Man-in-the-middle attack auf Blizzard Authenticator

Letztes Wochenende wurde die erste erfolgreiche Man-in-the-middle attack auf Blizzards Authenticator bekannt. Ein WoW-Spieler meldete im Forum einen Account-Hack, der trotz Verwendung des Authenticators erfolgte.

Den Authenticator führte Blizzard vor geraumer Zeit ein, um das weit verbreitete Ausspähen von Accountdaten der World of Warcraft-Spieler zu erschweren und so für mehr Sicherheit zu sorgen. Beim Authenticator handelt es sich um ein bedrucktes DIGIPASS GO 6 von Vasco, einem belgischen Hersteller. Er generiert abhängig von der aktuellen Zeit One-time Passwörter, also Passwörter, die exakt 1 Mal innerhalb eines bestimmten Zeitfensters gültig sind. Das eigentliche Zeitfenster, innerhalb dessen das OTP gültig ist,  ist ungefähr 30 Sekunden groß. Um dieses Zeitfenster herum existiert ein weiteres, etwas größeres Zeitfenster, in dem das OTP nicht mehr gültig ist, aber dennoch akzeptiert wird. Letzteres Zeitfenster hat den Zweck, auch Token, deren interne Uhr nicht ganz genau läuft, verwenden zu können. Auftretende Abweichungen der internen Uhr werden so vom Server erkannt und kompensiert.

Die Gültigkeit eines OTP verfällt automatisch, sobald der generierte Code einmal verwendet wurde. Dies erschwert das Ausspähen von Daten enorm, kann es aber nie ganz verhindern. Üblicherweise werden Accountdaten durch Keylogger ausgespäht, die sich auf dem Rechner des Opfers befinden. Bei der Verwendung statischer Kennwörter gestaltet sich das recht einfach: Die Daten werden ausgespäht, an den Angreifer gesendet und dieser hat nun alle Zeit der Welt, die Accountdaten zu benutzen.

Durch die Verwendung von OTPs wird dieser Vorgang für einen Angreifer erheblich aufwändiger. Zum Einen muss hierbei eine Reaktion durch den Angreifer nahezu in Echtzeit erfolgen, da, wie oben beschrieben, die Gültigkeitsdauer eines OTPs nur wenige Minuten beträgt. Zudem muss der Angreifer verhindern, dass das OTP zum Server gesendet werden kann, da anderenfalls das OTP ungültig würde.

Diese Methoden sind nicht neu, die Gefahr eines solchen Angriffs ist seit langem bekannt und keinesfalls auf Token des Herstellers Vasco beschränkt, alle Token basieren letztlich auf dem gleichen Grundprinzip. Hier irgendeine Verantwortlichkeit beim Hersteller zu suchen wäre also keinesfalls gerechtfertigt. Letztlich bleibt bei jeder Sicherheitsvorkehrung immer ein gewisses Restrisiko erhalten.

Neu ist hingegen, dass ein solcher Angriff erstmalig von einem WoW-Spieler beobachtet werden konnte (musste). Der Spieler versuchte, sich mit seinen Accountdaten und dem OTP im Spiel anzumelden. Unmittelbar nachdem er das OTP eingegeben hatte, crashte der WoW-Client. Und genau in diesem Moment reagierte der Angreifer und loggte sich mit den gerade eben ausgespähten Daten ein. Das deutet darauf hin, dass der eingesetzte Keylogger in Echtzeit kommuniziert. Zudem scheint er die weitere Anmeldung des Spielers zu verhindern, denn Zarakiteque schreibt in seinem Beitrag, dass er sich nach diesem Crash nicht mehr einloggen konnte. Dies gelang ihm erst dann wieder, nachdem er den vermutlichen Schädling auf seinem System identifiziert und unschädlich gemacht hatte. In seinem Fall handelte es sich um eine Datei namens emcor.dll, die sich in seinem Appdata/Temp-Verzeichnis befand.

Blizzard hat inzwischen bestätigt, dass es sich hierbei um eine Man-in-the-middle attack handeln muss und untersucht den Fall, weitere Informationen wird es sicherlich in naher Zukunft geben. Interessant finde ich, dass es sich hierbei offenbar um einen recht neuen Schädling handelt, Virenscanner entdeckten ihn noch nicht und via Google konnte der Spieler nur wenige Tage alte Informationen im Web finden (aktuell führen nahezu alle Suchergebnisse bei einer Suche nach emcor.dll zu Beschreibungen dieses Vorfalls).

