17.09.2014, 16:10
Ach Gottchen, schon wieder eine schwere Sicherheitslücke. Da bin ich ja froh das Apple mit seiner Cloud nicht alleine betroffen ist 
iOS vs. Android
Äpfel und Birnen.
Nochmal mit dem Thema iCloud beschäftigen Denon. Ein etwas längeres Passwort (8 Zeichen) oder 2-Faktor und nix wäre passiert. Der einzige Lücke hier war, dass es eine Möglichkeit gab, die Passwörter zu Brute-Forcen. War eine Lücke, korrekt.
Oder möchtest du jetzt auch behaupten, dass Google daran schuld ist, die 5 Millionen Account Daten verloren zu haben?! Laut Google kein Problem, da es ja nur 100.000 Account Daten korrekt waren. Genau weiß man noch nicht wie das passiert ist. Aber ich gehe 100%ig wieder vom Fehler des Nutzers aus.
Bei dieser Lücke hier liegt aber eine ganz andere Schwere vor. Wenn das wirklich so sein sollte, ist die GotoFail Lücke von Apple ein Witz dagegen. Der Unterschied hier, Apple hat es gefixt und wer möchte kann updaten. In dem Fall hier wird Google auch sagen "Hey kein Problem, Patch wird es nicht geben, kauft halt ein neues Gerät oder nehmt ein anderen Browser".
Bei den ganzen Lücken von Android stumpft man langsam auch ab. Zeigt nur wieder, dass es einer der größten Fehlentscheidungen von Google war, veraltete Versionen so zuzulassen. Klar, Android User kommen jetzt wieder "Na und? Nimmste ein anderen Browser, kann man dann als Default machen". Ja geht, den Fehler werden die wenigsten kennen und somit auch nicht wechseln.
Warten wir erstmal, was da genau dran ist.
Nochmal mit dem Thema iCloud beschäftigen Denon. Ein etwas längeres Passwort (8 Zeichen) oder 2-Faktor und nix wäre passiert. Der einzige Lücke hier war, dass es eine Möglichkeit gab, die Passwörter zu Brute-Forcen. War eine Lücke, korrekt.
Oder möchtest du jetzt auch behaupten, dass Google daran schuld ist, die 5 Millionen Account Daten verloren zu haben?! Laut Google kein Problem, da es ja nur 100.000 Account Daten korrekt waren. Genau weiß man noch nicht wie das passiert ist. Aber ich gehe 100%ig wieder vom Fehler des Nutzers aus.
Bei dieser Lücke hier liegt aber eine ganz andere Schwere vor. Wenn das wirklich so sein sollte, ist die GotoFail Lücke von Apple ein Witz dagegen. Der Unterschied hier, Apple hat es gefixt und wer möchte kann updaten. In dem Fall hier wird Google auch sagen "Hey kein Problem, Patch wird es nicht geben, kauft halt ein neues Gerät oder nehmt ein anderen Browser".
Bei den ganzen Lücken von Android stumpft man langsam auch ab. Zeigt nur wieder, dass es einer der größten Fehlentscheidungen von Google war, veraltete Versionen so zuzulassen. Klar, Android User kommen jetzt wieder "Na und? Nimmste ein anderen Browser, kann man dann als Default machen". Ja geht, den Fehler werden die wenigsten kennen und somit auch nicht wechseln.
Warten wir erstmal, was da genau dran ist.
17.09.2014, 16:34
(Dieser Beitrag wurde zuletzt bearbeitet: 17.09.2014, 16:35 von eXiNFeRiS.)
Naja paar öffentliche Schweinebildchen von 3. bzw. 4-klassigen B-Movie Möchtegern-Promi-Sternchen würde ich jetzt nicht als große Sicherheitslücke ansehen und auf die Goldwaage legen. Wobei ich persönlich ja immer noch der Meinung bin das es nichts anderes war als eine gewollte PR-Aktion. Wäre ja nicht das erste mal das von irgendwelchen "Promis" völlig unabsichtlich und ungewollt solche Aufnahmen auftauchen.
"Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying."
@eXiNFeRiS Nein, das war 100%ig keine PR Aktion. Wir reden hier nicht von blanken Brüsten. Und B-Promis waren das auch nicht.
17.09.2014, 16:36
"Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying."
17.09.2014, 16:38
@eXiNFeRiS Ja, eine mit Oscar und Golden Globe ausgezeichnete Schauspielerin hat es sicherlich darauf angelegt, damit Publicity zu bekommen. Und alle anderen Betroffenen auch. *facepalm*
Inhaltlich kann man nur gado zustimmen.
