AccueilPortailFAQRechercherS'enregistrerMembresGroupesConnexion

Partagez | 
 

 Securité Joymax ecrit NoEx

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
ptit_chat
Chevalier Templier
Chevalier Templier


Nombre de messages : 233
Date d'inscription : 06/09/2006

MessageSujet: Securité Joymax ecrit NoEx   Jeu 15 Nov - 23:59

Miaou, vous rapporte un ptit post

http://www.silkroad-france.servhome.org/forum/viewtopic.php?pid=169252#p169252

Si vous connaissez NoEx, il est codeur/modeur de ce fofo en autre, c'est lui qui faisait les patch nude,vire les filtre de language etc et il a fait un autologin. Il a joué sur Aege pas mal de temps chez ADG au début Smile.

NoEx a écrit:
Bonsoir à toutes et à tous !

Vous vous demandez surement de quoi je veux parler après avoir lu le titre de ce post, c'est normal, vous ne savez surement pas ce qu'est une Proof-Of-Concept (Preuve de concept en français :p) !

Définition Wikipédia : http://fr.wikipedia.org/wiki/Preuve_de_concept

Certains se souviendront surement de l'un de mes postes concernant encore la sécurité de Silkroad Online, dans lequel je disais que la sécurité du jeu était vraiment hors-norme, comprenez par hors-norme le fait que les développeurs se moquent vraiment de leurs joueurs et qu'il ne faut vraiment pas s'étonner après de voir des joueurs se faire hacker tous les jours...

En effet, je certifiais que toutes les infos concernant votre compte se baladaient librement sur votre ordinateur, sans aucun cryptage bien évidemment dès lors que vous vous connectiez au jeu, un simple programme suffisait donc à récupérer l'ensemble de vos infos de compte et à les renvoyer à un pseudo-hacker du dimanche, et hop le perso tout nu quelques heures après !

Je n'avais pas pu concrètement vous le prouver et vous étiez donc obligé de me croire sur parole ^^

Ayant un peu de temps libre cet après-midi, j'ai donc décidé de coder une petite application afin de vous donner un exemple concret ! (Oui je me faisais chier ^^) Very Happy C'est ici qu'intervient la POC Wink

Pour faire le test c'est tout simple, il vous suffit de télécharger l'application suivante :

>> Silkroad Online Security Proof-Of-Concept

De l'extraire où vous le souhaitez, sur le bureau par exemple, de lancer Silkroad Online, de vous loguer et de vous connecter au jeu.

Exécutez ensuite la POC, cliquez sur "Actualiser" et pleurez... xD

En espérant que ca vous fera réflechir, Joymax se moque de vous et n'aime que votre argent, il ne se soucient même pas de la sécurité des comptes de leurs joueurs...

Voilou.

Apparement certains auraient des erreurs mais c'est juste pour montrer la sécurité mis en place sur joynaze
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
M@K MaHÖÑ
Mak


Nombre de messages : 694
Localisation : lyon
Date d'inscription : 27/01/2006

MessageSujet: Re: Securité Joymax ecrit NoEx   Sam 17 Nov - 22:11

salut

dsl mais sa prouve en quoi que le jeu n'est pas safe ?


je peut me mettre un keylogger, ou autre merde et faire apreil , me logguer et ouvrir le ficher et retrouver mes id et pass non ?

spa sa xD

??

_________________


Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ptit_chat
Chevalier Templier
Chevalier Templier


Nombre de messages : 233
Date d'inscription : 06/09/2006

MessageSujet: Re: Securité Joymax ecrit NoEx   Dim 18 Nov - 2:08

Quand tu parles du keylogger, en faites c'est plus simple, un keylogger par exemple il enregistre les frappes de clavier, ce que la plupart des antivirus comprennent comme un comportement trojan (analyse heuristique, ca veut dire que meme si le trojan n'est pas répertorié connu, ton antivirus analyse et te dit bizzare ce comportement est sensiblement le meme qu'un trojan.)

Or là avec qu'a dit NoEx, tu n'as pas besoin de keylogger, parceque ton ID/mdp est directement lisible dans les fichiers de sro. Il suffit d'un programme qui lit le fichier et il obtient ID/mdp (or ce comportement a pei de chance d'etre interprété comme une menace par un antivirus). Je continue le raisonnement, on imagine que tu autorises un programme à se connecter au net. On imagine le programme du bot, genre il a peut etre une mise à jour sur un server donc tu autorises l'adresse. Voilà qu'est ce qui empeche ce programme de lire ton fichier sro de prendre l'info ID/mdp et de l'envoyer au server. Tes logiciels de protection ne feront aucune alerte.

Voilà pourquoi la sécurité est totalement à chier, parceque ces infos ID/mdp super sensible ne sont pas du tout cryptés dans tes fichiers, donc en gros avec un peu de programmation on peut les lire.

