PokerZone.cz

Zoom - A Zoom +
21.03.2012 | Bombarek | 1 komentářů

Jak zabezpečit své PC pro hru?

Jak zabezpečit své PC pro hru?

Expert na bezpečnost online komunikace, Gus Fritschie, zkoumá některé běžné chyby v zabezpečení počítačů a poskytuje praktické rady pro pokerové hráče, kteří používají tokeny a jiné vymoženosti, aby nepřišli o své peníze.

Když většina lidí přemýšlí o zabezpečení svého počítače, často předpokládají, že pokud mají antivirový software, nic jim nehrozí. Samozřejmě, nainstalovaný antivirový softwarem s aktuální virovou databází je krokem číslo jedna k úspěchu, ale pokud na počítači hrajete online hry, kde jsou v sázce stovky až tisíce dolarů, je zapotřebí větší ochrany.
Ví se o několika případech, kdy byli hráči podvedeni, protože jejich soupeři jim „viděli do karet“ nebo měli možnost nahlížet na to, co napadený ve spuštěném programu dělá. I když existují sofistikované útoky, které využívají prostředníka, častější bývá obelstění hráče tím, že si sám nainstaluje škodlivý software.

Nejedná se o útok, který by byl v online pokeru nějak jedinečný. Několik vysoce profesionálních útoků bylo zaznamenáno jak ve veřejném, tak i v soukromém sektoru právě za použití této metody. Nabourání RSA (společnost, která umožnuje propojení dvou tokenů) je skvělým příkladem.
V tomto případě se zaměstnanec napálil a otevřel dokument, který měl škodlivý kód. Po otevření se nainstaloval tzv. „backdoor“ (software, který umožní obejít autentizaci a nepovolaná osoba tak může nahlížet v počítači tam, kam by jí za normálních okolností byl odepřen přístup), jenž pak útočník použil k získání přístupu do interní sítě RSA a nakonec i získaní části bezpečnostního algoritmu. Po zvážení tohoto faktu vyvstává otázka, která jen dokazuje důležitost zabezpečení počítače. Pokud organizace, jejímž hlavním posláním je bezpečnost a zabezpečení, může být tímto způsobem zneužita, jak moc pravděpodobné je, že drtivá většina běžných online pokerových hráčů je snadným cílem pro tento typ napadení?
Jak bylo řečeno, existuje několik druhů útoků, které by mohly být použity k získání neoprávněného přístupu do systému hráče. Dva nejčastější jsou dlouho známé sociální inženýrství a phishingové útoky.

Sociální inženýrství je proces klamání lidí za účelem zjištění přístupových hesel nebo důvěrných informací tohoto typu. Tímto se ale v našem článku zabývat nebude. Spíše se zaměříme na obranu proti útokům na straně klienta, jako je právě phishing. Existují dvě základní kategorie phishingu: obecný phishing a oštěpový phishing.
• Obecný phishing – Jedná se většinou o hromadné e-maily, které obsahují odkazy na falešné weby a jsou navrženy tak, aby vypadaly jako autentické stránky s webovým přihlašovacím rozhraním. Slouží pro zjištění osobních údajů, které pak útočníci využívají ke spáchání finančních podvodů.
• Oštěpový phishing – Osoby, jichž se útok týká, jsou předem vybrané (proto přirovnání k oštěpu) a e-maily, které útočník rozešle, mohou být díky tomu specifikovány právě pro daného adresáta emailu. Svou specifičností mají přimět k předání osobních údajů. Mohou vypadat, že přišly ze schránky kamaráda nebo kolegy, nebo se snaží vypadat důvěryhodně díky znalosti zájmů napadené osoby.
Z těchto dvou je oštěpový phishing ten nebezpečnější. Dovedu si představit několik scénářů, které by mohli nastat u známých a úspěšných hráčů, mající za cíl jediné – útok, který povede k získání citlivých údajů.

Existuje množství obraných prostředků, s jejichž využitím se mohou lidé lépe chránit před těmito typy útoků. Heslo je to první, na co bychom měli myslet. Není ani třeba nějakého útoku ke zjištění hesla, pokud je nastaveno na “poker.” Toto doporučení platí pro všechny účty, nejen pro ty pokerové. Zejména e-mailové účty by měly mít silná hesla – jen se zeptejte na zkušenost Daniela Negreanu. Samostatná emailová adresa zřízená za účelem hraní pokeru, k registraci v hernách a podobně je také dobrý nápad. 
Nejlepší je mít různá hesla pro všechny účty a zajistit, že jsou složité (doporučuji alespoň 14 alfanumerických znaků a to včetně speciálních znaků). Pokud máte možnost ověřit si spojení nějakým bezpečnostním tokenem, využijte toho.

Dalším krokem je udržet systém aktualizovaný, mít nejnovější bezpečnostní patche, ne jen balíčky systémových oprav, ale také aktualizace od jiných společností, jako je Adobe a Java. Phishingoví útočníci jsou většinou úspěšní, protože jejich oběti mají zastaralý software, který umožňuje jejich počítače snadno využít.

