Interne Kamera gehackt: Casino-Kartenmischer lässt sich in die Karten schauen
Wer die Karten seiner Mitspieler kennt, kann bei Poker abräumen. Vor allem, wenn er die Karten schon sieht, bevor sie zugeteilt werden.
Ein weit verbreitetes professionelles Gerät zum Mischen von Spielkarten lässt sich in die Karten schauen – buchstäblich. Drei Sicherheitsforschern ist es gelungen, über den USB-Port des Deckmate 2 dessen interne Kamera anzuzapfen. Die Kamera ist eigentlich dazu gedacht, sicherzustellen, dass im Gerät auch alle Karten eines Sets enthalten sind. Doch wer die Bilder sehen kann, weiß auch, in welcher Reihenfolge die Karten ausgegeben werden. Somit kann ein Angreifer sehen, welcher Spieler am Spieltisch welche Karten erhält.
In Spielcasinos ist das sehr viel Geld wert – grundsätzlich bei zahlreichen Kartenspielen, aber insbesondere bei solchen, bei denen die Hand eines Spielers nicht durch geheime Entscheidungen des Spielers verändert wird. Dazu zählen bestimmte Poker-Varianten. Das Mischgerät Deckmate 2 ist von US-Glücksspielbehörden für den Einsatz in Casinos zugelassen und entsprechend weit verbreitet. Hersteller Light & Wonder pries es als nicht hackbar an.
Diese Ansage war für Enrique Nissim, Ethan Shackelford und Joseph Tartaro, Sicherheitsforscher von IOActive, eine Herausforderung. Neue Geräte verkauft oder vermietet Light & Wonder nur an lizenzierte Casinos, doch die drei Männer konnten sich ein Gebrauchtgerät beschaffen. Der Hack war dann erstaunlich einfach, wie sie auf der diesjährigen Security-Konferenz Black Hat in Las Vegas erzählen: Der Deckmate 2 hat einen ungeschützten USB-Port.
Dort steckten sie einen Raspberry-PI-Kleincomputer an. Netterweise hatte der Verkäufer des Geräts ihnen ein Passwort für den Zugriff mitgegeben, weitere konnten sie aus dem im Gerät selbst gespeicherten Code extrahieren, samt einem schwachen Root-Passwort. Da diese Kennwörter nicht leicht zu ändern scheinen, dürften sie für zahlreiche Deckmate 2 identisch sein.
Das Kamerakind sieht alles
Den Dreien war es möglich, die Programmierung der Geräte zu ändern. Dadurch könnten sie wahrscheinlich beeinflussen, wie die Karten gemischt werden. Doch selbst ohne Umprogrammierung konnten die Forscher live auf die interne Kamera des Deckmate 2 zugreifen und somit die Reihenfolge der Karten nach Mischung und vor Ausgabe an die Spieler sehen. Das würde für Betrug schon hinreichen.
Auch wenn der Dealer den Stapel vor Verteilung der Karten schneidet, schützt das oft nicht, weil Dealer bei vielen Spielen auch bestimmte Karten offenlegen. Daraus lässt sich dann leicht rückrechnen, welcher Spieler welche Hand hat. Und der am Tisch sitzende Betrüger kennt ja jedenfalls seine eigene Hand und seine Position am Tisch.
Hash-Prüfung läuft ins Leere
Die Zertifizierung durch die US-Glücksspielbehörden beruht unter anderem darauf, dass der Deckmate 2 beim Einschalten überprüft, ob die installierte Software die richtige ist. Das erfolgt über den Abgleich eines Hashwertes. Allerdings ist der Vergleichswert ebenfalls im Gerät gespeichert und lässt sich ändern. Die Überprüfung gerät also zur Farce. Signierte Zertifikate gibt es beim Deckmate 2 nicht, sie sind für Kartenmischgeräte bislang auch nicht vorgeschrieben.
Die Apparate stehen in der Regel unter den Spieltischen, der USB-Port sei nicht weit von den Knien der Spieler entfernt. An einem stark besuchten Tisch, oder vielleicht noch besser einem gerade nicht genutzten Tisch, ließe sich leicht etwas an den USB-Port stecken. Ein professioneller Angreifer würde dafür natürlich ein noch kleineres Gerät als einen Raspberry Pi nutzen.
Als weiteres mögliches Einfallstor haben die Forscher die Mobilfunkmodems ausgemacht, die in Light & Wonder bei der Vermietung von Deckmate-Mischern einbaut. Mittels IMSI-Catcher könnte ein Angreifer das Mobilfunkmodem dazu bringen, sich anstatt mit dem echten Mobilfunknetz mit seinem Gerät zu verbinden. Dann müsste er nichts an den USB-Port stecken, sondern könnte drahtlos die Software ändern oder die Kamerabilder abgreifen.
Gegenüber Wired hat der Hersteller behauptet, dass die Forscher keine Schwachstelle gefunden hätten. Deren Untersuchung in einem Labor sei nicht mit der Situation in überwachten Casinos vergleichbar. Überhaupt sei noch kein einziger Light&Wonder-Kartenmischer jemals in einem Casino kompromittiert worden. Woher die Firma das wissen möchte, bleibt ihr Geheimnis.
Zukünftige Modelle möchte Light & Wonder besser absichern. In der Zwischenzeit hätten wir gerne die Deckmate 2-Passwörter. Leider verraten uns die Experten von IOActive nicht, wie sie lauten. Sapperlot.
Update: 11:57 Uhr: Gerätename korrigiert
(ds)