VORSICHT VOR HACKERATTACKEN (DEIMOS)

  • Jetzt wirds dann langsam echt lächerlich. Das Sicherheitssystem ist doch nicht Schuld an dem Mist der euch passiert. Wenn du dir eine ID + ein Passwort aussiehst und dies niemandem mitteilst kann dich normalerweise auch niemand um dein Zeug erleichtern. Passiert dies doch, liegt der Fehler in den meisten Fällen bei den Usern selbst und nicht bei der Firma, es sei denn hier wird eine Datenbank oÄ. gehackt. Letzteres wird aber nicht passieren, also bleibt eben nur noch die "menschliche Komponente" übrig - egal wie oft wir da nun noch drüber quatschen oder uns im Kreis drehen.


    Verstehe auch nicht, was daran so schlimm sein soll dem Spieler die Schuld zu zu schieben? Wenn der Spieler durch Eigenverschulden seine Daten im Internet verteilt kann ich doch schlecht hingehen und sagen "die GF ist so ein Sau Verein die haben mich hacken lassen 1elf!!"

    - don't be offended by me.

    einzig wahre fLasche™


    Talisman - Talismänner, DosP

  • Es wären doch auch viel mehr Leute betroffen wenn es an “Metin2 und deren Sicherheit” oder an einem anderen ersichtlichen Bestandteil in der Verkettung liegen würde. Anstatt den Sachen die man noch so individuell beim zocken macht z.B. Skype or what ever


    Sprich dann wären bestimmt noch mehr/andere/gezielte Spieler in der Metin2 Szene betroffen.
    Wird bestimmt wieder ein schön langes Verfahren bei der Polizei...


    Hoffe alle Beteiligten lernen daraus

  • Jetzt wirds dann langsam echt lächerlich. Das Sicherheitssystem ist doch nicht Schuld an dem Mist der euch passiert. Wenn du dir eine ID + ein Passwort aussiehst und dies niemandem mitteilst kann dich normalerweise auch niemand um dein Zeug erleichtern. Passiert dies doch, liegt der Fehler in den meisten Fällen bei den Usern selbst und nicht bei der Firma, es sei denn hier wird eine Datenbank oÄ. gehackt. Letzteres wird aber nicht passieren, also bleibt eben nur noch die "menschliche Komponente" übrig - egal wie oft wir da nun noch drüber quatschen oder uns im Kreis drehen.


    Verstehe auch nicht, was daran so schlimm sein soll dem Spieler die Schuld zu zu schieben? Wenn der Spieler durch Eigenverschulden seine Daten im Internet verteilt kann ich doch schlecht hingehen und sagen "die GF ist so ein Sau Verein die haben mich hacken lassen 1elf!!"

    Tut mir leid, hab mir jetzt nicht die ganze Geschichte gegeben, die hier ausdiskutiert wird.


    Zum Thema Sicherheitssystem: Ich finde, dass ID & Passwort heutzutage nicht mehr ausreichend ist. Daher würde ich auch behaupten, JA das Metin2 Sicherheitssystem ist veraltet. Wenn eh festgehalten wird, mit welcher IP ein gewisser Nutzer sich einloggt, dann könnte man mit gewissen Verfahren (die auch heutzutage "sogar" in der mobilen Authentifizierung) verwendet werden, einen simplen Sicherheitsmechanismus einbauen, der dafür sogt, dass ein Fremdzugriff nicht so leicht möglich ist.
    -> Bevor jetzt die Diskussion kommt, "Das wäre doch viel zu komplex bla bla ..": Nein ist es nicht. Bei Bedarf kann ich der GF das sogar programmieren.


    Ein weiterer Punkt ist wohl die Speicherung oder Verwaltung der Zugangsdaten im Client. Da es ja schon oft durch Fremdzugriffe vorgekommen ist, dass Daten abgefangen wurden, sollte man sich auch mal Gedanken machen ob wirklich nur etwas abgefangen wird oder ggf. durch irgendwelche temporären Speicherungen ohne hochwertige Verschlüsselung (das mein ich ernst, bei Metin2 könnte ich mir sogar vorstellen, dass man irgendein 0815 Verfahren verwendet) einfach Daten ausgelesen werden können.
    -> Und auch hier: NEIN, es ist nicht so schwer dies umzusetzen ... andere haben das auch.


