Dumm, dümmer, Blizz

Ich dachte gestern ich traue meinen Augen nicht als ich die Meldung zu den letzten Account Hacks gelesen habe.

Account klau trotz Authenticator ?

Ne, oder ?

Wie ist das denn möglich ? Ich dachte immer daß Verschlüsselung ein Konzept ist bei dem die Daten unterwegs nicht kompromittiert werden können. Daß der Blaue den Angriff bestätigt hat läßt mich das Schlimmste befürchten. Ein MitM-Angriff soll es also sein …. hhhmmm …. ich dachte wenn man ein sauberes eTAN Verfahren benutzt dann sei das sicher. Und vom Grunde her ist das Authenticator-System doch ein eTan-Konzept, oder ? Ich kann mir sicherlich Konzepte vorstellen bei denen die verschlüsselten Daten unterwegs mitgelesen werden können – aber verändern ?

Ich habe von Anfang an gesagt daß das Konzept mit den email Adressen als Account-Namen ein Fehler ist. An sich habe ich als Anbieter doch ein Eigeninteresse daran daß meine Konten nicht gehackt werden und sollte alles unternehmen um die Sicherheit zu gewährleisten – im Idealfall unabhängig davon was meine Kunden selber unternehmen.

Mit dem schlampig umgesetzten Battle.net Konzept hat Blizzard sich ein unglaublich großes Eigentor geschossen. Aber übertroffen wird es scheinbar durch ein noch schlampiger umgesetztes Authenticator-Konzept.

Ich kann gar nicht in Worte fassen wie sehr entsetzt ich bin.

Luna

Advertisements

26 Kommentare

Eingeordnet unter World of Warcraft

26 Antworten zu “Dumm, dümmer, Blizz

  1. Martin

    Das ist gar nicht so wirklich die Schuld von Blizz. Genau die gleiche Art von Attacke koennte man auch auf die meisten Online Banking Zugaenge anwenden wenn man per Keylogger mitliest.
    Dagegen hilft auch keinerlei Verschluesselung, hoechstens ein Tastenfeld am Monitor zum draufklicken, mit staendig wechselnder Zahlenreihenfolge.

    Dass es nicht wirklich verbreitet ist ist liegt einfach daran, dass man nur sehr wenig Zeit hat, um den Angriff auszufuehren.

  2. Goa

    Wüsste jetzt nicht wo da die überraschung ist ? Hier werden keine Daten verschlüsselt, der Authenticator erstellt dir nur eine zweites variables Passwort. Das dieses Verfahren auch nicht 100%ig sicher ist sollte jedem klar sein. Der Authenticator erstellt alle 30 Sekunden einen neuen Identifikationscode. Wenn man nun einen entsprechenden Virus auf dem PC hat der in diesen 30 Sekunden den Code abfängt, und diesen mitsammt email und Passwort an den entsprechenden Hacker bzw. ein automatisiertes Hacksystem schickt der sich schnell genug in deinen Account einloggt dann hat er den Zugang. Und da is es völlig egal was für einen ausgefuchsten Benutzernamen oder Passwort du hast, der Hacker bekommt das frei Haus geliefert wenn dein PC verseucht ist.

    Das gleiche problem hast du auch mit einem eTan Verfahren, mit dem einzigen Unterschied dass dieses System bisher nur eine Bank benutzt und sich kaum ein Hacker für die paar Kunden die Arbeit machen wird.

  3. Saturnius

    eTAN ist auch durch MitM angreifbar. Der Authenticator ist eben ziemlich genau so (un)sicher wie Online-Banking: Eine Kontonummer ist in etwa so leicht zugänglich wie die EMail-Adresse.
    Sobald man es schafft, sich zwischen Kunden und Anbieter einzuklinken und den Datenverkehr zu manipulieren, ist das Ding gelaufen.
    Die Schuld liegt hier nicht bei Blizzard (oder eben Kreditinstituten). Sie liegt bei Leuten, die mit unsicheren Computern unterwegs sind. Gecracktes Windows installieren, weil es billiger ist und dann weinen, weil der WoW-Acc oder das Bankkonto weg ist: Selbst schuld, kein Mitleid.

