Stonie

Nochmal, sorry, es ist einfach höchst missverständlich. Ging das Geld von Deinem privaten Wallet an die "ominöse" Adresse oder von bitcoin.de? Gruß Stonie

Noch einmal zur Klarstellung: Es gab eine Transaktion von Deinem bitcoin.de-Bestand, ohne dass Du dies veranlassen wolltest, habe ich das richtig verstanden? Warst Du zu dieser Zeit online und bei bitcoin.de eingelogt? Wie ist Dein Sicherheitssetup, also wie wählst Du Dich ein? Passwort ist klar. Zweiter Faktor (Google Authenticator, mTAN?)? Gruß Stonie

Ach, Du hast auch ne PM bekommen? Lieber segeln, ich verstehe ja Deine Panik, aber - abgesehen davon, dass Du an geschehenen Transaktionen eh nichts machen kannst - lass uns Doppel- und Dreifacharbeit vermeiden und nur hier schreiben. Gruß Stonie

Hi, mir ist leider bei der -verständlicherweise - aufgeregten Schreibe nicht klar, was mit der zuerst erschienenen Adresse gemeint ist. Wie viele BTC sind jetzt wann wohin und sieht die Umsatzübersicht auf einem anderen Rechner anders aus? Gruß Stonie

Guten Morgen, gern geschehen, ist ja quasi mein Beruf und so bleibt man geistig und fachlich fit. zu 1.) das BIOS als kleines wenige Codezeilen umfassendes Hardware-nahes Tool war einmal. Bei einem aktuellen Rechner steht das Ding vom Bedienkomfort ja quasi auf einer Stufe mit dem normalen Betriebssystem. Mausunterstützung, animierte Menüs, was das Herz begehrt. Die BIOS-Software ist auch vom Betriebssystem aus update-fähig und erweiterbar (Stichwort flashen) und kann Einstellungen etc. in eigenen Speicherbereichen vorhalten. Entsprechend kann man mit einer Malware auch das BIOS angreifen, google bei Interesse mal Mebromi, Rakshasa, BadBIOS ... Allerdings sollte man jetzt auch nicht in Panik verfallen, "in the wild" sind diese Dinge selten, vieles ist nur eine Konzeptstudie bzw. ein akademischer Proof of Concept und ein Schädling, der so fortgeschritten ist, dass er sich im beschränkten Habitat des BIOS-Bereichs bewegt und dabei höchste Funktionen hat und jedes OS kontrolliert, das halte ich dann doch für Humbug (deshalb sprach ich von urban legends), allerdings hat aktuell die NSA-Affäre schon den ein oder anderen Humbug-Ausruf Lügen gestraft, also sag niemals nie. Allerdings ist IT-Sicherheit auch immer Risiko-Management und an der Stelle sage ich einfach: Wer mich angreifen will und die fortschrittlichsten Mittel und quasi nachrichtendienstliche Ressourcen hat, dem bin ich eh ausgeliefert. Damit kommen wir nämlich zu Deinem Punkt 2. zu 2.) Mit physisch meine ich, dass Du Dir tagelang den Kopf über die kryptographische Absicherung zerbrechen kannst, es gibt immer noch eine "Real World" Schnittstelle, so war auch der Cartoon zu verstehen. Du kannst die beste Absicherung der Welt haben, aber Du selbst musst ja an die Coins kommen. Stell Dir vor, Du bietest hier bei bitcoin.de 5.000 BTC an, das würde sich doch schon lohnen. Ein Krimineller kauft also einen dieser Bitcoins und erfährt Deinen Namen und Deine Bankverbindung. Du heißt nun vielleicht Hans-Xaver Leutmann-Wentingmeier und hast Dein Konto bei der Sparkasse Grottenolm, dem sympathischen Ort mit 10.000 Einwohnern, von denen genau einer Hans-Xaver Leutmann-Wentingmeier heißt. Bei Dir klingelt es dann morgen früh und ein sympathischer Sonnenbrillenträger mit Goldkettchen hat Fotos vom Schulweg Deiner Kinder dabei und möchte mit Dir über Deinen privaten Schlüssel reden. Da ist Deine technische Wallet-Absicherung dann fürchterlich egal. Gruß Stonie

