Jump to content
This Topic

Recommended Posts

Il y a 20 heures, Tostaky06 a écrit :

ça ne serait pas efficace du tout ...

Pourtant c'est ce que ils font.

Pour avoir traîné sur des forums de bot par curiosité les mecs qui ne faisaient pas ça se faisait toujours griller par PS.

 

Et la reconnaissance d image peut se faire en moins de  1 milliseconde si tu connais à la avance les 52 images des 52 images.

Ça revient juste à detecter est ce que j ai tel ou tel pixel de l image sans avoir besoin de tous les faire.

Et les sites ne changent pas les images de cartes tout les jours ...

Edited by Katya_18

Share this post


Link to post
Share on other sites
Il y a 20 heures, taamer a écrit :

Une IA sait calculer l'équilibre d'un arbre à 10¹⁸ branches/feuilles, c'est la résolution du Texas à mises fixes (Limit). Ca prend un peu moins de 70 jours à 200 ordis pour résoudre le bouzin.

L'arbre du Texas à mises no-limit, c'est 10¹⁶⁵ branches/feuilles, donc le GTO pour tous, ce n'est pas demain la veille.

C'est vrai sauf qu'entre résoudre un jeu ou le rendre imbattable par un humain il y a une énorme différence .

Ya qu'a voir les échecs ...

Moi je crois ce que je vois, et ce qu'on a vu c'est des bots en 50 et 100NL SH sur PS.fr qui runnaient à 5PTBB

 

 

Share this post


Link to post
Share on other sites
Il y a 22 heures, vin120 a écrit :

c'est bien le client qui envoie l'action au serveur, donc je peux envoyer un JSON d'action raise au serveur par programme sans utiliser l'interface du client winamax si le message est décrypté/crypté au bon format et envoyé vers le serveur.

heureusement qu'il y a du SSL mais vu que sur ce forum on a un message décrypté ...

Pour ta culture et sans être trop technique : http://alexandre.clain.info/pourquoi-faut-il-abandonner-json/

 

nan, mais tu ne comprends pas: que tu utilises le client ou n'importe quoi d'autre pour communiquer avec le serveur, c'est le serveur qui controle les données.

donc dans l'exemple que tu donnais, tu ne peux pas fold au flop et miser ou call  a la river, simplement parce que le serveur aura controlé que tu avais foldé au flop, et rejetera ton ordre river, meme si il est valide.

Share this post


Link to post
Share on other sites

Bonjour CHaBou,

Merci pour ce passage de com', mais je n'ai jamais prétendu avoir "casser" votre chiffrement. A la base, je répondais simplement à une personne prétendant que c'était hautement improbable que je puisse déchiffrer votre protocole. Bah si, c'est hautement probable de déchiffrer cela, et c'est tout à fait à la portée d'un ingénieur, comme tu l'as souligné. Je suppose donc que ton message s'adresse à ceux qui pensaient que tout était "cassé" et non à moi. :)

En revanche, j'aurais bien aimé que vous répondiez, de manière officielle, à ce passage :


Je pense que tu surestimes l'investissement de Winamax dans la lutte anti-robots. Je vais faire concis : le client Winamax n'est même pas capable, à l'heure actuelle, de détecter le moindre programme interdit qui tourne sur ton ordinateur. Que ça soit un programme d'aide à la décision, un programme pour s'échanger les cartes (collusion), un robot jouant à ta place, etc ...

Là par contre, silence radio. Aucune communication à ce sujet. Pourtant ça a déjà été évoqué, et c'est bien plus important que votre chiffrement TLS, qui est d'ailleurs obligatoire (ce n'est pas de la sécurité supplémentaire pour les joueurs, c'est tout simplement le minimum pour avoir votre licence de jeu...). Allez-vous encore disparaître pendant des semaines ou allez vous enfin communiquer à ce sujet ?

Concernant la longueur de clef "respectant les standards les plus strictes", c'est encore de la com', ça ne veut rien dire. Par exemple, l'algorithme AES, le plus standard en chiffrement symétrique, utilisé avec une clef de 256 bits, est cryptographiquement plus faible qu'avec une clef de 128 bits. Des attaques cryptos réduisant l'espace de recherche à 2^119 existent pour la version 256 bits, alors qu'on reste en 2^128 pour l'AES 128 bits.

