Il blog di LucAndrea

Devo ammettere che il titolo di questo articolo è molto allettante! Vi parlerò infatti del gioco on-line OGame, un browser game basato sulle guerre spaziali e sullo sviluppo dei propri pianeti. Il gioco è raggiungibile, in versione italiana, all’indirizzo www.ogame.it.

È noto a molti che OGame è pieno di errori di programmazione, che i piú esperti sfruttano in modo furbo senza segnalarli agli sviluppatori del gioco. Premetto che non uso piú da molto tempo OGame, ma già in passato avevo personalmente scoperto vari “trucchi” causati da errori di programmazione (in gergo tecnico si chiamano bug), la maggior parte dei quali sono ancora completamente sfruttabili poiché non corretti.

Quello che sto per illustrarvi non è propriamente un sistema per rubare le password altrui, ma sicuramente un valido aiuto per farlo.

Quello che dobbiamo fare per rubare una password è creare un sito uguale a quello ufficiale di OGame e programmarlo in modo da salvare le password per poi poterle leggere anziché far entrare l’utente all’interno del gioco. La creazione di un sito fasullo può essere non proprio alla portata di tutti; personalmente sarei in grado di farlo (e ammetto di averlo fatto e di aver rubato alcune password senza però aver causato alcun danno ai legittimi proprietari, come dovrebbero fare tutti i veri hacker), ma non vi fornisco copie del sito già pronte per vari motivi, pratici ed etici, che non elenco qui per non andare fuori tema.

Dopo aver creato il sito “fasullo” (o “fake”, se preferite gli inglesismi) entra in gioco l’errore di OGame.

Guardate il link qui sotto senza cliccarci sopra. Ad un primo sguardo direste che si tratta di un link diretto al sito ufficiale di OGame. Fateci clic sopra e invece guardate su che sito andate a finire…

http://uni1.ogame.it/game/redir.php?url=66.249.93.104

…vi si è aperto Google, vero? Ebbene, il motivo è semplice: OGame permette di creare un link che sembra portare al sito di OGame, mentre in realtà ci sposta su un altro sito a nostro piacimento. È infatti sufficiente modificare nel link qui sopra il numero 66.249.93.104 (che corrisponde all’Indirizzo IP di Google, ovvero al codice univoco che identifica quel determinato sito) con un indirizzo a vostra scelta: o scrivendo direttamente l’indirizzo o inserendone il relativo indirizzo IP per renderlo ancora piú mascherato, difficilmente individuabile anche da un occhio esperto. Se volete ricavare l’indirizzo IP di un determinato sito è sufficiente lanciare il comando «ping nomedelsito.it», senza virgolette, da un terminale (se usate Linux dovreste sapere come aprirlo, se usate Windows premete il tasto con il logo di Windows + R, digitate cmd e premete Invio).

Nota importante: non si tratta di un bug pericolosissimo, ma in ogni caso non mi assumo nessuna responsabilità per danni di qualsiasi genere causati dallo sfruttamento del bug qui descritto.