Mrz 1 2010
Erster Accounthack mit Authenticator – Trojaner emcor.dll ist Schuld
Gestern machte die Meldung die Runde, dass der erste WoW-Account gehackt worden sei, der mit einem Blizzard-Authenticator geschützt wurde. Bei einigen löste dieser Accounthack trotz Authenticator große Verwunderung aus, die ich so gar nicht nachvollziehen kann.
Kropacius (Source): After looking into this, it has been escalated, but it is a Man in the Middle attack.
http://en.wikipedia.org/wiki/Man-in-the-middle_attack
This is still perpetrated by key loggers, and no method is always 100% secure.
Das es praktisch kein Problem ist, auch diese Art von Sicherheitssystem zu umgehen, ist nichts neues. Stichwort ist hier der sogenannte „Man in the Middle“ Angriff, der die gesendeten Daten empfängt, eine gefälschte Fehlermeldung an den Sender zurück sendet und im Gegenzug seinerseits die korrekten Daten für seine Missbrauchzwecke an den eigentlichen Empfänger weiterleitet.
Zwar gibt es hier noch geringfügige Sicherheitsmechanismen, wie etwa eine begrenzte Dauer des Authenticator-Zahlencodes, jedoch, solange wie der eigentliche Code gültig ist, besteht auch die Gefahr, dass er in falschen Händen missbraucht werden kann. Darum sind Banken mittlerweile im iTan Verfahren dazu übergegangen, nach der Eingabe der Tan noch sogenannte Bestätigungsnummern zurück zusenden, damit erkannt werden kann, ob mit dem Bankrechner kommuniziert wurde. Sollten diese Bestätigungsnummern abweichen, muss natürlich umgehend die Bank informiert werden, um weitere Schritte einzuleiten. So einen Bestätigungsmechanismus gibt es beim Authenticator leider noch nicht.
Durch die begrenzte Dauer der Authenticator-Codes muss der Angreifer allerdings nach einem ganz speziellen Prinzip vorgehen: Er muss direkt mit den empfangenen Daten in die Accountverwaltung und das Passwort ändern und den Authenticator vom Account trennen, da sonst bei der nächsten Eingabe wieder nach einem Authenticator Zahlencode gefragt werden würde, den er Hacker nicht mehr eingeben kann. Nur so stellt er sicher, dass er mit einem neuen Passwort, ohne zusätzliche Authenticator-Eingabe einloggen, und somit den Account leer räumen kann.
Hier wäre der einzige Kritikpunkt, den sich Blizzard gefallen lassen muss: Hätten Sie beim sogenannten „Unattachen“ eines Authenticators, oder generell beim Ändern von Passwörtern, eine zweite Authenticatorabfrage nach dem eigentlichen Einloggen ins BattleNet eingefügt, wären Hacker ausgebremst worden, da der Hacker ja lediglich einen Code empfangen hat und ihm somit der zweite zum Ändern der Daten fehlt.
Eigentliche Schwachstelle ist und bleibt bei „Man in the Middle“ Angriffen jedoch weiterhin der Kundenrechner. Denn weiterhin ist ein Trojaner nötig, um dieses Keylogging zu ermöglichen. Einzige 100%ige Sicherheit würde ein Tokensystem mit Schlüsseldiskette oder Chipkarte, am besten mit ausgelagerter Tastatur (Chipkartenleser Klasse 2 oder höher), bieten, um so Keyloggern gar keine Angriffsfläche mehr zu bieten.
Trotz des vorliegenden Hacks, kann man aber weiterhin davon ausgehen, dass ein WoW-Account mit Authenticator wesentlich sicherer ist, als ein Account ohne Authenticator. Denn mit Authenticator muss der Account binnen Minuten leer geräumt werden, was voraussetzt, das am anderen Ende der Leitung Menschen sitzen, die nur darauf warten, das jemand, der mit dem Virus infiziert ist, endlich beginnt WoW zu spielen. Ohne Authenticator werden die Login Daten einfach gespeichert und können so auch noch Monante später benutzt werden (sofern die Passwörter nicht geändert wurden). Der Aufwand mit Authenticator ist also für den Hacker weit höher, als ohne.