Der Fall führt wieder deutlich vor Augen, dass jegliche Sicherheitsvorkehrungen auch umgangen werden können. Es wird sicherlich nie eine Lösung geben, die das Ausspähen von Logindaten (und die anschließende Nutzung) vollkommen verhindern kann. Jede Lösung wird letztlich nur den Aufwand erhöhen, der von einem Angreifer betrieben werden muss. Wenn der Aufwand irgendwann den Nutzen übersteigt, wird ein Angriff möglicherweise uninteressant.

Auch wenn ich es weiter oben bereits schrieb, möchte ich abschließend trotzdem noch einmal darauf hinweisen, dass für derartige Angriffe nicht allein die Produkte des Herstellers Vasco anfällig sind. Die Angriffe sind auch bei Token von RSA oder anderen Herstellern möglich. Vasco steht allein deshalb nun im Rampenlicht, weil dessen Produkte von Blizzard eingesetzt werden. Die Funktionsweise derartiger Token ist immer identisch, demzufolge funktioniert exakt diese hier eingesetzte Methode auch in der Praxis mit jedem beliebigen OTP-Generator sämtlicher Hersteller. Vasco ist hier also kein Vorwurf zu machen.

Dumm wäre es jetzt, OTPs generell abzulehnen, wie es in manchen Foren bereits geschieht. Auch wenn ein Angriff möglich bleibt: Er ist wesentlich schwieriger und mit höherem Aufwand durchführbar, als wenn allein Benutzername und Kennwort genutzt würden. Die Verwendung von OTPs erhöht in jedem Fall die Sicherheit, auch wenn sie Angriffe nicht vollends ausschließen kann. Hier ist (wieder einmal) der Anwender gefragt, der genügend Aufmerksamkeit und zusätzliche Absicherungen aufbringen muss, um das Einnisten eines Schädlings zu vermeiden. Sich allein auf die Verwendung einer bestimmten Maßnahme zu verlassen, reicht eben nicht.

Im übrigen setzen auch Paypal und eBay die Token von Vasco ein, diverse Banken nutzen sie ebenfalls und an vielen Stellen werden Lösungen von RSA eingesetzt. Ich bin gespannt, wann hier die ersten vergleichbaren Vorfälle bekannt werden.

Tags: , , , , , , ,

Mehr Sicherheit für World of Warcraft

Keylogger sind ein großes Problem für alle Online-Games bzw. deren Spieler. Die Geschäfte mit Ingame-Gold florieren und der Markt will bedient werden, daher bedienen sich die „Lieferanten“ diverser Tricks, um mit möglichst wenig Aufwand an das virtuelle Zahlungsmittel zu gelangen, welches dann wiederum in bare Münze verwandelt werden soll. Dafür werden dann gern auch schon mal ganze Chargen von Festplatten oder USB-Sticks mit einem Virus ausgeliefert, der dann für diverse Online-Games per Keylogging die Anmeldedaten einsammeln soll.

Blizzard geht nun einen in meinen Augen sehr eleganten Weg, um seine Kunden zu schützen: Sie bieten in Zukunft die Möglichkeit, optional einen Token für die Benutzerauthentisierung zu erwerben. Dieser generiert ein OTP (One Time Password), welches zusätzlich zu den Anmeldeinformationen eingegeben werden muss. Die Token sind dem jeweiligen Account fest zugeordnet und jedes durch diese Token generierte Passwort ist genau ein einziges Mal gültig, Keylogger werden somit ausgehebelt. Selbst wenn nun jemand Anmeldeinformationen mitschneiden kann – das OTP ist inzwischen ungültig und somit klappt die Anmeldung nicht mehr. Dieses Verfahren ist nicht neu, ich selbst habe es schon unzählige Male bei Kunden implementiert und auch für eBay gibt es seit einiger Zeit Token. Lobenswert finde ich aber, dass ein Hersteller eines Online-Games nun diese Möglichkeit für seine Kunden bietet. Sicher, auch OTPs sind nicht die ultimative und unknackbare Lösung, ein gewisses Restrisiko bleibt immer. Aber für mich ein erwähnenswerter Schritt, der den Kunden zudem gerade mal 6,50$ kosten soll.