De plus, pour information, on écrit "cipher" et non "cypher". Ca l'a fou un peu mal pour un ingénieur sécu. ;)

Edited by CoderMaster

Share this post


Link to post
Share on other sites
Il y a 4 heures, Katya_18 a écrit :

C'est vrai sauf qu'entre résoudre un jeu ou le rendre imbattable par un humain il y a une énorme différence .

Ya qu'a voir les échecs ...

Moi je crois ce que je vois, et ce qu'on a vu c'est des bots en 50 et 100NL SH sur PS.fr qui runnaient à 5PTBB

Je suis bien placé pour savoir que si les ordinateurs gagnent aux échecs, c'est parce que les humains ont travaillé pendant vingt-cinq ans pour améliorer leur fonction d'évaluation d'une position - or cette fonction d'évaluation n'existe pas au poker. Aux échecs, on cherchait un chemin dans un arbre vers la victoire; au poker on doit donner des poids à des branches pour que l'arbre complet, sommé sur toutes ses feuilles, nous donne le plus d'EV. Ca n'a rien à voir.

Si vous avez vu des bots en 50 et 100NL SH sur PS.fr qui gagnaient 5PTBB, pourquoi n'avez-vous pas copié leur jeu en loggant et en observant leurs HH?

Share this post


Link to post
Share on other sites
Il y a 12 heures, Winamax - CHaBou a écrit :

Bonjour CodeMaster,

Nous considérons notre protocole de communication comme publique. Il n'existe AUCUN moyen de le rendre complètement secret puisque un des interlocuteurs, le client, est publique lui aussi. Il est possible, au mieux, de le rendre difficilement compréhensible en utilisant une communication utilisant du binaire plutôt que du JSON comme on le fait. Mais, au final, ça ne changerait rien : ça ne ferait que repousser le problème.

Etant ingénieur sécurité, tu sais très bien que si on faisait reposer notre sécurité sur le secret de notre protocole de communication, nous serions des inconscients (et nous n'aurions pas eu notre homologation auprès de l'ARJEL). Nos serveurs de jeux ne se fient JAMAIS aux clients car ils peuvent être malveillants ou tout simplement buggués. Evidemment, toutes les actions des clients sont vérifiées comme légitimes et respectant les règles du jeu avant d'être effectuées. Tu ne pourras jamais overbet en pot-limit même si tu trafiques le message du client.

Attention, tout mon parapgraphe précédent parle de notre PROTOCOLE de communication et non les communications de nos utilisateurs. Celles-ci sont protégées par du SSL/TLS en respectant les standards les plus strictes en terme de Cypher et de longueur de clé. Ces standards nous garantissent que, d'une part, personne ne pourra intercepter la communication et, d'autre part, forger un message à la place d'un autre joueur.

J'aimerais donc que tu détailles les procédés que tu as utilisé pour intercepter le protocole. Tu n'as pas déchiffré notre communication au sens crypto, tu y as simplement eu accès. Et c'est très simple : soit tu places un hook au bon endroit dans la VM Air (genre le write/read dans la socket TLS), soit tu fais un man-in-the-middle avec un proxy en prenant soin d'ajouter son certificat comme certificat légitime dans ton OS. Si tu es un ingénieur confirmé, tu as peut-être même scanné la mémoire. Dans tous les cas, tu n'as pas cassé notre chiffrement. Si tel était le cas, tu serais millionnaire et l'Internet serait mort. Tu es actuellement dans l'incapacité de lire les communications des autres joueurs même si tu interceptais leur flux TCP.

Alors non, nous ne sommes pas ici dans un forum d'informatique mais les doutes que tu laisses planer sur les moyens utilisés font imaginer n'importe quoi aux utilisateurs. Il n'y a qu'à voir les différentes réactions légitimes à ton message pour te rendre compte que tu dois apporter des précisions quant à la portée de ta "découverte".

La seule information que tu apportes est qu'un bot pourrait directement utiliser notre protocole de communication. Mais, entre nous, c'est une très mauvaise idée :P

j'ai tout lu et je n'ai rien compris, me voilà rassuré

Share this post


Link to post
Share on other sites
Il y a 7 heures, CoderMaster a écrit :

Bonjour CHaBou,

Merci pour ce passage de com', mais je n'ai jamais prétendu avoir "casser" votre chiffrement. A la base, je répondais simplement à une personne prétendant que c'était hautement improbable que je puisse déchiffrer votre protocole. Bah si, c'est hautement probable de déchiffrer cela, et c'est tout à fait à la portée d'un ingénieur, comme tu l'as souligné. Je suppose donc que ton message s'adresse à ceux qui pensaient que tout était "cassé" et non à moi. :)

En revanche, j'aurais bien aimé que vous répondiez, de manière officielle, à ce passage :


Je pense que tu surestimes l'investissement de Winamax dans la lutte anti-robots. Je vais faire concis : le client Winamax n'est même pas capable, à l'heure actuelle, de détecter le moindre programme interdit qui tourne sur ton ordinateur. Que ça soit un programme d'aide à la décision, un programme pour s'échanger les cartes (collusion), un robot jouant à ta place, etc ...

Là par contre, silence radio. Aucune communication à ce sujet. Pourtant ça a déjà été évoqué, et c'est bien plus important que votre chiffrement TLS, qui est d'ailleurs obligatoire (ce n'est pas de la sécurité supplémentaire pour les joueurs, c'est tout simplement le minimum pour avoir votre licence de jeu...). Allez-vous encore disparaître pendant des semaines ou allez vous enfin communiquer à ce sujet ?

Concernant la longueur de clef "respectant les standards les plus strictes", c'est encore de la com', ça ne veut rien dire. Par exemple, l'algorithme AES, le plus standard en chiffrement symétrique, utilisé avec une clef de 256 bits, est cryptographiquement plus faible qu'avec une clef de 128 bits. Des attaques cryptos réduisant l'espace de recherche à 2^119 existent pour la version 256 bits, alors qu'on reste en 2^128 pour l'AES 128 bits.

De plus, pour information, on écrit "cipher" et non "cypher". Ca l'a fou un peu mal pour un ingénieur sécu. ;)

Tu es tellement pédant que tu en perds ta crédibilité. Tu t'entêtes à vouloir te mettre au dessus de tout le monde et à basher Winamax comme si tu pouvais leur apprendre la vie alors qu'en fait tu ne brasse que du vent. 

Share this post


Link to post
Share on other sites
Il y a 8 heures, taamer a écrit :

Je suis bien placé pour savoir que si les ordinateurs gagnent aux échecs, c'est parce que les humains ont travaillé pendant vingt-cinq ans pour améliorer leur fonction d'évaluation d'une position - or cette fonction d'évaluation n'existe pas au poker. Aux échecs, on cherchait un chemin dans un arbre vers la victoire; au poker on doit donner des poids à des branches pour que l'arbre complet, sommé sur toutes ses feuilles, nous donne le plus d'EV. Ca n'a rien à voir.

Si vous avez vu des bots en 50 et 100NL SH sur PS.fr qui gagnaient 5PTBB, pourquoi n'avez-vous pas copié leur jeu en loggant et en observant leurs HH?

Pour 2 raisons, on a pas toujours leurs carte privative et  ils utilisent une stratégie mixe. 

Pour la comparaison avec les échecs peu importe leur méthode de résolution. 

Au poker pour déclarer avoir résolu le jeux, ils faut être chaque actions soit calculées à plusieurs chiffres après la virgule .

Par exemple si le GTO est de 3b KJo 43.5789876544% du temps

on considère le jeu résolu si on le fait 43.57% du temps.

Par contre pour battre le humain peut être que 30% peuvent suffire.

Tu vois la différence ? 

En terme de convergence et de précision dans le arbre de jeu ils y a plusieurs ordre de grandeur de différences.

Share this post


Link to post
Share on other sites
Il y a 9 heures, CoderMaster a écrit :

 

 le client Winamax n'est même pas capable, à l'heure actuelle, de détecter le moindre programme interdit qui tourne sur ton ordinateur. Que ça soit un programme d'aide à la décision, un programme pour s'échanger les cartes (collusion), un robot jouant à ta place, etc ...

Là par contre, silence radio. Aucune communication à ce sujet. Pourtant ça a déjà été évoqué,

en même temps, la base d'une politique secu, c'est de ne pas dire ce qu'on fait.

et ça peut se comprendre: si ils indiquent quels programmes sont detectés, et ceux qui ne le sont pas !...

Share this post


Link to post
Share on other sites
Il y a 2 heures, Katya_18 a écrit :

Pour 2 raisons, on a pas toujours leurs carte privative et  ils utilisent une stratégie mixe. 

Pour la comparaison avec les échecs peu importe leur méthode de résolution. 

Au poker pour déclarer avoir résolu le jeux, ils faut être chaque actions soit calculées à plusieurs chiffres après la virgule .

Par exemple si le GTO est de 3b KJo 43.5789876544% du temps

on considère le jeu résolu si on le fait 43.57% du temps.

Par contre pour battre le humain peut être que 30% peuvent suffire.

Tu vois la différence ? 

En terme de convergence et de précision dans le arbre de jeu ils y a plusieurs ordre de grandeur de différences.

Je comprends la différence, mais je pense que tu te trompes de combat. Savoir qu'il faut 3b KJo 43% ou 30% ne pèse pas très lourd dans la balance. Ce qui pèse lourd dans l'EV de l'arbre, c'est de faire le tri entre les stratégies de mise - selon la texture du board, à quelle fréquence miser, combien miser.

Exemple simple : on sait calculer (selon Nash) la meilleure stratégie push-or-fold 10bb deep en heads-up. Mais cette stratégie est moins bonne (=elle a une EV globale inférieure) que beaucoup de stratégies limp-push-or-fold (dont l'une d'entre elles, mais on ne sait pas exactement laquelle, sera "la meilleure stratégie limp-push-or-fold"). A partir de 12bb, on a le même effet et il faut cette fois considérer que la meilleure stratégie est quelque part parmi les stratégies limp-raise-push-or-fold. La difficulté de la résolution vient du fait que dès qu'on peut voir un flop, le nombre de stratégies postflop pour les deux joueurs, même avec un très petit SPR, explose.

Et je suis d'accord avec toi, avoir l'idée qu'"il faut 3bet KJo quelque part entre 30% et 50% du temps dans telle situation" suffit largement en terme de précision avec nos connaissances actuelles.

 

il y a 50 minutes, Loorent a écrit :

en même temps, la base d'une politique secu, c'est de ne pas dire ce qu'on fait.

et ça peut se comprendre: si ils indiquent quels programmes sont detectés, et ceux qui ne le sont pas !...

On peut comparer ce que fait Wina à ce que fait PS : PS indique clairement la liste des logiciels d'utilisation interdite en même temps que leur logiciel; PS teste les vérifications; PS gère côté support l'envoi d'un avertissement avant la fermeture d'un compte pour non-respect de leur charte. La liste des logiciels évolue dans le temps.

Share this post


Link to post
Share on other sites
Il y a 4 heures, Baxtou a écrit :

Tu es tellement pédant que tu en perds ta crédibilité. Tu t'entêtes à vouloir te mettre au dessus de tout le monde et à basher Winamax comme si tu pouvais leur apprendre la vie alors qu'en fait tu ne brasse que du vent. 

Je te signale qu'à la base c'est toi qui brasse du vent. Tu t'agites dans tous le sens, en prétendant que c'était fortement improbable que je puisse déchiffrer quoique ce soit. Je te prouve immédiatement le contraire, et Winamax confirme dans la foulée.

En réalité, j'ai comme l'impression que tu me trouves pédant, parce qu'au fond tu ne comprends pas grand chose à ce qu'on raconte depuis le début, et ça t'agace de plus en plus ...

 

Il y a 2 heures, Loorent a écrit :

en même temps, la base d'une politique secu, c'est de ne pas dire ce qu'on fait.

et ça peut se comprendre: si ils indiquent quels programmes sont detectés, et ceux qui ne le sont pas !...

C'est vrai, ça peut être une bonne politique pour attraper les "fraudeurs" sans qu'ils ne sachent comment, mais le problème est sensiblement différent dans notre cas. En fait le problème n'est pas de savoir quelles programmes peuvent être détectés par Winamax, et donc d'en connaitre la liste, il est plus simple : il n'existe même pas un algorithme qui permet de détecter le moindre programme s'exécutant sur votre machine.

Winamax ne cache donc pas sa liste (vide), ils n'en ont tout simplement pas;)

Edited by CoderMaster

Share this post


Link to post
Share on other sites
il y a 36 minutes, CoderMaster a écrit :

En réalité, j'ai comme l'impression que tu me trouves pédant, parce qu'au fond tu ne comprends pas grand chose à ce qu'on raconte depuis le début, et ça t'agace de plus en plus ...

Si tu savais... :rofl:

 

J'ai rebondit sur ce sujet parce que tu disais "quand on analyse les informations, après déchiffrement, qui sont transmises à leur serveur" et qu'il me semblait vraiment improbable que tu aies reussi à déchiffrer cette communication. 20 messages après, on se rend compte que le flux en question transite en clair par conséquent tu voulais te faire mousser, c'est un truc que j'ai remarquer chez les ingénieurs en sécurité informatiques, ça se la raconte beaucoup, c'est super pedant, et ça se moque de madame Michu parce qu'elle ne sait pas ce que c'est la différence entre TCP et UDP et crois moi, des mecs comme ça , j'en ai vu un paquet (oui parce que moi aussi j'ai un boulot qui au passage est sans doute dix fois plus spécifique que le tiens, qu'on est 30 à faire en France et que je te dose techniquement dans une grande partie de ce en quoi tu penses être un crac). 

 

Redescend sur sur terre mec, t'es mieux que personne ici. 

Share this post


Link to post
Share on other sites
il y a 2 minutes, Baxtou a écrit :

Si tu savais... :rofl:

 

(oui parce que moi aussi j'ai un boulot qui au passage est sans doute dix fois plus spécifique que le tiens, qu'on est 30 à faire en France et que je te dose techniquement dans une grande partie de ce en quoi tu penses être un crac)

 

 

Qui a la plus grosse ?? :ph34r:

Edited by crazypig

Share this post


Link to post
Share on other sites
Il y a 4 heures, Baxtou a écrit :

[...] 20 messages après, on se rend compte que le flux en question transite en clair par conséquent tu voulais te faire mousser [...]

En fait tu confirmes que tu n'as toujours rien compris, et en plus tu signes des deux mains, ça dépasse l'entendement là. Un flux TLS n'est pas en clair, mais alors vraiment pas du tout. Bref, tu me fais perdre mon temps, ainsi que celui de Winamax.

Share this post


Link to post
Share on other sites

C est quoi le post ?  De savoir si il y a des bots qui bosses facile sur wina ou un concours de bite ? 

Codermaster ça sert a quoi ce que tu as fait ?  Rien si j ai bien compris.

Baxtou pas mieux je bash car j ai aussi un gros kiki.

Sans dec les gas si vous preniez vos savoir faire afin de démolir les bots et prouver que l'on est mal protégés contre eux ....on gagnerai du temps...

Share this post


Link to post
Share on other sites

C'est pas aussi funky que dans le zoo c'est certain, mais ça a quand même de la gueule ici aussi les battle d'ego.

Edited by Dawkse

Share this post


Link to post
Share on other sites
il y a 21 minutes, grandced a écrit :

J utilise cet appareil , je parviens a voir le turn avant le flop mais seulement une de mes cartes privatives en plo !!!! help please 

Canal007.jpg

c'est un bug connu, les bots l'ont contourné, pour toi, il faut appuyer 3 fois sur la touche 1, 2 sur la touche 3 et 1 fois sur la touche 5, puis valider par le bouton jaune, tu pourras voir tes cartes et celles des autres :rofl:

Share this post


Link to post
Share on other sites

D'un autre côté, je serai un gars qui utiliserait un robot pour jouer. Pour mettre à mal le système de vérification de Winamax contre moi. Je jouerai à la fois avec mon robot et à la fois en vrai, voir encore pire, je pourrai même utiliser différents types de robot pour encore plus brouiller les pistes (afin d'en baisser les statistiques d'analyse). On est dans une boucle sans fin, ce qui complique grandement pour trouver des preuves qu'un joueur en utilise.

Ceci est le problème en lui même, cela n'apporte pas de solution pour résoudre celui-ci.

Il est facile de faire un liste de joueurs potentiellement des robots, mais je plains Wina sur le sujet, car s'ils se plantent sur une mauvaise analyse et qu'ils bannent un joueur réel à 100%. Cela fera l'effet d'un fiasco publicitaire. Donc ils sont obligés d'y aller avec des pincettes.

 

Au delà du problème, hors expresso où la population de joueurs est déjà présente. Si on arrive dans le meilleur des mondes à supprimer les robots présents sur le Go Fast par exemple, j'ai peur que la solution ne fasse plus de mal que de bien, dans le sens où on va se retrouver avec pas assez de joueur pour le faire tourner donc abandon des vrais joueurs, enfin l'effet boule de neige habituel... Déjà que le nombre de joueurs décroit de manière régulière, on est mal barré...

Vivement que nos pompeurs de fric que sont les états s'organisent pour ouvrir les frontières de manière mondiale (c'est beau de rêver... mais ils ne nous restent que ça...). Mais ceci est un autre débat...

Share this post


Link to post
Share on other sites
Le 10/10/2016 à 18:22, Winamax - CHaBou a écrit :

Attention, tout mon parapgraphe précédent parle de notre PROTOCOLE de communication et non les communications de nos utilisateurs. Celles-ci sont protégées par du SSL/TLS en respectant les standards les plus strictes en terme de Cypher et de longueur de clé. Ces standards nous garantissent que, d'une part, personne ne pourra intercepter la communication et, d'autre part, forger un message à la place d'un autre joueur.

 

Citation

 Ce calcul pouvant être fait à l’avance, il suffirait ensuite d’une trentaine de cœurs-années pour casser une clé 1024 bits. Ce qui n'est pas grand-chose.

http://www.01net.com/actualites/comment-la-nsa-peut-dechiffrer-les-communications-sur-internet-1049059.html

 

Vous êtes en 1024 non ? 

Share this post


Link to post
Share on other sites

Il aurait fallu citer dans l'article la partie juste au dessus :

Citation

Un acteur gouvernemental pourrait donc utiliser son influence pour incorporer dans un logiciel largement distribué un nombre premier au rabais sans que personne ne puisse s’en apercevoir.

La nécessité que tu cites, de "seulement" une trentaine de coeurs-années pour casser une clé, part du prédicat qu'un gouvernement a été assez puissant pour imposer son nombre premier. Je peux te rassurer sur le fait que l'ARJEL ne nous l'a jamais demandé :P. Donc on est toujours dans la situation où casser notre clé 1024 bits prendrait 45 millions de cœur-années.

Partons du principe que c'est bien 30 années coeur. Ca serait donc exploitable uniquement par le gouvernement. Et même si on se dit que l'info de ce nombre choisi et imposé a fuité, et qu'une personne mal intentionnée réussit à intercepter le flux réseau d'une personne cible,  même avec plusieurs grosses machines en cluster, allez soyons fou, 10 serveurs 64 coeurs, il lui faudrait encore plus de 5 jours pour casser le chiffrement. On est TRES loin du temps réel nécessaire pour exploiter le flux réseau de la cible et voir ses cartes.

Mais bon, dans tous les cas, on utilise bien une clé 2048 bits. :D

Et puis, à vrai dire, on n'utilise même pas l'algorithme Diffie-Hellmann dont parle l'article, mais bien RSA comme la plupart des sites/logiciels. 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


  • Recently Browsing   0 members

    No registered users viewing this page.

English
Retour en haut de page
×