Sorry, aber wenn Du über das Netzwerk auf eine Windows-Freigabe zugreifst und Du nicht zufällig Deinen eigenen Netzwerkstack implementiert hast, dann wirst Du auch dafür eine "stinknormale" TCP-Verbindung mit zugehörigem Port eröffnen, auf dem die Antwortpakete angenommen werden. Stimmt. Entschuldige, da sind irgendwie ein paar Zeichen verloren gegangen, wie man am Grammatikfehler sehen kann. Es sollte heißen "ich greife über die Netzwerkfreigabe Deine VM an" und gemeint ist die Netzwerkfreigabe auf dem anderen Rechner, auf den Deine VM zugreift. Da hast Du grundsätzlich recht, eine Textdatei ist in aller Regel zu simpel, sieht man mal von der paranoiden Backdoor-Angst ab, dass das System aufsperrt, wenn eine zu öffnende Textdatei den Dateianfang "gashdggzk'''### NSA calling hurtzelburtzel***" hat (was strenggenommen nicht ausgeschlossen ist, auch Paranoide haben Feinde ;-) Ohne das ist vermeintlich alles gut. Jetzt kommt allerdings das ABER: Ein Angreifer muss ja gar keine Textdatei ablegen, sondern nur etwas, das wie eine aussieht und das Du dann öffnest. Und der Code von Windows-Zubehör ist alles andere als handlich. Notepad ist kein Editor, der bei der ersten Schwierigkeit, eine Datei zu öffnen aufgibt, er lädt Bibliotheken nach und versucht irgendwie, alles anzuzeigen. Und genau das kann man sich als Angreifer zu Nutze machen. Ich habe Dir mal eine schöne gerade zwei Jahre alte Security-Mitteilung von Microsoft herausgesucht: http://technet.microsoft.com/de-de/security/bulletin/ms11-071. Hier muss für einen erfolgreichen Angriff der Benutzer unter Windows XP SP3 irgendein Textformat (inkl. einer einfachen Plaintextdatei *.txt!) auf einem Remotesystem über eine Netzwerkfreigabe öffnen, dann kann der Angreifer die Kontrolle über das System übernehmen. Hm ... an wessen Infrastruktur erinnert mich diese Angriffsbeschreibung gerade? ;-) Der Angreifer ist dann erst einmal mit Benutzerrechten auf dem System. Davon abgesehen, dass ihm das eventuell reicht, schließlich transferierst Du auch als normaler Benutzer Deine BTC, kann von da aus notfalls über andere Sicherheitslücken eine Privilege Escalation gesucht werden, was erst recht in Deinem nicht mehr upgedateten System absolut machbar sein dürfte. Wenn Deine Bitcoin-Kiste schon seit zwei Jahren da stehen sollte und nie Updates erfahren hat, dann ist das übrigens im Moment ein realistisches Szenario. Und wenn die Datei gut gemacht ist, passiert da auch nichts seltsames, was Du bemerkst. Ggf. dauert das Öffnen drei Sekunden länger und nach meiner Kenntnis der Lücke müsste im Netzwerkverzeichnis zusätzlich zur Textdatei noch ein gefälschte Bibliothek (*.dll) liegen, die dann nachgeladen wird, aber es ist jetzt nicht so, dass der Bildschirm anfängt zu blinken. Und damit hast Du absolut recht. Du bist sogar um viele 1.000 Prozent sicherer als der "Normalo beim Homebanking" und wahrscheinlich sicherer als 99,9998 Prozent aller anderen Bitcoin-Nutzer und damit aufgrund Deines relativen Vorteils effektiv hochgradig geschützt. Ich hoffe, ich habe niemals etwas anderes durchscheinen lassen. Und da Du jetzt von den 100% Abstand genommen hast, habe ich Dich auch genug geärgert. Gruß Stonie

