Die neue Erweiterung „Mists of Pandaria“ wird demnächst für World of Warcraft verfügbar sein und wie gewohnt gibt es von Blizzard einen hervorragenden Trailer dafür.

Das Spiel selbst reizt mich überhaupt nicht mehr, die Luft ist für mich raus, schon seit einiger Zeit. Aber der Trailer ist wie immer eindrucksvoll.

Nachdem Blizzards Idee, in den Foren nur noch Realnamen zuzulassen auf harsche Kritik in der Community gestoßen ist (allein im deutschen Forum über 600 Seiten mit überwiegend sehr kritischen Antworten), macht Blizzard nun den Rückzieher.

Mike Morhaime, CEO und Mitgründer von Blizzard, schreibt in einem offenen Brief:

„Ich möchte mit euch allen über unseren Wunsch sprechen, die Blizzard-Foren zu einem besseren Ort für Diskussionen über unsere Spiele zu machen. Wir sind kontinuierlich durch euer Feedback gegangen und haben untereinander eure Bedenken bezüglich der Nutzung realer Namen in den Foren besprochen. Wir haben zu diesem Zeitpunkt entschieden, dass es nicht nötig sein wird, reale Namen für das Verfassen von Beiträgen in den offiziellen Blizzard-Foren zu nutzen.“

Nun, die Bedenken der Community wurden offensichtlich einmal ernst genommen. Und sicherlich wird der Hinweis, was man so alles über Blizzard-Mitarbeiter im Netz finden kann, wenn man denn ihren richtigen Namen kennt, hier bei der Entscheidungsfindung keinen geringen Anteil gehabt haben. Neben der Tatsache, dass es wenig Sinn für ein Unternehmen macht, so eine große Zahl der Menschen gegen sich aufzubringen, die einem letztlich das Gehalt zahlen.

Was bleiben wird ist die RealID, der richtige Name jedes Spielers wird also weiterhin Freunden und deren Freunden im Battle.net angezeigt und nach wie vor ist nicht vermeidbar, dass Freunde und deren Freunde über jede Eurer Aktionen in einem Blizzard-Spiel genauestens informiert sind. Hier ist meiner Meinung nach definitiv ein OptIn-Verfahren erforderlich. Ich will selbst entscheiden, ob Freunde meiner Freunde erfahren dürfen, wer ich bin und ich will selbst entscheiden, ob jemand wissen soll, was ich wann in welchem Spiel tue.

Es ist also nicht komplett ausgestanden, das war lediglich ein Teilerfolg, wenn auch ein wichtiger. Und das obwohl „zu diesem Zeitpunkt“ durchaus danach klingt, als wolle man sich diese Option offen halten.

Manchmal frage ich mich tatsächlich, weshalb eigentlich immer wieder Unternehmen meinen, auf den Social Media-Zug aufspringen zu müssen. Jüngstes (und für mich herausragend negatives) Beispiel ist Blizzard.

Begonnen hat das Ganze mit den Character-Aktivitäten für World of Warcraft-Spieler. Eine Menge von dem, was der Character eines Spieles online veranstaltet hat, lässt sich im Arsenal nachvollziehen, auf Wunsch sogar per RSS-Feed. Ganz ehrlich: Muss ich nicht haben. Aber das war nur der Anfang…

Wesentlich tiefgreifender finde ich das, was Blizzard mit dem neuen Battle.net Freundschaftssystem einführt:

• Richtige Namen für Freunde Eure Freunde erscheinen unter ihrem richtigen Namen auf eurer Freundesliste, zusammen mit allen Charakteren, die sie spielen. Vorbei sind die Tage, an denen ihr euch merken musstet, welcher Freund welcher ist. Ihr seht die richtigen Namen eurer Freunde auch dann, wenn ihr chattet, im Spiel kommuniziert oder deren Charakterprofile betrachtet.
• Spieleübergreifender Chat Mit dem Freundschaftssystem könnt ihr in allen unterstützten Blizzard-Spielen Spiel-, Realm- und Fraktionsübergreifend mit euren Freunden chatten. Ihr befindet euch in World of Warcraft und sucht nach weiteren Spielern für euren Eiskronenzitadelle-Schlachtzug? Werft einen Blick auf eure Freundesliste, überprüft wer online ist und ihr findet mit Sicherheit einige Gildenmitglieder, die gerade ein gewertetes 2v2-Match in StarCraft II spielen. Mit dem Freundschaftssystem könnt ihr sie leicht erreichen und einladen.
• „Rich presence“-Technologie In eurer Freundesliste stehen euch weitere Informationen über eure Freunde zur Verfügung. Findet heraus, was sie gerade machen sowie welche Spiele und Modes sie gerade spielen, all das in Echtzeit. Ladet den Kumpel, der grade in Dalaran herumsitzt, dazu ein, StarCraft II zu spielen, ohne befürchten zu müssen, dass ihr ihn bei einem Schlachtzug oder einem heißen Gefecht um Tausendwinter stört.
• Seht alle Charaktere eurer Freunde Wenn ihr zustimmt, im Freundschaftssystem mit einem anderen Spieler befreundet zu seine, könnt ihr beide anschließend automatisch jeweils alle Charaktere des anderen in eurer Liste sehen. Dies gilt auch für alle Charaktere, die beide in zukünftigen Blizzard-Spielen erstellen werden, damit verbessert ihr euer soziales Netzwerk und bleibt immer in Verbindung mit den Leuten, mit denen ihr gerne zusammen spielt.

