Epic Hack

Übersicht

Sonstiges

Smalltalk

	Eingeproggt Betreff: Epic Hack	Fr, Jun 21, 2013 22:40 Antworten mit Zitat
Servus, ich hab da was zum Nachdenken für alle die ein bisschen Ahnung von PC / Internet und co haben (und das seid ihr alle ): http://www.wired.com/gadgetlab...n-hacking/ Ein paar "Leckerbissen" daraus: "Getting into Amazon let my hackers get into my Apple ID account, which helped them get into Gmail, which gave them access to Twitter." "In response, Apple issued a temporary password. It did this despite the caller’s inability to answer security questions I had set up. [...] It turns out, a billing address and the last four digits of a credit card number are the only two pieces of information anyone needs to get into your iCloud account. Once supplied, Apple will issue a temporary password, and that password grants access to iCloud." "I was playing with my daughter when my iPhone suddenly powered down. [...] my phone was in a useless state of restore" <- Erschreckend genug, dass ein Hacker das über die Apple Cloud überhaupt kann, wieauchimmer... "My experience leads me to believe that cloud-based systems need fundamentally different security measures. Password-based security mechanisms — which can be cracked, reset, and socially engineered — no longer suffice in the era of cloud computing." mfG, Christoph
Gewinner des BCC 18, 33 und 65 sowie MiniBCC 9

Eingeproggt

Betreff: Epic Hack

Fr, Jun 21, 2013 22:40
Antworten mit Zitat

Servus,

ich hab da was zum Nachdenken für alle die ein bisschen Ahnung von PC / Internet und co haben (und das seid ihr alle Razz

):
http://www.wired.com/gadgetlab...n-hacking/

Ein paar "Leckerbissen" daraus:

"Getting into Amazon let my hackers get into my Apple ID account, which helped them get into Gmail, which gave them access to Twitter."

"In response, Apple issued a temporary password. It did this despite the caller’s inability to answer security questions I had set up. [...] It turns out, a billing address and the last four digits of a credit card number are the only two pieces of information anyone needs to get into your iCloud account. Once supplied, Apple will issue a temporary password, and that password grants access to iCloud."

"I was playing with my daughter when my iPhone suddenly powered down. [...] my phone was in a useless state of restore" <- Erschreckend genug, dass ein Hacker das über die Apple Cloud überhaupt kann, wieauchimmer...

"My experience leads me to believe that cloud-based systems need fundamentally different security measures. Password-based security mechanisms — which can be cracked, reset, and socially engineered — no longer suffice in the era of cloud computing."

mfG, Christoph

Gewinner des BCC 18, 33 und 65 sowie MiniBCC 9

	Xeres Moderator	Fr, Jun 21, 2013 22:56 Antworten mit Zitat
Jau, der Fall hat seiner Zeit gezeigt, dass alle Sicherheitsmechanismen nur so sicher sind, wie das Password zum Email konto. Darum kann man mittlerweile bei vielen Diensten seine Handynummer hinterlegen um sich eindeutig(er) zu identifizieren. Und natürlich sollte man nicht aus Bequemlichkeit alle Services in einen Bündeln...
Win10 Prof.(x64)/Ubuntu 16.04\|CPU 4x3Ghz (Intel i5-4590S)\|RAM 8 GB\|GeForce GTX 960 Wie man Fragen richtig stellt \|\| "Es geht nicht" \|\| Video-Tutorial: Sinus & Cosinus THERE IS NO FAIR. THERE IS NO JUSTICE. THERE IS JUST ME. (Death, Discworld)

Xeres

Moderator

Fr, Jun 21, 2013 22:56
Antworten mit Zitat

Jau, der Fall hat seiner Zeit gezeigt, dass alle Sicherheitsmechanismen nur so sicher sind, wie das Password zum Email konto. Darum kann man mittlerweile bei vielen Diensten seine Handynummer hinterlegen um sich eindeutig(er) zu identifizieren.
Und natürlich sollte man nicht aus Bequemlichkeit alle Services in einen Bündeln...

Win10 Prof.(x64)/Ubuntu 16.04|CPU 4x3Ghz (Intel i5-4590S)|RAM 8 GB|GeForce GTX 960
Wie man Fragen richtig stellt || "Es geht nicht" || Video-Tutorial: Sinus & Cosinus
THERE IS NO FAIR. THERE IS NO JUSTICE. THERE IS JUST ME. (Death, Discworld)

	DAK	Sa, Jun 22, 2013 16:53 Antworten mit Zitat
Ja, ein wenig social engineering und man kommt quasi überall rein. Ich hab vor einer Weile einen alten Battle.net-Account wieder in Betrieb nehmen wollen, der noch auf eine Email gelinkt war, die ich nicht mehr gehabt habe. Hab ich hald dort angerufen. Der Kerl hat mich zwar ein paar Sicherheitsdaten fragen wollen (Name, Geburtsdatum, usw.). Ich hab ihm gesagt, dass ich, wie ich den Account eingerichtet habe, nur Blödsinn eingegeben habe (so nach man gibt nie seine echte Identität im Internet preis). Hat er gesagt, ist ok. Dann hat er mir ohne weitere Fragen mein Passwort zurück gesetzt, und mich gefragt, ob ich das Konto auf eine andere Email linken will. Nicht so dramatisch wie in dem Hack oben, aber wenn man bedenkt, was auf so einem Account drauf liegen kann. Primär wären da die Spiele, die damit verlinkt sind, aber auch die Spielstände, wie bei Diablo 3, wo die Charaktere und Items darauf auch schon mal ein paar hundert bis tausend Euro wert sein können. Schlimmer war es noch, wie ich nach zwei Jahren auf Mission = kein Computer und damit auch kein Email zurück gekommen bin, und festgestellt habe, dass mein GMX-Passwort aus irgendeinem Grund nicht mehr funktioniert (ich habe die Zugangsdaten meiner damaligen Freundin, jetzt Frau gegeben und sie hat sie unabsichtlich geändert). Hab ich dort angerufen (auch hier habe ich irgendeinen Blödsinn bei den Sicherheitssachen eingegeben), da haben sie gesagt, ich muss ihnen einen Scan meines Reisepasses schicken und dann setzen sie mein Passwort zurück. Dabei war es aber gar nicht mal wichtig, ob der Name am Reisepass mit dem vom Email-Account übereinstimmt (hat er nämlich nicht). Einen Scan von einem Reisepass abändern ist auch nicht wirklich schwierig. Wenn man es böse auslegt, dann habe ich sowohl meinen Battle.net-Account als auch meinen GMX-Account gesocial engineert. Und wenn sie mir so wenig Schwierigkeiten gemacht haben, dann wird das auch für einen geübten Hacker nicht schwieriger sein.
Gewinner der 6. und der 68. BlitzCodeCompo

