Ich halte die Meldungen über irgendwelche Möglichkeiten die angebliche "Session-ID" zu übernehmen für ausgemachten Schwachsinn. Ich konnte dazu keinen einzigen auch nur annähernd geeigneten Beleg finden, weder für D3, noch für WoW (wo das angeblich mit Kalender-Invites zusammengebracht wurde).
Es spricht in meinen Augen sogar alles dagegen, dass das überhaupt funktionieren kann. Vor ein paar Jahren (allerdings noch bevor es den Battle.net-Login für WoW gab), habe ich mir explizit mal den Quellcode für Mangos (WoW-Server-Emulator) angeschaut. Die Login-Passwortprüfung erfolgte mittels SRP-6 und der dabei erzeugte Session-Key wurde anschließend genutzt, um die ersten Bytes jedes übertragenen Paketes zu verschlüsseln und damit zu authentisieren. Der Schlüssel ist ausschließlich dem Server und dem Client bekannt, wird nur für diese eine Verbindung verwendet und wird nicht an andere übertragen. Eine Session kapern zu wollen klappt also nicht, weil ein Dritter nicht in Besitz dieses Schlüssels kommen kann (ohne einen Trojaner bei einer der beiden beteiligten Parteien zu installieren).
Das ist jetzt zwar schon ein paar Jahre her, ich kann mir aber kaum vorstellen, dass Blizzard im Rahmen der Battle.net-Umstellung von WoW bzw. jetzt im Rahmen von D3 dieses Verfahren geschwächt hat.
Ich halte einen Trojaner bei den Opfern für die wesentlich wahrscheinlichere Ursache derartiger Probleme. Der liest Benutzername / Passwort und ggf. den aktuellen Authenticator-Code aus, blockiert anschließend die Verbindung des Opfers zum Spiel und überträgt die ausgelesenen Daten zum Angreifer, der sie unverzüglich für einen eigenen Login-Versuch verwendet. Bei vielen scheint halt noch nicht angekommen zu sein, dass auch der Authenticator keinen Schutz gegenüber Trojanern bieten kann (und dass auf Blizzard-Logins Massen an Trojanern angesetzt sind, ist ja nun keine Neuigkeit).
Ich würde deshalb vermuten, dass die Tatsache, dass der Account einiger Leute trotz Authenticator kompromittiert wurde, die Quelle für eingangs genannte Gerüchte ist. Denn offenbar ist bei vielen nicht angekommen, dass eine Kompromittierung trotz Authenticators durchaus geht und eigentlich sehr einfach ist - der Authenticator also keine wesentliche Hürde gegen Angriffe mittels Trojanern darstellt.
Benutzer wird von Ihnen ignoriert. Anzeigen
Herzlichen Dank für die Butter, ich konnte mir auch nicht wirklich vorstellen, dass da was dran ist.
good ole pw-guessing, that's all
Oder halt abgephisht, es regnet ja wieder Onlinegame-Phishing-Mails derzeit.
_____________________________
<loriot>Ach was?</loriot>
Benutzer wird von Ihnen ignoriert. Anzeigen
Ich sehe das ähnlich.
Wenn man sich dann die Begründungen durchliest warum es nur an Blizzard liegen kann, kommt man zu dem Schluss, dass es wohl doch eher nicht an Blizzard liegt.
Sorry, aber Aussagen wie "System neu aufgesetzt, nur 3 Spiele installiert und nur auf sicheren Seiten gewesen" zeugt schon von gnadenlosem Unwissen. Wobei das nicht unbedingt ein Vorwurf seinen soll. Nicht jeder der gerne Videospiele spielt muss zwangsläufig beruflich in der IT zu Hause sein.
Ich verstehe nur nicht, warum solche Sonntagsadministratoren immer so einen Müll in die Welt verbreiten.
Nur weil ich gerne Motorrad fahre und auch mal hier und da mal was daran herumfusche bin ich kein KFZ-Mechaniker. Und auch der sollte einem sagen, dass man trotz Helm(Authenticator) keinen 100 prozentigen Schutz erhält.
Benutzer wird von Ihnen ignoriert. Anzeigen
Verdammt. Und ich habe gerade meine Accountdaten zur Verfizierung an wowdiablobattle.net.account.admin@blizzard.gmx.net geschickt. ;)
Benutzer wird von Ihnen ignoriert. Anzeigen
Gegen geratene Passwörter würde der Authenticator ja helfen.
Aber halt nicht gegen irgendwas bei dem dein PC kompromittiert wird. Der Authenticator bringt nur was wenn du die Sicherheit deines PCs gewährleisten kannst und nicht auf Phishing-Seiten reinfällst, die sowohl Passwort als auch einen Auth-Code verlangen...
Benutzer wird von Ihnen ignoriert. Anzeigen
Kommentare: 545 | letzter Beitrag 00:57 Uhr
Kommentare: 522 | letzter Beitrag 07:17 Uhr
Kommentare: 249 | letzter Beitrag 06:35 Uhr
Kommentare: 212 | letzter Beitrag 22.05. 15:01
Kommentare: 169 | letzter Beitrag 22.05. 23:51
E-Mail an news@golem.de
Die Festplatte "Video 3.5 HDD" von Seagate gibt es nun auch mit 4 TByte Kapazität. Im Unterschied zu den Desktop-Laufwerken sind die Video-HDDs auch für den Dauerbetrieb freigegeben.
Schon länger arbeitet das Entwicklerstudio Stompy Bot an einer Neuauflage von Heavy Gear als Computerspiel. Jetzt kann die Community das Projekt unterstützen: Via Kickstarter sollen mindestens 800.000 US-Dollar zusammenkommen.
Samsung wird einige der Funktionen des Galaxy S4 per Firmware-Update auf das Galaxy S3 bringen. Das enthüllt eine Vorabversion von Android 4.2.2 für das Galaxy S3. Die neuen Möglichkeiten der Galaxy-S4-Kamera sind nicht dabei.
Internetsperren, die in der Schweiz gegen Kindesmissbrauch eingerichtet wurden, sollen auf Urheberechtsverletzungen ausgeweitet werden.
Linuxtag 2013 Die Telekom hat Lizenzratgeber für den Einsatz von Open-Source-Software erstellt. Oslic sammelt die Bedingungen freier Lizenzen, Oscad fasst das ausführliche Regelwerk kompakt zusammen.
In einem offenen Brief an Innenminister Friedrich wird kritisiert, dass Deutschland sich in der EU dafür einsetzt, das heutige Datenschutzniveau weiter abzusenken.