Ich persönliche halte diesen Hack nur für einen Test, da sich das Aufwand/Reward Verhältnis für den Hacker einfach nicht lohnt. Es sei denn, das aus irgendeinem Grund WoW-Accounts mittlerweile mehr wert wären, als Kreditkartennummern und Kontodaten, was ich mir irgendwie nicht vorstellen kann.
Ihr solltet übrigens Eurer System mal nach der Datei emcor.dll durchsuchen, da dies genau der (derzeit einzige) Virus ist, der den Authenticator umgehen kann. Meistens befindet sich dieser Virus im Pfad C:\Users\(Dein User-Name)\AppData\Temp
LunaHexe
1. März 2010 @ 15:03
Meine Verwunderung kommt schon mal daher weil ich das Konzept „keylogger“ nicht verstehe 🙂
Das liegt aber daran daß ich grundsätzlich nicht unter Windows surfe sondern in der Regel unter OSX oder zur Not unter Linux.
Luna
Sleth
1. März 2010 @ 15:18
Wobei auch Apple/Linux und Co. schon lange kein Freifahrtsschein zum sorglosen Surfen mehr sind, denn auch da gibt es Viren und Co. Wer sich dessen nicht bewusst ist, sollte es sich bewusst machen. Ja, es ist SICHERER, aber nicht SICHER. Denn das gibt es im Internet nicht.
LunaHexe
1. März 2010 @ 15:25
Hmmmm … dann zeige mir bitte mal einen Apple Virus der auch funktioniert. Dann kaufe ich mir einen AMIGA-Emulator und surfe unter AMIGA.
Ich glaube standhaft daran daß SICHERES surfen möglich ist 🙂
Luna
Mem
1. März 2010 @ 15:34
Um mal ein bekanntes Sprichwort abzuwandeln: der Preis der Sicherheit ist ewige Wachsamkeit. Und wie schon anderweitig kommentiert. Es gibt keine 100%tige Sicherheit. Weder beim Autofahren noch beim Onlinebanken oder irgendwas anderes, wo der Faktor Mensch und der Faktor Technik aufeinandertreffen.
Sleth
1. März 2010 @ 15:36
http://www.architektenwerk.de/mac_os_viren.html
LunaHexe
1. März 2010 @ 15:40
„Für Mac OS X gibt es seit Erscheinen im Jahr 2000 bis heute keinen einzigen Virus, der sich selbständig installiert und verbreitet.“ steht da.
Für mich hört sich das sicher an …
Luna
Sleth
1. März 2010 @ 15:45
Dann lies mal weiter, Trojaner gibt es 9…
Da Linux und Apple weit weniger verbreitet sind, und es aufgrund der Unix Basis wesentlich schwerer ist Viren dafür zu programmieren, führen diese beiden Tatsachen zu weniger Viren (oder nennen wir es Schadsoftware), die im Umlauf sind, weil sich der Aufwand kaum lohnt. Zudem, nutzen meist auch nur Leute Linux/Apple, die wissen, was sie tun. Ok, zumindest bei Apple geht der Trend dahin, das es ein Modeprodukt wird, was die Virenanfälligkeit in der nächsten Zeit noch nach oben treiben könnte.
LunaHexe
1. März 2010 @ 15:49
Ja aber auch die muss ich manuell installieren und Admin-PW eingeben um sie zu starten …
Also ich sehe da noch immer einen qualitativen Unterschied zu Winblöd 😉
Luna
Crayzii World » Wie zu erwarten
1. März 2010 @ 16:28
[…] goto […]
altaron
1. März 2010 @ 19:22
Hm, du schreibst es sollte noch eine zweite Abfrage im B-Net geben, die gibt es doch? Man muss sogar 2 aufeinanderfolgende Codes eingeben um den Authenticator vom Acc zu trennen.