DAK

Sa, Jun 22, 2013 16:53
Antworten mit Zitat

Ja, ein wenig social engineering und man kommt quasi überall rein.

Ich hab vor einer Weile einen alten Battle.net-Account wieder in Betrieb nehmen wollen, der noch auf eine Email gelinkt war, die ich nicht mehr gehabt habe.

Hab ich hald dort angerufen. Der Kerl hat mich zwar ein paar Sicherheitsdaten fragen wollen (Name, Geburtsdatum, usw.). Ich hab ihm gesagt, dass ich, wie ich den Account eingerichtet habe, nur Blödsinn eingegeben habe (so nach man gibt nie seine echte Identität im Internet preis). Hat er gesagt, ist ok. Dann hat er mir ohne weitere Fragen mein Passwort zurück gesetzt, und mich gefragt, ob ich das Konto auf eine andere Email linken will.
Nicht so dramatisch wie in dem Hack oben, aber wenn man bedenkt, was auf so einem Account drauf liegen kann. Primär wären da die Spiele, die damit verlinkt sind, aber auch die Spielstände, wie bei Diablo 3, wo die Charaktere und Items darauf auch schon mal ein paar hundert bis tausend Euro wert sein können.

Schlimmer war es noch, wie ich nach zwei Jahren auf Mission = kein Computer und damit auch kein Email zurück gekommen bin, und festgestellt habe, dass mein GMX-Passwort aus irgendeinem Grund nicht mehr funktioniert (ich habe die Zugangsdaten meiner damaligen Freundin, jetzt Frau gegeben und sie hat sie unabsichtlich geändert).
Hab ich dort angerufen (auch hier habe ich irgendeinen Blödsinn bei den Sicherheitssachen eingegeben), da haben sie gesagt, ich muss ihnen einen Scan meines Reisepasses schicken und dann setzen sie mein Passwort zurück.
Dabei war es aber gar nicht mal wichtig, ob der Name am Reisepass mit dem vom Email-Account übereinstimmt (hat er nämlich nicht).
Einen Scan von einem Reisepass abändern ist auch nicht wirklich schwierig.

Wenn man es böse auslegt, dann habe ich sowohl meinen Battle.net-Account als auch meinen GMX-Account gesocial engineert.
Und wenn sie mir so wenig Schwierigkeiten gemacht haben, dann wird das auch für einen geübten Hacker nicht schwieriger sein.

Gewinner der 6. und der 68. BlitzCodeCompo

	Silver_Knee	Sa, Jun 22, 2013 22:28 Antworten mit Zitat
Finde es schon krass genug, dass ich bei meinem Mobilfunk-Anbieter anrufe Name, Handynummer und Geburtsdatum sagen kann und ich alles was Ich will buchen und teilweise auch stornieren kann. Das sind sachen, die jeder 13-Jährige auf seinem Facebook-Profil an alle seiner 1300 "Freunde" verteilt (wenn es nicht gleich öffentlich ist). Und wenn mir einer böse will, kündigt der mal eben mein Internet-Paket und ich zahl mich dumm und dämlich mit meinem Smartphone bis ich das merke. Was mir auch schon passiert is, war dass mein altes "ich brauch mal schnell ein Passwort"-Passwort ich spaßeshalber in einen md5-Generator gesteckt habe. Das Ergebnis bei Google war verheerend. Ein Hacker hatte wohl irgendwann irgend eine Plattform ausgeräumt und die md5-Hashes einiger Passwörter ins Netz gestellt. Meins war darunter. Im Prinzip macht es das wertlos.

Silver_Knee

Sa, Jun 22, 2013 22:28
Antworten mit Zitat

Finde es schon krass genug, dass ich bei meinem Mobilfunk-Anbieter anrufe Name, Handynummer und Geburtsdatum sagen kann und ich alles was Ich will buchen und teilweise auch stornieren kann. Das sind sachen, die jeder 13-Jährige auf seinem Facebook-Profil an alle seiner 1300 "Freunde" verteilt (wenn es nicht gleich öffentlich ist). Und wenn mir einer böse will, kündigt der mal eben mein Internet-Paket und ich zahl mich dumm und dämlich mit meinem Smartphone bis ich das merke.

Was mir auch schon passiert is, war dass mein altes "ich brauch mal schnell ein Passwort"-Passwort ich spaßeshalber in einen md5-Generator gesteckt habe. Das Ergebnis bei Google war verheerend. Ein Hacker hatte wohl irgendwann irgend eine Plattform ausgeräumt und die md5-Hashes einiger Passwörter ins Netz gestellt. Meins war darunter. Im Prinzip macht es das wertlos.