Ui, das ist ja spannend. Auf welche magische Weise greift denn ein Gerät, bei dem nur und ausschließlich ein einziges Programm über einen einzigen Port nach außen kommt bitte auf eine Netzwerkfreigabe zu? Also wie gelangen die Bits physisch zum Rechner? Quantenverschränkung? So aus dem Stand einmal drei Angriffsszenarien gegen Dein 100% sicheres System: 1.) Ich lasse Deine abgeschottete VM in Ruhe und konzentriere mich auf Dein Hauptsystem, mit dem Du Dich im Internet bewegst. Dieses infiziere ich mit einem Trojaner, dessen Funktion es ist, jede Anzeige und Ausgabe von Bitcoin-Adressen über ein Dictionary durch vom Trojaner bzw. den Angreifern kontrollierte Adressen zu ersetzen. Wenn ich Dir eine Mail schicke mit meiner Adresse, zeigt der Trojaner bei Dir eine Adresse der Angreifer an. Wenn Du Dich bei bitcoin.de einlogst und eine neue Adresse erzeugst zur Einzahlung von Coins zum Verkauf, zeigt Dir der Trojaner eine Adresse der Angreifer an. Du schickst dann Coins an die falsche Adresse. Das merkst Du dann zwar nach etwas Zeit, aber die Coins sind unwiderbringlich beim Angreifer, etwas, was man von einem 100% sicheren System nicht erwarten würde. Andersherum ersetzt der Trojaner auch alle von Dir eingegebenen oder gesendeten Adressen durch eigene. D.h. wenn Du über die Bitcoin.de Seite Beträge auszahlen lässt, dann setzt der Trojaner unbemerkt eine eigene Zieladresse ein, wenn Du eine Mail verschickst, um eine Zahlung zu fordern,steht beim Empfänger eine Trojaner-Adresse drin. Unnötig zu erwähnen, dass der Trojaner die Anzeigen bei Dir jeweils maskiert, also die Fremdadressen über das Dictionary für die Ansicht wieder mit eigenen versieht. Ein wirklich guter Schädling kann auch gleich Deine Übergabedatei korrumpieren. Und im Fall der bitcoin.de Auszahlung hast Du nicht mal eine Chance, dies auf einem anderen Gerät zu prüfen. Greift nicht Deine Wallet an, lohnt aber, denn irgendwann willst Du ja mal was mit den Coins machen. 2.) Ich greife die Netzwerkfreigabe Deine VM an und schleuse bösartige Dateien in den Zugriffsbereich Deines Rechners. Dankenswerterweise setzt Du auf ein 13 Jahre altes Windows anstelle von etwas robustem wie z.B. einem gehärteten Linux-System. Es gibt insbesondere für Windows XP zig dokumentierte und undokumentierte Lücken (0-Day-Exploits), wie man dort Code zur Ausführung bringt, aktuell haben wir z.B. wohlbekannt eine seit fünf (!) Monaten ungepatchte Lücke bei der Verarbeitung von TIFF-Dateien. Die Windows-Dateivorschau ist Dein Freund. Jetzt kommt von Dir natürlich der Einwand, dass diese deaktiviert ist, aber darum geht es nicht, es ist nur ein möglicher Angriffsvektor. Du öffnest dort eine Datei, die von einem anderen System kommt, nämlich mindestens Deine (Text?)Datei mit den Adressen und an dieser Stelle kannst Du spätestens nicht mehr behaupten, Dein System sei 100% sicher. Erst recht nicht, wenn Du auf Updates verzichtest, wie Du freimütig zugibst, d.h. im Netz wohldokumentierte und allgemein zugängliche Sicherheitslücken werden auf Deinem System nicht geschlossen, ich eskaliere dann z.B. über eine Lücke im Texteditor, die niemand ausschließen kann. Dann bin ich in Deiner VM, von Dir unbemerkt, ziehe mir aus Deiner entsperrten Partition die wallet.de (bzw. kümmere mich darum nicht, denn Du tust das für mich transparent) und schneide das Passwort mit. Dass die Infektion nach den Neustart weg ist, ist fürchterlich egal und sogar gewollt. Das ist ja das schöne, dass Du den abgeschotteten Rechner eh nur verwendest, wenn Du etwas machen willst, bei dem Du die vom Angreifer benötigten Sachen lieferst. Dann tunnele ich das ganze, ggf. über Deinen Arbeitsrechner an meine Dropzone. Bye bye Coins. 3.) Ich greife über Dein Heimnetz die Rechnerbasis an, auf der die VM läuft. Dazu fehlen noch Informationen, mir scheint aber, dass Du Dich sehr auf die VM selbst konzentrierst, was den Technologiestack darunter oft vernachlässigt. Ich hoffe, Du hast Deine Meinung, dass von außen nichts möglich ist, nun geändert. Und nochmal: Auch wenn es ein arges Wiederkäuen ist: Du bist natürlich nicht unsicherer als jemand, der den Bitcoin-Client out-of-the-box auf einem Windows-Rechner im Netz betreibt (im Gegenteil!) und machst Dir viele richtige Gedanken, aber Du solltest niemals, niemals sagen, dass etwas 100% sicher ist. Nichts, wirklich nichts, ist mit der Außenwelt verbunden, 100% sicher und dabei noch funktional. Gruß Stonie

Hi, vorweg: Brainwallets sind nicht wirklich schlecht, wenn die Passphrase individuell und zufällig ist. Da man halt nur so ca. 160 Bit Entropie benötigst, ist das nicht abwegig. Brainwallets haben halt den Vorteil, dass dann die Bude abbrennen und die Bank überflutet werden kann, man kommt aber noch an die Coins (selbst wenn die Passphrase nicht mehr 100% sitzt, ab da geht Brute Forcen), siehe die aktuelle Geschichte vom Briten, der die Platte mit 7.500 Coins auf der Müllhalde liegen hat. Also ich verwende Brainwallets. Ansonsten klingt das, was Du tust, nach einem guten Plan, meinen Hinweis mit den Sätzen aus dem Internet solltest Du natürlich geflissentlich ignorieren wegen der (sinnvollerweise) fehlenden Konnektivität. Ob Du zuviel machst, musst Du selbst wissen, ich persönlich halte z.B. die dedizierte Hardware des zweiten Rechners für überflüssig. Wenn ich meinen Hauptrechner mit einer Boot-CD boote, ist das nicht besser oder schlechter als auf einem anderen. Und ein alter Rechner muss es gar nicht sein, ich mache alles "getrennte" auf einem Raspberry Pi (40 Euro). Und ja, den kannst Du nach dem Hochfahren wieder normal verwenden (also in der Regel ;-). Den einen richtigen Weg gibt es eh nicht. Ich z.B. sichere meine Brainwallets nicht durch Ausdrucken, sondern über das Abfotografieren des Bildschirms mit einer ausgemusterten Digitalkamera, die aber noch ihre Dienste tut. Und klar, Sicherheit ist mein täglich Brot, natürlich fallen mir noch Angriffsvektoren ein. Zum Beispiel die schönen modernen Drucker mit Netzwerkanschluss und riesigem Speicher, da kann man dann oft das gedruckte und die letzten Faxe abziehen, Es gibt auch immer noch Angriffsvektoren über das BIOS (teilweise urban legends) und so weiter und sofort, physisch geht sowieso immer. Im Unterricht zeige ich an der Stelle immer gerne diesen XKCD-Cartoon. Es wird aber ziemlich sicher so passen. Wenn regelmäßig trotz so umsichtiger Vorgehensweise die Wallets fallen würden, dann könnten wir Bitcoin komplett abschreiben. Gruß Stonie P.S.: Wohl überflüssig zu erwähnen, aber exakt "lakdi/2504?js%cK6L!2$_i_9?w§QäY8#qüL%9Ad3ko*ö#39(1=sk&ls " darfst Du natürlich nicht mehr nehmen ;-)