Inhaltlich kann man nur gado zustimmen.
17.09.2014, 16:41
@gado Das waren keine Brut Force Attacken, das waren Social snooping Attacken.
Apple ID wird die der Stars gewesen sein, also Marilyn.Monroe@iCloud.com und dann wurden alle möglichen Passwörter getestet (Diamonds, Superstar, JFKennedy usw..)
@Denon
Es ist ein Unterschied, ob ein User zu blöd ist (iCloud) oder ob ein Browser so schlecht ist, das jeder Depp meine Cookies und passwörter auslesen kann. Manchmal hilft es nämlich so einen Link auch mal anzuklicken, als nur haptisch auf antworten zu hämmern und einen blöden Kommentar abzugeben.
Apple ID wird die der Stars gewesen sein, also Marilyn.Monroe@iCloud.com und dann wurden alle möglichen Passwörter getestet (Diamonds, Superstar, JFKennedy usw..)
@Denon
Es ist ein Unterschied, ob ein User zu blöd ist (iCloud) oder ob ein Browser so schlecht ist, das jeder Depp meine Cookies und passwörter auslesen kann. Manchmal hilft es nämlich so einen Link auch mal anzuklicken, als nur haptisch auf antworten zu hämmern und einen blöden Kommentar abzugeben.
17.09.2014, 16:43
(Dieser Beitrag wurde zuletzt bearbeitet: 17.09.2014, 16:45 von eXiNFeRiS.)
@iPhone7
Ein Oskar und eine Golden Globe Auszeichnung scheint ja nicht gleichsetzbar zu sein mit Intelligenz.
Denn welcher normale, halbwegs intelligente Mensch stellt schon Nacktfotos (Pornos) oder was auch immer ins Netz und ist dann noch nicht in der Lage einen vernünftigen Schutz einzurichten. Eigentlich schon 2 Dummheiten auf einen Schlag.
@Denner
Genau Denner. Bestimmt war jedes 2. Passwort iamrich oder iamhorny, oder auch iamsohorny
Ein Oskar und eine Golden Globe Auszeichnung scheint ja nicht gleichsetzbar zu sein mit Intelligenz.
Denn welcher normale, halbwegs intelligente Mensch stellt schon Nacktfotos (Pornos) oder was auch immer ins Netz und ist dann noch nicht in der Lage einen vernünftigen Schutz einzurichten. Eigentlich schon 2 Dummheiten auf einen Schlag.
@Denner
Genau Denner. Bestimmt war jedes 2. Passwort iamrich oder iamhorny, oder auch iamsohorny
"Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying."
Zitat:dann wurden alle möglichen Passwörter getestetDas ist die Definition von Brute-Force, in diesem Fall mit Passwortliste beliebter Passwörter. Man hätte nicht endlos Passwörter ausprobieren dürfen. Auf der anderen Seite hätte schon ein Passwort gereicht, was Passwort-Bewertungs-Seiten als simple klassifiziert hätten, da diese Abfrage online gewesen ist und deswegen entsprechend verlangsamt wurde. Diese Lücke wurde ja auch geschlossen. Wäre es keine Lücke, hätte man nichts schließen müssen.
Bei dem Fall Android mit dem Browser, bekommt man dann quasi alle Zugänge zu allen möglichen Portalen. Da sammelt man diese Daten und kann selbst Accounts mit guten Passwörtern kompromittieren. Wie gesagt, das ist hier eine ganz andere Liga. Halb so schlimm, wenn Google innerhalb von 7 Tagen ein Patch für zumindest 90% der Geräte raus bringen würde. Ob das alles nun wirklich so ist, würde ich erstmal abwarten. Medien sind manchmal etwas zu schnell.
@eXiNFeRiS Ich habe nichts von "intelligent oder nicht" geschrieben, sondern mich auf deine unsinnige Aussage bzgl. "geplanter Publicity-Stunt von 3. bzw. 4-klassigen B-Movie Möchtegern-Promi-Sternchen" bezogen. Im Übrigen legen sicherlich weit mehr Menschen als du dir das vorstellst Nacktbilder o.ä. in der Cloud ab. Muss jeder selber wissen.
Wenn Apple will, dass wir mit ihrem Pay-System bezahlen, dann sollten die auch Fehler wie das Zulassen von Brute-Force-Attacken dringend abstellen. Das hat nix mit "selber schuld wegen Nacktbilder in der Cloud" zu tun. Geleakte Apple-Pay-Zahlungsinformationen wären auch nicht so prickelnd.
