Neues vom Cake Skandal – Gab es Superuser?

cakepokerVor über einer Woche haben wir euch an dieser Stelle ja über die massiven Sicherheitsprobleme im Cake Poker Netzwerk berichtet. Damals hatten unsere Kollegen von Pokertableratings aufgedeckt, dass Cake anstatt der propagierten 256Bit Verschlüsselung nur einen mangelhaften 32Bit Algorithmus verwendete.

Solch ein 32Bit Algorithmus ist mit ein wenig Übung, oder einfach den richtigen Programmen, leicht knackbar. Unseren Kollegen gelang es, in einem W-Lan abgefangene Daten in Echtzeit zu entschlüsseln und dadurch nicht nur die kompletten Login Daten des Cake Accounts, sondern auch die Hole Cards in Echtzeit darzustellen. Nun kann man natürlich anmerken, dass man – um diese Sicherheitslücke auszunutzen – sich erst Zugang zum W-Lan eines Spielers verschaffen muss. Doch denkt man einen – zugegebenermaßen ein wenig paranoiden – Schritt weiter, offenbart sich einem eine noch viel größere Möglichkeit diese Sicherheitslücke zu exploiten.

Denn die Daten können ja nicht nur Clientseitig, also beim User, sonder auch Serverseitig abgefangen werden. Dazu braucht es natürlich innerhalb des Programmiererteams von Cake Poker ein schwarzes Schaf mit genügend krimineller Energie, um diese Sicherheitslücke auszunutzen. Solch ein schwarzes Scharf könnte sich auf diese Weise Superuser Accounts anlegen und gezielt andere Spieler betrügen. Schließlich kann es ja doch ein immenser Vorteil sein, die Holecards der Gegner zu kennen.

An dieser Stelle sei jedoch betont, dass es bis jetzt absolut keine Beweise dafür gibt, dass irgendwer im Cake Netzwerk solch einen Betrug im großen Stil begangen hätte. Doch gewissen Faktoren und Umstände des Falles lassen einen kurz innehalten und werfen gewisse, unangenehme Fragen auf.

Denn ein Manager von Cake Poker namens Lee Jones hat im 2+2 Forum eingeräumt, dass er und andere Offizielle des Unternehmens von den Programmieren über einen längeren Zeitraum hinweg belogen wurden, was den Status der Verschlüsselung des Netzwerks anbelangt. Vier Jahre lang war das Cake Poker Netzwerk durch den praktisch unknackbaren TwoFish Algorithmus geschützt. Vor knapp 18 Monaten entschloss sich jedoch einer der Programmierer dazu, diese Verschlüsselung durch einen um einiges weniger sicheren XOR Algorithmus zu ersetzten. Diese Veränderung behielt der namentlich nicht genannte Mitarbeiter jedoch für sich. Als im Mai der Cereus Skandal die Pokerwelt erschütterte, wollte Jones von seinen Mitarbeitern wissen, ob das Cake Netzwerk ein ähnliches Problem haben könnte, worauf diese ihrem Chef versicherten, dass die Cake Verschlüsselung um einiges sicherer sei. Aus heutiger Sicht eine glatte Lüge.

Nun kann man natürlich fragen, warum in aller Welt eine Programmierer eine sichere Verschlüsselung durch eine unsichere ersetzt. Tat er dies etwa um sich eine Hintertüre einzubauen? Wir und die gesamte Pokerwelt wissen es nicht und können nur spekulieren. Leider wird man ohne tatkräftige Unterstützung von Seiten Cakes auch keine Antwort auf diese Frage bekommen. Denn es ist leider unmöglich, Hand Histories der Seite im großen Stil auszuwerten, da die Software kein Datamining erlaubt. Dafür erlaubt sie es den Spielern ihren Namen zu ändern, etwaige Superuseraccounts hätten also immer wieder neue Nicks verwenden können, um nicht aufzufallen.

Nur Cake selbst könnte herausfinden, ob in ihrem Netzwerk Superuse aktiv waren. Aus naheliegenden Gründen darf man jedoch annehmen, dass sie im Falle der Aufdeckung solcher Machenschaften wenig Interesse daran hätten, ihre Erkenntnisse mit der Öffentlichkeit zu teilen. Zu groß wäre der imagemäßige Supergau. Die Chancen, dass dieser mysteriöse Fall jemals wirklich restlos aufgeklärt werden kann, stehen also mehr als schlecht. Es gibt keiner wirklichen Beweise für Superuser im Cake Netzwerk, aber eben auch keine wirklichen dagegen. Was es gibt es gibt, ist ein Gefühl, dass da irgendwas nicht mit recht Dingen zugehen könnte…

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen, zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich Hochgepokert.com vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.

Einen Kommentar schreiben