Por Zacarías Leone, Director de la consultora ZLSSC

Ataques al Generador de Números Aleatorios (RNG) - Capitulo I

15-07-2009
Tiempo de lectura 1:49 min
En nuestro laboratorio de I+D, donde realizamos diferentes pruebas, testeos, análisis, pericias y auditorias hemos detectado que a veces no se toman los recaudos de seguridad informática necesarios a la hora de analizar en profundidad a los programadores que “escriben” los algoritmos o códigos que le dan vida al Núcleo Lúdico o Generador de Números Aleatorios (RNG) de una o varias maquinas de juegos que luego terminarán en los Casinos y Bingos.

En este primer capítulo presentaremos solo algunos de los tantos escenarios defectuosos o peligrosos detectados por nuestro laboratorio en diferentes auditorias,  afín de colaborar con los responsables de seguridad y auditorias Informáticas de los fabricantes de la industria de los juegos de azar.

Como siempre aclaro, por motivos de seguridad y prevención NO revelaremos como se realizan los ataques de forma detallada, y solo se abordarán conceptos generales.

La seguridad del Cifrado de algunos sistemas depende de datos secretos que solo son conocidos por “Personal Autorizado” y sometido con su aprobación y consentimiento a un continuo análisis, monitoreo y auditoria, afín de garantizar el óptimo resultado de lo que dará vida al producto fabricado y evitar la inserción de algoritmos o códigos que pudieran atentar contra la imagen de sus productos y/o los resultados azarosos.

Calidad en la Generación de Números Aleatorios (RNG)

Para lograr los mayores estándares en calidad, es siempre necesaria la Seguridad, y la falta de esta, proporciona brechas o circunstancias en las cuales las vulnerabilidades y/o ataques pueden ser una tentación para “Empleados Deshonestos”, ese fue el Caso de Ronald Dale Harris, quien se desempeñaba como Auditor de la Junta de Control del Juego de Nevada (Gaming Control Board) y mediante la manipulación de un dispositivo que comparaba los Chips de una maquina de juegos de un casino contra la base del Estado de Nevada para detectar si ésta fue manipulada, infectó así cientos de maquinas tragamonedas con un código que permitía hacerse de miles de dólares jugando de una forma secuencial programada por Ronald Dale Harris en todas las maquinas que el mismo “Auditaba” para detectar anomalías o trapas…

El proceso del Generador de Números Aleatorios (RNG) es particularmente atractivo para los atacantes debido a que es normalmente un único aislado del Hardware o componente de Software fácil de localizar.

Si el atacante puede sustituir “bits pseudo-aleatorios” generados de una manera que éste pueda predecir, entonces la Seguridad está totalmente comprometida, sin embargo, en general, estos ataques son casi imperceptibles a pruebas realizadas sin el conocimiento suficiente de códigos maliciosos como son por ejemplo los X-ploits, Flag´s, Ganchos, etc., dando como resultado un “Falso Positivo”, es decir, los resultados de pruebas realizadas por empresas o laboratorios con simples conocimientos informáticos del tipo masivo o industrial darían como resultado un “RNG aprobado”.
(Próximamente el Capítulo 2)

Temas relacionados:
Deje un comentario
Suscríbase a nuestro newsletter
Ingrese su email para recibir las últimas novedades
Al introducir su dirección de email, acepta las Condiciones de uso y la Políticas de Privacidad de Yogonet. Entiende que Yogonet puede utilizar su dirección para enviar actualizaciones y correos electrónicos de marketing. Utilice el enlace de Cancelar suscripción de dichos emails para darse de baja en cualquier momento.
Cancelar suscripción
EVENTOS