Im Klartext heißt das: Spieler, die auf meiner Freundesliste stehen, wissen alles über mich. Meinen vollen Vor- und Nachnamen, wann ich mit welchem Character in welchem Spiel auf welchem Server online bin und so weiter. Man wird also in Zukunft sehr genau überlegen, wen man auf seiner Freundesliste haben möchte. Privatsphäre ist gelaufen, mal einfach just for fun unerkannt mit einem kleinen Char questen geht nicht mehr. Selbst in einem anderen (Blizzard-) Spiel kann man sich nicht mehr verstecken. In meinen Augen ein Unding. Daher gibts nur eine Konsequenz für mich: eine leere Freundesliste.

Die Krone setzt Blizzard dem Ganzen nun mit seiner gestrigen Ankündigung auf:

„Die erste und wichtigste Änderung ist, dass in naher Zukunft alle Teilnehmer in den offiziellen Blizzard-Foren ihre Beiträge und Antworten mit ihrem richtigen Vor- und Nachnamen verfassen werden. Zusätzlich werden sie die Möglichkeit haben, auch den Namen ihres Hauptcharakters anzeigen zu lassen. Diese Änderung wird zunächst in allen StarCraft II-Foren in Kraft treten, wenn die neue Community-Seite vor dem Erscheinen des Spiels am 27. Juli veröffentlicht wird. Die World of Warcraft-Seite und die zugehörigen Foren werden folgen, wenn das Erscheinen von Cataclysm näher rückt. Bestimmte klassische Foren, wie zum Beispiel die klassischen Battle.net-Foren, werden unverändert bleiben.“

Vielen Dank, das muss ich nicht haben. Mach’s gut Blizzard-Forum, wir hatten eine schöne Zeit. Aber meinen kompletten Namen möchte ich definitiv NICHT im Forum lesen, daher werde ich maximal noch passiver Konsument sein, wenn es denn in Zukunft noch groß etwas zu konsumieren geben wird.

Letztes Wochenende wurde die erste erfolgreiche Man-in-the-middle attack auf Blizzards Authenticator bekannt. Ein WoW-Spieler meldete im Forum einen Account-Hack, der trotz Verwendung des Authenticators erfolgte.

Den Authenticator führte Blizzard vor geraumer Zeit ein, um das weit verbreitete Ausspähen von Accountdaten der World of Warcraft-Spieler zu erschweren und so für mehr Sicherheit zu sorgen. Beim Authenticator handelt es sich um ein bedrucktes DIGIPASS GO 6 von Vasco, einem belgischen Hersteller. Er generiert abhängig von der aktuellen Zeit One-time Passwörter, also Passwörter, die exakt 1 Mal innerhalb eines bestimmten Zeitfensters gültig sind. Das eigentliche Zeitfenster, innerhalb dessen das OTP gültig ist,  ist ungefähr 30 Sekunden groß. Um dieses Zeitfenster herum existiert ein weiteres, etwas größeres Zeitfenster, in dem das OTP nicht mehr gültig ist, aber dennoch akzeptiert wird. Letzteres Zeitfenster hat den Zweck, auch Token, deren interne Uhr nicht ganz genau läuft, verwenden zu können. Auftretende Abweichungen der internen Uhr werden so vom Server erkannt und kompensiert.

Die Gültigkeit eines OTP verfällt automatisch, sobald der generierte Code einmal verwendet wurde. Dies erschwert das Ausspähen von Daten enorm, kann es aber nie ganz verhindern. Üblicherweise werden Accountdaten durch Keylogger ausgespäht, die sich auf dem Rechner des Opfers befinden. Bei der Verwendung statischer Kennwörter gestaltet sich das recht einfach: Die Daten werden ausgespäht, an den Angreifer gesendet und dieser hat nun alle Zeit der Welt, die Accountdaten zu benutzen.