Die wie genau auf dem ultra-abgeschotteten Rechner landet? Weil von außen geht ja nichts an den, folglich muss die Datei dem Rechner unbekannt sein, eine Änderung erst recht. Achja ... Du sprichst immer von einer virtuellen Maschine, der läuft aber schon auf dedizierter Hardware irgendwo anders und nicht auf dem Rechner mit dem Bitcoin-Client, richtig? Mit "DAS" meinst Du die Entgegennahme von signierten ausgehenden Zahlungen, die Du auf Deinem abgeschotteten Rechner erstellt hast? Du hast immer noch nicht genau gesagt, wie und mit welcher Software Du die dort erstellst, normaler Bitcoin-qt? Gruß Stonie

D.h. wenn Du mir BTC überweisen willst und ich Dir meine Adresse in einer privaten Nachricht mitteile, wie wird dann die Zahlung gemacht? Du kopierst meine Adresse in die Datei und diese auf die Maschine? Es tut mir ja echt leid, dass ich die Frage nochmal wiederholen muss, aber Du sprichst immer nur nebulös vom Bitcoin Gateway. WO konkret wird eine Zahlung signiert und wie gelangt sie ins Netz? Gruß Stonie

Aha, also ist die für Signaturen zuständige Komponente von außen ansteuerbar, oder wie sonst kommt von wo die Adresse dort per Copy & Paste hin? Vielleicht erklärst Du nochmal ausführlicher, wie Du Deine Architektur mit Bitcoin-Client und Bitcoin-Server meinst, das blieb bisher unklar. Das klang oben deutlich anders. Und so ist ein kapitaler Verstoß gegen grundsätzliche Best Practices der IT-Sicherheit. Nichts, das mit der Außenwelt kommuniziert, kann absolut dicht sein, jedenfalls keine Drittsoftware auf einem Windows XP. Wahrscheinlich kommen wir dem Missverstänsnis näher, wenn Du nochmal die Client/Server-Geschichte beschreibst, sofern ich Dich nicht zu sehr quäle. Es ist ausgeschlossen, dass ich per Copy & Paste etwas irgendwo einfügen kann, was unbeeinflusst von der Umwelt ist. Beschreibe bitte noch einmal ganz genau, wie Du eine BTC-Transaktion machst, an welchem Rechner Du welche Bedienschritte durchführst, welcher Rechner dann mit welchem kommuniziert, wo die Transaktion signiert wird und wie sie dann ins Netz kommt (auf die Speicherung der wallet.dat brauchst Du nicht weiter eingehen, die ist für MAn-in-the-Middle-Angriffe uninteressant). Sobald ich verstanden habe, wie Du das mit der Kommunikation in Deinem Netz meinst, beschreibe ich Dir einen Angriff. Gruß Stonie