Samozřejmě, že nejlepším ochranným mechanismem, který lze použít, je systém, jenž je vyhrazený pouze pro hraní online pokeru. Tedy žádné surfování na webu, žádné e-maily, žádná komunikace přes instant messaging a žádné spuštění čehokoliv jiného na tomto zařízení. Dedikovaný systém by měl nejen zvýšit winrate (právě proto, že se nebudete rozptylovat čímkoliv na vašem počítači), ale také vám pomůže vyhnout se určitým typům útoků na straně klienta, jako je právě phishing nebo cross-site scripting (XSS). Během našeho výzkumu, který proběhl loni v létě, jsme zjistili, že je mnoho případů, kdy byli klienti vystaveni XSS útokům, a to jak na stránkách online pokerových společností, tak na stránkách podpůrných webů.

Jak můžete vidět, existuje celá řada možných útoků, které mohou nastat. Představte si, že jste se přihlásili na web, kde hrajete poker. Jedná se o stránky, které jsou náchylné k XSS útokům a po zachycení cookies jsou citlivá data poslána útočníkovi. Útočník by pak mohl použít tyto cookies k přihlášení do online pokerové herny, na které jste hráli. Možnosti jsou neomezené, a proto radím mít samostatné zařízení na hraní pokeru, na kterém, jak již bylo řečeno, nebude probíhat nic mimo hraní.

Chápu, že to může být finančně nákladné, nebo pro vás není praktické použití dvou samostatných počítačů. Pokud tomu tak je, poté vám radím: používejte virtualizaci. S programy, které jsou dnes k dispozici, jako je VMware nebo VirtualBox, je snadné mít samostatný virtuální „stroj“, který je určený jen pro hraní pokeru. Na mém počítači používám jako hostitelský operační systém Ubuntu Linux a k tomu program VirtualBox (viz obrázek níže).

To mi umožňuje mít vyhrazený systém pro hraní pokeru a další systém pro mou práci. Pokud chcete toto nastavení využívat stejně, budete muset mít systém s velkou pamětí, neboť mohou nastat problémy s výkonem, ale s dnešní dostupností pamětí a při jejich ceně by to neměl být problém. Na internetu najdete velké množství článků o instalaci a použití virtualizace, takže doporučuji jejich přečtení, pokud nejste obeznámeni s touto technologií. Pokud máte nějaké dotazy, prosím, dejte mi vědět a já napíšu článek o virtualizaci systému pro online pokerové hráče.
Pokud budete postupovat podle doporučení v tomto článku, snížíte tak ohrožení vašeho systému a váš pokerový účet se stane bezpečnějším.
V mém příštím článku se budu zabývat zvýšením bezpečnosti při online hraní na pokerových aplikacích v mobilním telefonu a bezpečnostní rizika, která mohou nastat v tomto prostředí.
________________________________________
Gus Fritschie je odborník na bezpečnost v informačních technologiích a vášnivý hráč pokeru, který žije ve Washingtonu DC. Je technologickým ředitelem v SeNet International (Senet-int.com) a také jedním ze spoluzakladatelů PokerSec.org (PokerSec.org). Gus má zkušenosti s vedením mnoha přezkumů zranitelnosti, napadnutelnosti a penetračních testů webových aplikací. Mezi klienty patří například společnost Fortune 500, civilní agentury a ministerstvo obrany (DOD). Projekty zahrnovaly celopodnikové hodnocení zranitelnosti pro několik veřejných a komerčních klientů, řízení o certifikaci a akreditaci (C&A) a penetrační testy webových aplikací. Mimo jiné je Gus také úspěšný pokerový hráč. Účastnil se zhruba milionu online hand. Sledujte Guse na Twitteru - @gfritschie .

Dle OWASP.org je XSS definován takto:
Cross-site scripting útoky jsou ty typy útoků, při kterých jsou škodlivé skripty vložené do jinak neškodných a důvěryhodných webových stránek. Cross-site scripting (XSS) je útok, kdy útočník využívá webovou aplikaci, přes kterou pošle škodlivý kód k některému z koncových uživatelů. Obvykle to bývá ve formě skriptu na straně prohlížeče. Chyby, které umožňují tyto útoky uskutečnit, jsou velmi rozšířené a vyskytují se kdekoliv, kde webová aplikace komunikuje bez šifrování. Útočník může využít XSS a poslat tak škodlivý skript k nic netušícímu uživateli. Koncový uživatel prohlížeče nemá možnost, jak poznat, že skript není důvěryhodný a tak jej spustí. Jelikož si uživatel myslí, že skript pochází z důvěryhodného zdroje, povolí mu přístup ke cookies nebo k jiným citlivým údajům, které jsou na tomto místě používané a uchovávané. Tyto skripty mohou dokonce přepsat obsah HTML stránky.

Podobné články
Komentáře
Přihlaste se nebo se zaregistrujte, pokud chcete přidat svůj komentář
Promo akce
Další články »
Slovník pojmů

Nerozumíte některému z pojmů?
Nevadí! Vyzkoušejte náš unikátní slovník.

Promo akce
Unibet Open 2012 v Praze - kvalifikace začíná!
Unibet Poker Vstupní bonus:
100% až do €500

První živý turnaj Unibet Open 2012 se bude konat v Praze! „Město sta věží“ je jedno z nejstarších a nejkrásnějších lokací Evropy a od 16. do 19. února bude již potřetí hostit Unibet Open. Vyhrajte balíček v hodnotě 2500€ zahrnující ubytování na 4 noci, buy-in 1500€ + 150€ a další. S kvalifikací můžete začít již nyní!

Celý článek » Další promo akce »