Durch die Verwendung von OTPs wird dieser Vorgang für einen Angreifer erheblich aufwändiger. Zum Einen muss hierbei eine Reaktion durch den Angreifer nahezu in Echtzeit erfolgen, da, wie oben beschrieben, die Gültigkeitsdauer eines OTPs nur wenige Minuten beträgt. Zudem muss der Angreifer verhindern, dass das OTP zum Server gesendet werden kann, da anderenfalls das OTP ungültig würde.

Diese Methoden sind nicht neu, die Gefahr eines solchen Angriffs ist seit langem bekannt und keinesfalls auf Token des Herstellers Vasco beschränkt, alle Token basieren letztlich auf dem gleichen Grundprinzip. Hier irgendeine Verantwortlichkeit beim Hersteller zu suchen wäre also keinesfalls gerechtfertigt. Letztlich bleibt bei jeder Sicherheitsvorkehrung immer ein gewisses Restrisiko erhalten.

Neu ist hingegen, dass ein solcher Angriff erstmalig von einem WoW-Spieler beobachtet werden konnte (musste). Der Spieler versuchte, sich mit seinen Accountdaten und dem OTP im Spiel anzumelden. Unmittelbar nachdem er das OTP eingegeben hatte, crashte der WoW-Client. Und genau in diesem Moment reagierte der Angreifer und loggte sich mit den gerade eben ausgespähten Daten ein. Das deutet darauf hin, dass der eingesetzte Keylogger in Echtzeit kommuniziert. Zudem scheint er die weitere Anmeldung des Spielers zu verhindern, denn Zarakiteque schreibt in seinem Beitrag, dass er sich nach diesem Crash nicht mehr einloggen konnte. Dies gelang ihm erst dann wieder, nachdem er den vermutlichen Schädling auf seinem System identifiziert und unschädlich gemacht hatte. In seinem Fall handelte es sich um eine Datei namens emcor.dll, die sich in seinem Appdata/Temp-Verzeichnis befand.

Blizzard hat inzwischen bestätigt, dass es sich hierbei um eine Man-in-the-middle attack handeln muss und untersucht den Fall, weitere Informationen wird es sicherlich in naher Zukunft geben. Interessant finde ich, dass es sich hierbei offenbar um einen recht neuen Schädling handelt, Virenscanner entdeckten ihn noch nicht und via Google konnte der Spieler nur wenige Tage alte Informationen im Web finden (aktuell führen nahezu alle Suchergebnisse bei einer Suche nach emcor.dll zu Beschreibungen dieses Vorfalls).

Der Fall führt wieder deutlich vor Augen, dass jegliche Sicherheitsvorkehrungen auch umgangen werden können. Es wird sicherlich nie eine Lösung geben, die das Ausspähen von Logindaten (und die anschließende Nutzung) vollkommen verhindern kann. Jede Lösung wird letztlich nur den Aufwand erhöhen, der von einem Angreifer betrieben werden muss. Wenn der Aufwand irgendwann den Nutzen übersteigt, wird ein Angriff möglicherweise uninteressant.

Auch wenn ich es weiter oben bereits schrieb, möchte ich abschließend trotzdem noch einmal darauf hinweisen, dass für derartige Angriffe nicht allein die Produkte des Herstellers Vasco anfällig sind. Die Angriffe sind auch bei Token von RSA oder anderen Herstellern möglich. Vasco steht allein deshalb nun im Rampenlicht, weil dessen Produkte von Blizzard eingesetzt werden. Die Funktionsweise derartiger Token ist immer identisch, demzufolge funktioniert exakt diese hier eingesetzte Methode auch in der Praxis mit jedem beliebigen OTP-Generator sämtlicher Hersteller. Vasco ist hier also kein Vorwurf zu machen.

Dumm wäre es jetzt, OTPs generell abzulehnen, wie es in manchen Foren bereits geschieht. Auch wenn ein Angriff möglich bleibt: Er ist wesentlich schwieriger und mit höherem Aufwand durchführbar, als wenn allein Benutzername und Kennwort genutzt würden. Die Verwendung von OTPs erhöht in jedem Fall die Sicherheit, auch wenn sie Angriffe nicht vollends ausschließen kann. Hier ist (wieder einmal) der Anwender gefragt, der genügend Aufmerksamkeit und zusätzliche Absicherungen aufbringen muss, um das Einnisten eines Schädlings zu vermeiden. Sich allein auf die Verwendung einer bestimmten Maßnahme zu verlassen, reicht eben nicht.

Im übrigen setzen auch Paypal und eBay die Token von Vasco ein, diverse Banken nutzen sie ebenfalls und an vielen Stellen werden Lösungen von RSA eingesetzt. Ich bin gespannt, wann hier die ersten vergleichbaren Vorfälle bekannt werden.