Seguridad

Brechas de seguridad en los streamings de Poker por Andrew Milner

A.Sevillano | 14/10/22
Brechas de seguridad en los streamings de Poker por Andrew Milner
Andrew Milner es el desarrollador de PokerGFX, el programa que utilizan la mayoría de las mesas televisadas del mundo. Milner ha explicado cuáles son las principales brechas de seguridad en el sistema y cómo se pueden solucionar.

Puede que la mano entre Robbi Jade Lew y Garret Adelstein haya marcado un antes y un después en lo que a seguridad de streamings de poker se refiere. Hace una semana ya veíamos cómo el Hustler Casino había empezado a escanear con un detector de metales a los jugadores antes de los streamings, pero no solo los casinos están moviendo ficha para mejorar la seguridad.

Seguramente el nombre de Andrew Milner no te diga nada a no ser que tengas una mesa televisada en casa. Milner es el dueño y el desarrollador de PokerGFX, el programa que utilizan la mayoría de las mesas televisadas del sector. Solo grandes circuitos como Triton Poker o EPT no utilizan los servicios de Andrew, pero todos los demás, incluido Poker-Red, trabajamos con él.

Andrew juega un papel fundamental en los streamings de poker de todo el mundo y por eso ha querido publicar un comunicado explicándole a la comunidad cuáles son las principales brechas de seguridad y qué se puede hacer para solucionarlas. Os dejamos con su comunicado traducido íntegramente.

El elefante en la sala (de producción): seguridad de la transmisión de poker

Los streamings de poker son omnipresentes en la comunidad de poker actualmente. Si diriges una poker room, un casino, un circuito o un evento regular, probablemente estés haciendo un stream que utiliza tecnología RFID. Hay un montón de información errónea circulando sobre la seguridad de estos streamings, por lo que voy a desglosarla, desmentir algunos mitos y hablar un poco sobre cómo la industria de los streamings puede abordar el gran problema de la integridad del juego.

PokerGFX es el programa estándar para los streamings con gráficos de Hole Cards en la mayor parte del mundo. Con la excepción de algunas de las marcas más grandes, si estás viendo una transmisión de poker, es probable que esté usando PokerGFX.

Soy el propietario y desarrollador del sistema PokerGFX. Desde 2011 he vendido y brindado soporte a cientos de mesas RFID de PokerGFX a clientes en más de 40 países. Codifico el software PokerGFX y codiseño el hardware RFID instalado en la mayoría de estas mesas, por lo que me considero un experto en la materia.

Hay un montón de formas de hacer trampa en el poker, pero me centraré solo en la integridad del juego en lo que respecta a la tecnología de los streamings. Voy a ilustrar un punto describiendo un método específico de hacer trampa porque, bueno, tratar de restringir información como esta nunca termina bien a la larga.

RFID es una tecnología increíblemente madura y bien entendida. Lo ves en todas partes, desde las tarjetas de pago "contact less" hasta el transporte público y, por supuesto, en las transmisiones de poker ¿Qué puede y no puede hacer en la mesa de poker esta tecnología?

El rango máximo de lectura es de 8-10 cm

Los chips RFID utilizados por PokerGFX y, de hecho, casi todas las barajas de cartas de póquer en todas las transmisiones son del tipo 'HF' (alta frecuencia). Estos chips, cuando se combinan con la delgada antena de traza de cobre intercalada dentro de cada carta, son capaces de obtener un rango de lectura máximo de 8-10 cm. No importa el tamaño, la potencia o la forma del lector. Las leyes de la física simplemente impiden leer estas tarjetas desde cualquier distancia superior a 8-10 cm.

No es posible determinar el orden de las cartas en el mazo

Estos mismos chips RFID solo se pueden leer en pequeñas cantidades (4-6 como máximo) cuando se apilan uno encima del otro. No es posible escanear una baraja completa de cartas, y mucho menos determinar la posición de cartas específicas dentro de la baraja. Usar la tecnología RFID para averiguar cuál será la carta del turn o del river no es psobile. Las fichas RFID integradas en las fichas de poker  de los casinos (que claramente se pueden leer cuando se apilan) usan un método de comunicación que no es compatible con los lectores y las tarjetas que se usan en la mayoría de los streamings y, en cualquier caso, no es capaz de determinar de manera confiable la posición de una ficha individual en la pila de fichas.

El lector debe estar directamente debajo o encima de las cartas

El campo electromagnético generado por las cartas es perpendicular a la cara de la carta, es decir. Directamente "hacia arriba" o "abajo" cuando está acostado sobre la superficie de juego. Esto se ve claramente en acción cuando las cartas no se escanean si un jugador no las coloca en el área de lectura designada en la mesa. Las cartas no pueden ser escaneadas por un dispositivo malicioso que se encuentre en la mesa a más de un par de pulgadas a cada lado. La idea de que se pueda escanear una carta desde varios asientos de distancia es ridícula.

Evitar que los jugadores sean señalados por un cómplice es casi imposible

¿Por qué molestarse en ocultar un dispositivo si puedes ver a un cómplice cercano con tus propios ojos? La clave está en la prevención del uso de otros dispositivos ilícitos, como un lector RFID oculto, por ejemplo.