  4. Also zunächst mal bin ich dankbar daß ich wieder Kommentare habe – wordpress hat am Wochenende nämlich ziemlich gerumpelt 🙂

    Bei dem wikipedia Artikel den ich verlinkt habe steht bei mTAN drinnen „Es sind keine erfolgreichen Angriffe gegen mTAN bekannt“. Und wenn ihr ehrlich bin – ich kann es mir auch nicht vorstellen. Es gibt nämlich sehr wohl Verteidigung gegen einen MiTM.Angriff wie „Integrity Protection“.

    Also um es ganz klar zu sagen – in der Regel weiß Blizzard genau weiß wenn ein Login kompromittiert ist. Genau wie der Luna weiß wenn der Kommentator nicht der Saturnius (sorry ich nehme Dich jetzt mal Du warst letzter) ist. Weil dessen IP dann nämlich nicht mehr

    „xxxx – Telexxxx Customer Klaus Duscher“ aufgelöst wird und einen Standort in Bayern ergibt.

    Dann sollen sie halt zur Not hergehen und bei der Übermittlung auf die IP Hinweisen die freigegeben wird. Die meisten Spieler wissen doch daß ihr ISP nicht in China, Rußland oder Bangladesh sitzt und würden kaum die Daten eingeben, oder ?

    Das „Keylogger-Problem“ halt ich im übrigen vernachlässigbar weil die übermittelte TAN nur 1x benutzbar ist und ein winzig kleines Zeitfenster hat. Da können „normalerweise“ 1 Mio Chinesen mitlesen – solange man sicherstellt daß die Daten unterwegs nicht verändert werden können dann da doch wenig passieren.

    Solange nicht die Blizzard eigene Signaturen Datenbank gehackt wurde …

    Luna

  5. Ich bin dankbar keinen Authenticator bei Ebay gekauft zu haben; wobei man bei denen auch nicht weiß, ob daran rumgespielt worden ist.

  6. Die Frage ist, was man als „erfolgreiche Angriffe“ definieren mag. Generell können die Daten der Banken sicherer sein, weil ich einfach mehr Daten zum einbeziehen habe.

    Blizzard bietet ein „One Time Pad“-Verfahren, was im Grunde eine automatisierte TAN ist, die in einem bestimmten Zeitfenster gültig ist. MTAN ist, wie übrigends elektronische Geräte, die weitere Daten der Überweisung erfassen, sicherer, weil ich die Daten der ÜBerweisung mit einbeziehe. Das geht bei Blizz nicht, weil was will ich einbeziehen, den Charnamen mit dem ich spielen will?

    Der Trick ist übrigens nicht, dass ich eine TAN habe, und dann 1x spielen kann, der Trick ist, dass ich mich in die Accountverwaltung begebe und dort den Authentifikator rausnehme bzw. durch einen anderen ersetze.

    Ach ja, IPs bei der Authentifizierung mit zu verwenden ist leider rechtlich nicht so dolle, da kan hier speichern muss, wo die Person herkommt, und das Datenschutzrechlich nicht vollständig geklärt ist. Gut, muss Blizz evt. nicht interessieren, wenn Sie die Authentifizierungsserver in .de betreiben (nein, ich bin kein Jurist und ich mag diese Diskussionen auch nicht), ausserdem gibt’s 2 weitere Probleme: Zugriff von unterschiedlichen Ortem, davon 1x via Mobil und 1x vie Festnetz und Proxys wie TOR, die dann eh die Ursprungsdaten verschleiern. Da steht man dann hinreichend doof da, und wenn Blizz auf die Abschlatung besteht, weiss ich schon, wer zuerst schreit.

  7. Shuhun

    So ist der Lauf der Internet-Geschichte nunmal. Viren, Trojaner, Bots, Keylogger und was es da draussen sonst noch alles gibt, werden immer für populäre Betriebssysteme, Spiele und Kodierungsverfahren programmiert.
    Altes Beispiel: Firefox galt vor langer Zeit als der Geheimtip zum sicheren Serven. Kaum hatte er ein gewisses Marktsegment erobert, wurde sofort nach Lücken im Code gesucht und auch genutzt. Popularität ist halt manchmal tötlich.

