Erster Accounthack mit Authenticator – Trojaner emcor.dll ist Schuld
Gestern machte die Meldung die Runde, dass der erste WoW-Account gehackt worden sei, der mit einem Blizzard-Authenticator geschützt wurde. Bei einigen löste dieser Accounthack trotz Authenticator große Verwunderung aus, die ich so gar nicht nachvollziehen kann.
Kropacius (Source): After looking into this, it has been escalated, but it is a Man in the Middle attack.
http://en.wikipedia.org/wiki/Man-in-the-middle_attack
This is still perpetrated by key loggers, and no method is always 100% secure.
Das es praktisch kein Problem ist, auch diese Art von Sicherheitssystem zu umgehen, ist nichts neues. Stichwort ist hier der sogenannte „Man in the Middle“ Angriff, der die gesendeten Daten empfängt, eine gefälschte Fehlermeldung an den Sender zurück sendet und im Gegenzug seinerseits die korrekten Daten für seine Missbrauchzwecke an den eigentlichen Empfänger weiterleitet.
Zwar gibt es hier noch geringfügige Sicherheitsmechanismen, wie etwa eine begrenzte Dauer des Authenticator-Zahlencodes, jedoch, solange wie der eigentliche Code gültig ist, besteht auch die Gefahr, dass er in falschen Händen missbraucht werden kann. Darum sind Banken mittlerweile im iTan Verfahren dazu übergegangen, nach der Eingabe der Tan noch sogenannte Bestätigungsnummern zurück zusenden, damit erkannt werden kann, ob mit dem Bankrechner kommuniziert wurde. Sollten diese Bestätigungsnummern abweichen, muss natürlich umgehend die Bank informiert werden, um weitere Schritte einzuleiten. So einen Bestätigungsmechanismus gibt es beim Authenticator leider noch nicht.
Durch die begrenzte Dauer der Authenticator-Codes muss der Angreifer allerdings nach einem ganz speziellen Prinzip vorgehen: Er muss direkt mit den empfangenen Daten in die Accountverwaltung und das Passwort ändern und den Authenticator vom Account trennen, da sonst bei der nächsten Eingabe wieder nach einem Authenticator Zahlencode gefragt werden würde, den er Hacker nicht mehr eingeben kann. Nur so stellt er sicher, dass er mit einem neuen Passwort, ohne zusätzliche Authenticator-Eingabe einloggen, und somit den Account leer räumen kann.
Hier wäre der einzige Kritikpunkt, den sich Blizzard gefallen lassen muss: Hätten Sie beim sogenannten „Unattachen“ eines Authenticators, oder generell beim Ändern von Passwörtern, eine zweite Authenticatorabfrage nach dem eigentlichen Einloggen ins BattleNet eingefügt, wären Hacker ausgebremst worden, da der Hacker ja lediglich einen Code empfangen hat und ihm somit der zweite zum Ändern der Daten fehlt.
Eigentliche Schwachstelle ist und bleibt bei „Man in the Middle“ Angriffen jedoch weiterhin der Kundenrechner. Denn weiterhin ist ein Trojaner nötig, um dieses Keylogging zu ermöglichen. Einzige 100%ige Sicherheit würde ein Tokensystem mit Schlüsseldiskette oder Chipkarte, am besten mit ausgelagerter Tastatur (Chipkartenleser Klasse 2 oder höher), bieten, um so Keyloggern gar keine Angriffsfläche mehr zu bieten.
Trotz des vorliegenden Hacks, kann man aber weiterhin davon ausgehen, dass ein WoW-Account mit Authenticator wesentlich sicherer ist, als ein Account ohne Authenticator. Denn mit Authenticator muss der Account binnen Minuten leer geräumt werden, was voraussetzt, das am anderen Ende der Leitung Menschen sitzen, die nur darauf warten, das jemand, der mit dem Virus infiziert ist, endlich beginnt WoW zu spielen. Ohne Authenticator werden die Login Daten einfach gespeichert und können so auch noch Monante später benutzt werden (sofern die Passwörter nicht geändert wurden). Der Aufwand mit Authenticator ist also für den Hacker weit höher, als ohne.
Ich persönliche halte diesen Hack nur für einen Test, da sich das Aufwand/Reward Verhältnis für den Hacker einfach nicht lohnt. Es sei denn, das aus irgendeinem Grund WoW-Accounts mittlerweile mehr wert wären, als Kreditkartennummern und Kontodaten, was ich mir irgendwie nicht vorstellen kann.
