Böse Sicherheitslücke bei Cake Poker
- By
- Rainer Vollmar, Dienstag. 27. Juli 2010
- Schlagwörter
- poker, cake
Der Alptraum jedes Internetspielers ist bei Cake Poker offenbar möglich. Sowohl die Verschlüsselung der Passwörter als auch der Karten ist nicht ausreichend sicher und ermöglicht Dritten den Zugriff darauf.
Wie die bekannte amerikanische Internetseite pokertableratings.com berichtet, konnten Redakteure sich nicht nur in fremde Accounts einloggen, sondern tatsächlich die Karten anderer Spieler einsehen. Grund für diesen katastrophalen Missstand ist offenbar eine nicht SSL-basierte, sondern xor-basierte Verschlüsselung, die vor allem Nutzern mit offenen WLAN-Zugängen größte Probleme bescheren kann.
In einem offenen WLAN ist es ohne Probleme möglich, die Kommunikation zwischen PC und Server abzuhören. Auch bei gesicherten Verbindungen ist dies mit ein wenig technischer Finesse möglich. Dabei kann natürlich auch die Kommunikation zwischen dem Poker-Client und dem Cake-Server abgehört werden. Da diese mit einer sehr einfachen Verschlüsselung geschützt ist, können die übertragenen Daten ebenso einfach entschlüsselt werden. So ist es möglich, Zugangsdaten oder die Karten anderer Spieler auszulesen.
PTR liefert dazu auch gleich ein Beweisvideo, bei dem es dem geneigten Internetspieler wahrlich mulmig wird. Dabei verwendeten die zuständigen Redakteure nicht einmal besonders avancierte Hard- oder Software, sondern preiswerte, handelsübliche Laptops und ein kostenloses Programm.
Hier das Video:
Nachdem eine Zeitlang Ruhe herrschte, wirft dieser neuerliche Skandal wieder eine Reihe von Fragen auf. Wie kann es möglich sein, dass sich ein Anbieter mit solchen Sicherheitslücken munter auf dem Markt tummelt? Was steckt hinter der Lücke – handelt es sich um Dummheit, mangelnde Kompetenz oder mangelndes Sicherheitsbewusstsein, oder gibt es etwa zusätzliche Interessen wie beim Skandal um Absolute Poker/Ultimate Bet?
Zu bedauern ist zudem, dass auf der Stammseite von Cake Poker keinerlei Warnung oder Hinweis auf das bestehende Problem ausgesprochen wird.
Aktuell kann allen Cake-Spielern jedenfalls nur empfohlen werden, sich nicht einzuloggen, zumal die Aufdeckung etwaige Betrüger auf den Plan rufen könnte.
Diskutiere Böse Sicherheitslücke bei Cake Poker ausführlicher auf PokerRing
Kommentare
Heftig…..da fühle ich mich wieder Bestätigt nie bei solch kleinen Anbietern zu spielen.
Ich spiele nur auf FTP und das werde ich auch nicht ändern.
Pass: securelol damit ist alles gesagt
hab mir das video angesehen – irgendwie beweist das gar nix, unter laborbedingungen zu hause bekomm ich das ganz leicht hin. und wo werden die karten der anderen ausgelesen?
theoretisch möglich – praktisch nicht durchführbar.
da machts mehr sinn die zugangsdaten zu fishen – was man ja täglich hört
Die holecards der anderen Spieler bleiben dennoch ungesehen….
@alle: Spielt ruhig weiter bei Cake Poker.
MFG! DER SPANIER
laborbedingungen? Nimmst dein Laptop, setzt dich in dein Auto und fährst bei einem dir bekannten pokerspieler oder pokerclub (meistens paar leute mit laptop dort am start) vor, fertig hmm man sieht halt die holecards von der einen person bei der man sich “eingehackt” hat…. ist natürlich schon ein vorteil wenn du an nem 6er table spielst und von einer person die holecards kennst ich würde da nicht mehr spielen
Kann aus dem Video nicht erkennen das die Holecards der Gegner angezeigt werden. Ich sehe nur, dass die eigene Kommunikation mit dem Server angezeigt wird. Um die Kommunikation der Mitspieler abzuhören, müsste ich vor deren Tür sitzen. Schwierig, wenn mein Mitspieler aus den USA sitzt. Ich würde diese Sicherheitslücke nicht überbewerten und wer glaubt, dass SSL sicher ist, hat keine Ahnung.
Das Video ist bestimmt schon ein halbes Jahr alt!!! Und nen Bericht darüber gabs auch schon Monaten!
Der Mann mit den vielen Ausrufezeichen ist wahrscheinlich der PR-Manager von Cake für Deutschland…
Ich lach mich tot alle anderen Pokeranbieter ( Abzocker ) betrügen genauso nur cleverer. Onlinepoker ist die größte Abzocke aller Zeiten.
mmmhh und was ist da jetzt so großes passiert. Der richtige Hacker mit der richtigen Mutivation und die knacken Dir alle Verschlüsselungen. Wo Programme arbeiten können auch Programme manipuliert werden. Nichts ist sicher!
Ein Freund von mir, konnte über einen großen Pokeranbieter seine eigenen Holecards manipulieren, das klappte zwar nicht in jeder Runde aber trotdem erstaunlich, dass es überhaupt ging. Bei 60 -70 % der Fälle konnte er seine Karten so gestalten wer er Sie haben wollte. Die Orginalkarten wurden aber nicht aus dem Deck genommen so das es passieren konnte das es z.B. 2 Pik Asse in einem Spiel gegeben hat.