Nein, sie gelten generell. Einem nicht verwürfelten Hauptspeicher ist es egal, ob er vom Admin oder von einem Benutzer nicht verwürfelt wurde. Falsch, schon einmal was von Privilege Escalation gehört? Das ist doch gerade das Problem mit den Sicherheitslücken. ... aber ... ... genau. Davon abgesehen, dass Du das bisher nicht erwähnt hast, ist es nicht entscheidend, denn das kann man aus dem Netzverkehr herauslesen. Dein Rechner tut was, Dein Rechner kommuniziert mit der Außenwelt. Mehr braucht es nicht. Wie kommt man auf sowas? Nochmal, Privilege Escalation (==> Sicherheitslücke), ist gerade wieder unter XP aktuell. Wie schon angemerkt ist auch das egal, weil was einmal infiziert wurde, wieder infiziert werden kann und die Änderungen vor dem Shutdown ja ausreichen. Moderne Schadsoftware WILL gelöscht werden, besonders eine so hoch entwickelte, die das Setup überwindet. Auch egal, der Angreifer will Sie eh, wenn sie in Gebrauch und aufgeschlossen ist. Das sagtest Du mehrfach. Man nennt dies in der Informstionssicherheit auch das Schneiersche Gesetz: "Jeder kann ein Sicherheitsverfahrne konstruieren, dass er selbst nicht brechen kann. Das sagt nichts darüber aus, ob es jemand anderes kann." Was ich ebenso interessant wie schade finde ist, dass Du zu den Knackpunkten, nach denen mehrfach gefragt wurde, nichts sagst, insbesondere wieso Du keine Adressen für Transaktionen manuell eingeben musst und wie die Updates auf den Rechner kommen. Und wozu wären die Updates überhaupt wichtig, Dein Rechner ist ja allein durch die geschlossenen Ports Deiner Meinung nach sicher. Gruß Stonie

War gar nicht meine Aussage, aber egal, sollten wir am Ende doch alle Menschen sein ;-) Gruß Stonie

Es ist empfehlenswerter als der Verzicht auf den Authenticator und weniger empfehlenswert als der Einsatz das Authenticators über ein zweites Gerät (Smartphone). Endgültig retten kann er Dich nie, bitte nicht mit chipTAN und Co. von Banken verwechseln, wo die Codes transaktionsabhängig sind. Gruß Stonie

@Leerer Akku: Und ich GLAUBE nicht, sondern WEISS, dass Du Dir leider nicht die Mühe gemacht hast, den Thread zu lesen. Die Aussage bezog sich darauf, dass man jetzt nicht mehr mit dem Minen anfangen braucht, nicht daraus, dass man sich nicht mehr einkaufen soll. Gruß Stonie

Auch bezüglich eines "Brainwallet" ist die Antwort leider nicht so einfach. Man mag mir die semiakademischen Ausführungen verzeihen. Sinn eines Brainwallets ist eigentlich nicht, den Zufallsinput zu verbessern, sondern eine Adresse zu generieren, die sich aus einer Wortreihe rekonstruieren lässt. Bei allem Risiko der eigenen Vergesslichkeit, von Unfällen usw. kann man so wirklich das perfekte Bitcoin-Versteck schaffen. Es gibt kein Stück Papier im Safe, es gibt kein Wallet, nur das Passwort bzw. die Passphrase, die natürlich entsprechend gut sein, einzigartig sein und niemals nicht vergessen werden sollte. Die Generierung der Adressen und des privaten Schlüssels daraus ist absolut kein Hexenwerk, da braucht man auch keine unterschiedlichen Homepages zu. Das eigene Geheimnis wird schlicht als Input in den SHA-256 Hashing-Algorithmus gesteckt, der Output ist dann der Secret Exponent, so einfach ist das. Das Bestimmen von Schlüssel und Adresse kann man unter Linux mit dem Bash-Taschenrechner dc durchführen. Ich habe auf meiner Bitcoin-Box, das ist ein Raspberry Pi für 40,- Euronen Fiat-Geld kleine Linux-Skripte, die das alles machen, damit halte ich auch meine Sachen vom "Arbeitsrechner" getrennt. Als Internetdienst für Brainwallets nutze ich übrigens http://brainwallet.org/. Schöne schlanke Seite, viele Optionen, Skripte für alle Coins, übersichtlicher Quelltext. ACHTUNG! Die Seite wird NICHT mit einer Zufallsfolge aufgerufen, bitte NICHT correct horse battery stapler verwenden bzw. an die so erzeugte Adresse Coins schicken. Wenn Ihr mal Action in Eurer Wallet haben wollt, dann importiert Euch den Schlüssel, liegt allerdings wegen der zahlreichen Bewegungen den Client lahm. Weitergedacht kann man natürlich sagen, wenn ich den Input selbst erzeuge, dann steigere ich die Zufälligkeit, weil ich nicht auf eine deterministische Maschine angewiesen bin. Das setzt voraus, dass der eigene Input aber auch wirklich zufällig ist, fachlich gesprochen eine ausreichende Entropie hat. Und hier überschätzt sich der Mensch leider regelmäßig. Echten Zufall zu erzeugen ist nämlich gar nicht so einfach. Wenn ich den durch Tastaturbedienung oder Mausbewegung erzeuge, dann kommen dabei erstaunlich viele gleiche Muster bei verschiedenen Menschen heraus.Klassisch kreisen Menschen mit der Maus oder wedeln von rechts nach links und zurück. bei Tastatureingaben haut man meist abwechselnd mit dem linken Zeigefinger mittig in die linke Tastaturseite und mit dem rechten mittig in die rechte. Für die richtig gute Entropie ist es schon ein Todesurteil, wenn auf eine Taste der linken Seite eine der rechten folgt und umgekehrt, vom oft begrenzten Zeichensatz ganz abgesehen. Oder wer baut in sein Geklimpere Zeichen wie Raute, Zirkumflex usw. ein, die statistisch genauso wahrscheinlich sind wie Kleinbuchstaben? Auch bei den Nonsenstexten halten wir uns für individueller als wir tatsächlich sind. Menschen eines Kulturkreises sind in einer Weise ähnlich geprägt, dass Sie überschneidend assoziieren und der Nonsens, den sich jemand ausdenkt, vielleicht gar nicht so weit weg ist vom Nonsens eines anderen. Kleines Beispiel gefällig? Denke spontan an eine Farbe, ein Werkzeug und ein Musikinstrument *** STOP, nicht weiterlesen, tu es wirklich! ERLEDIGT?, dann weiter ***. Wenn Du deutscher Muttersprachler bist und jetzt weder Rot, Hammer noch Geige vor Deinem inneren Auge auftauchten, bist Du außergewöhnlich. Ist das ein Problem fürs Brainwallet? Eigentlich nein, denn wir können höchstens eine Entropie von 256 Bit, also je nach Zeichensatz 30 bis 40 Zeichen, verarbeiten, durch Brute Force kann sogar deutlich weniger gebrochen werden. Wenn Dein Nonsens viel länger ist, wird durch Eigenheiten Deiner Person ausreichend Entropie hinzugefügt. Wer sich nochmal absichern will (und eben nicht auf die Erinnerbarkeit setzt, sondern nur den Schlüssel generieren will), der kopiert noch schnell zwei Sätze von einer Nachrichtenseite, Facebook oder woher auch immer hinter seinen Nonsens, löscht willkürlich ein paar Buchstaben aus dem gerade dazu kopierten und lässt diese lange Textzeile von SHA256 verwursten. Ein anderer Weg über einen physischen Zufallsgenerator wäre Diceware. Nimm Dir einen oder mehrere Spielwürfel und ermittle acht mal durch fünf Würfe eine fünfstellige Zahl abcde, wobei a bis e jeweiles nur die Ziffern 1 bis 6 einnehmen können (logisch, da gewürfelt). Jetzt schaust Du in der Liste unter http://world.std.com/~reinhold/Diceware_German.pdf das zugehörige Wort nach und hast danach eine Aneinanderreihung von acht Worten, die an Entropie das benötigte Maß bei weitem übertrifft. Spuren im Netz hast Du auch nicht hinterlassen. Die Reihe kann man auswendig lernen, stecke sie in den Brainwallet-Generator Deiner Wahl und Du hast Deine Adresse. Gruß Stonie