Ihr solltet übrigens Eurer System mal nach der Datei emcor.dll durchsuchen, da dies genau der (derzeit einzige) Virus ist, der den Authenticator umgehen kann. Meistens befindet sich dieser Virus im Pfad C:\Users\(Dein User-Name)\AppData\Temp
Mehr zum Thema? Dann lies auch:
- Blizzard mobile Authenticator – Der sicherste Schutz vor Hackern für nur 49 Cent
- Accountsicherheit, Authenticator und Kernhund Pet
- Account gehackt nach BattleNet Umstellung
- Running a “jailbroken” iPhone OS device may compromise the security of the Battle.net Mobile Authenticator
- Gehackt ohne Spur – ein Massenphänomen?
WoW Patch 4.3: Todesschwinge kommt, Transmogrifikation, Leerenbank und drei 5er Instanzen
vor 9 Monaten - 1 Kommentar
Heute startet in Köln die GamesCom 2011. Blizzard nutzte gleich die versammelte Medienpräsenz, um die Katze für den nächsten Content-Patch aus dem Sack zu lassen. WoW Patch 4.3, der ja noch dieses Jahr kommen soll, wird der letzte grosse Content Patch in Cataclysm sein. BÄM! In der letzten Raid-Instanz wird man Oberbösewicht Todesschwinge gegenübertreten. Der Mehr >
WoW: Instanzen mit Freunden von verschiedenen Servern via Real ID bleibt kostenlos
vor 9 Monaten - Keine Kommentare
Heute gab es mal wieder eine kleine Sensations-News aus dem Hause Blizzard. Nachdem sich ja in den letzten Monaten eher die negativen News gehäuft haben (Stichwort: Abonnenten-Schwund) gibt es heute endlich mal wieder, wenn auch überraschend, positive Nachrichten. Das neuste Feature, mit dem man mit Real-ID-Freunden auf unterschieldichen Servern (gleicher Fraktion) Instanzen über den Dungeon Mehr >
Was bringt WoW Patch 4.2.2?
vor 9 Monaten - 3 Kommentare
Nachdem ich ja bereits letzte Woche darüber berichtet habe, das WoW im letzten Quartal abermals 300.000 Abonneten verloren hat, wurde ja in Blizzards Notfall-Telefonkonferenz Patch 4.3 noch für dieses Jahr angekündigt. Jetzt, eine Woche später, gehen die Testserver online, auf den PTRs steht WoW Patch 4.2.2 zum Testen bereit. Das komische: Es gibt keine nennenswerten Mehr >
WoW verliert nochmals 300.000 Abonnenten – Notfallplan Patch 4.3?
vor 9 Monaten - 5 Kommentare
Nachdem WoW im ersten Quartal 2011 bereits 600.000 Abonnenten verloren hat, geht der Abwärtstrend im zweiten Quartal, wenn auch nicht so schnell, weiter. Stattliche 300.000 Abonnenten hat WoW im letzten Quartal verloren und verfügt damit “nur noch” über 11.1 Millionen aktive Abos. Wie ist dieser Abwärtstrend zu erklären? Steckt WoW endgültig in der Krise? Stirbt Mehr >
Geheimer Blizzard Produktionsplan wieder bestätigt. WoW startet in Brazilien
vor 10 Monaten - Keine Kommentare
Der vor einiger Zeit veröffentlichte Blizzard-Produktionsplan behält wieder einmal Recht. Denn punktgenau gab Blizzard den Release von WoW in Brazilien bekannt, so wie es auch schon auf dem geleakten Dokument eingeplant war. Was bedeutet das für die Zukunft? Für das zweite Quartal 2012 ist mit X4 das vierte WoW Add-on angekündigt. Ein Release halte ich Mehr >
Valor Points Hotfix – Es gibt wieder Punkte im T11 Content
vor 10 Monaten - Keine Kommentare
Nachdem ja die Tapferkeitspunkte im normalen T11 Content zu Beginn des Feuerlande Raids gestrichen wurden und nur noch über die HardModes zu bekommen waren, gab es jetzt einen Hotfix. Spieler bekommen jetzt wieder Tapferkeitspunkte in den normalen T11 Raids! Man ist also nicht mehr zwangsläufig gezwungen 7x Zul’Gurub und Zul’Aman abzufarmen. Allerdings kommt man im Mehr >
Kein Stoff-Wille Loot für Priester in den Feuerlanden – Verwirrung um die Crystallized Firestones
vor 10 Monaten - 3 Kommentare
Manchmal macht Blizzard wirklich lustige Sachen. Schaut man sich die Loot-Table der Feuerland-Bosse an, wird man feststellen, dass es, bis auf wenige Ausnahmen, keine Stoffrüstung mit Willenskraft zu erbeuten gibt. Das bedeutet, dass man sich wirklich nahezu alle Items via Valor-Points beim Vendor und bei der neuen Ruf-Fraktion “Wächter des Hyjal” kaufen muss. Als wenn Mehr >
Beth’tilac im Hardmode down 3/7 – 2er T12 Bonus inc.
