Miguxo Revok Posted March 27, 2015 Share Posted March 27, 2015 O sistema de PIN é muito bem-vindo e sou testemunha de que já salvou muitas contas de hackers mal intencionados. Porém, desde sua implementação o sistema sofre de um bug gravíssimo que explico a seguir. No jogo oficial, o CLIENT conta quantas vezes recebeu o código de pin incorreto e na terceira vez kicka o usuário para a tela inicial. Este kick é feito pelo próprio client. Como não é o SERVIDOR que ficou responsável por kickar o usuário, ao usar uma ferramenta externa como um software de rede específico ou clients alternativos, é possível "chutar" o PIN de 0000 até 9999 sem delay e sem reconexão. O que isso significa pro jogador comum: * o PIN que você digita toda vez que loga só serve para exercitar seus dedinhos; * existem pessoas disponibilizando este "serviço de recuperação" em troca de kks/reais. Por um lado é muito útil para quem perdeu o PIN e não quer esperar pela demora da LU!G, por outro se um hacker conseguir seu login e senha basta pagar alguém para descobrir o PIN. Soluções: * block temporário após errar o PIN por 10x; * delay entre inserções do PIN; * fechar a conexão do client ao errar 3x; * todas as opções acima ao mesmo tempo Se eu pudesse bloquear este tipo de uso durante as atualizações semanais com certeza eu o faria, mas infelizmente não está ao meu alcance. Link to comment Share on other sites More sharing options...
Dundé Posted March 28, 2015 Share Posted March 28, 2015 Você acha que isso tem causado a instabilidade dos servidores? browiki Link to comment Share on other sites More sharing options...
Dranker Posted March 28, 2015 Share Posted March 28, 2015 (edited) Infelizmente tenho visto isso no grupo de vendas no Facebook, vi seu post la Revok, e entendo a sua preocupação, pois pelo que entendi eles usam sua "ferramenta" para isso, então logicamente pode prejudicar seus negócios. Tem pessoas vendendo esse tipo de serviço, de descobrir PIN para usuários, é óbvio que ninguém entregará os dados de sua própria conta para uma pessoa, mas se por acaso a conta não for sua, as pessoas podem entregar sem medo para um cara como esses, descobrir para ter acesso a conta. Que situação chegamos. Edited March 28, 2015 by Dranker Link to comment Share on other sites More sharing options...
Squirt. Posted March 28, 2015 Share Posted March 28, 2015 Você acha que isso tem causado a instabilidade dos servidores? Acho difícil, Dundé. O pacote de dados do PIN deve ser pouco, mesmo spammando uma infinidade de combinações acho muito difícil de causar instabilidade. Seria parecido com DDoS mas como a LU! disse que a instabilidade não era DDoS... I'm a kitchen sink. You don't know what that means, because a kitchen sink to you is not a kitchen sink to me. Okay, friend? Link to comment Share on other sites More sharing options...
Acisum Posted March 28, 2015 Share Posted March 28, 2015 Eu queria saber se ja aconteceu isso com vocês. Existe algumas vezes que eu vou logar no rag, depois de ja ter logado, as vezes por ter tomado um DC, enfim.. E quando eu logo, nao aparece a caixa de pin, ja aparece direto meus personagens para selecionar. Link to comment Share on other sites More sharing options...
Taeyeon! Posted March 28, 2015 Share Posted March 28, 2015 Eu queria saber se ja aconteceu isso com vocês. Existe algumas vezes que eu vou logar no rag, depois de ja ter logado, as vezes por ter tomado um DC, enfim.. E quando eu logo, nao aparece a caixa de pin, ja aparece direto meus personagens para selecionar. Sim, ja aconteceu comigo de tarde. [sIGPIC][/sIGPIC] Link to comment Share on other sites More sharing options...
Junji Posted March 28, 2015 Share Posted March 28, 2015 Revok provando mais uma vez que não é só um braço fortinho Apoio a implementação das três medidas para o PIN Link to comment Share on other sites More sharing options...
Shuraz1n Posted April 4, 2015 Share Posted April 4, 2015 O sistema de PIN é muito bem-vindo e sou testemunha de que já salvou muitas contas de hackers mal intencionados. Porém, desde sua implementação o sistema sofre de um bug gravíssimo que explico a seguir. No jogo oficial, o CLIENT conta quantas vezes recebeu o código de pin incorreto e na terceira vez kicka o usuário para a tela inicial. Este kick é feito pelo próprio client. Como não é o SERVIDOR que ficou responsável por kickar o usuário, ao usar uma ferramenta externa como um software de rede específico ou clients alternativos, é possível "chutar" o PIN de 0000 até 9999 sem delay e sem reconexão. O que isso significa pro jogador comum: * o PIN que você digita toda vez que loga só serve para exercitar seus dedinhos; * existem pessoas disponibilizando este "serviço de recuperação" em troca de kks/reais. Por um lado é muito útil para quem perdeu o PIN e não quer esperar pela demora da LU!G, por outro se um hacker conseguir seu login e senha basta pagar alguém para descobrir o PIN. Soluções: * block temporário após errar o PIN por 10x; * delay entre inserções do PIN; * fechar a conexão do client ao errar 3x; * todas as opções acima ao mesmo tempo Se eu pudesse bloquear este tipo de uso durante as atualizações semanais com certeza eu o faria, mas infelizmente não está ao meu alcance. Para quem não sabe, o Revok é o DONO do OPENKORE BRASIL (sim, o programa que executa o bot do ragnarok). Pergunto-me qual é a validade da palavra desse ser humano que vem ajudando outras pessoas a infestar o servidor com esse programa ilegal. Imagino que esse post deve ser mais relacionado à motivos pessoais do que "ajudar a LUG". Bom, fiquem de olho. Sou contra qualquer coisa que essezinho ai for a favor. Link to comment Share on other sites More sharing options...
Dranker Posted April 4, 2015 Share Posted April 4, 2015 (edited) Para quem não sabe, o Revok é o DONO do OPENKORE BRASIL (sim, o programa que executa o bot do ragnarok). Pergunto-me qual é a validade da palavra desse ser humano que vem ajudando outras pessoas a infestar o servidor com esse programa ilegal. Imagino que esse post deve ser mais relacionado à motivos pessoais do que "ajudar a LUG". Bom, fiquem de olho. Sou contra qualquer coisa que essezinho ai for a favor. Pois é, mas veja bem, estão utilizando a "ferramenta" dele para distribuir esse tipo de serviço, de descobrir PIN's. Como eu vi em outros comentários que ele fez na própria postarem do suposto Negociante de PIN's isso vai contra sua índole, pois claramente isso vai ser usado para os "hackers" menos qualificados, que de algum modo conseguem seu usuário e senha, mas não conseguem passar pelo PIN por mais ridículo que isso seja. O propósito dele aqui logicamente foi defender o seu produto, e também chamar a atenção da LUG para esse problema que vem sendo explorado como forma de comércio ilegal. @Edit Em tempo, tem tido um certo interesse também por parte de jogadores como alternativa de burlar a demora do sistema de tickets, e também burlar a burocracia como a exigência de documentos certificados em cartório, que por outro lado funciona como mais uma barreira de segurança para possíveis invasores. Edited April 4, 2015 by Dranker Link to comment Share on other sites More sharing options...
Desconhecido... Posted June 25, 2015 Share Posted June 25, 2015 Infelizmente tenho visto isso no grupo de vendas no Facebook, vi seu post la Revok, e entendo a sua preocupação, pois pelo que entendi eles usam sua "ferramenta" para isso, então logicamente pode prejudicar seus negócios.Tem pessoas vendendo esse tipo de serviço, de descobrir PIN para usuários, é óbvio que ninguém entregará os dados de sua própria conta para uma pessoa, mas se por acaso a conta não for sua, as pessoas podem entregar sem medo para um cara como esses, descobrir para ter acesso a conta.Que situação chegamos. Incrível que ninguém mais tocou nesse assunto, o cara que mais - mesmo q vc não goste dele - entende do assunto, veio aqui de boa alertar, e ficou silêncio em torno do assunto. Ontem tava na página da lug no face e tinha gente falando sobre isso de vender recuperação de pin, mas a lug nem respondeu. Pior que além do pessoalzinho q em vez de arranjar um trampo na vida real prefere fazer coisa ilegal pra conseguir dinheiro, tem o pessoal que publica no face pra todo mundo baixar os arquivos: "Pra que cobrar sendo que o criador do plugins fez para todos basta baixar salva como pinBreaker.pl e por na pasta plugins do openkore e ir config.txt no lugar do pin por 0000http://migre.me/qc0y4" Aí eu vejo tantos amigos meus levando hacker, outros doidos passando os dados pra desconhecidos "recuperarem" o pin deles, mas deles ou de outros? Porque como o Revok explicou, dá pra descobrir PIN de qualquer um assim. PIN que já não presta contra bot, e agora nem pra evitar hack serve. Tomara q não caia no esquecimento mais esse bug do Rag, que faz um pessoalzinho lucrar e outros perderem tudo. Assinatura removida por desrespeitar os padrões pró-BOT estabelecidos pelas Regras do Fórum. Link to comment Share on other sites More sharing options...
Squirt Posted June 25, 2015 Share Posted June 25, 2015 Incrível que ninguém mais tocou nesse assunto, o cara que mais - mesmo q vc não goste dele - entende do assunto, veio aqui de boa alertar, e ficou silêncio em torno do assunto. Ontem tava na página da lug no face e tinha gente falando sobre isso de vender recuperação de pin, mas a lug nem respondeu. Pior que além do pessoalzinho q em vez de arranjar um trampo na vida real prefere fazer coisa ilegal pra conseguir dinheiro, tem o pessoal que publica no face pra todo mundo baixar os arquivos: "Pra que cobrar sendo que o criador do plugins fez para todos basta baixar salva como pinBreaker.pl e por na pasta plugins do openkore e ir config.txt no lugar do pin por 0000http://migre.me/qc0y4" Aí eu vejo tantos amigos meus levando hacker, outros doidos passando os dados pra desconhecidos "recuperarem" o pin deles, mas deles ou de outros? Porque como o Revok explicou, dá pra descobrir PIN de qualquer um assim. PIN que já não presta contra bot, e agora nem pra evitar hack serve. Tomara q não caia no esquecimento mais esse bug do Rag, que faz um pessoalzinho lucrar e outros perderem tudo. Se o PIN fosse útil, outros servidores usariam também. Mesma coisa esse cadeado aí. Por mim todo mundo leva hack mesmo e essa m*rda fecha. :rolleyes: Meus vídeos de Ragnarok Link to comment Share on other sites More sharing options...
hdrst Posted June 25, 2015 Share Posted June 25, 2015 Uma coisa que poderiam fazer era alternar para o velho sistema de senha: no jRO é utilizado desde 2006 ou 2007 esse sistema, como pode utilizar mais de 4 digitos e pode definir uma quantidade aleatoria de digitos, ajudaria muito para combater isso. Link to comment Share on other sites More sharing options...
Fabiano Alves Posted June 25, 2015 Share Posted June 25, 2015 Uma coisa que poderiam fazer era alternar para o velho sistema de senha: no jRO é utilizado desde 2006 ou 2007 esse sistema, como pode utilizar mais de 4 digitos e pode definir uma quantidade aleatoria de digitos, ajudaria muito para combater isso. Esse sistema é usado no armazém aqui. Mas sim, seria interessante ter ele no lugar do pin de 4 digitos. Link to comment Share on other sites More sharing options...
Hiro Sutoraiku Posted June 25, 2015 Share Posted June 25, 2015 Trancaram o tópico, eu estava corrigindo erros de português ç.ç [sIGPIC][/sIGPIC] FREE HUUUUUGS Link to comment Share on other sites More sharing options...
hdrst Posted June 25, 2015 Share Posted June 25, 2015 Esse sistema é usado no armazém aqui. Mas sim, seria interessante ter ele no lugar do pin de 4 digitos. sim eu sei, tanto que tirei a ss quando fui abrir meu armazem =x só estranhei bastante quando vim jogar no bRO e abriu isso no armazem e não na tela de seleção de personagem lol. Link to comment Share on other sites More sharing options...
Zero Dozer Posted June 29, 2015 Share Posted June 29, 2015 Olha, não leva a mal, Revok, mas eu tenho que falar, não acha uma estranha ironia (ou cara de pau, você escolhe) você ser o que jogadores limpos de Rag qualificam como criminoso e então vir aqui falar de um bug como se quisesse ajudar? Tirando isso, eu preciso falar: eu definitivamente NÃO SEI porque a LUG me enfiou esse sistema de PIN. Era pra coibir os bots? Bem, certamente não faz isso e ainda pode ser quebrado. É a mesma palhaçada da recente destruição dos drops NOS TRÊS SERVIDORES: Não parou os bots, ferrou TODOS OS JOGADORES JUSTOS do bRO e tornou TUDO ainda mais caro. Realmente, eu estou cada vez mais pensando em ficar no iRO e não voltar mais. Link to comment Share on other sites More sharing options...
Miguxo Revok Posted June 30, 2015 Author Share Posted June 30, 2015 Olha, não leva a mal, Revok, mas eu tenho que falar, não acha uma estranha ironia (ou cara de pau, você escolhe) você ser o que jogadores limpos de Rag qualificam como criminoso e então vir aqui falar de um bug como se quisesse ajudar? O motivo de eu vir postar esse tipo de coisa é porque os tais "jogadores honestos" ou estão se aproveitando desse tipo de bug ou fazendo vista grossa porque os amigos aproveitam. Link to comment Share on other sites More sharing options...
Recommended Posts