Von der Abwegigkeit des Ergebnisses. Nunja, 85% der BTC werden dann errechnet sein. Die Summe selbst, Du redest über 20% des Weltsozialprodukts für BTC allein. Das ist mehr als alles jemals geschürfte Gold und alle Währungsreserven aller Notenbanken weltweit zusammen. Das schätzt Du völlig falsch ein, wenn Du von Umlauf sprichst, dann musst Du Dich an kurzfristige Geldmengen-Aggregate halten, da entspricht Deine Prognose ungefähr dem US-Dollar, der heutigen weltweiten Reserve-Währung. Deine Prognose bleibt abwegig und das um mindestens eine Zehnerpotenz. Aber das tolle ist, wir werden es sehen und Du kannst mich dann in nur sieben Jahren Lügen strafen. Jep, er wird weitgehend nur in entwickelten Gesellschaften von einer jeweils sehr kleinen Nutzerschicht gehandelt. Global im eigentlichen Sinne ist etwas anderes. Gruß Stonie

Hallo, vielleicht hat die bitcoin.de-Crew ja gerade andere Sorgen, aber da mit dem Bitcoin-Kurs auch die Beteiligung hier merklich anzieht, würde ich mich über eine Nutzung des Tapatalk-Plugins außerordentlich freuen, damit ich das Forum auch Datenflat-sparend auf dem Handy verfolgen kann. Gruß Stonie

Das ist schlicht falsch, die Sicherheitsarchitektur von XP ist veraltet, schau in den oben verlinkten Artikel, dort ist eine schöne Übersicht, welche Funktionalitäten Windows XP gegenüber Windows 7/8 fehlen. Oh, bisher langweilt es nicht, nur weiter! Das das System bei jedem Neustart alles vergisst, ist fürchterlich egal, das ist sogar heute bei fortgeschrittener Schadsoftware gewollt, um die Forensik auszuhebeln. Es reicht ja der Schaden, der bis dahin angerichtet wurde. Außerdem kann ein Schädling den Weg, der zur Infektion geführt hat, jederzeit wieder gehen. Wozu wäre das bei einem 100% sicheren System überhaupt wichtig? Auch Dein Bitcoin-Client wird von innen wohl oder übel eine verbindungsorientierte Verbindung via TCP aufbauen. Und während dieser Verbindung nimmt Dein Rechner Nachrichten auf Port 8333 entgegen. Du vertraust darauf, dass der Netzwerkstack und der Bitcoin-Client das schon alles sauber machen. Ist auch eine vernünftige Vermutung, aber nicht 100% sicher, Sicherheitslücken sind hier zahlreich dokumentiert. Obwohl diese eher Denial of Service Szenarien betrafen, gibt es nichts, was gegen Buffer Overflow Attacken spricht. Das gilt ganz besonders für Win XP, denn entgegen Deiner forschen Behauptung ist es eben nicht so sicher wie Win 7/8, denn es fehlt an jeglichen Techniken zur Address Layout Randomization, Heap Hardening etc., in dieser Beziehung ist Win XP einfach nicht gut designt. Ist für ein so altes System auch nicht schlimm, wer das aber als sicher bezeichnet und in entsprechendem Kontext einsetzt, der muss sich nicht wundern. Sofern der Netzwerkstack und die Firewall korrekt funktionieren. Zuletzt war der Netzwerkstack 2011 komplett offen (für NSA und vernetzte Kriminelle wahrscheinlich deutlich davor), die Windows XP Firewall hatte auch schon schwerwiegende Sicherheitslücken, im Jahr 2006 ließ Sie sich z.B. durch ein manipuliertes DNS-Paket komplett abschießen. Was macht Dich so sicher, dass sie aktuell fehlerfrei ist? Eben, nichts, deswegen fällt bei mir auch jeder Student durch, der sich in einer Prüfung trauen würde zu sagen "Von außen geht da sicher nichts", der darf das Semester wiederholen, weil er offenbar in den Grundlagen der Informationssicherheit gepennt hat. Und zum Thema Updates: Wie kommen diese Updates denn bitte auf Dein abgeschottetes System? Wenn er nie online geht, ich frage Dich gerne noch einmal, wie kommen dann (signierte) Transaktionen ins Netz? Und wie gibst Du die Transaktionsdetails (Adresse) überhaupt ein? Diese Frage blieb oben leider unbeantwortet. Nur, wenn der Angreifer nach den Regeln Deines Setups spielt. Schlechte Nachricht: Die sind dem fürchterlich egal, denn die Wallet-Infos von Deinem anderen System reichen ihm. Und wenn schon ein Schädling auf dem System ist, kann der von innen raus ja alles machen, zumindest beschreibst Du nichts gegenteiliges. Ob Dein Notebook läuft ist völlig egal. Ich hoffe inständig, dass Du 2020 kein XP-System mehr produktiv einsetzt. Oh, glaub mir, es gibt noch eine ganze Reihe weitere Angriffe, Social Engineering z.B.. Du bist davor natürlich gefeit (*zwinker*zwinker*), aber die grundsätzlichen Möglichkeiten sollten ausreichen, von der Angabe 100% sicher abzurücken. Jetzt bin ich schon wieder neugierig. Wie signiert das System dann Transaktionen? Gruß Stonie

Darauf kann man so oder so antworten. Rein technisch ist die Idee des Google Authenticators die, dass man eine sogenannte 2-Faktor-Authentisierung nutzt. Weder alleiniges Wissen (Passwort), noch alleiniger Besitz (Handy) reicht aus, man braucht beides. Bei modernen Smartphones, die ja nichts anderes als Computer sind, ist die Gefahr groß, dass eine Malware das Gerät übernimmt und ein Belauschen oder eine Fernsteuerung ermöglicht. Wenn nun beide Faktoren in einem Gerät vereint werden, löst sich der Schutz auf. Deshalb untersagen Banken z.B., mTANs auf ein Gerät zu empfangen, mit dem man Online Banking macht und unterbinden solche Funktionen in Apps. Also die formal korrekt Antwort lautet: Ja, es ist unsinnig. Bei abwägender Betrachtung kann man dies aus zwei Gründen allerdings nicht stehenlassen. 1.) Obwohl es - insbesondere bei Android - ein Problem mit mobiler Malware gibt, kümmert sich diese vor allem um Keylogging und SMS-Weiterleitung, eine Malware, die gezielt Authenticator-Seeds ausspioniert oder das Gerät in Echtzeit fernsteuerbar macht, ist mir zumindest nicht bekannt. hättest Du nur das Passwort und keinen Authenticator, wäre das in jedem Fall schlechter. 2.) Die generierten OTPs sind nur zeitabhängig, aber von Details der Transaktion unabhängig. Im Gegensatz zu dem, was wir bei Deutschen Banken per mTAN, chipTAN, photoTAN oder Signaturverfahren kennen, belegt das Authenticator-Pad nur, dass gerade genau dieser Code angezeigt wurde. Wenn man die gängigen Börsen mit Malware angreifen will, muss die Schadsoftware nur im Hintergrund schlafen und bei Eingabe eines Authenticator-Codes Coins überweisen, entweder durch unbemerkte Änderung der vom Benutzer eingegeben Adresse oder ganz stumpf durch Abfrage ("Eingabe läuft ab, bitte Key zur Bestätigung eingeben" oder so). Sich über die Feinheiten der Kanaltrennung beim Smartphone Gedanken zu machen, ist deshalb an der falschen Stelle angesetzt, im Ergebnis bist Du da vielleicht sicherer als am deutlich gefährdeteren PC. Gruß Stonie

Warum sollten auch in der Volkswirtschaft anerkannte Definitionen in Wikipedia falsch stehen? Und wo ist das Gegenargument? Und klar, BTC ist nicht volatil. Wie taxierst Du denn stabil den Wert sagen wir einer Pizza oder eines Frühstücks in BTC? 2009: 10,000 BTC 2012: 1 BTC 2013 April: 0,05 BTC 2013 Juni: 0,15 BTC 2013 November: 0,01 BTC Das ist das volatilste, was ich je gesehen habe. Gruß Stonie

Eine Währung ist das Währungssystem eines Staates oder Staatenbundes in einem Währungsraum. Bitcoin kann man maximal als Ersatzwährung bezeichnen. Aber auch dazu taugt es (aktuell) nicht (siehe unten). BTC ist so wenig Währung, wie es Kupferbarren und -drähte sind. Du kannst Tauschgeschäfte eingehen, wenn Dein Vertragspartner damit einverstanden ist. Sicher kaufen kannst Du nur mit der Währung innerhalb des Währungsraums (gesetzliches Zahlungsmittel). BTC sind im Moment m.E. nicht einmal Geld, weil durch die hohe Volatilität die Geldfunktionen außer Kraft gesetzt sind (Recheneinheit, Wertaufbewahrung, Zahlungsmittel). Gruß Stonie

Schon klar, die ersehnen sich das so sehr, dass irgendwann die Promille-Schwelle der Nutzung im Verhältnis zur Bevölkerung überschritten wird, leider dürften 90% dieser verschwindend geringen Nutzerzahl schlicht Spekulanten sein, die Ihr Geld im System der "Zinssklaverei" mehren möchten. Endlich ein System, das nicht so ungerecht ist, aha. Dir ist aber schon klar, dass sich 20% der BTX Bestände in der Hand von nur 100 Leuten befinden, oder? Von einer so ungleichen Vermögensverteilung wie beim BTC kann ein Großkapitalist nur träumen. Die Menschen hätten seit Jahrhunderten z.B. über Edelmetalle die Möglichkeit gehabt, das Geldsystem zu verändern, allzu groß kann die Sehnsucht nicht sein. Also träum weiter. Gruß Stonie

Na dann sollte es Dich sehr beruhigen, Abwarten und Tee trinken. Gruß Stonie

Hm ... Die bezeichnest ein XP System mit SP3 als vollständig sicher. Spannend, insbesondere weil Microsoft selbst das anders sieht. Schau mal in folgenden Microosft Technet-Blog von Tim Rains (Director Trustworthy Computing): http://blogs.technet.com/b/security/archive/2013/08/15/the-risk-of-running-windows-xp-after-support-ends.aspx. Der Beitrag enthält eine klare Aussage: "the security mitigations built into Windows XP are no longer sufficient to blunt many of the modern day attacks we currently see". Seit dem Erscheinen von Windows XP sind 13 Jahre vergangen. Das Betriebssystem wurde im schnelllebigen IT-Geschäft buchstäblich für eine andere Zeit konzipiert. Ungeachtet des Patch-Standes ist die Gefahr der Ausnutzung einer Sicherheitslücke ungefähr 50 Mal höher als bei einem aktuelleren Betriebssystem des gleichen Herstellers. Dies zeigt Microsofts eigene Darstellung im regelmäßigen Security Intelligence Report (SIR). Und am April nächsten Jahres ist XP per Definition ungepatcht, weil der Support eingestellt wird. Ja und? Was ändert das daran, dass das System dort noch einmal sicherer war als Dein 100%-System und trotzdem erwischt wurde? Ergo kann etwas mit Dienen 100% nicht stimmen, aber das hast Du ja oben schon eingeräumt. Und nochmal: Du hast Dir viele Gedanken gemacht und bist selbstverständlich "sicherer", auch wenn Du m.E. zu viel tust und auch ggf. weitere Fallstricke (Stichwort Verfügbarkeit) schaffst. Ich will damit in KEINEM Fall sagen, dass Du gegenüber dem Normalo etwas falsch machst, das Gegenteil ist der Fall. Wenn alle so arbeiten und denken würden wie Du, wäre die Welt der Cyberkriminellen eine andere. Nur die 100% stören mich. Natürlich musst Du tippen oder wir haben ein Missverständnis bezüglich der Isolierung. Wenn Du jetzt entscheidest an Adresse XYZ zu zahlen, dann musst Du diese eintippen oder wie landet die dort, wo die Signatur generiert wird? Gruß Stonie