Sleth
2. März 2010 @ 01:51
Hm, ich könnte fast schwören, das war früher nicht so. Aber wenn das nun so ist, erweckt das noch mehr den Eindruck, dass der Hack fingiert gewesen ist. Keine Ahnung, da müssen soviele zeitliche Faktoren zeitgleich ineinander greifen, damit es funktioniert, das es schon fast zu unwahrscheinlich ist. Klar, ein netter Test ob es generell funktinoniert, aber nichts was in der Realität auch hinhauen würde.
Ramuh
2. März 2010 @ 04:56
Das einzige was ich mir vorstellen kann ist dass der Angreifer eben einmal schnell in den Account einloggen kann und den leerräumen, bis man wieder ausloggt. Sicher nicht so lukrativ wie uneingeschränkte Kontrolle aber offenbar lukrativ genug.
Aber die zeitlichen Spielräume sind doch sehr klein und liegen bei grob 1-2 Minuten. Eben doch der Grund warum die Authenticators den Account sicherer machen.
Eine Möglichkeit seitens Blizzard wäre die Zeit in der Codes als gültig gelten zu verkürzen. Damit verringert sich jedoch der „Komfort“ des Nutzers da er evtl öfter einen Code eingeben muss bis er einen „noch“ gültigen eingegeben hat.
Ich würde das ganze mal noch nicht überbewerten. „Dummheit“ seitens Blizzard wie Luna vorwirft besteht dabei nicht. Abgesehen davon dass er das System garnicht verstanden hat… :>
altaron
2. März 2010 @ 06:43
Wir haben darüber schon bei uns im Gildenforum disskutiert.
Ich denke es gibt nur 2 Möglichkeiten:
entweder ich nutz den einen Code um direkt einzulogen, oder ich warte das der Nutzer mehrere Codes „spamt“ um somit in der Accverwaltung nachhaltig unheil zu stiften (ein Code hält scheinbar nur 30 sek, somit braucht man ungefähr 3-4 für ein Abkoppeln das Authenticators).
die-fahrkarten-bitte.de
4. März 2010 @ 18:38
Blizzard Authenticator: Trojaner emcor.dll hebelt den Schutz aus…
Hackern ist es gelungen den Schutz des Blizzard Authenticators auszuhebeln. Der Trojaner “emcor.dll” macht den Account-Hack mittels “Man in the Middle” Angriff möglich. Der Authenticator bietet daher keinen 100 prozentigen Schut…
WoW Phishing Mails: Wie erkennt man eigentlich Scam Mails? | Five Sec Rule
13. März 2010 @ 03:40
[…] stehen viele Spieler vor dem Scherbenhaufen ihres virtuellen Alter-Egos. Da mittlerweile selbst Accounthacks trotz Blizzard Authenticator aufgetreten sind, bin ich der Meinung, man kann das Thema Accountsicherheit nicht oft genug […]
Ja hab ich
25. April 2010 @ 14:11
Ich warte nurnoch darauf, das es hackern möglich ist an die seriennummer des Tokens(Autenticator) zu kommen. Denn der gültige Code wird aus der Seriennummer und der aktuellen Zeit errechnet. Laut Hersteller Vasco sind die Alogarythmen dazu:
(zitat)
Supported crypto algorithm: DES, 3DES and AES
Supported algorithms:
DIGIPASS time and event based
(zitat ende)
Kurz: Kommt man an die SN kann man seinen eigenen Authenticator programmieren, welcher die selben Codes wie der originale ausspuckt.
Der Blizzard Account ist also nur durch ein weiteres Passort namens „Token Seriennummer“ geschützt (und etwas Mathematik).
Die grosse frage ist jetzt: Wie sicher wird die Token Seriennummer aufbewahrt? Bei einem jeden zuhause, und bei Blizz. Wenn ich mir so angucke, wie sicher die Telekom oder die Schweizer Banken ihre „Stammdaten“ schützen. Und wie viele davon schon zum Verkauf stehen…..
