Trotz Authenticator: Blizzard-Account gehackt

Das Ding ist immer noch so sicher wie es vorher war. Schließlich schaltet sich der Keylogger zwischen Nutzer und Blizzard.

Mal eine Frage eines nicht WOW spielenden:

Was machen die Hacker mit den geklauten Accounts? Wenn die die verkaufen sieht man doch von wem der Account ursprünglich war oder?

Wie unfähig sind die Nasen von Blizzard eigentlich wenn die es nicht einmal schaffen ein sauberes TAN System zu installieren ?

Versteht überhaupt einer was das für ein Hack war?

Da war ein Programm auf dem Rechner welches alles was eingetippt und gesendet wird aufzeichnet. Mit so einem bekommt man auch die Tan zu sehen wenn sich jemand auf seiner eigenen Bank einloggt und diese dort eingibt.

Da kann man tun was man will, außer nicht mehr WOW zocken. So keine zeit mehr zum schreiben meine Jägerin 57 wartet auch mich ^^

Dass es ein WoW-Suchti nur mit Mühe versteht war ja klar :P

Eine TAN ist ein System das einen Wert generiert der nur 1x verwendbar ist. Den kann der Keylogger gerne aufzeichnen der ist durch die Verwendung schon unbrauchbar für den Keylogger.

Dafür kann ja Blizzard nichts, wenn der User seinen Rechner nicht sauber hält.

@Nekromanzer: Aber wenn man genug Codes abfängt, dann kann man doch sicher mit etwas Mühe den algorhythmus knacken und sich so ein eigenen Key erstellen, oder?

@earlhickey: Er verkauft alle Gegenstände und schickt sich das Gold zu, was er dann für echtes Geld versteigert.

@Nekromanzer: So oft wie sich Hardcore-Spieler da pro Tag einloggen müssten das aber ganz schön lange Tan-Listen sein.

@Thema: Er muss mit den abgefangen Daten ja auch noch den Algorithmus des Authenticators herausbekommen haben, wenn es wirklich nur ein Keylogger war.

Nö der Keylogger zeichnet das Ding auf gaukelt dem Benutzer vor die Eingabe sei falsch, dadurch ist die Tan noch aktiv und kann weiterverwendet werden weil der Benutzer eine neue eingibt und sich keinen Kopf drum macht.

Da hier aber wohl ein Tan Generator eingesetzt wurde sind die Tans wohl nur eine kurze Zeit gültig. Das heisst der Keylogger wird wohl die Tan benutzen um das Passwort zu ändern oder sonstiges.

Da bringt aufzeichnen wenig, aber Blizzard unfähigkeit vorzuwerfen ist schon dumm. Banken können sich davor einigermaßen schützen indem die Tan Daten zum Betrag und zur Empfängernummer beinhalten. Bei Wow Accounts wird das schon schwerer, da man sowas dort nicht hat.

Wie soll man es sicherer Machen? Alle konzepte die Man in the Middle bei Banken verhindern sollen setzen darauf das nur der Nutzer die Tan generieren kann(hier gegeben) und die Tan nur für eine Konto/Geldbetragkombination funktioniert.

Selbst wenn die Tan nur 30 Sekunden gilt reicht das dem Programm um Passwort und eventuell Mail Addy zu ändern. Bis der Blizzsupport reagiert dürfte alles weg sein.

Sicher ist immernoch Brain.exe. Der Typ muss was dummes getan haben um sich das Ding einzufangen.

@earlhickey
Tja das ist eine Frage, vllt Plündern und gegenstände Verkaufen oder sonst was. Solange es Idioten gibt die dafür reales Geld hinblättern wird sowas immer weitergehen.

des Authentifikators ist noch ca. 30 Sekunden gültig und wird ja auch erstmal nicht "verbraucht", da dieser den echten Blizzardserver nie erreicht. Diese ca. 30 Sekunden hat der Hacker um sich in den Account einzuloggen.

Die TAN-Liste existiert nicht auf Papier. Die jeweilige TAN wird entweder per SMS von Blizzard auf das Spieler-Handy geschickt oder an ein Hardwaregerät das die Suchties an den USB-Port ihres Computers stecken.

Also das gesamte System ist "an sich" relativ sicher gegen Hacks - wenn man es denn sauber und fehlerfrei programmiert. Was Blizzard scheinbar nicht gelungen ist :P

So wie du glaubst arbeitet das System nicht, es gibt keine Verbindung zu einem Server, weder per SMS noch USB oder sonstwie. Das ganze arbeitet mit der Seriennummer des Gerätes (welche bei Blizz mit dem Account verbunden wird) und einer internen Uhr.

Ok, wenn die Nummer nicht nur geloggt wird (wie "Keylogger" ja suggeriert), dann geht es natürlich auch so.

@Nekromanzer: Da bestände dann aber exakt das gleiche Problem wie bei den Authenticator-Codes, wenn der Benutzer zu blöd ist seinen PC frei von "Keyloggern" zu halten, die eine Falscheingabe vortäuschen.

