En este primer capítulo presentaremos solo algunos de los tantos escenarios defectuosos o peligrosos detectados por nuestro laboratorio en diferentes auditorias, afín de colaborar con los responsables de seguridad y auditorias Informáticas de los fabricantes de la industria de los juegos de azar.
Como siempre aclaro, por motivos de seguridad y prevención NO revelaremos como se realizan los ataques de forma detallada, y solo se abordarán conceptos generales.
La seguridad del Cifrado de algunos sistemas depende de datos secretos que solo son conocidos por “Personal Autorizado” y sometido con su aprobación y consentimiento a un continuo análisis, monitoreo y auditoria, afín de garantizar el óptimo resultado de lo que dará vida al producto fabricado y evitar la inserción de algoritmos o códigos que pudieran atentar contra la imagen de sus productos y/o los resultados azarosos.
Calidad en la Generación de Números Aleatorios (RNG)
Para lograr los mayores estándares en calidad, es siempre necesaria la Seguridad, y la falta de esta, proporciona brechas o circunstancias en las cuales las vulnerabilidades y/o ataques pueden ser una tentación para “Empleados Deshonestos”, ese fue el Caso de Ronald Dale Harris, quien se desempeñaba como Auditor de la Junta de Control del Juego de Nevada (Gaming Control Board) y mediante la manipulación de un dispositivo que comparaba los Chips de una maquina de juegos de un casino contra la base del Estado de Nevada para detectar si ésta fue manipulada, infectó así cientos de maquinas tragamonedas con un código que permitía hacerse de miles de dólares jugando de una forma secuencial programada por Ronald Dale Harris en todas las maquinas que el mismo “Auditaba” para detectar anomalías o trapas…
El proceso del Generador de Números Aleatorios (RNG) es particularmente atractivo para los atacantes debido a que es normalmente un único aislado del Hardware o componente de Software fácil de localizar.
Si el atacante puede sustituir “bits pseudo-aleatorios” generados de una manera que éste pueda predecir, entonces la Seguridad está totalmente comprometida, sin embargo, en general, estos ataques son casi imperceptibles a pruebas realizadas sin el conocimiento suficiente de códigos maliciosos como son por ejemplo los X-ploits, Flag´s, Ganchos, etc., dando como resultado un “Falso Positivo”, es decir, los resultados de pruebas realizadas por empresas o laboratorios con simples conocimientos informáticos del tipo masivo o industrial darían como resultado un “RNG aprobado”.
(Próximamente el Capítulo 2)