  8. Donatien/Rexxar argumentiert

    „Das geht bei Blizz nicht, weil was will ich einbeziehen, den Charnamen mit dem ich spielen will?“

    Ich verstehe zu wenig von Informatik um das am Ende sauber auflösen zu können aber wenn ich mich einlogge dann hat Blizz doch 3 Dinge

    User ID, PW, Inet-IP

    Ich kann den TAN doch mit der temporären IP verknüpfen und entweder die IP stimmt oder nicht. Und nach 30sec wird alles wieder gelöscht und ich kann mich anstatt mit DSL mit UMTS einloggen und erneut wird eine TAN erzeugt die mit meiner Inet-IP verknüpft ist.

    Luna

  9. -Ich kann den TAN doch mit der temporären IP verknüpfen und entweder die IP stimmt oder nicht. Und nach 30sec wird alles wieder gelöscht und ich kann mich anstatt mit DSL mit UMTS einloggen und erneut wird eine TAN erzeugt die mit meiner Inet-IP verknüpft ist.

    Im Grunde eine gute Idee, aber was machst du mit dem 1-2% der Nutzer, die von unterwegs aus sich einloggen möchte?

  10. Mem

    Dass es keine 100%tige Sicherheit gibt, weder gegen Terroranschläge, Autounfälle noch gegen Hacks sollte eigentlich jedem wirklich klar sein.

    Wer einen Trojaner auf dem Rechner hat, dem hilft weder ein esoterischer Accountname anstelle der Email noch ein tolles Passwort. Wohl aber zu 98 % der Authenticator.

    Es war absolut absehbar, dass mit der Einführung von Tokens auch die Gegenseite wieder reagiert. Zu sagen, jo, cool, dass ich mir keinen geholt habe, ist ungefähr so, wie zu sagen, ok, bei dem Unfall hätte mir der Airbag auch nicht geholfen, also bau ich ihn aus.

    Ich kenn übrigens genügend Leute, die via UMTS oder aus dem Hotelzimmer auf Geschäftsreisen gespielt haben oder halt am Wochenende bei Heim und Hof sind, während sie unter der Woche als Fernpendler oder auf Montage arbeiten. In den USA dürfte das Problem noch größer sein, gerade auch mit Blick auf die Streitkräfte, die international verlegt werden.

  11. Die IP kann nicht automatisch einbezogen werden, sonst müsste der Benutzer die IP auf dem Gerät eingeben, damit das klappt, sonst weiss das Gerät nicht, welche IP der Benutzer hat. Und am PC anschließen will man nicht, das gerät soll

    a) günstig
    b) simpel in der Bedienung
    c) nicht mit dem PC verbunden werden (keine Manipulation des Geräts und der Verbindung möglich)
    d) dass es kaputt geht, wenn man’s aufmacht ist meines Wissens auch gegeben

    Sicher kann der Wow-Client dann die IP anzeigen, dann gibt der Benutzer die Adresse ein, und dann errechnet der Authentifikator die Nummer.

    Ist halt Aufwand für den Nutzer (das Gerät, das meine Bank für sowas (Kontonummer, Betrag) anbietet ist nicht arg Bedienerfreundlich, aber wenn ich das Display + die Tasten groß mache, dann ist das Ding nicht mehr so mobil, also alles doof….).

    Ach ja, in dem Fall macht dann der Keylogger gleich das umstellen von dem PC des Nutzers aus, das geht genauso fix.

  12. Ich glaube ich habe mich nicht klar ausgedrückt. Ich wollte keine hackbare Datenbank mit IP-Adressen aufbauen. Ich dachte nur daß ich im dem Augenblick in dem ich mich ins Inet einlogge – egal wie – doch ich eine IP-Adresse habe.

    Diese kann man doch mit der TAN verknüpfen.

    Das einzige was dann nicht mehr geht ist TAN via DSL anfordern, ausloggen, mit UMTS einloggen und dann TAN eingeben – aber das halte ich für OK. Und auch die US-Army könnte stressfrei spielen weil selbst wenn die sich via Satellit ins inet einloggen bekommen sie eine weltweit einzigartige IP.

    Die Wahrscheinlichkeit auf DC und Neuzuweisung meiner IP von eben an einen Chinesen mit Keylogger innerhalb dieser 30sec in der die TAN gilt … halte ich für eher gering.

