Das Team reagiert !!!!!

2009-04-05 14:17:29 – Hacking oder nicht? Liebe Community, in den letzten 24 Stunden wurde sich offenbar unrechmäßig Zugang mehreren Accounts verschafft (bisher 3 bestätigte Fälle). Bisherige Nachforschungen haben ergeben, dass es sich um sogenannte Session-Hijacking handelt. Hierbei wird die SessionID (oben in der Adressleiste) durch eine dritte Person genutzt, um sich zeitweilig Zugang zum Account zu verschaffen. Ob die bestätigten Fälle durch Unvorsichtigkeit oder durch eine Sicherheitslücke in Earth Lost zustand kam, ist bisher noch unklar. Deshalb möchten wir Euch zu Eurer eigenen Sicherheit auf Folgendes aufmerksam machen: 1. gebt niemals Adressen weiter, die Eure SessionID enthalten (z.B. http://engine3.earthlost.de/main.phtml?sid=ed1320773df573d26a0693a38d331114) 2. nutzt unbedingt die Option „Session an IP binden“ beim Login im Spiel und deaktiviert diese nur, wenn Ihr häufig aus dem Spiel „fliegt“ 3. gebt niemals Eure Logindaten an andere Spieler weiter. Solltet Ihr Euch an die oben genannten Punkte halten, seid Ihr in jedem Fall auf der sicheren Seite und es besteht kein Grund zur Besorgnis. Wir halten Euch natürlich über die weiteren Entwicklungen auf dem Laufenden.

Euer Earth Lost Team

Multi-Hunter

• Dr. Hibbert
• Homer J.
• Sideshow Bob
• Roy
• Hauptverantwortlicher Admin: Plum        werden eingreifen !!!

Analyse der Ereignisse :

Soweit ich die Sache mit den Hacks verstanden hab, isses denkbar einfach:

Der Browser ermöglicht es der aktuellen Seite, die zuletzt besuchte Seite abzufragen (eigentlich schon datenschutzrechtlich höchst fragwürdig – aber hier sind die Browserhersteller oder auch der Gesetzgeber gefragt). Ist die IP nicht an die Session-ID gebunden, hat man somit bereits so gut wie verloren, wenn man von EL aus ne andere Seite (wie z.B. ein blog) aufruft, über die sich jemand das zunutze macht, denn damit hat er die Session-ID.

Darüberhinaus gibt’s nach meinem Kenntnisstand aber auch gewisse Tricks, mittels derer sich ein Angreifer unter gewissen Umständen in eine bestehende IP-Session einklinken kann. In dem Fall nützt auch die Bindung der Session-ID an die IP-Adresse nichts mehr… -.-

Daher muß meines Erachtens die Sache mit der Session-ID durch ein anderes Verfahren ersetzt werden, und zwar schnellstens.

Zur Verteidigung von Plum muß ich aber auch sagen, Softwareentwicklung ist ein sehr weitläufiges Gebiet, und keiner kann alles wissen. Wenn er also nicht zufällig zu denen gehört, die die entsprechenden Kenntnisse in Sachen IT-Security und TCP/IP erworben haben, dann konnte er das auch nicht wissen oder zumindest nicht die Folgen in ihrer ganzen Tragweite erkennen. Und immerhin ging’s hier ja nicht um die nächste Software für’s Pentagon (wo auch schon mehrfach erfolgreich gehackt wurde…), sondern nur um ein Spiel. Auch ich hatte bisher nicht an diese Gefahr gedacht, obwohl ich über halbwegs hinreichende Kenntnisse verfüge. 🙂 Und das gilt sicher auch für ne ganze Anzahl anderer hier.

Aber nun, da das Problem erkannt ist, muß sich auch was ändern. Sonst kann man EL wohl abschreiben…

Traurige Erkenntnis dabei ist wieder einmal, daß der Mensch vor sich selbst geschützt werden muß. Solange die Menschheit aus diesem Stadium nicht rauskommt, sich nicht jeder als Teil des Ganzen begreift und entsprechend verantwortlich handelt, sieht’s eher düster aus, für die Zukunft. Auch wenn’s DIESES mal nur ein Spiel getroffen hat.

Da wir seriös berichten wollen holten wir eine 2te Meinung ein:
Ein einklinken in das spiel wenn du dich ausgeloggt hast ist schlichtweg unmöglich (ausser jemand kommt an deinen username und pw), denn die session wird geschlossen und verworfen. beim erneuten einloggen erhälst du einen neue session ID. während der session kann eigentlich auch niemand joinen, wenn die „ip bindung“ akitv hast, denn das garantiert, dass nur eine IP in em account ist. das setzt natürlich voraus dass es da keine bugs gibt, was ich nicht weiss. der clue ist jetzt die kombination beider mechanismen, denn wenn du dich nich ausloggst, aber die bindung aktiviert hast, dann wird es einem angreifer möglich sein zu joinen wenn er deien SID kennt, denn dann ist er ja alleine im account. d.h. wenn du ip bindung aktiviert hast und dich ausloggst ist das risiko sehr sehr gering das jemand dich hacken kann. ausser natürlich er nutzt eine schwachstelle aus, was dann aber kein userfehler mehr ist und wo die flotten rückerstattet werden sollten. die session ID zu ersetzen wird nicht funktionieren. El funktioniert so:

es gibt ca. 10 (hab jetzt ned nachgeguckt) webserver. davor sitzt ein sog. Load Balancer. Jeder server hat die gleichen daten und wissen den aktuellen zustand eben über diese session id. das ermöglicht dass der load balancer dir dynamisch eine engine zuweist die gerade am wenigsten belastet ist ohne dass du dich neu einloggen müsstest. das widerum garantiert einen flüssiogen spielablauf (el ist wohl das einzige browsergame dass ich kenne, dass wirklich fast immer sauber läuft)