    Zum Punkt Eigenverschulden des Spielers: Ich seh das so, klar gibt es Spieler, die eben Ihre Daten bewusst preisgeben - Dummheit. Dann gibt es wiederum Spieler, die durch irgendwelche Fremdzugriffe ihre Daten unfreiwillig preisgegeben haben. Da man nun von Seiten der GF nicht so schnell reagieren kann, empfehle ich immer FÜR den Spieler zu entscheiden. Immerhin ist der Spieler der, der das Spiel (ganz extrem, das Unternehmen) finanziert. Daher wäre eine passive Authentifizierung (siehe oben mit IP) nicht schlecht. Des Weiteren sollte man einfach festlegen: Spieler A meldet, dass Fremdzugriff stattgefunden -> Support sieht neue IP -> Sperrung des Accounts bis alle Details geklärt. Wo liegt bite das Problem, den Account und alle zugehörigen Accounts mit der IP zu sperren zu lassen, bis das Problem geklärt ist? Heutzutage kriegt doch jeder irgendeinen temporären oder permanenten Bann, da kann man auch mal als vorläufige Sicherheitsmaßnahme FÜR den Spieler sowas unternehmen. Sollte es sich als ein Missverständnis herausstellen, ok dumm gelaufen, dennoch wird der Spieler indirekt dankbar sein, dass er durch die Sperrung noch einmal sichergehen konnte ob auch alles in Ordnung ist.


    Es ist leicht jemanden zu verurteilen, wenn man nicht in seiner Haut steckt. Wie es passiert ist oder welche Umstände dafür entscheidend waren sollte nicht von Belangen sein, WENN die Möglichkeit existiert den Account und das EQ des Spieler auf irgendeine Art und Weise (Sicherheitssystem, vorläufige Sperre usw.) halb oder ganz zu sichern.


    An die Nutzer, die betroffen sind und auch hier im Thread grad vertreten: Anzeige gegen Unbekannt stellen, dann die Polizei auf die GF Aufmerksam machen und eben den Wert ermitteln lassen (Zeit & Geld). Bei einer Anzeige und der Aufforderung durch die Polizei, wird auch die GF schnell reagieren und Daten rausrücken. Erfolgserlebnis siehe hier: Erlebnissbericht Polizei Leute habt Mut und geht hin !!!!!!!!!


    Grüße,
    Yokujin

  • Zum Thema Sicherheitssystem: Ich finde, dass ID & Passwort heutzutage nicht mehr ausreichend ist. Daher würde ich auch behaupten, JA das Metin2 Sicherheitssystem ist veraltet.


    Was heißt denn "heutzutage"? Nüchtern betrachtet sind die Sicherheitsanforderungen die gleichen wie vor 10 Jahren.


    Wenn eh festgehalten wird, mit welcher IP ein gewisser Nutzer sich einloggt, dann könnte man mit gewissen Verfahren (die auch heutzutage "sogar" in der mobilen Authentifizierung) verwendet werden, einen simplen Sicherheitsmechanismus einbauen, der dafür sogt, dass ein Fremdzugriff nicht so leicht möglich ist.


    Bloß, dass das nutzlos ist. In Deutschland sind dynamische IP-Adressen der Standard. Eine IP-Identität kannst du entsprechend nur für eine Session voraussetzen. Das Endgerät, über das die Authentifizierung erfolgt ist, kann nämlich in der nächsten Minute schon eine andere IP haben, dafür muss der Nutzer nur einen Button oder ein Knöpfchen drücken. Dann läuft zwar die Auth-Session aus, weil das Gerät jetzt unter einer anderen IP-Adresse unterwegs ist, ob das jetzt aber immer noch das gleiche Endgerät ist, kannst du nicht mehr wissen. Erweiterte Authentifizierungsmethoden (Stichwort: Zwei-Faktor-Auth, s. Beitrag zuvor) müssen sich für diesen Fall zwingend auf die Person und nicht das Endgerät beziehen.