Wenn Apple will, dass wir mit ihrem Pay-System bezahlen, dann sollten die auch Fehler wie das Zulassen von Brute-Force-Attacken dringend abstellen. Das hat nix mit "selber schuld wegen Nacktbilder in der Cloud" zu tun. Geleakte Apple-Pay-Zahlungsinformationen wären auch nicht so prickelnd.
17.09.2014, 16:53
@iPhone7
Der Untergang der menschlichen Intelligenz. Naja es musste ja über kurz oder lang so kommen.
Der Untergang der menschlichen Intelligenz. Naja es musste ja über kurz oder lang so kommen.
"Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying."
17.09.2014, 17:04
(Dieser Beitrag wurde zuletzt bearbeitet: 17.09.2014, 17:10 von eXiNFeRiS.)
@iPhone7
Ich halte es für wenig intelligent (gelinde ausgedrückt) Bilder dieser Art ins Netz zu stellen, und da macht es keinen Unterschied ob iCloud, DropBox, Google oder ein anderer Dienst. Aber das kann ja jeder anderes sehen...wie am aktuellen Beispiel ja passiert. Von daher, selber Schuld, erst recht wenn man ja scheinbar kein B-Promi ist sondern sehr berühmt und begehrt.
Ich halte es für wenig intelligent (gelinde ausgedrückt) Bilder dieser Art ins Netz zu stellen, und da macht es keinen Unterschied ob iCloud, DropBox, Google oder ein anderer Dienst. Aber das kann ja jeder anderes sehen...wie am aktuellen Beispiel ja passiert.
Von daher, selber Schuld, erst recht wenn man ja scheinbar kein B-Promi ist sondern sehr berühmt und begehrt.
"Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying."
17.09.2014, 17:06
@gado Naja, wenn ich die Aussagen von Tim Cock verstanden habe, haben die Hacker sich überlegt, welche Passwörter je Person wahrscheinlich sein könnten und haben die dann ausprobiert. Unter einer "richtigen" BruteForce" stelle ich mir ein automatisiertes System vor, das mit Rainbowtabellen arbeitet oder so ähnlich.
Wie hat denn Apple die Lücke geschlossen? 5 Versuche dann gesperrter Account?
Wie hat denn Apple die Lücke geschlossen? 5 Versuche dann gesperrter Account?
Zitat:Wenn Apple will, dass wir mit ihrem Pay-System bezahlen, dann sollten dir auch Fehler wie das Zulassen von Brute-Force-Attacken dringend abstellen. Das hat nix mit "selber schuld wegen Nacktbilder in der Cloud" zu tun. Geleakte Apple-Pay-Zahlungsinformationen wären auch nicht so prickelnd.Der Vergleich hinkt, da die Schlüsselverwaltung von Apple gemacht wird. Hast du auf deiner EC Karte den Pin 1234 definiert? Würdest du es machen? Gibt auch Leute die lieber SMS-TAN nutzen, als Chip-TAN, obwohl GSM offen wie ein Scheunentor ist. Man kann auch fast jedes lokale System brute-forcen. Hier sind die Schlüssel so lang, dass man Millionen von Jahren rechnen würde.
Ein simpleres Beispiel. Ein True-Crypt Container ist nicht unsicher, nur weil man das Passwort brute-forcen kann. 1Passwort ist auch nicht unsicher, nur weil man das Passwort brute-forcen kann. Die beiden Sachen sind aber sofort unsicher, wenn der User zu bequem wird und z.B 12345 als Passwort nutzt. Da braucht der Brute-Forcer keine Sekunde.
@Denner
Also wirklich erraten, in dem man sich in die Person versetzt, kann ich nicht glauben. Wie genau das Apple nun blockt weiß ich nicht. Möchte es nicht an meinem Account ausprobieren und bei fremden Account ganz sicher nicht.
Aber ich denke, nach Anzahl x, wird die IP für ein paar Minuten (15min?) geblockt. Das verlangsamt das alles dermaßen, dass man das dann vergessen kann. Account sperren macht kein Sinn, da ich dann gezielt User aussperren kann.
Was ich sage ist: Natürlich sollte kein schlauer Mensch kompromittierende Sachen wie Nacktbilder in einer Cloud ablegen. Aber nur weil das so ist, sind (auch kleinere) Fehler im Sicherheitssystem von Anbietern wie Apple oder Google nicht entschuldbar. Ich habe den Eindruck, dass bei diesem Nacktbilder-Skandal sehr viele Leute schreien "Selbst schuld! Total dumm! Und gerade den blöden Promis geschieht das recht! Die wollen das doch selber, weil die Publicity wollen!", was einfach Blödsinn ist. Wenn es hier um einen Leak von Zahlungsinformationen (das sind auch potentiell kompromittierende Daten und hat nichts mit Blödsinn wie Nacktbildern zu tun) von "normalen" Leute ginge, würden weit weniger Leute so hämisch reagieren.
17.09.2014, 17:18
Wenn man Daten von Appleusern durch eine Sicherheitslücke klaut, dann sind die Nutzer selber Schuld. Wenn Daten von Androidusern durch eine Sicherheitslücke geklaut werden, dann ist Android schuld.
Also bei diesem Leak muss man ja klar sagen, dass ein Fehler von Apple im Zusammenhang mit nicht-sicherheitsbewusstem Handeln von Usern dazu geführt hat.
Aber gerade von einer Firma wie Apple, die ja immer ihren Slogan "It just works" propagiert, würde ich mir Sicherheitslösungen wünschen, die auch dem unwissenden 08/15-Nutzer ohne vertiefte Ahnung von Sachen wie 2FA oder 1Password zu einem sicheren Umgang verhelfen.
Trotz alledem sollten sich oscarprämierte Millionäre, die im Rampenlicht stehen, besser gutbezahlte IT-Sicherheitsberater zulegen.
Aber gerade von einer Firma wie Apple, die ja immer ihren Slogan "It just works" propagiert, würde ich mir Sicherheitslösungen wünschen, die auch dem unwissenden 08/15-Nutzer ohne vertiefte Ahnung von Sachen wie 2FA oder 1Password zu einem sicheren Umgang verhelfen.
Trotz alledem sollten sich oscarprämierte Millionäre, die im Rampenlicht stehen, besser gutbezahlte IT-Sicherheitsberater zulegen.
17.09.2014, 17:29
@gado GSM ein offenes Scheunentor?? Definitiv nicht! Wann haste denn mal gelesen, dass das GSM Netz gehackt wurde oder mobile Tan dadurch nicht sicher sei? Ich kann mich nicht daran erinnern. Und wenn jemand an die mobile Tan dran kam, dann sicherlich nicht weil GSM gehackt wurde.
17.09.2014, 17:35
Systeme haben Fehler und werden das auch immer haben. Es gibt nicht das perfekte System. Deswegen ist es sehr wohl dumm solche Fotos in eine Cloud zu laden. Lokal wäre es ja noch okay, da ist die Wahrscheinlichkeit, dass das Foto den Weg ins Internet findet, sehr gering, wenn nicht unmöglich. Für paranoide wären dann die guten alten analog Filme etwas.
Und Zahlungsinformationen sind in keinster Weise sicher. Schau dir einfach die Zahlen der Kredikartenbetrügereien an. Auch Geldautomatenbetrug gibt es sehr oft.
Beispiel 1: Du gehst in den Laden oder Kaffee Laden und kaufst etwas mit Kreditkarte. Der Verkäufer nimmt die Karte entgegen, in diesem Augenblick gibt es tausend Möglichkeiten ein Bild der Zahlen und der Sicherheitszahl hinten zu machen. Bewegt die Kreditinstitute auch nicht, da etwas zu machen. Das ganze System müsste geändert werden. Das Ding ist schon vom Design unsicher. Vorteil war mal, dass man so ein Durchdruck auch offline machen konnte und später abrechnen. Aber aus den Zeiten sind wir schon lange raus. Kennt der eine oder andere aus Filmen, wo sie so ein dickes Ding über die Karte ziehen.
Beispiel 2: Du gehst in Saturn und kaufst etwas. Du steckst die Karte rein, gibst den Pin ein und bist weg. Dann kommt der nächste Kunde, der gerade etwas in sein iPhone eintippt. Genau in dem Augenblick hat er das Pin Pad vom EC Gerät mit einer Wärmebildkamera aufgenommen, da kann man klar erkennen, in welcher Reihenfolge die Tasten gedrückt werden. Viel zu auffällig? http://www.flir.com/flirone/ das fällt keinem auf. Ist halt eine etwas dickere Hülle. Dann muss er nur noch deine Karte in die Finger bekommen. Ist auch schon lange, lange bekannt. Alle EC Eingabegeräte mit Metalltasten ausrüsten, würde das Problem beheben, da diese alle möglichen Wärmequellen in der Umgebung spiegeln. Der Nutzer selbst, kann das absichern, wenn er/sie seine ganze Hand nach der Eingabe auf das Feld drückt. Aber auch hier müsste der User das Wissen haben, worauf er achten muss. Ähnlich, wie er wissen muss, wie lange ein Passwort sein sollte.