vor 10 Monaten - 2 Kommentare
Bereits letzte ID haben wir auf den letzten Drücker noch die fiese Spinne Beth’tilac im Hardmode besiegt. Neuer stand also 3/7 nach der ersten ID. Gestern haben wir in der frischen ID bereits alle drei gelegen Hardmodes bestätigt und erneut gekillt. Also keine Lucky-Trys sondern gut reproduzierbar. Heute starten wir dann mit unserem vierten Hardmode Mehr >
Lord Rhyolith im Hardmode besiegt
vor 10 Monaten - Keine Kommentare
Freitag-Abend war es dann soweit: Der olle Fusslenker Lord Rhyolith ging down, zwei von sieben Hardmodes erledigt. Dabei ist die Taktik relativ einfach, die Umsetzung allerdings schwierig. Den gesamten Freitag haben wir auf den Lucky-Try gewartet: Denn make or break ist der Spawn der Vulkane. Sprich die Schwierigkeit in diesem Encounter ist mal wieder der Mehr >
Feuerlande Progress: Shannox Hardmode down – 4/7 bei den anderen Gilden
vor 10 Monaten - 2 Kommentare
Seit Mittwoch fährt er wieder auf Hochtouren, der Progress-Express. Die Top-Gilden haben mittlerweile 4/7 Hardmodes in den Feuerlanden aus dem Weg geräumt, also Shannox, Beth’tilac, Rhyolith und Alysrazor. Wir selbst haben mit Dementum gestern nach knapp zwei Stunden Try-Zeit den ollen Hunter Shannox recht souverän umgenietet und uns danach Rhyolith angeschaut. Bei Rhyolith spielen schon Mehr >
Loading ...
vor 2 Jahren
Meine Verwunderung kommt schon mal daher weil ich das Konzept “keylogger” nicht verstehe
Das liegt aber daran daß ich grundsätzlich nicht unter Windows surfe sondern in der Regel unter OSX oder zur Not unter Linux.
Luna
vor 2 Jahren
Wobei auch Apple/Linux und Co. schon lange kein Freifahrtsschein zum sorglosen Surfen mehr sind, denn auch da gibt es Viren und Co. Wer sich dessen nicht bewusst ist, sollte es sich bewusst machen. Ja, es ist SICHERER, aber nicht SICHER. Denn das gibt es im Internet nicht.
vor 2 Jahren
Hmmmm … dann zeige mir bitte mal einen Apple Virus der auch funktioniert. Dann kaufe ich mir einen AMIGA-Emulator und surfe unter AMIGA.
Ich glaube standhaft daran daß SICHERES surfen möglich ist
Luna
vor 2 Jahren
Um mal ein bekanntes Sprichwort abzuwandeln: der Preis der Sicherheit ist ewige Wachsamkeit. Und wie schon anderweitig kommentiert. Es gibt keine 100%tige Sicherheit. Weder beim Autofahren noch beim Onlinebanken oder irgendwas anderes, wo der Faktor Mensch und der Faktor Technik aufeinandertreffen.
vor 2 Jahren
http://www.architektenwerk.de/mac_os_viren.html
vor 2 Jahren
“Für Mac OS X gibt es seit Erscheinen im Jahr 2000 bis heute keinen einzigen Virus, der sich selbständig installiert und verbreitet.” steht da.
Für mich hört sich das sicher an …
Luna
vor 2 Jahren
Dann lies mal weiter, Trojaner gibt es 9…
Da Linux und Apple weit weniger verbreitet sind, und es aufgrund der Unix Basis wesentlich schwerer ist Viren dafür zu programmieren, führen diese beiden Tatsachen zu weniger Viren (oder nennen wir es Schadsoftware), die im Umlauf sind, weil sich der Aufwand kaum lohnt. Zudem, nutzen meist auch nur Leute Linux/Apple, die wissen, was sie tun. Ok, zumindest bei Apple geht der Trend dahin, das es ein Modeprodukt wird, was die Virenanfälligkeit in der nächsten Zeit noch nach oben treiben könnte.
vor 2 Jahren
Ja aber auch die muss ich manuell installieren und Admin-PW eingeben um sie zu starten …
Also ich sehe da noch immer einen qualitativen Unterschied zu Winblöd
Luna
vor 2 Jahren
Hm, du schreibst es sollte noch eine zweite Abfrage im B-Net geben, die gibt es doch? Man muss sogar 2 aufeinanderfolgende Codes eingeben um den Authenticator vom Acc zu trennen.