Dije arriba que no puedes leer una carta RFID desde el otro lado de la mesa, pero imagina un escenario donde se adjunta un pequeño lector RFID alimentado por batería debajo de la mesa, directamente debajo de las áreas de lectura de las cartas tanto del tramposo como de la víctima prevista. Aunque la información de la carta y su palo no suele estar codificada en las propias cartas, los chips RFID informan un 'UID' (identificador único) codificado de forma rígida cuando se escanean. El tramposo pela sus cartas y señala su carta y su palo al cómplice que también recibe el UID de las cartas de los lectores ocultos. El cómplice ahora puede asignar los UID a la carta y al palo, y con suficientes cartas escaneadas podrá indicarle al tramposo qué cartas tiene la víctima.

Afortunadamente, este método es fácil de detectar. Una revisión física rápida debajo de la mesa al comienzo del juego elimina esta vulnerabilidad potencial. Las versiones futuras de PokerGFX funcionarán también con cartas criptográficas que presentarán un UID aleatorio cada vez que se escaneen, lo que hará que este ataque quede obsoleto. Sin embargo, es probable que siga siendo una vulnerabilidad en los sistemas personalizados que utilizan actualmente algunas de las marcas de poker más importantes hasta que aborden el tema (lo sabemos porque usan las mismas barajas de cartas que todos los demás).

Conectar la mesa al back-end a través de una ‘hard line’ no es garantía de nada.

Estas conexiones por cable generalmente usan USB, Ethernet o algún otro estándar conocido que es fácil de interceptar con herramientas comúnmente disponibles. El lector de RFID PokerGFX que se encuentra en nuestras mesas utiliza encriptación de grado bancario para proteger los datos de las cartas a medida que se transmiten a los sistemas de back-end. Intentar comprometer esta transmisión sería la forma más difícil en que alguien podría intentar atacar el sistema. Los lectores RFID que no están protegidos de esta manera se han utilizado en flujos de WSOP anteriores y, sin duda, en muchos otros. Para ser justos, en ese momento probablemente no era una vulnerabilidad real, pero el panorama ha cambiado mucho en los últimos años y es de esperar que hayan abordado esto desde entonces.

Asegurar los sistemas back-end es sin duda el desafío más complejo. Por lo general, la parte más vulnerable de la producción es el punto en el que los datos RFID se convierten en los gráficos que se ve en la transmisión. El concepto de seguridad clave hoy en día es el aislamiento. Aísle los sistemas técnicos del mundo exterior, lo que significa que no hay red ni acceso físico. Minimice, aísle y examine minuciosamente al equipo de producción que necesita acceder a los gráficos en tiempo real y garantice que el entorno de producción sea seguro. La mayoría del equipo de producción no necesita ver las cartas ocultas en tiempo real; hay muchas producciones muy exitosas donde nadie llega a verlas, nunca.

Hay una multitud de enfoques para esto dependiendo de factores como la naturaleza de la producción (¿está en un casino, un estudio de televisión o un circuito donde constantemente se monta y desmonta en diferentes lugares?), la jurisdicción reguladora local, el nivel de conocimiento técnico del equipo de producción, las limitaciones y capacidades del sistema de transmisión y, por supuesto, el presupuesto.

La idea de que la seguridad de un stream se basa en gran medida en este concepto de aislamiento es un problema ¿Cómo puede un jugador estar seguro de que las medidas vigentes son efectivas? El lugar en sí puede proporcionar algo de comodidad; si está sentado en un casino en una jurisdicción fuertemente regulada como Nevada, probablemente esté bien, pero no puede estar seguro. Esto es aún más crítico ahora que se transmiten juegos que regularmente involucran millones de dólares en la mesa. Un jugador confía en una cadena invisible de confianza que se compone de un montón de hardware, software y personas.

Trustless Security

Aquí está la solución. Las partidas de poker se retransmiten con un delay de seguridad de entre 15 minutos y algunas horas, y la próxima actualización importante de PokerGFX aprovechará este hecho para presentar un nuevo concepto que llamo Trustless Security. En lugar de convertir los datos RFID en gráficos en tiempo real, la conversión no tendrá lugar hasta después del retraso de seguridad del juego, justo antes de que la audiencia lo vea.

Debido a que los gráficos se generan retrospectivamente, no solo no estarán disponibles para el equipo de producción, los jugadores no necesitarán escanear sus cartas en los lectores RFID hasta el final de la mano, pero las cartas seguirán apareciendo en los gráficos desde el comienzo de la mano para los espectadores en casa. Por lo tanto, los jugadores podrán estar 100% seguros de que una brecha de seguridad será efectivamente imposible, ya que el sistema ni siquiera sabe cuáles son las cartas hasta que termina la mano. La seguridad del back-end se vuelve casi irrelevante porque simplemente no hay información que se vea comprometida hasta que esté desactualizada, protegiendo tanto al reproductor como a la casa de transmisión.

Algunas producciones tendrán razones legítimas para no ofrecer Trustless Security porque podría ser incompatible con su flujo de trabajo existente; sin embargo, estas tienden a ser las producciones de gama alta que pueden asegurar mejor a sus jugadores que se han implementado las medidas apropiadas. Sin embargo, en última instancia, la belleza de Trustless Security es que vuelve a poner el control de la privacidad de la información de las cartas oculta en manos del jugador en lugar de tener que aceptar las garantías de los organizadores del stream, un cambio de paradigma que se debería haber hecho hace mucho tiempo.

COMENTARIOS

Todavía no se ha realizado ningún comentario en esta noticia.