Ob, wann und zu welchem Preis diese Token auch für deutsche Spieler verfügbar sein werden konnte ich auf die Schnelle nicht feststellen, ich glaube aber nicht, dass Blizzard diese Lösung nur auf den amerikanischen Markt beschränken wird.

Update: Der Token soll in Europa für 6 Euro verfügbar sein lese ich gerade

Update 2: Inzwischen ist auch die deutsche Version der FAQ verfügbar. Blizzard wird den Token unter der Bezeichnung Blizzard Authenticator demnächst über den Blizzard Shop vertreiben.

Tags: , , , , ,

Sehr geehrter Herr Blizzard!

Den folgenden Text hab ich original so im Blizzard-Forum gefunden. Da ist nichts geschönt oder verändert. Ja, auch das S fehlt im Original am Anfang. Made my day…

ehr geehrter Herr Blizzard,

ich habe heute auf einen ihr testealms gespielt und musste feststellen das sie und ihre mitarbeite vollkommen hurnenkinder sind um es mal mild auszudrücken. wir haben uns zunächst mal ein arena team gemacht was uns eine halbe std kostet weil ihre ver#%#@ten scheiss tucken mitarbeiter das ding zum anmelden einer arenagruppe nicht in if reinstellen können.

als wir dann endlich fertig waren is dann natürlich der scheiss ver#%#@t drecks server abgekackt der bei irgendwelchen scheiss bangads im keller ist und nicht gepflegt wird ich mein mit eurem einkommen könnt ihr dich in normale server investieren oda nicht. ok egal nach erneutem einlioggen mussten wir uns durch die ganze verschissene stadt laggen damit wir mal zum ver#%#@ten goblin anmelder kommen als wir angekommen waren musst wir 4-5 mal erneut anmelden weil das kack zeichen ned gekommen is.

so zeichen is da und cih wollte noch paar vanish pulver kaufen was los in ganz ver#%#@t ironforge gibt es nur einen scheiss verschwitzten gifte verkäufer und dann kam auch die anmeldeung und ich konnte mir nur 10 stk kaufen. drinnen angekommen im bg gab es mal 10 sek standbild weil server wieder mal überlastet sind. durchgebufft und countdown abwartetn heißt es nun.

türen sind offen und wir sehen die ersten gegener ein netter warlock mit eigenen char rennt uns mit 20k hp entgegen und lächelt uns an ein warri charged meinen scheiss pala kumpel kurz am rande pala sind so stark wie mister satan herr blizz merken sie sich das ok wie gesagt warri charged und mach gleich mal nen 5k ms crit rein und freut sich.

so ich udn mein mage kollege focusen den scheiss wl und hauen rauf was geht TACK SCHLIZ PUFF kommt ein dudu ausm stealth und gibt ihm einen hot VOLLGEMERKT EINEN VER#%#@TEN HOT und dieser heilt den wl wieder vollständeig wir versuchen statt dem warlock nun auf den dudu zu gehen doch vergeblich weil diese ja bei gestalt switch aus ALLEM KOMMEN auch wenn SONGOKU SIE GRADE ANAL NEHMEN WÜRDE SIe können sich los reisen das gleiche giltet auch für nierenhieb 5 combopoint knisehenprocc und sontigen leckereien der warri wird nebenbei mit blenden udn sheep auf trap gehalten als es dann endlich geschafft war den dudu unter 50% zu bringen kommt ein wl fear und dudu hot durch UND DAS GAME IS VORBEI HERR BLIZZARD VERSEHEN SIE SIE VER#%#@TER #!@!N SOHN DA KOMMT EIN SCHEISS HOT DURCH UND ES IS VORBEI dreckiges unbalancdeds game was von satan persönlcih erschaffen wurde um chinesen auszubeutet und in die hölle zuholen danke SEHR DANKE HERR BLIZZARD

Tags: , , ,

Starcraft 2 Trailer

Selbstverständlich gibt es den Trailer für Starcraft II bereits bei Youtube…

Allerdings: Es lohnt sich definitiv, den knapp 70MB großen Trailer hochauflösend von Blizzards Starcraft 2 Seite herunter zu laden. Blizzards Videos fand ich schon immer hervorragend, um nicht zu sagen: geil!

Tags: , , , ,