Атака на цитадель алчности

goabruce & porosenok

Хакер, номер #091, стр. 091-078-1

(goabruce@beesoftware.ru)

Поиск ошибок в работе интернет-казино

«Ставка невозможна, на вашем игровом счете не хватает денежных средств». Ну что, доигрался? Продул последние 100 убитых енотов в интернет-казино? Не даром в Лас-Вегасе говорят: «Хочешь заработать на казино — стань его владельцем». Ну что, накажем супостата?

Введение

В первую очередь ты должен знать, что играть в казино — то же самое, что играть с государством и законом, и все нижеописанное не игрушки. Однажды, блуждая по просторам интернета в поисках матрицы, я забрел на один сайт, где делают деньги на человеческих слабостях - online-казино, то есть цитадель алчности. К сожалению, их в последнее время развелось очень много. С виду это еще одно обычное казино, написанное на flash'е, но один баннер, расположенный в левом нижнем углу, сразу привлек мое внимание. Там была картинка, которая гласила: «Премия за найденную ошибку!». Довольно редкая ситуация, когда казино готово платить за свои ошибки. Кликнув мышкой по этой картинке, я узнал, что администрация сайта предлагает принять участие в тестировании казино и обещает заплатить за найденные недочеты и ошибки от 25 до 1000 долларов, в зависимости от степени важности :). Не густо, но и не пусто.

Разведка боем

Итак, в первую очередь — регистрация. Как истинный рыцарь, я сразу сообщу хозяевам о своих намерениях. Практически сразу же был обнаружен недочет при заполнении форм. Проверка правильности email'а была реализована некорректно, и система не принимала email'ы, в которых присутствовало тире. Но это ерунда, и на ней много не заработаешь — надо искать дальше :(. Далее запускаю лазутчика и временно передислоцируюсь на кухню, в район холодильника. Послеобеденные результаты сканирования местности оказались не лучшими для меня. Видимо, начальник охраны не зря получает свои деньги. Все сервисы оказались достаточно новыми, и разрушающих заклятий для них не было (по крайней мере, у меня). Не мешало бы прощупать ошибки в Web'е, путем подставки в тело запроса различной ерунды, чтобы найти хоть какую-то зацепку. Но из этого ничего не вышло: ошибки есть, но практической ценности не имеют — все работает корректно. Перейдя к форуму, увидел всем известный phpBB, но и здесь ничего не получается - новая версия. Комплексный поиск возможных методов доступа не дал существенных результатов и не принес прибыли. Так и должно было быть, потому что ошибки в Web'е, скорее всего, уже были найдены еще во времена мамонтов, а значит, надо искать в другом месте. Поэтому следующий этап - поиск ошибок в реализации программного обеспечения. Единственное, что остается, — это сесть в засаду и перехватывать все входящие и выходящие обозы, то есть проверить работу внешнего программного обеспечения, протоколов и flash-программ.

Засада

Третий день засады. Цитадель молчит, но и я не промах. На четвертый день картина стала проясняться. Оказалось, что у цитадели есть множество мобильных отрядов, которые могут свободно перемещаться на удаленные графства с помощью специальных Flash-платформ. Эти отряды собирают дань весьма интересным способом: они предлагают жителям графств вложить их золотые монеты в выгодное дело, которое впоследствии должно принести огромные дивиденды. Чтобы лучше втесаться в доверие к гражданам, для начала они предлагают попробовать такое вложение, например на птичьем помете, при этом сами предлагают каждому в подарок по 1000 кг этой гадости. Доверчивые граждане вкладывают подаренное им имущество и богатеют: на 1 кг вложений они получают 10 кг чистого дер$ма. Но когда прибыль уже некуда девать, граждане начинают вкладывать не птичий помет, а золотые монеты. Вот тут-то и кроется обман. Оказывается, дивиденды на золото совсем не идут, а наоборот, вложенное золото просто исчезает. Да уж, печальная картина. Я в свое время тоже попадался на такие уловки. Я пытался бороться, подсовывал монеты с отрицательным достоинством (-50), пытался переполнить их золотом, указывая большие числа. Это не дало никакого результата. Но одно «но» не давало мне покоя. Ты, наверное, тоже задался вопросом: а как мобильные отряды перевозят золото? Вот она зацепка!!! Нужно узнать, как они это делают, где его хранят, каким образом учитывают. Просидев в засаде еще несколько дней, стало понятно, что мобильные отряды возят часть наличности, принадлежащей доверчивому гражданину, с собой, но только ту часть, которая необходима ему для участия в деле. Для безопасности они сообщают на базу (в цитадель) результаты всех своих махинаций, и именно там тошнотики-бухгалтеры ведут все расчеты. В любой момент по первому требованию они готовы принять или отправить нужное количество птичьего помета. В своих злодеяниях они на столько обнаглели, что даже не заботились о шифровании передачи сообщений, используя в качестве транспорта обычного посыльного. Внедрив своего спецагента, мне удалось легко перехватить достаточное количество сообщений для детального анализа. Простота и тупость этих сообщений прямо пропорциональна жадности самих хозяев. Я даже приведу пример наиболее интересного сообщения, оно написано на древнеиндийском языке:

Содержание  Вперед на стр. 091-078-2
загрузка...
Журнал Хакер #151Журнал Хакер #150Журнал Хакер #149Журнал Хакер #148Журнал Хакер #147Журнал Хакер #146Журнал Хакер #145Журнал Хакер #144Журнал Хакер #143Журнал Хакер #142Журнал Хакер #141Журнал Хакер #140Журнал Хакер #139Журнал Хакер #138Журнал Хакер #137Журнал Хакер #136Журнал Хакер #135Журнал Хакер #134Журнал Хакер #133Журнал Хакер #132Журнал Хакер #131Журнал Хакер #130Журнал Хакер #129Журнал Хакер #128Журнал Хакер #127Журнал Хакер #126Журнал Хакер #125Журнал Хакер #124Журнал Хакер #123Журнал Хакер #122Журнал Хакер #121Журнал Хакер #120Журнал Хакер #119Журнал Хакер #118Журнал Хакер #117Журнал Хакер #116Журнал Хакер #115Журнал Хакер #114Журнал Хакер #113Журнал Хакер #112Журнал Хакер #111Журнал Хакер #110Журнал Хакер #109Журнал Хакер #108Журнал Хакер #107Журнал Хакер #106Журнал Хакер #105Журнал Хакер #104Журнал Хакер #103Журнал Хакер #102Журнал Хакер #101Журнал Хакер #100Журнал Хакер #099Журнал Хакер #098Журнал Хакер #097Журнал Хакер #096Журнал Хакер #095Журнал Хакер #094Журнал Хакер #093Журнал Хакер #092Журнал Хакер #091Журнал Хакер #090Журнал Хакер #089Журнал Хакер #088Журнал Хакер #087Журнал Хакер #086Журнал Хакер #085Журнал Хакер #084Журнал Хакер #083Журнал Хакер #082Журнал Хакер #081Журнал Хакер #080Журнал Хакер #079Журнал Хакер #078Журнал Хакер #077Журнал Хакер #076Журнал Хакер #075Журнал Хакер #074Журнал Хакер #073Журнал Хакер #072Журнал Хакер #071Журнал Хакер #070Журнал Хакер #069Журнал Хакер #068Журнал Хакер #067Журнал Хакер #066Журнал Хакер #065Журнал Хакер #064Журнал Хакер #063Журнал Хакер #062Журнал Хакер #061Журнал Хакер #060Журнал Хакер #059Журнал Хакер #058Журнал Хакер #057Журнал Хакер #056Журнал Хакер #055Журнал Хакер #054Журнал Хакер #053Журнал Хакер #052Журнал Хакер #051Журнал Хакер #050Журнал Хакер #049Журнал Хакер #048Журнал Хакер #047Журнал Хакер #046Журнал Хакер #045Журнал Хакер #044Журнал Хакер #043Журнал Хакер #042Журнал Хакер #041Журнал Хакер #040Журнал Хакер #039Журнал Хакер #038Журнал Хакер #037Журнал Хакер #036Журнал Хакер #035Журнал Хакер #034Журнал Хакер #033Журнал Хакер #032Журнал Хакер #031Журнал Хакер #030Журнал Хакер #029Журнал Хакер #028Журнал Хакер #027Журнал Хакер #026Журнал Хакер #025Журнал Хакер #024Журнал Хакер #023Журнал Хакер #022Журнал Хакер #021Журнал Хакер #020Журнал Хакер #019Журнал Хакер #018Журнал Хакер #017Журнал Хакер #016Журнал Хакер #015Журнал Хакер #014Журнал Хакер #013Журнал Хакер #012Журнал Хакер #011Журнал Хакер #010Журнал Хакер #009Журнал Хакер #008Журнал Хакер #007Журнал Хакер #006Журнал Хакер #005Журнал Хакер #004Журнал Хакер #003Журнал Хакер #002Журнал Хакер #001