    Ein weiterer Punkt ist wohl die Speicherung oder Verwaltung der Zugangsdaten im Client. Da es ja schon oft durch Fremdzugriffe vorgekommen ist, dass Daten abgefangen wurden, sollte man sich auch mal Gedanken machen ob wirklich nur etwas abgefangen wird oder ggf. durch irgendwelche temporären Speicherungen ohne hochwertige Verschlüsselung (das mein ich ernst, bei Metin2 könnte ich mir sogar vorstellen, dass man irgendein 0815 Verfahren verwendet) einfach Daten ausgelesen werden können.


    Keine Ahnung, wie Metin gespeicherte Passwörter speichert. Kann man aber als Nutzer recht schnell rausfinden. Ein arges Sicherheitsversäumnis halte ich für unwahrscheinlich, es ist viel zu einfach, sowas sicher zu implementieren. Einfach heißt, es ist Standardlibraries mit lauter Bindings, die das erledigen. Hat der Angreifer aber Zugriff auf das Dateisystem des Opfers, ist vorher schon etwas anderes schiefgelaufen und das gespeicherte Passwort ist von sekundärem Belang. Ein anderer Zugriffspunkt für dieses Passwort wäre der Client selbst. Eine passende Sicherheitslücke vorausgesetzt, wäre so ein Angriff hypothetisch möglich. Man darf aber sehr arg bezweifeln, dass der praktisch mit einem nicht modifizierten offiziellen Client möglich ist.



    Daher wäre eine passive Authentifizierung (siehe oben mit IP) nicht schlecht. Des Weiteren sollte man einfach festlegen: Spieler A meldet, dass Fremdzugriff stattgefunden -> Support sieht neue IP -> Sperrung des Accounts bis alle Details geklärt. Wo liegt bite das Problem, den Account und alle zugehörigen Accounts mit der IP zu sperren zu lassen, bis das Problem geklärt ist?


    Wie oben erwähnt: Das funktioniert nicht. Dieses Konzept "IP-Bann" bei dynamischen IPs kann man Laien verklickern, denen fundamentale Kenntnisse über die Anbindung von Privathaushalten ans Netz fehlen. Das ist auch kein Geheimnis, auch wenn es hier mal Mods gegeben hat, die sowas zensiert und Leute dafür verwarnt haben (keine personellen Glanzleistungen). Der Ansatz würde bestenfalls dazu führen, dass jeden Tag jeder Account eines Spielers, der mit seinem Provider keine statische Anbindung vereinbart hat, gesperrt würde. ;)
    Der Unsinn hinter "Heutzutage" macht das auch nicht besser.



    Es ist leicht jemanden zu verurteilen, wenn man nicht in seiner Haut steckt. Wie es passiert ist oder welche Umstände dafür entscheidend waren sollte nicht von Belangen sein


    Zunächst ist es noch keine Verurteilung, darauf hinzuweisen, dass bei solchen Fällen mit an Sicherheit grenzender Wahrscheinlichkeit Konten/Geräte des Nutzers kompromittiert wurden und nicht jene des Betreibers. Solche Fälle sehen phänotypisch ganz anders aus und dann wäre hier wirklich die Hölle los. Es ist auch nicht unüblich, dass das abgestritten wird und vermeintlich alle Sicherheitsmaßnahmen eingehalten wurden, die so von Belang sind. Teilweise geschieht das aus Unwissen (=> Laien) oder wider besseren Wissens. Ist im IT-Support im Übrigen genauso. Wie das passiert ist, sollte für den Betroffenen indes sehr wohl von Belang sein. Der muss aber zunächst mal davon wegkommen, hinter vorgehaltener Hand dem Betreiber die Schuld zuzuschieben. Eine polizeiliche Ermittlung kann man bei dem gemeinen Metinkiddy allerdings tatsächlich eine überaus effektive Maßnahme sein.

