlencoded
Content-Length: 64
<request rType="saveData" toSave="bunker,bunker,bunker,green" />


¿Sabéis que es lo sorprendente de todo esto? ¡Que yo aun no he seleccionado ni una sola casilla y ya se ha dado mi partida por perdida! ¡Incluso han decido lo que habrá en las casillas que yo seleccionaré en un futuro! ¡Acabo de perder 15 euros en un juego de azar sin tomar una sola decisión!

Si nos fijamos en la página, dentro de MiApuesta. , que describe el juego nos encontramos lo siguiente; "¡Tan fácil como acertar las casillas adecuadas y lograr una combinación con premio!". ¿Acertar? ¿Qué necesito acertar si las decisiones se toman antes de que haya empezado a jugar?

4.- Conclusiones
Antes de concluir quiero resaltar que ninguno de los ataques realizados durante este análisis ha sido intrusivo, en ningún momento se han manipulado los datos mandados a través de la red ni se ha alterado el comportamiento del flash. Simplemente me he limitado a capturar el tráfico generado por mi ordenador, algo que cualquier persona puede hacer sin quebrantar la ley. Los que posiblemente la estén quebrantando (no lo se, no soy abogado) son los de MiApuesta. que tratan de hacerte creer que tus decisiones influyen en el juego cuando no es así.

Se me ocurren algunos posibles ataques contra el propio servidor para tratar de manipular los resultados, pero estos no han sido realizados, pues se escapan de la legalidad y no es esa mi intención.

Fuente:
Ripe (12/11/2004)
7a69ezine.org



Otras noticias de interés:

10 predicciones de seguridad para 2011
El amigo Sergio Hernando desde su blog (Seguridad de la Información y Auditoría de Sistemas) ha escrito en forma sencilla lo que él piensa que son las 10 principales predicciones en torno a la seguridad para año venidero....
Masiva propagación de variantes de gusano Nuwar
Por la noche del 29 de Enero se detectó un alto volumen de mensajes infectados con diversas variantes del gusano, que elevaron notablemente los niveles de alerta promedio del mes....
Y si un gobierno pide tus datos privados a un ISP?
Este es el encabezado de una nota bastante acertada del sitio alt1040.com, en donde Geraldine Juárez escribe de manera clara su forma de ver de lo que podría ocurrir si un Gobierno pide tus datos al proveedor de Internet. Es un hoyo jurídico en ca...
EEUU piden investigar aplicaciones móviles
Un senador demócrata de Nueva York ha pedido a la Comisión Federal del Comercio (FTC) de EEUU que investigue las aplicaciones de los teléfonos móviles de Apple y Google que permiten acceder a agendas y fotos privadas de usuarios....
Google Chrome 17 disponible
Pocas horas después de la presentación oficial de Google Chrome para Android, los de Mountain View, han liberado una nueva versión estable del navegador para el escritorio, llegando de esta manera a Google Chrome 17....
Evolucionarán las botnets y disminuirán las computadoras zombis
Los principales motivos para que se produzca este cambio, según Kaspersky, son la incorporación de múltiples sistemas operativos y cada vez más usuarios conectados a Internet a través de los dispositivos inteligentes....
Graves vulnerabilidades en CUPS
Las versiones de CUPS no actualizadas contienen numerosas vulnerabilidades que permiten matar el servidor, sobreescribir ficheros arbitrarios en la máquina y obtener privilegios adicionales como los usuarios root y lp. ...
El viernes 22-04 el Flisol 2016 - Valencia - Carabobo
La gente de Vaslibre, invita al Festival de Instalación de Software Libre en Valencia, Carabobo, Venezuela....
Piden aumento de medidas de seguridad en redes inalámbricas
En un informe presentado a la ONU, realizado por un grupo de expertos en seguridad, se ha puesto de manifiesto la necesidad de aumentar la seguridad de las nuevas redes inalámbricas, según ha informado Europa Press....
Ubuntu no firmará acuerdos con Microsoft
Tras las recientes noticias de los acuerdos a los que Xandros y Linspire han llegado con Microsoft al igual que hizo Novell, comenzó a circular el rumor de que Ubuntu sería la siguiente. Su principal responsable lo niega. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • analisis
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • casino
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacker
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • line
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra