HARD CORE SECURITY LAB

W kasynie gier hazardowych zarabia wyłącznie właściciel oraz nieliczni gracze. Gracze odnoszący sukces dzielą się na tych którzy mają niezwykłe szczęście i tych którzy... oszukują. Historia oszustw związanych z grami hazardowymi jest tak stara, jak sam hazard, a pomysłowość oszustów zdaje się nie mieć żadnych granic. Całkiem niedawno zastanawiałem się nad tym, czy już w najbliższej przyszłości nieuczciwi hazardziści skupią się na lukach w oprogramowaniu wykorzystywanym przez kasyna oraz same nowoczesne automaty do gier hazardowych i wygląda na to, że właśnie jesteśmy świadkami zdemaskowania jednego z pierwszych tego typu przestępstw na masową skalę.

Nowoczesne kasyna gier hazardowych już od dawna masowo wykorzystują nowoczesne technologie informatyczne oraz automaty będące tak naprawdę komputerami pracującymi pod kontrolą wyspecjalizowanego oprogramowania. Nic więc dziwnego, że do skutecznego oszukania tego typu urządzeń wystarczy odkrycie jakiejś luki obecnej w ich oprogramowaniu.

Dwaj Amerykanie (John Kane oraz Andre Nestor) odkryli bardzo interesującą lukę w oprogramowaniu automatów do gry w pokera produkowanych przez firmę International Game Technology. Otóż jak się okazuje, wystarczyło tylko grać małymi stawkami do czasu uzyskania wygranej, a następnie za pomocą specjalnej sekwencji przycisków możliwe było znaczne podbicie stawki i ponowienie wygranej. Co ciekawe, taka wygrana nie była przez urządzenie logowana. W taki oto sposób dwaj mężczyźni nielegalnie zarobili co najmniej kilkaset tysięcy USD.

Warto również nadmienić, że przeprowadzenie skutecznego ataku zazwyczaj wymagało również od nieuczciwych hazardzistów wykonania małego ataku socjotechnicznego. Otóż magiczna sekwencja przycisków działała wyłącznie wtedy, gdy na urządzeniu uprzednio aktywowana została mało popularna funkcja double-up (zwiększająca wygrane, ale i również ryzyko gracza). Zazwyczaj jednak mężczyznom udawało się przekonać obsługę kasyna do zmiany ustawień poszczególnych automatów.

Gdy już chciwość zawładnęła umysłami mężczyzn i ich masowe wygrane zaczęły przyciągać uwagę, rozpoczęło się federalne śledztwo. W jego wyniku w niedługim czasie mężczyźni zostali aresztowani przez FBI pod odpowiednimi zarzutami federalnymi. Andre Nestor wydaje się jednak być takimi zarzutami zdziwiony, gdyż jego zdaniem cała działalność nie była nielegalna:

Przecież tylko naciskałem przyciski na automatach! Czy teraz wygrywanie pieniędzy w kasynie jest już nielegalne? (...) To nie moja wina, że oprogramowanie pozwalało graczowi na swobodne wygrywanie!

Moim zdaniem w całej sprawie najbardziej interesująca jest jednak sama luka obecna w oprogramowaniu automatów. Czy sekwencja przycisków pozwalająca na swobodne wygrywanie (z pominięciem logowania takiego zdarzenia!) to rzeczywiście luka, czy może jednak funkcja celowo zaimplementowana przez producenta? Być może jest to po prostu furtka celowo pozostawiony przez samego programistę tworzącego oprogramowanie urządzenia? Ile tego typu ukrytych funkcji jest obecnych w popularnych automatach do gier hazardowych i ile osób wie o ich istnieniu?

[źródło]