  • ein audenticator wie es ihn in jaaaa wow gibt wäre gut :thumbsup: dafür zahlen die Leute auch gerne

  • Erweiterte Authentifizierungsmethoden (Stichwort: Zwei-Faktor-Auth, s. Beitrag zuvor) müssen sich für diesen Fall zwingend auf die Person und nicht das Endgerät beziehen.

    Ich denke es wäre nicht verkehrt, wenn man seinen Account auf Wunsch mit SMS-Codes schützen könnte. Nach Passwort-Eingabe erfolgt dann noch eine Eingabe einer Zahlenkombi, die man per SMS erhält. Eventuell müsste man, weil man in dem Spiel halt doch öfter reloggt, den Code etwas kürzer, vielleicht 3 Stellen, machen und eventuell 2-3 Stunde Gültigkeitsdauer geben, um einen regulären Spielabend abdecken zu können.


    Ein anderer Zugriffspunkt für dieses Passwort wäre der Client selbst. Eine passende Sicherheitslücke vorausgesetzt, wäre so ein Angriff hypothetisch möglich. Man darf aber sehr arg bezweifeln, dass der praktisch mit einem nicht modifizierten offiziellen Client möglich ist.

    Wäre natürlich ziemlich abenteuerlich, wenn ein Hacker über den Torrent-Patcher vereinzelt einen veränderten Client verteilen konnte oder etwas auf das Betriebssystem selber einschleusen konnte, jetzt grad völlig spontan gedacht.

    ~Von meinem iPhone gesendet.~ :keks:

  • Ich denke es wäre nicht verkehrt, wenn man seinen Account auf Wunsch mit SMS-Codes schützen könnte. Nach Passwort-Eingabe erfolgt dann noch eine Eingabe einer Zahlenkombi, die man per SMS erhält. Eventuell müsste man, weil man in dem Spiel halt doch öfter reloggt, den Code etwas kürzer, vielleicht 3 Stellen, machen und eventuell 2-3 Stunde Gültigkeitsdauer geben, um einen regulären Spielabend abdecken zu können.

    Beim Baum suchen im Tempel hab ich dann sicherlich ne Menge Spaß.
    Einloggen dauert jedes mal 30Sec länger pro CH und zusätzlich werd ich vorher noch 3x in den Login-Screen gekickt.
    Ich krieg also 4 SMS pro CH-Wechsel. Klingt super.


    CH-Wechsler muss wieder her, keine Ahnung warum der überhaupt entfernt wurde...

  • entfernt? Womit wechsel ich grad die chs? Ich log jedenfalls nicht von hand um

    er meint wahrscheinlich im Tempel den da würde er deaktiviert

  • Ich krieg also 4 SMS pro CH-Wechsel. Klingt super.

    Hast du überhaupt gelesen, was du zitiert hast?:

    eventuell 2-3 Stunde Gültigkeitsdauer geben, um einen regulären Spielabend abdecken zu können.


    Die juckt es echt 0. Find ich eine Frechheit! Damals als Vossi (GF Partner) gehackt worden ist, wurde ihm alles erstattet was man retten konnte.

    Dass es sie 0 juckt, stimmt so nicht. Ich hatte bezüglich Itemerstattungen immer sehr kulante, schnelle und faire Antworten vom Support. Das hat nichts mit irgendwelchen Beziehungen zu tun.


  • entfernt? Womit wechsel ich grad die chs? Ich log jedenfalls nicht von hand um

    Wurde aus unbekannten Gründen im Tempel, im DC und im DT wieder entfernt.

    Hast du überhaupt gelesen, was du zitiert hast?:

    Um ehrlich zu sein hab ich den letzten Teil scheinbar überlesen, war auch noch relativ früh. :P
    Aber joa, das macht meinen Text dann hinfällig.
    CH-Wechsler kann trotzdem wieder überall eingeführt werden. ;)

  • Ich denke es wäre nicht verkehrt, wenn man seinen Account auf Wunsch mit SMS-Codes schützen könnte. Nach Passwort-Eingabe erfolgt dann noch eine Eingabe einer Zahlenkombi, die man per SMS erhält. Eventuell müsste man, weil man in dem Spiel halt doch öfter reloggt, den Code etwas kürzer, vielleicht 3 Stellen, machen und eventuell 2-3 Stunde Gültigkeitsdauer geben, um einen regulären Spielabend abdecken zu können.


