Cuidado ao usar o Launcher + Update da Webzen!

Bom pessoal... Não sei se aqui é a área correta... caso não for movam o tópico ai...

A algum tempo (no ano de 2009 ainda) estava pensando sobre como o sistema de update da webzen funciona...

É simples né... Você coloca no connectserver (serverinfo.dat) os dados do FTP onde estão os arquivos para update...
Assim o launcher da webzen faz o download dos ultimos arquivos do ftp...
Ai pensando melhor, o launcher para verificar esses updates precisa do IP, Usuário e Senha do FTP para buscar essas informações...

Ai que mora o grande perigo...
A webzen envia os dados do FTP para o launcher... sendo possivel interceptar essas informações para pegar os dados do FTP e assim roubar os dados para logar no seu ftp e fazer a verdadeira festa nele...

Sendo assim a webzen usa uma criptografia para encriptar esses dados na hora de enviar para o launcher para diminuir as chances de alguem descobrir esses dados... porem é uma criptografia fraca... (xor de 3 chaves).

Com o algoritmo de desencriptar os pacotes em mãos é simples pegar os dados...
Fiz um programa para demonstrar o que estou falando, pode baixar ele no link abaixo:
Megaupload: [Only registered and activated users can see links. Click Here To Register...]

Senha : [Only registered and activated users can see links. Click Here To Register...]

Para usar o programa leia como usar no arquivo: Como usar.txt que esta dentro do arquivo zipado.

Você rodando esse programa ele vai conectar no connectserver e relevar as informações do arquivo ServerInfo.dat

Citação:

---

[FtpServerInfo]
Address = ftp.meumu.com.br
Port = 21
ID = usuario
PASS = senha

---

Estou postando isso por que estava mexendo no meu hd e acabei achando isso por acaso...

A foto do launcher que usa esse sistema é:
[Only registered and activated users can see links. Click Here To Register...]

Tem gente que usa o update junto com o site... dai o cara pega os dados do ftp, com isso pega o site que tem a senha do sql, ip do server e por ai vai... o cara entra no sql, do sql entra no acesso remoto e ai ja era...

Bom...
Espero que sirva de ajuda ai para quem usa esse launcher...
Se protejam da melhor maneira que pensarem...

Abraços!
Leandro Daldegam

Mensagem de moderação:

Tópico Movido para área de Launchers! By: _LenaD_

Mensagem de moderação:

Tópico Fixado Conheço alguns amigos que usa tal Sistema Att:Segredo

Muito Obrigado por vir alertar os usuários pra prestarem atenção sobre isso,
sei que muitos utilizam esse sistema ai,
vou pedir pra redirecionar o tópico pra área correta.

Se eu criar um ftp so para o update em uma pasta especifica "update". com usuário do ftp com permissão somente para leitura resolveria o problema correto?

tbm gostaria de saber como eu fasso para usar esse launcher com segurança?

basta criar um FTP somente com leitura ^^ para o update e ja era a pessoa acessa mas nao consegue fazer absolutamente nada

como eu crio um ftp somente com leitura