Mivel végre sikerült megrendelnem a várva várt Blizzard Authenticatort, gondoltam írok már arról, hogy mi ez, és miért is jó nekünk. Geek vagyok, szóval lehet, hogy kissé túlságosan belebonyolódom a technikai részletekbe, ezért előre is elnézést kérek
Miért?
Az accountodat alapvetően a login név, és az ahhoz tartozó jelszó védi. Ez a lehető legegyszerűbb, klasszikus autentikációs módszer. Nem is lenne vele baj, ha a WoW nem szerzett volna világ szerte 10 millió előfizetőt, és így egyre jobban felkeltette a rossz fiuk érdeklődését. Ott tartunk, hogy jelenleg célzott támadások folynak az MMO-k ellen, és köztük is kiemelten a wow ellen. Ezek főképp Keyloggerek, phishing levelek.
Nap mint nap találkozunk itt fórumon esetekkel, hogy kompromittálódott egy account, szóval a probléma nagy, és valós. Ha ellopták az accountodat, megeshet, hogy hetekig nem jutsz hozzá a szeretett karaktereidhez. Ha pedig még a titkos kérdésedre se emlékszel, (mint ahogy kb 90%-nk nem), akkor, - hogy egy klasszikussal éljek - "Well my Friend, you are quite screwed...", magyarul megszívtad, mint a torkosborz.
Hogyan?
Az Authentikátor kiegészíti az alap hitelesítést, egy plusz kóddal. Ellenben a neveddel, és jelszavaddal, amiknek a gyengeségüket pont a statikus voltjuk adja (ezért ajánlott titokban tartani még az account nevet is), ez a kód dinamikusan változik, X percenként újra generálódik valamilyen meghatározott algoritmus alapján. Ennek alapja valamilyen titkos kulcs, ami be van égetve az eszközbe, illetve nyilvántartják a Blizzardnál is. Az eszköz azonosítója alapján lehet tudni, hogy az adott időpillanatban éppen milyen kódot mutat. Ennek a kódnak a kitalálás a kulcs nélkül, lehetetlen, még brute forceval is, mert egy kód túl rövid ideig él, nem lehet végigpörgetni rajta a lehetséges értékek töredékét sem.
Mivel?
Lássuk a konkrét kütyüt. Ez egy Digipass Go 6, a Vasco cégtől. Ez hat számot használ, amit a Vasco DIGIPASS nevű algoritmusával számol az idő, és a titkos kód alapján. Ha jól vettem ki a szűkszavú leírásból, az kódot vagy DES (a létező leggyöngébb), 3DES (ez pont háromszor erősebb a DES-nél;)), vagy AES. Hogy pontosan melyiket használják, arrol nem szól a fáma, de én merem remélni, hogy az AES-t, ami a jelenleg elérhető egyik legerősebb, szabványos szimmetrikus titkosító algoritmus.
Igazándiból ez valójában nem is érdekes, ugyanis az algoritmus kódját két helyről lehet megszerezni. Vagy ellopják a kütyüdet, szétszedik, kiolvassák a kódját, és visszafejtik, (Ez értelemszerűen hülyeség, hiszen ha valaki ellopja, minek akarná szétszedni
) vagy a blizzard authentikációs szerverét törik meg, és onnan szerzik meg a fent említett algoritmusokkal titkosított kulcsot.
Ez valóban egy lehetséges forgatókönyv, de vajon megéri e kivitelezni a támadást. Feltételezhetjük, hogy az alkalmazott VACMAN (vagy IDENTIKEY) szervereket megfelelően védik, de ha be is jutnak szereznek egy kódot, amit felhasználónként kell visszafejteni. Ez a visszafejtés DES esetében pár óra, 3DES esetén pár nap, AES esetén párszáz év találgatással. Szivárványtáblával gyorsabb lehet, de utánanéztem, hogy a szükséges táblaméret: 3.06499108 * 10^54 Yottabyte (1 Yottabyte: 1000^8 byte. Viszonyításul, 1 Giga byte az 1000^3 byte), és többszöröse, mint az internet jelenlegi mérete.
Természetesen a generált kódból, és az időpillanatból sem lehet következtetni az eredetire, mert ez az algoritmus egyirányú, nem visszakövethető.
És ha tönkremegy?
A kütyü szétszedhetetlen, nem egyszerű hozzáférni a belsejéhez, épp ezért elemet se lehet benne cserélni. Félni nem kell azonban, mert a gyártó szerint az elem várható élettartama
7 év. Leírás szerint garantáltan túl él egy méteres zuhanást (tehát valójában sokkal többet is), vízálló (1 méter mélységben 30 percig, de ez nem is búvá óra), elvisel 4KV, közvetlen, és 8Kv, légi (villám) elektromos kisülést. Mozgó alkatrészei nincsenek, szóval jól tűri a dobálást, remegést. Elpusztíthatatlanabb, mint egy csótány.
Végül.
Ezek ismeretében láthatjuk, hogy ez az egyik legjobb elérhető védelem az accountunkhoz, és mindenkinek ajánlott beszereznie egyet. (Főleg, ha nem emlékszel a titkos kérdésre) A titkos szám bepötyögése kevesebb fáradtság, és stressz, mint egy ellopott jelszó miatti két, három hét wowtalanság, és tengernyi levelezés az account supporttal.
Valaki kinézi magának a karidat. Kideríti, melyik guildben vagy, és megnézi a guildfórumot / honlapot. Megnézi, hogy ott milyen néven regisztráltál, msnedet, emiledet. Ezekből már tippelhet az account nevedre, de ha akar direkt támadást is indíthat ellened, msn-el, vagy e-mailla.
Sose becsüljétek le a Social engineeringet!
Röviden mondva, igenis elképzelhetőek a célzott támadások (és nem is túl nehezek), de főképp a vak pecázás megy.
Amúgy a cikkből a "Az accountodat alapvetően a login név, és az ahhoz tartozó jelszó." mondatából nem hiányzik egy ige?
És akkor hasonló rumli van mintha ellopták volna.
Ergo aki el veszt mindent ne vegye ilyet.
Jelenleg csak a wowhoz használt az authenticator, de technikailag semmi akadálya, hogy kiterjesszék a többi Blizzardos szolgáltatásra is.