Der Blizz Account wird durch den Authenticator sicherer. Keine Frage. Aber noch LANGE nicht sicher!
Wie schon geschrieben wurde: Jeder Anwender ist selber verantwortlich. Vieren und Trojaner fernzuhalten, seine Passwörter zu schützen und regelmässig zu ändern, Keine 3rd Party Programme verwenden (Fischbot bspw.), Und erst recht seine Accountdaten und Namen nicht an dritte weitergeben (Accounts kaufen, Levelservice etc.).
Das erhöht die Sicherheit noch mehr als ein Authenticator. Ist allerdings auch „komplizierter“. *g*
MfG
Sleth
25. April 2010 @ 17:45
Der DES Standard wird noch Heute von vielen Banken beim HBCI eingesetzt, auch wenn die meisten mittlerweile zum noch sicheren RSA / RDH Verfahren gewechselt sind. Von daher würde ich schon sagen, dass es nicht ganz so leicht ist, mit den Variablen Seriennummer und Datum/Urhzeit einen passgenauen 112 Bit (oder mehr) geschützten Code zu knacken.
geiti
17. Juli 2010 @ 10:37
ich glaube den opfer ist selber schuld! wen der ein jailbreaktes iphone hatte und den als authenticator benutzt hatt ist es sehr einfach an den code zu kommen! wen man den am iphone startet kommt es sogar das wen man den auf ein jailbreakte sbenutzt daten geklaut werden können. darum hatt blizz keine schuld!
wow-sicherheiten
31. Oktober 2010 @ 15:33
Blizzard trägt da auf jeden Fall keine Schuld.
Es steht auch meine ich sogar in der Produktbeschreibung das ein Authenticator
keinen vollkommen Schutz bietet.
Der Authenticator bietet ja doch einen zusätzlichen Schutz aber keinen 100%
Umfrage: Nutzt ihr den Battle.net-Authenticator? - Seite 3 - Das Diablo-3.net Forum - Das beste deutsche Diablo 3 Forum
26. April 2012 @ 18:55
[…] in the Middle“ Angriffe sind wohl das Hauptproblem.. ..siehe hier: Erster Accounthack mit Authenticator – Trojaner emcor.dll ist Schuld | Five Sec Rule ..trotzdem scheint mir so ein Battle.net-Authenticator mittlerweile das derzeit einzig probate […]
Diablo 3 Accountplünderungen - Update und Gegenmassnahmen - Seite 11 - Diablo 3 Forum | inDiablo.de by ingame™
23. Mai 2012 @ 13:03
[…] Erster Accounthack mit Authenticator – Trojaner emcor.dll ist Schuld | Five Sec Rule Wüsste jetzt nicht, warum das nicht auch bei D3-Authentifizierern klappen sollte. […]
D3 Authenticator / Fragen etc. - Seite 2 - Diablo 3 Forum | inDiablo.de by ingame™
2. Juni 2012 @ 13:13
[…] Zitat von Escort @vupes Es gibt keinen belegten Fall, dass jemand trotz Auth. gehackt wurde. . Stimmt so nicht. Es gibt auch Trojaner, die Deine Pin fishen und dann innerhalb der Zeit von 30 sec weitergeben, nachdem Du ihn eingegeben hast. Bei WOW ist das wohl einige Male passiert. Also immer mit dem neuesten Virenscanner arbeiten! http://www.5secrule.de/2010/03/erste…ll-ist-schuld/ […]
RMAH ein Schlechter Witz ? - Seite 3 - Diablo 3 Forum | inDiablo.de by ingame™
15. Juni 2012 @ 10:37
[…] Beleg! es sind immer mal wieder news zu lesen, dass man trotz auth gehacked wurde… Erster Accounthack mit Authenticator – Trojaner emcor.dll ist Schuld | Five Sec Rule die ist nun schon bissle her, letzte war glaub ich: Gehackt trotz Authenticator — WoWszene ich […]