Autre exemple, si je vole des cookies hotmail avec normalement ce qui t'identifie id+mdp, ben impossible pour moi de retrouver le vrai ID/mdp. Autre exemple, si on prend les mdp utilisé pour ce forum, normalement meme l'admin ne peut lire ton mdp, il est crypté dans la base de donnée. Il faut avoir la clé qui a permit de coder et ensuite le décoder (et encore suivant si le mdp est bien securité genre majuscule chiffre sigle genre #'( etc ca prendra beaucoup de temps)

Voilà j'espere que j'ai reussit à t'éclairer, juste pour dire, ton ID/mdp est toujours lisible sans aucun cryptage dans tes fichiers sro, qu'un programme pourrait récuperer ces infos sans qu'aucun logiciel de protection ne t'avertissent et il se peut qu'avec qu'en ne faisaint pas attention à la configuration de son parefeu et des astuces (cf l'exemple) on puisse envoyer ces données.

Enfin faut pas s'inquiéter, si on bot pas d'une part, de deux, si on utilise aucun logiciel tiers, de trois si on utilise quand meme un logiciel tiers de pas autorisé d'autres adresses que sro.

(enfin pour la parano, imagine développez un ptit programme indépendant de sro, genre le distribuer et qui lit tes infos ID/mdp. En plus si on a aucun rapport avec sro, on va peut etre autorisé des connexions et autoriser l'envoie. Voilà peut etre aussi pourquoi pas mal de gens se font hacker en disant qu'ils n'ont jamais prit de logiciel tiers lié à sro, qu'ils n'ont jamais donné id/mdp à quelqu'un) Voilà le conseil est de pas lancer d'autre logiciel un peu cheloo (pas genre word excel paint etc) avec sro en marche et d'éviter les sites internets aussi Smile

Sinon
je reposte un article que j'ai ecrit ailleurs

On lit beaucoup d'annonces sur les mmo et leur souci, j'avais deja posté un lien expliquant que le vol/hack dans les jeux en ligne devient de plus en plus fréquent car énorme source d'argent (sans oublier le kidnapping/séquestration d'un joueur d'Amérique du Sud piégé pour obtenir son ID/mdp).

Blizzard se refait une ptite santé.

Citation :
La nouvelle procédude de sécurité du jeu World of Warcraft a changé. Action dorénavant chiffrée. Les pirates vont s'y casser les dents... et la vie privée des joueurs aussi ?

Les serveurs et le jeu World of Warcraft contrôlent si le logiciel utilisé par un joueur n'est pas une version pirate. Les serveurs s'assurent, via des "check-up" permanent, qu'aucun programmes tiers (crack, trainers, ...) ne perturbent le bon fonctionnement des parties. La dernière version de ce "check" est dorénavant chiffré. Parfait pour contrer les utilisateurs de bots, ces robots que des groupes chinois adorent utiliser afin de créer des personnages qui seront ensuite revendus à prix d'or. Seulement ce "check-up" camouflé par ce chiffrage des données risque d'inquiéter les joueurs plus au fait de la protection de leur vie privée. L'éditeur Blizzard a un outil crypté et peut décider ce qu'il veut (scanner votre pc, transferer n'importe quel fichier ou éditer n'importe quel document) en toute tranquilité.
zataz

//Edit: dsl du pavé ce qui faut retenir pour repondre à ta question c'est qu'un keylogger est detecté par les logiciels de protection alors que là il suffit de lire avec un programme, si ces données étaient cryptées, alors ca ne serait pas grave car il y a quasi aucune chance de décrypter sans la clé)
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
M@K MaHÖÑ
Mak


Nombre de messages : 694
Localisation : lyon
Date d'inscription : 27/01/2006

MessageSujet: Re: Securité Joymax ecrit NoEx   Dim 18 Nov - 12:54

Klr et net , thx chat


fait chier se jeu !

_________________


Revenir en haut Aller en bas
Voir le profil de l'utilisateur
ptit_chat
Chevalier Templier
Chevalier Templier


Nombre de messages : 233
Date d'inscription : 06/09/2006

MessageSujet: Re: Securité Joymax ecrit NoEx   Dim 18 Nov - 14:22

pour dire moi je croyais qu'on se logguait avec id/mdp, le server envoyait un numeroID provisoire qui identifiait ta session donc un truc crypté sans que ton id ou mdp soit encore quelque part, NoEx nous avait dit à l'epoque non Id/mdp sont stockés tout le temps dans ton jeu...

pour la suite de son post, certains ont pas reussi à cause de mini bug mais y'en a un qui a posté en disant que cela lui avait affiché son ID/mdp à une lettre pret (donc la démonstration de NoEx s'avère exacte)
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Contenu sponsorisé




MessageSujet: Re: Securité Joymax ecrit NoEx   Aujourd'hui à 23:19

Revenir en haut Aller en bas
 
Securité Joymax ecrit NoEx
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» code de securité pour ht pola!!
» "PASSE!" ecrit en rouge
» logiciel qui retranscris oralement ce qu'on ecrit
» Les fermiers de la lande
» [Résolu]Possibilité d'écriture en italique

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
 :: La guilde :: Guilde LesTempliers-
Sauter vers: