19C3: Riesen-Spaß mit Online-Spielen

Gerade in der Vorweihnachtszeit blühten sie wieder auf: die von Marketingabteilungen großer Firmen ersonnenen Online-Gewinnspiele, die das Image aufmöbeln und Kunden begeistern sollen. Doch auch wenn sich die Designer viel Mühe mit der Grafik machen und schier alles aus Flash und anderen multimedialen Webapplikationen herausholen, vernachlässigen sie gleichzeitig häufig den Sicherheitsbereich. Wie spielerisch veranlagte Hacker auf dem 19. Chaos Communication Congress (19C3) herausfanden, lässt sich selbst bei den Web-Games großer Markenartikler leicht schummeln.

Die Freaks haben die Ergebnisse ihrer Spiele-Analyse in einem auf dem Congress kursierenden und auch heise online vorliegenden Dokument säuberlich und mit Screen-Shots angereichert belegt. Die große Lücke "bei fast allen Spielen" dieser Art im Web besteht demnach darin, dass die Applikationen über "keinerlei Checksummen verfügen und die Ergebnisse dann einfach ungeprüft zum Server senden". Den Experten, die unter dem in unterschiedlichen Formen geschriebenen Pseudonym "Peter Lustig" ans Werk gingen, gelang es dank dieser Unachtsamkeit ihre Highscores ganz nach oben zu setzen.

Nun winken ihnen wertvolle Gewinne. Etwa im "Wunschwald", dem "großen Gewinnspiel" des Mercedes-Benz-Portals, das der Autofabrikant gemeinsam mit T-Online betreibt. In einer winterlichen Umgebung voller Elfen und Feen können die Surfer dort ihren eigenen Weihnachtsbaum großziehen, sich über Autos mit Zukunftstechniken informieren und sich vor allem etwas "wünschen, Wünsche lesen, Wunschpate werden und somit sogar selbst Wünsche erfüllen". Als Wochenpreise regnet es "MD-Player, Handys, iPAQs, Digi- und Video-Cams!" Im Finale wartet ein Mercedes der A-Klasse. Nun eventuell auf einen Hacker, denn der in "Dichtenburg" wohnhafte Herr Lustig schlug sich hervorragend, füllte seine Spielstände gehörig auf und hat laut der aufgezeichneten Glückwunschmeldung eine "Chance auf den Hauptgewinn". Ferner hinterließen die kreativen Freaks den "karitativen" Wunsch mitsamt "Grüßen vom 19C3", "dass jemand diese Applikation sicher programmieren würde, ohne dass sich die Spielewerte ändern lassen".

Noch einfacher gestaltete sich die Einnahme einer Führungsposition beim "Full of Energy Game" des Schoko-Malz-Drinks Ovomaltine auf einem schweizerischen Server. Hier gilt es, Energiepunkte beim Wintersport in einer zackigen Alpenkulisse zu sammeln, um einen Platz "an der Mega-Party 'Slide&Snow&Dance'" im schönen Gstaad zu erringen. Wie die Hacker notieren, reichte es dabei aus, "lediglich ein wenig zu manipulieren". Danach hatten sie "mal so locker mehr als alle Sieger zusammen". Wie das passende Bildschirmfoto zeigt, führt "peterlustig" denn auch die Wochenrangliste haushoch an. Am Ende erinnern die Spieletester daran, dass doch schon Gamecracking gezeigt habe, dass es mit der Sicherheit im Spielesektor nicht sonderlich gut stehe. Sie schließen mit der Bitte, "sich ein wenig mehr Gedanken" beim Programmieren der Online-Game-Applikationen zu machen. (Stefan Krempl)/ (cp)