Beispiel 3: Du ersetzt das Pin Feld am Geldautomat und packst noch einen Magnetstreifen Kopierer an den Slot, der ähnlich wie von der Bank aussieht. Danach kannst du in Ruhe die Karte kopieren und nutzen. Muss man auch wissen. Das Magnet System gibt es trotzdem noch, obwohl es schon lange veraltet ist. Die Chips, wie z.B SIM oder auch auf Bankkarten als Debit System sind sicherer. Da diese nicht kopiert werden können, dort ist ein kleiner ARM Rechner verbaut, der ein Klonen bis heute unmöglich macht.
Banken haben eine Ewigkeit gebraucht ihre Systeme zu aktualisieren, als Heart-Bleed veröffentlicht wurde. In dieser Zeit wären z.B Man-in-the-Middle möglich gewesen und sind vielleicht auch gemacht worden.
Systeme sind nie, nie, nie 100%ig sicher, Geldsysteme schon lange nicht, da dort die meisten Augen drauf gucken.
Und Zahlungsinformationen sind in keinster Weise sicher. Schau dir einfach die Zahlen der Kredikartenbetrügereien an. Auch Geldautomatenbetrug gibt es sehr oft.
Beispiel 1: Du gehst in den Laden oder Kaffee Laden und kaufst etwas mit Kreditkarte. Der Verkäufer nimmt die Karte entgegen, in diesem Augenblick gibt es tausend Möglichkeiten ein Bild der Zahlen und der Sicherheitszahl hinten zu machen. Bewegt die Kreditinstitute auch nicht, da etwas zu machen. Das ganze System müsste geändert werden. Das Ding ist schon vom Design unsicher. Vorteil war mal, dass man so ein Durchdruck auch offline machen konnte und später abrechnen. Aber aus den Zeiten sind wir schon lange raus. Kennt der eine oder andere aus Filmen, wo sie so ein dickes Ding über die Karte ziehen.
Beispiel 2: Du gehst in Saturn und kaufst etwas. Du steckst die Karte rein, gibst den Pin ein und bist weg. Dann kommt der nächste Kunde, der gerade etwas in sein iPhone eintippt. Genau in dem Augenblick hat er das Pin Pad vom EC Gerät mit einer Wärmebildkamera aufgenommen, da kann man klar erkennen, in welcher Reihenfolge die Tasten gedrückt werden. Viel zu auffällig? http://www.flir.com/flirone/ das fällt keinem auf. Ist halt eine etwas dickere Hülle. Dann muss er nur noch deine Karte in die Finger bekommen. Ist auch schon lange, lange bekannt. Alle EC Eingabegeräte mit Metalltasten ausrüsten, würde das Problem beheben, da diese alle möglichen Wärmequellen in der Umgebung spiegeln. Der Nutzer selbst, kann das absichern, wenn er/sie seine ganze Hand nach der Eingabe auf das Feld drückt. Aber auch hier müsste der User das Wissen haben, worauf er achten muss. Ähnlich, wie er wissen muss, wie lange ein Passwort sein sollte.
Beispiel 3: Du ersetzt das Pin Feld am Geldautomat und packst noch einen Magnetstreifen Kopierer an den Slot, der ähnlich wie von der Bank aussieht. Danach kannst du in Ruhe die Karte kopieren und nutzen. Muss man auch wissen. Das Magnet System gibt es trotzdem noch, obwohl es schon lange veraltet ist. Die Chips, wie z.B SIM oder auch auf Bankkarten als Debit System sind sicherer. Da diese nicht kopiert werden können, dort ist ein kleiner ARM Rechner verbaut, der ein Klonen bis heute unmöglich macht.
Banken haben eine Ewigkeit gebraucht ihre Systeme zu aktualisieren, als Heart-Bleed veröffentlicht wurde. In dieser Zeit wären z.B Man-in-the-Middle möglich gewesen und sind vielleicht auch gemacht worden.
Systeme sind nie, nie, nie 100%ig sicher, Geldsysteme schon lange nicht, da dort die meisten Augen drauf gucken.
Benutzer, die gerade dieses Thema anschauen: 11 Gast/Gäste