Aber gehen tut alles, ganz sicher!
@icedirk: Wir haben es alle verstanden, dass Du alle Anbieter für Abzocker hälst. Du kannst es Dir sparen unter jeden Artikel Deinen stumpfen Kommentar dazu zu hinterlassen. Es nervt!
Das die Anbieter jedes Jahr Millionen verdienen ist klar. PS ca: 550 Millionen und gleich dahinter FTP mit ca: 100 Millionen.
Diese Zahlen sprechen eine deutliche Sprache es wird nicht beschissen…jedenfalls nicht von Seiten der großen Anbieter.
@Duke
Bei Pitbull-Poker, einem Anbieter, den mittlerweile nicht mehr gibt, gab es Fälle, in denen gemuckte Karten wieder im Deck auftauchten (zudem auch Superuser), aber von weiteren habe ich nie etwas gehört. Des weiteren kann ich dir in einem Punkt auch nicht so richtig folgen: Konnte seine Karten gestalten. Aha. So weit, so gestaltet, nur wie soll das denn im Spielverlauf funktionieren, wenn z.B. zwei Spieler sich mit den Nuts im Showdown treffen?? Oder einer einen Fünfling hält? Bzw. wie will der Freund von dir das manipuliert haben?? Nimm´s mir nicht übel, ohne Nachweis jedoch glaube ich das nicht zu 100%.
@!!!!!!!!!
Du bist ja ein richtiger Top-Journalist! Geradezu der Peter-Scholl-Latour des Pokers! Spaß beiseite. Denn mit minimalstem (“investigativem”) Aufwand hättest du festgestellt, dass du einen ÄHNLICHEN Fall bei einem ANDEREN anbieter meinst, und dir diesen blamablen Kommentar ersparen können. Find´s mal raus, gar nicht so schwer, und dann schäm dich! Nit bös gemeint
Gruss, F
“Der Mann mit den vielen Ausrufezeichen ist wahrscheinlich der PR-Manager von Cake für Deutschland…”
Immer wieder schön wie sich die Autoren hier selbst auf das Niveau begeben.
Arm…
@MogonFlo: Ich kann Dich verstehen, dass Du es nicht zu 100 % glaubst! Wäre sonst auch sehr naiv
Ich versuche es mal ein bißchen besser zu erklären: Mein Freund hatte ein bestimmtes Programm geladen mit dem Holecards manipuliert werden können. Jede Karte hatte einen bestimmten Code. z.B. war das Pik-Ass 6c oder sowas. Ich hab es mit eigenen Augen gesehen, wie die Holecards manipuliert worden sind.
Das mit den Nuts im Showdown ist genau das Problem. Da Du nicht den kompletten Kartenstappel sehen kannst, weißt Du somit auch nicht welche Karten sich im Spiel befinden. Ich habe ja geschrieben somit können z.B. 2 x der Nutsflush auftauchen.
Mein Freund hat sich dazu entschieden diese Lücke nicht auszunutzen, weil es keine 10 Minuten gedauert hätte, bis eines der beschriebenen Szenarien eingetreten wäre.
Übrigens die Sicherheitslücke gibt es bei einem der 3 größten Pokeranbieter.
Wenn Du daran intereresse hast, kann ich mich nochmal schlau machen, wie das Programm hieß?
lg DcD
Nochas zum Thema IceDirk und Internetpoker: Der Mann hat nicht unrecht auch wenn es viele nicht glauben wollen. Ich spiele seit über 20 Jahren Poker und spiele auch seit 2003 Internetpoker.
Es steht für mich völlig außer Frage, dass Internet-Poker Aktionpoker ist.
Folgendes: Wenn ich 3-4 Tage hintereinander 5-10 Euro Limit Poker im Internet gespielt habe und dann ins Casino Live Poker spielen gehe, sehe ich den ganzen Abend nicht solche Karten-Konstellationen wie im Internet in einer Stunde und das beobachtete ich schon seit mehreren Jahren.
Außderm ist mein Live Poker sehr erfolgreich und mein Internet Poker nicht und so geht es auch sehr vielen meiner süchtigen Pokerfreunde!
Die sollen mir mal eine Reportage zeigen wie jemand sich mit 1000 Euro eine Bankroll im Internet aufbaut.
Und bitte keine Gus Hanson hab mal eben aus 1 Dollar 10.000 Dollar gemacht Nummer oder Das Dicke Kind aus Norwegen die mit einem Post-It auf dem Bildschirm ein Turnier gewonnen hat.
@Chris
Deswegen hat Fulltilt ja auch Rushpoker erfunden, einfach genial, schnell mal die gemuckten Holecards wieder reinmischen, und keiner merkt es.
MFG Kriechbaum: vorne oben 2 hinten unten 3 ANBLASEN!
@Duke
Danke für die genauere Erläuterung! Den Name des Programms brauche ich nicht. Das was du schreibst kommt jetzt (leider) recht glaubhaft und plausibel rüber. Ich hatte eigentlich immer, trotz diverser Meldungen hin und wieder, ein hohes Maß an Vertrauen in die Sicherheit der (großen) Seiten. Insgesamt werde ich dieses auch beibehalten, mit Sicherheit aber etwas aufmerksamer und vorsichtiger sein. Deine Aussage bezüglich der Karten-Konstellationen online und im Casino finde ebenso nicht uninteressant. Man lernt halt nie aus.
Gruß, F