    Luna

  13. Ich stimme meinen Vorschreibern im gröbsten Teil zu. Den Aufwand um ein RSA Token zu hacken (ich glaube das ist doch so einer von Schneesturm) ist eher sehr gering. Ich gehe hier eher von einem menschlichen Versagen aus, und zwar nicht vom Schneesturm (ausnahmsweise) sondern eher von dem Accountinhaber, bzw von dem der sich eingeloggt hat, wahrscheinlich account verliehen oder ähnliches.

    Und zu Battlenet:
    mal schauen was es gibt, wenn Starcraft erscheint, werden dann auch die Accounts geklaut oder legt sich das ganze.

    Und nochmal zu WoW:
    Schneesturm hat mir 7 Tage geschenkt, lol 🙂
    Die hoffen wohl dass ich wieder anfange.

  14. Goa

    Hilft dir auch kaum weiter, wenn der Hacker den Trojaner schon auf deinem Rechner hat schickt er deine Daten eben grundsätzlich über eine ihm genehme IP und schon ist die Sache wieder geritzt, da auch Blizz dann nur diese IP als die „deinige“ sieht. Eine wirklich 100% ige Sicherheit gibts eben nicht, und meistens ist das schwächste Glied in der Kette eben der PC des Endanwenders.

  15. Blizz kann von mir aus gerne 1 Mio mal boeser.hacker.aus.china.cn als meine IP ansehen.

    Aber die TAN werden doch wohl bei Blizz erzeugt (sonst könnten sie sie mir wohl kaum per SMS zusenden). Die verknüpfte TAN kann bei einem MitM-Angriff doch nur 2 mögliche Zustände haben:

    Sie ist mit
    armer.Luna.in.Deutschland.de oder mit
    boeser.hacker.aus.china.cn verknüpft.

    Beides gleichzeitig geht nicht. Dann zeigen sie bei der Eingabe des TAN eben an „Ihre IP ist boeser.hacker.aus.china.cn“ und wenn ich dann die TAN eingebe dann bin ich wirklich selber schuld. Ist sie richtig mit meiner IP verknüpft dann kann der Trojaner machen was er will – die Chinesen können die TAN nicht benutzen.

    Was auch dazu brauche ist eine ausreichend vernünftige Verschlüsselung die nicht in Echtzeit geknackt werden kann. Falls dies das Problem bei der jetzigen Lösung ist dann schiebe ich die Schuld (mal wieder) Blizz zu – und nicht dem zahlenden Kunden mit dem Keylogger/Trojaner (egal wie er den bekommen hat)

    Luna

  16. Anne

    – Aber die TAN werden doch wohl bei Blizz erzeugt (sonst könnten sie sie mir wohl kaum per SMS zusenden).

    Die TANs werden nicht per SMS verschickt. Jeder Authenticator hat eine Seriennummer die man beim aktivieren neben dem aktuellen Authenticatorcode in der Accountverwaltung einmalig eingibt. Anhand dieser Seriennummer wird der Code generiert.

  17. Dann verstehe ich das „Sicherheitskonzept“ von Blizz nicht einmal ansatzweise weil hier:

    http://mobile.blizzard.com/de-de/t401-c12864/-battle-net-mobile-authenticator

    kann ich mir auch die Handy-Version holen. Und da wird es doch per SMS verschickt, oder ?

    Luna

  18. Das Problem ist doch nicht das Token von Blizzard, sondern vielmehr der der Key-logger.

    Wenn ich keinen Key-logger auf dem Rechner habe, kann auch keine den TAN (6stelliger Code) mitschreiben und weiterverwenden, egal wie er erzeugt wurde.

    Daher sollte man doch zu allererst dafür sorgen, dass der eigene Rechner Viren, Trojaner und Key-logger frei ist.

    Ich sehe es eher problematisch, dass diverse Seite (curse, wowinterface, etc.) Addons fürs Spiel anbieten, die jeder x-beliebige hochladen kann. Keiner prüft das Zeug auf Viren oder Key-logger. Wenn man sich dann die Foren durch liest, stellt man fest dass die meisten betroffenen (gehackten) Spieler zuvor solche Addon gezogen haben. Es dürfte doch ein leichtes sein für eine Hacker beliebte Addons entsprechend zu manipulieren?!