vor 2 Jahren
Hm, ich könnte fast schwören, das war früher nicht so. Aber wenn das nun so ist, erweckt das noch mehr den Eindruck, dass der Hack fingiert gewesen ist. Keine Ahnung, da müssen soviele zeitliche Faktoren zeitgleich ineinander greifen, damit es funktioniert, das es schon fast zu unwahrscheinlich ist. Klar, ein netter Test ob es generell funktinoniert, aber nichts was in der Realität auch hinhauen würde.
vor 2 Jahren
Das einzige was ich mir vorstellen kann ist dass der Angreifer eben einmal schnell in den Account einloggen kann und den leerräumen, bis man wieder ausloggt. Sicher nicht so lukrativ wie uneingeschränkte Kontrolle aber offenbar lukrativ genug.
Aber die zeitlichen Spielräume sind doch sehr klein und liegen bei grob 1-2 Minuten. Eben doch der Grund warum die Authenticators den Account sicherer machen.
Eine Möglichkeit seitens Blizzard wäre die Zeit in der Codes als gültig gelten zu verkürzen. Damit verringert sich jedoch der “Komfort” des Nutzers da er evtl öfter einen Code eingeben muss bis er einen “noch” gültigen eingegeben hat.
Ich würde das ganze mal noch nicht überbewerten. “Dummheit” seitens Blizzard wie Luna vorwirft besteht dabei nicht. Abgesehen davon dass er das System garnicht verstanden hat… :>
vor 2 Jahren
Wir haben darüber schon bei uns im Gildenforum disskutiert.
Ich denke es gibt nur 2 Möglichkeiten:
entweder ich nutz den einen Code um direkt einzulogen, oder ich warte das der Nutzer mehrere Codes “spamt” um somit in der Accverwaltung nachhaltig unheil zu stiften (ein Code hält scheinbar nur 30 sek, somit braucht man ungefähr 3-4 für ein Abkoppeln das Authenticators).
vor 2 Jahren
Ich warte nurnoch darauf, das es hackern möglich ist an die seriennummer des Tokens(Autenticator) zu kommen. Denn der gültige Code wird aus der Seriennummer und der aktuellen Zeit errechnet. Laut Hersteller Vasco sind die Alogarythmen dazu:
(zitat)
Supported crypto algorithm: DES, 3DES and AES
Supported algorithms:
DIGIPASS time and event based
(zitat ende)
Kurz: Kommt man an die SN kann man seinen eigenen Authenticator programmieren, welcher die selben Codes wie der originale ausspuckt.
Der Blizzard Account ist also nur durch ein weiteres Passort namens “Token Seriennummer” geschützt (und etwas Mathematik).
Die grosse frage ist jetzt: Wie sicher wird die Token Seriennummer aufbewahrt? Bei einem jeden zuhause, und bei Blizz. Wenn ich mir so angucke, wie sicher die Telekom oder die Schweizer Banken ihre “Stammdaten” schützen. Und wie viele davon schon zum Verkauf stehen…..
Der Blizz Account wird durch den Authenticator sicherer. Keine Frage. Aber noch LANGE nicht sicher!
Wie schon geschrieben wurde: Jeder Anwender ist selber verantwortlich. Vieren und Trojaner fernzuhalten, seine Passwörter zu schützen und regelmässig zu ändern, Keine 3rd Party Programme verwenden (Fischbot bspw.), Und erst recht seine Accountdaten und Namen nicht an dritte weitergeben (Accounts kaufen, Levelservice etc.).
Das erhöht die Sicherheit noch mehr als ein Authenticator. Ist allerdings auch “komplizierter”. *g*
MfG
vor 2 Jahren
Der DES Standard wird noch Heute von vielen Banken beim HBCI eingesetzt, auch wenn die meisten mittlerweile zum noch sicheren RSA / RDH Verfahren gewechselt sind. Von daher würde ich schon sagen, dass es nicht ganz so leicht ist, mit den Variablen Seriennummer und Datum/Urhzeit einen passgenauen 112 Bit (oder mehr) geschützten Code zu knacken.
vor 1 Jahr
ich glaube den opfer ist selber schuld! wen der ein jailbreaktes iphone hatte und den als authenticator benutzt hatt ist es sehr einfach an den code zu kommen! wen man den am iphone startet kommt es sogar das wen man den auf ein jailbreakte sbenutzt daten geklaut werden können. darum hatt blizz keine schuld!
vor 1 Jahr
Blizzard trägt da auf jeden Fall keine Schuld.
Es steht auch meine ich sogar in der Produktbeschreibung das ein Authenticator
keinen vollkommen Schutz bietet.
Der Authenticator bietet ja doch einen zusätzlichen Schutz aber keinen 100%