EDICIóN GENERAL
232 meneos
3348 clics
Un error de Blizzard podría hacer tambalear la seguridad de todos sus videojuegos

Un error de Blizzard podría hacer tambalear la seguridad de todos sus videojuegos

Uno de sus miembros, Tavis Ormandy, ha alertado en Twitter que el fallo afecta a "todos los juegos de Blizzard". Según él, en diciembre avisaron a la compañía y se supone que en su última actualización habían arreglado el problema, pero Google asegura que no ha sido así. El error, según los analistas, permite burlar los protocolos de seguridad con un DNS Rebinding para que el virus pueda infiltrarse en los ordenadores de los usuarios y pueda ejecutar o instalar software malicioso.

| etiquetas: blizzard , seguridad , vulnerabilidad
Igual me equivoco, pero ¿no es el mismo truco que se emplea para jugar en servidores no oficiales?
#1 No. El "truco" para servidores no oficiales es (o era) cambiar la dirección del servidor al que te conectas.
Esto se basa en que te puedes hacer pasar por Blizzard e instalar cosas en la máquina.
#21 No se cambia la dirección del servidor. Es un truco estándar para esta clase de juegos, como el WoW o el L2. Lo que se hace es engañar al juego o al sistema para que se asigne la dirección que busca (la del servidor oficial) a una IP distinta, la del servidor pirata. La solución típica era modificar el archivo hosts de Windows. En los cibers solíamos tunear el DNS local para hacer esto automáticamente. En algunos juegos (creo que el WoW por ejemplo) había binarios parcheados e incluso mods de servidor con las direcciones alteradas. He llegado a ver a algún idiota con 4 o 5 instalaciones distintas de WoW, ocupando gigas y gigas, sólo para poder jugar en servidores distintos sin tener que modificar lanzadores. :palm:
#67 Sí, cambias la dirección del "login" por así decirlo. Luego puede haber varios servidores
Pues, el dia que se enteren que las contraseñas no son sensibles al contexto se cagan.
#2 ¿qué contexto?
#7 Es curioso, has aumentado la frase pero sigues sin explicar de qué habláis xD

Me uno a #6, ¿qué contexto?
#16

> ¿qué contexto?

La verdad es que no tengo ni idea :roll: solo corregía lo que suponía que estaba mal traducido.

Conozco poco de ese mundillo gamer, y en mi ignorancia imaginaba que lo del "context-sensitive" sería alguna cosa de esos juegos.
Qué fallo :-D
#56 jajajaja, veo que estamos igual entonces xD

Es que me ha recordado mucho al chiste éste (sin ofender :troll:):

Un hombre está volando en un globo aerostático y se da cuenta de que se encuentra perdido. Mientras hace algunas maniobras ve a un tipo caminando por el campo.
El hombre hace descender el globo algunos metros y grita:
- Perdone, ¿me puede decir donde estoy?
A lo que el hombre que está debajo le responde:
- Usted está en un globo aerostático, suspendido a unos 10 metros del suelo.
- Usted es informático ¿verdad? - dice el del globo.
- Así es - dice el de abajo - ¿Cómo se ha dado cuenta?
- Bueno, -dice el del globo - Todo lo que usted me ha dicho es técnicamente correcto, pero no resulta de utilidad para nadie.
#57 - Vaya, pues usted debe ser un usuario, porque tiene un problema y no sabe resolverlo. Pero ahora mágicamente la culpa es mía :-D
#2 "las contraseñas no son sensibles al contexto"

Esa traducción del "context-sensitive" inglés se puede mejorar un poco.

Pues, el dia que se enteren de que las contraseñas no dependen / son independientes del contexto se cagan.
#2 #7 ¿No habréis querido decir case-sensitive?

De lo contrario se agradecería una explicación.
#27 Debe ser una mala traducción de que las contraseñas son gramáticas libres de contexto.
#2 ¿Te refieres que no se pueden usar variables?
#25 Debe ser una mala traducción de que las contraseñas son gramáticas libres de contexto.
Yo solo lo dejo,que el del tweet que sale en la noticia se llama @taviso solo por eso,hay meneo.
#3 Pues el que tavisa no es traidor.
#3 Taviso que es un tipo al que deberías seguir en Twitter si quieres enterarte de fallos de seguridad y demás. El tio es el puto amo y mejor persona.
¿Podría o puede? Los condicionales en periodismo son de una credibilidad pasmosa.
Hace tiempo que me quité de Bli$$ard :__)
#9 enhorabuena
#9 Ya nos dirás cómo lo hiciste. Yo soy bastante perrilla de Blizzard, sobre todo del HS, pero por suerte al WOW nunca le llegué a pillar el punto.
#14 Yo del HS me cansé muy rápido por la sensación de recompensa inexistente.
#17 El HS es un juego pensado a largo plazo. La media de edad de los jugadores suele ser más alta precisamente porque no ofrece esa sensación de satisfacción inmediata que ofrecen muchos otros juegos. Hasta que no llevas un tiempo jugando, no lo empiezas a disfrutar plenamente. Pero cuando llega ese punto, lo disfrutas de verdad.
#14 #17 #19 ¿Hablais del HearthStone o del Heroes of the Storm?
#30 El de cartas.
#32 Es que son las mismas iniciales y me confunde xD Sinceramente, a mi no me van ese tipo de juegos pero a mi novio le encantan y según él, hay juegos mejores y no son tan pay to win.
#33 HS no es tan pay to win como pueden serlo otros. En ese sentido, Blizzard creo que lo ha hecho bastante bien: te ofrecemos el juego gratis, y es relativamente sencillo conseguir un conjunto de cartas que te permita jugar a nivel competitivo sin tener que soltar ni un duro, pero eso sí, vas a tener que echarle bastantes horas. Si no quieres echarle horas y eres de los que necesita tener todas las cartas (aunque aprox. el 70% no se ven en partidas competitivas) entonces, te toca pagar sí o sí.
#35 Ni idea, jamás he sido buena estratega por lo que no juego a estas cosas, pero ya le comentaré a mi novio que lo ha juzgado mal y que le de otro intento :-)
#37 Es un juego complejo. Hay que tener en cuenta que está diseñado para que nadie gane todas las partidas siempre. Un jugador con una tasa media de victorias de un 55% ya es un muy buen jugador. Basta con irse a ver a cualquier streamer profesional (como por ej. Kolento) y verás que pierde aproximadamente algo menos de la mitad de las partidas. Y hablamos de uno de los mejores jugadores del mundo que, por supuesto, tiene todas las cartas. Los que simplemente somos un poco buenillos (top 5% de jugadores en mi caso) nos movemos por el 51~52% de victorias.
#33 No usan las mismas iniciales.
HS: HearthStone
HotS: Heroes of the Storm
#45 Anda! Pues no lo sabía, siempre hemos hablado del heroes, que es al que jugamos en cuadrilla como HS porque ignoramos los artículos y preposiciones a la hora de hacer acrónimos. Ya puede usted perdonar nuestra ignorancia :-)
#50 No se suelen obviar, por lo menos en los acrónimos de videojuegos: lol (league of legends), wow (world of warcraft), wot (world of tanks), etc...
#45 Las mismas iniciales las tienen:
HotS: Heroes of the Storm
HotS: Hearth of the Swarm (primera expansion de Starcraft II).
#66 Estábamos hablando del HearthStone y del Heroes of the Storm, en ningún momento habíamos nombrado la primera expansión del Starcraft II.
#30 HS HearthStone. El Heroes es HotS.
#58 Ya me lo habían aclarado, gracias :-)
#17 ¡¿Pe-pero y el dorso mensual de las cartas?!

#30 Hearthstone = HS
Heroes of the Storm = HotS
#19 Dos años jugando, y nada. No es para mi.
#17 ¿Que recompensa esperas? ¿Dinero?
#20 Sensación de recompensa, que no recompensa. Para mo, este juego no tiene nada que me motive a jugar. Hay que meter un rato largo en conseguir los 100 oros diarios para un sobre, del que casi siempre salen cartas mediocres. Ganar una partida no te sabe a nada, porque cada mes es un sinvivir contínuo por escalar puestos en el ranking.
No es como otro juego de: Bueno, eché horas farmeando y ahora por fin tengo mi equipamiento decente, soy mejor jugador y con un grupo organizado puedo derrotar a X boss.
#17 Si quieres sensación de recompensa en HotS, no tienes más que ir a hotslogs.com/Default
Empezarás a subir tus repeticiones como un cabrón y se te pondrán los ojos rojos de las horas que le echarás al juego para ver tu MMR subir.
#55 Hearthstone, no Heroes.
#61 Oh! :-S Error mío.
#14 Cancelando la puta cuenta del wow xD
#18 Las cuentas ya no se cancelan, lo único es que sin pagar solo puedes usar un personaje de nivel 20 como mucho, pero puedes seguir jugando {0x1f608}
#14 Sencillo, se fue a un servidor privado de WoW :troll:
#9 Es verdad, una empresa que cobra por los servicios, que cabrones. xD
#22 Ja ja, el caso es que cobraban mucho y hacían poco. Cada actualización le cambiaban los colorines a las cosas y ¡ale! nueva expansión... unaputamierda.
#24 No estoy de acuerdo, esos argumentos son de niño al que sus padres no le quieren dar 12€ al mes.
Detrás de cada expansión hay mucho curro, puede que no te guste la historia o los gráficos, pero no solo "cambian los colorines".
#29 Que sí, que hay mucho curro, ok, pero con el pastizal que ganaban me parece una desfachatez que año a año los tiers fueran IGUALES con otros colores.
Por no hablar del LAG y lo poco que hacían por poner coto a los chinofarmers... por eso y por muchas más cosas me pareció que ya tuve suficiente y cancelé.
#34 Los tiers son diferentes a cada RAID y solo cambian el color por dificultad. El lag es culpa TUYA ( o de tu IS ), y tema chinofarmers... no se que decirte, es un tema complicado y realmente solo hay que ignorarles.
Dicho de otra manera, dime otro mmorpg que sea mejor en esos aspectos.
#36 El lag es culpa mía porque en wow de pago tengo 400ms pero en juegos free to play tengo 44ms.. claro que sí guapi.

Voy a dejarlo aquí igual que dejé el wow, me traes malos recuerdos. AGUR.
#39 Tu tienes 400, la mayoría no (y me guistaria ver la latencia de ese free2play con el mismo numero de jugadores conectados) y si tienes traumas con el wow seguramente será culpa de la gente con la que estabas no por el servicio en si.
También dejo el tema que veo que te afecta.
#43 Te daré una última contestación por respeto, League of Legends tiene más de 100 millones de usuarios, es decir 10 veces más que el wow, por ponerte un ejemplo cualquiera.
INSISTO lo dejo aquí. Agur.
#36 Te apoyo en todo lo que dices pero ya que preguntas, no se si será mejor pero el GW2 es bastante similar y blizzard le está copiando un montón de cosas para el wow.
#41 Pues podría ser.
#41 Qué cosas está copiando?
#46 Todo el tema de skins por ejemplo, cuando blizzard lo sacó era muy diferente y al poco de salir el GW2 lo pusieron casi que igual, por no hablar de "las bolsas" de mascotas, monturas, juguetes, que las pusieron al poco de salir el GW2 que ya las tenía, les falta el banco de componentes pero en su lugar pusieron las bolsas enormes para componentes, también lo de usar los materiales desde el banco sin tenerlos encima es algo que el GW2 tenía desde el principio y blizzard introdujo…   » ver todo el comentario
#48 #46 Un detalle que se me había olvidado y ya no puedo editar. El GW tenía combates de mascotas pero no se sabía si el 2 lo iba a tener aunque se suponía que si, pues blizzard, supongo que para cubrirse el culo, sacó ésto con la expansion de Draenor que salió más o menos a la vez que el GW2. Eso sí, al final el GW2 no puso los duelos de mascotas como muchos fans suponían.
¿También en Diablo II?
#11 Probablemente el agujero esté en battle.net
Pues nada, un parchecito para Diablo III offline de verdad :roll: .....
Una pregunta...

El otro día me llegó un mail con una clave para cambiar/recuperar la contraseña de mi cuenta de Blizzard, una clave que no he pedido de una cuenta que no utilizo desde unos 10 años o más.

¿Debería preocuparme? ¿Corre peligro algo más a parte de mi mediocre y abandonado personaje en World of Warcraft?
#13 Cuando eso, jamás utilices los link del email, abre una página nueva en el navegador y entra desde ahí con tu contraseña de siempre, ¿Qué todo está bien? El email a la papelera, ¿Que tienes algo mal? Te lo avisarán según logees así que el email a la basura. Espero que te sirva :-)
#28 Gracias!
Hace unos meses me ofrecieron ser director de seguridad en Blizzard, finalmente el puesto se ocupó por otra persona, casualmente este mismo puesto ahora ha vuelto a estar vacante careers.blizzard.com/en-us/openings/o42u4fwo

Está claro que escogieron al mas preparado :-P les ha durado 1 mes y medio.
El área de la seguridad informática en cualquier lado es la piedra en el zapato, el garbanzo en el colchón.. Encontrar un equilibrio entre lo que demanda la seguridad informática y lo que hace que la empresa funcione y sea rentable, es virtualmente imposible - normalmente los problemas empiezan por las cabezas pensantes.
No entiendo el drama. Como mucho el bug te instalará una versión que no toca del juego, que siendo casi todos online los servidores no permiten versiones previas a la actual para la zona.

Porque lo que cree que se puede hacer es eso. Él consigue mediante el dns rebinding enviarle peticiones custom al daemon. En ningún caso dice que pueda instalar lo que quiera ni siquiera que haya conseguido explotarlo, el report está lleno de condicionales. De hecho comenta que para llevarlo a cabo habría que…   » ver todo el comentario
#49 "para llevarlo a cabo habría que modificar dlls e incluso "network devices""

No, léelo otra vez.

El exploit permite a una "web cualquiera" (que cualquiera puede preparar) enviar órdenes al demonio de gestión de instalaciones de Blizzard. La gravedad dependerá de qué tipo de órdenes permite el demonio, cosa que no está explicada en el report, pero para empezar es una puerta de entrada muy bonita para probar desbordamientos de buffer, o sobreescribir algún directorio (ej: ¿el de algún soft antivirus?).

Y el "notas" decidió hacerlo público porque Blizzard pasó de él durante más de 30 días.
#64 Cierto, lo leí mal.

Mientras no le respondan antes de 90 días no debería haberlo hecho "público" de esta manera.

Las instrucciones que soporta indica que son accepts commands to install, uninstall, change settings, update and other maintenance related options.

He visto el ejemplo web y a falta de probarlo en casa parece que sí debería funcionar. Bien visto lo de sobrescribir directorios, aunque entiendo que en archivos de programa y tal no debería poder pues no tendrá…   » ver todo el comentario
comentarios cerrados

menéame