    Das wäre mit eine der günstigeren Varianten für eine zusätzliche Authentifizierung. Wenn überhaupt, kämen für das Spiel wohl auch nur derartige Varianten in Betracht. Noch einfacher liefe es über Email-Authentifizierung, aber das ist halt genauso einfach zu brechen wie es kostengünstig ist.



    Wäre natürlich ziemlich abenteuerlich, wenn ein Hacker über den Torrent-Patcher vereinzelt einen veränderten Client verteilen konnte oder etwas auf das Betriebssystem selber einschleusen konnte, jetzt grad völlig spontan gedacht.


    Bis zum Patcher war ich noch gar nicht, möglich wäre sowas natürlich. Das "Problem" ist, dass du damit nur weitflächig verteilen kannst und nicht gezielt. Zum einen ist ein solcher Exploit aber eher hässlich zu finden (Buffer Overflows in P2P-Anwendungen tracken und dann ne funktionierende Payload bauen?), zum anderen würde der dann direkt das ganze Patchersystem komplett kompromittieren. Ist tatsächlich abenteuerlich. :P
    Mein Ansatz war dagegen ein Dritter, der sich dem Client gegenüber als Authentifizierungsdienst ausgibt. Ohne MitM aber sicherlich nicht möglich. Da das Passwort aber mit Sicherheit resident im Speicher verbleibt, bleibt nur eine Lücke im Client oder Elevated Privilege in Windows, um das überhaupt auszulesen. Das sähe natürlich anders aus, wenn das tatsächlich irgendwo persistent gespeichert würde. Die einzige Gefahr, die darüber hinausgeht, ist ein Memory Dump, insbesondere, wenn das Passwort wirklich im Klartext und/oder an einer nicht-volatilen Adresse verbleibt. Aber dafür braucht man auch wieder Zugriff aufs Dateisystem des Client-Rechners.


    Daher auch meine recht dezidierte Haltung, dass hier nicht der Betreiber schuld ist. Die Wege, wie das geschehen müsste, sind zu abgedreht und sind darüber hinaus recht "laut".

  • Daher auch meine recht dezidierte Haltung, dass hier nicht der Betreiber schuld ist. Die Wege, wie das geschehen müsste, sind zu abgedreht und sind darüber hinaus recht "laut".

    Sehr wahrscheinlich aber das andere darf man ja nicht prinzipiell ausschliessen. Aber in der Regel wird ja wirklich meist gesagt, man habe gar nichts gemacht. Bis dann irgendwann rausgerückt wird, was man vor oder nach dem nichts tun, eigentlich auch noch gemacht hat.


    Eine auf Wunsch zusätzliche aktivierbare (muss ja nicht jeder Lager-Account geschützt werden) Sicherheitsstufe für seinen Account fände ich jedoch wirklich sinnvoll. Falls eine SMS für die Gameforge nicht kostengünstig ist, könnte man auch eine Gameforge-Authenticator-App (Blizzard hat glaube ich sogar eine) erstellen, welche die Codes generieren kann. Es gibt einige bereits umgesetzte Möglichkeiten der Two-Step-Verification. Denke da könnte die Gameforge auf jeden Fall eine Lösung finden, die auch für sie passt. Und das kann ja dann nicht nur für Metin2, sondern auch für andere ihrer Spiele, genutzt werden.

    ~Von meinem iPhone gesendet.~ :keks:

  • Man könnte für den Authenticator auch auf den "Google Authenticator" zurück greifen. Es gibt andere Spiele, welche diesen ebenfalls in Ihren Login Prozess integriert haben, Jagex für Runescape z.B.

    - don't be offended by me.

    einzig wahre fLasche™


    Talisman - Talismänner, DosP