Edit: Hat cvzone schon erklärt. Solche Authenticators werden übrigens auch in der Industrie benutzt, also nichts "dummes Blizzard".

[ nachträglich editiert von cheetah181 ]

ganz intelligent deine Ansicht, aber wenn alles über den Rechner des Hackers läuft, der dann die daten abfängt um dann im nächsten moment die daten für sich zu verwenden, so schon 100e mal geschehen bei Onlinebanking. Da kann man nichts gegen machen ausser äußerst vorsichtig sein, selbst dann läuft man noch in gefahr solcher Attacken.....

weiter meine wimmelbilder mit meinem Sohn

WoW ist was für Hartz 4

Alles wird gut


der Micha

also 1. bringt da ne tanliste nix, weil der man-in-the-middle die frische tan ja serviert bekommt, der authenticator ist da die elegantere lösung, und da müsste man echt jede woche eine zugeschickt bekommen, sooft wie man einloggt...

und 2. gibs da imho ne lücke bei blizz, der temp-key den der authenticator ausspuckt bleibt mehrmals gültig, kann also 30s lang verwendet werden um pw und email zu ändern, was sogar ohne script per hand schaffbar ist ^^ des müsste man mal auf 1x runtersetzen, ist ja egal das man dann nur noch alle 30s einloggen kann....

jm2p Zeph

PS: blizz sollte mal ne sicherheitstastatur für den authenticator-code in nem window einbauen, und zwar eine die ned so laggt wie bei cabal online...

Ich wage zu bezweifeln das du überhaupt verstehst was da passiert ist geschweige denn wie der Authentificator funktioniert.

Eine Man in the Middle Attacke ist sehr aufwändig da der Key nur eine gewisse Zeit gültig ist. Das heißt es muss jemand da sein der sich sofort einloggen kann um die Manipulationen am Account des Spielers vorzunehmen. Die Manipulation im Battle.net kann das Tool noch selbstständig machen, aber die Chars des Spielers ausräumen ist schon sehr kompliziert. Der Aufwand rechnet sich nicht, da diese Tools in der Regel extrem teuer sind. Selbst bei 40.000g macht man rund 300 Euro und es besteht die Gefahr dass das Gold gelöscht wird bevor der Verkauf über die Bühne geht.

So nun zu dem Token selbst, es ist ein simpler RSA Key Generator. Einige werden jetzt wegen dem simpel winseln und was erzählen davon das Blizz die Leute mit dem Teil nur ausnehmen will. Mit diesen simplen Teilen sind ein Großteil der Sicherheitsbereiche von Firmen abgesichert. Meines Wissens auch Entwicklungsabteilungen von Fahrzeugherstellern wie BMW oder Mercedes. Also nichts mit unsicher.

Das System funktioniert nach einem relativ einfachen Schema, ist aber wie alle asynchrone Kryptografie schwer wieder zu entschlüsseln. Ganz simpel baut das System auf 4 Teilen auf, einer Uhr, dem Algorithmus und der Seriennummer des Token so wie dem Server auf der die Eingaben prüft. Wenn man rein will fragt die Software nach einem PIN Code, den bekommt man in dem man an dem Token auf den Knopf drückt.Diesen Code gibt man ein und der Server generiert auch einen Code anhand der hinterlegten Werte. Steht der Code in der Tabelle die der Server generiert darf man rein, sonst nicht. Wie lange so ein Code gültig ist kommt auf den Betreiber an, in der Regel sind es aber 60 Sekunden. Die Uhr des Tokens wird von außen nicht synchronisiert und gibt auch keine Uhrzeit aus sondern zählt die Sekunden seit dem Einschalten des Tokens.
Da sich die Uhr im Server und die des Tokens nicht syncen macht der Server ein Anpassungsverfahren um seine Uhr für das Token zu kalibrieren, er generiert mehrere Nummern aus verschiedenen Zeitfenstern vor und nach der aktuellen Uhrzeit und kann so falsch gehende Uhren ausgleiche in dem er sich die Abweichungen merkt und damit das Token betriebsbereit hält.

TAN Listen würden nichts bringen das sie bei einer MitM Attack auch abgefangen werden und verwendet werden können. Mobile TAN wäre viel zu teuer. Blizz bietet das Token derzeit portokostenfrei an in seinem Shop. Es ist meiner Meinung nach immer noch das Sicherste was man machen kann. Aber es gilt die alte Informatikerregel 98% aller Computerprobleme sitzen zwischen Monitor und Rückenlehne.

Ach ja Nekro, jeden WoW Spieler als Suchtie zu bezeichnen spricht nicht von besonderer geistiger Reife. Bist wohl so ein kleines Kiddie das keiner mit in eine Ini nehmen wollte und versucht jetzt das zu kompensieren. [/sarkasmus]

Kaspersky hat eine virtuelle Tastatur, bei der Keylogger umsonst auf Tastenanschläge warten. Wenn man dann zusätzlich nicht auf jeden Link in Foren oder Emails klickt und mit der virtuellen Tastatur sein PW eingibt könnte man sich den Authenticator vielleicht sogar gleich sparen.

???

wie war das mit dem sack reis in china?