    Im Endeffekt hilft wahrscheinlich nur ein gutes und aktuelles Virenschutzprogramm…

  19. @Luna

    Nö, nur die Software bekommt man auf das Handy. Der Code wir genauso wie beim Token erstellt, ohne eine bestehende Verbindung zu Blizzard.

  20. Verdammt@Kargath

    Ich nehme an, dass auf dem Handy quasi nur die Authenticator-Software läuft. Und die funktioniert ohne jeglichen externen Zugriff (sonst wäre hier ja eine Sicherheitslücke).

    Das Programm auf dem Handy (um es mit verständlicheren Worten auszudrücken) nichts anderes als der physische Authenticator-Token: anhand der Seriennummer und gewisser anderer Eigenschaften des Geräts wird dein Authenticator-TAN erzeugt. Nichts mit SMS oder so.

    Beim Generieren der TAN ist es nicht möglich, die IP Adresse einzubeziehen. Das physische Token hat ja nicht einmal eine Eingabemöglichkeit. Ein Zugriff des Tokens auf den PC will man auch nicht haben (wie oben geschrieben: Manipulierbarkeit der Token-Software!).

    Der Virus kann durchaus außerhalb der Reichweite von Blizz liegen. Wenn der Virus den TCP-Stack überwacht und verändern kann (also den Login liest, sich einschaltet, username+password+TAN ausliest, und dann die gesendeten Daten verändert), so kann der Virus vollkommen unabhängig von WoW an gültige Login-Daten kommen.

    Die einzige Möglichkeit für Blizz, dies zu verhindern, wäre ein Software-Scan auf dem Client-PC. Dies ist der Warden. Würde mich nicht wundern, wenn dieser in Zukunft genau solche Viren aufspüren könnte.

    Gruß,
    Verdammt

  21. Goa

    Nein da ist im Handys nur der gleiche Algorythums hinterlegt wie im Authenticator und dann wird die enstrechende ID errechnet.

    Das SMS System ist auch MTan und nicht eTan, das sind zwei unterschiedliche Authetifikationsmethoden. Wobei sich aber hier im Prinzip die gleiche Problematik ergibt, auch bei MTan wird dir einfach an dein Handy eine weitere ID geschickt, wenn du einen Trojaner hast der die abfängt wenn du sie an deinem PC wegschickst bringt dir das aber garnix.

  22. Pingback: Erster Accounthack mit Authenticator – Trojaner emcor.dll ist Schuld | Five Sec Rule

  23. Khazaa

    Was Luna, glaube ich, meint, ist keine Eingabe der IP in den Authenticator, sondern einfach nur das beim Einloggen auf dem Bildschirm noch die Info steht „Sie haben zu Zeit folgende IP-Adresse: XXXXX und sind bei folgendem Anbieter: XXX“. Einfach nur um dem User aufzuzeigen, dass er sich nicht über nen „Chinesen in der Mitte“ einloggt. 😉

    Aber es ist eigentlich kaum ein System wirklich sicher gegen MitM-Attacken. SObald sich etwas zwischen WoW und den Blizzardservern setzt, besteht da die komplette Kontrolle über den Datenverkehr. Und so können dann auch die Datenpakete verändert werden, was zur Folge hat, dass die dein lokales WoW die Rückmeldung bekommt -> „Code ist falsch“, obwohl er richtig ist. Das machst du ein paar Mal und in der Zeit hat sich der Angreifer in deinen WoW-Account eingeloggt und gemacht was er machen wollte.

  24. Ramuh

    Was Luna, glaube ich, meint, ist keine Eingabe der IP in den Authenticator, sondern einfach nur das beim Einloggen auf dem Bildschirm noch die Info steht “Sie haben zu Zeit folgende IP-Adresse: XXXXX und sind bei folgendem Anbieter: XXX”. Einfach nur um dem User aufzuzeigen, dass er sich nicht über nen “Chinesen in der Mitte” einloggt.

    Bringt nichts. 90+% der Spieler wissen nicht einmal was eine IP-Adresse ist. Und sobald der Datenverkehr Server Client kompromitiert ist kann der MitM dem Client vorgaukeln was er will.

  25. An sich bin ich davon ausgegangen daß das nicht möglich ist. Ich dachte eine ausreichend hohe Verschlüsselung stellt sicher daß die Daten die von Blizz kommen vom MitM zwar mitgelesen aber nicht mehr verändert werden können.

    Luna