Zum Inhalt springen

Angriffsmöglichkeiten diverser Hardware Wallets 35c3

adatainment
 Teilen

Empfohlene Beiträge

adatainment

adatainment

Geschrieben
Geschrieben (bearbeitet)

Guten Morgen,

gestern auf dem CCC ein großartiger und unterhaltsamer Beitrag über Hardware Wallets. Das Video dazu kann hier angesehen werden:

https://media.ccc.de/v/35c3-9563-wallet_fail  (auf Englisch)

Nach hinten wird es immer spannender, wer keine Stunde dafür Zeit hat sollte sich die letzten 20 Minuten anschauen. Es werden dabei verschiedene Angriffsmöglichkeiten gezeigt. Sie variieren von Snake spielen auf dem Nano Ledger über Fernbestätigung einer Transaktion des Ledgers bis hin zu einer Extraktion der Pin und den Seedwörter auf dem Trezor.

Bearbeitet von adatainment
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Axiom0815

Axiom0815

Geschrieben
Geschrieben (bearbeitet)

Hier jetzt erste Artikel:

35C3: Attacken auf Crypto Wallets

Hardware Wallets sollen Crypto-Währungen schützen. In Leipzig demonstrierten Hacker Lücken in den vermeintlich sicheren Geräten.

https://www.heise.de/newsticker/meldung/35C3-Attacken-auf-Crypto-Wallets-4259702.html

Axiom

PS: Da fällt mir noch ein, dass die Router von Cisco von NSA & Co immer auf dem Postweg abgefangen worden und man sie dann manipulierte. 

 

Bearbeitet von Axiom0815
Link zu diesem Kommentar
Auf anderen Seiten teilen
adatainment

adatainment

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Dafür, dass man aus dem Trezor die Pin und die Seedwörter rausgeholt hat kommt er mir im Heise-Artikel zu gut weg. Beim Nano Ledger S war das schließlich nicht möglich.  

 

Offizielle Antwort dazu von Ledger:

https://www.ledger.fr/2018/12/28/chaos-communication-congress-in-response-to-wallet-fails-presentation/

Und von Trezor:

https://mobile.twitter.com/pavolrusnak/status/1078568510182309889

 

Bearbeitet von adatainment
  • Love it 1
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
koiram

koiram

Geschrieben
Geschrieben

https://www.btc-echo.de/35c3-wallet-fail-hackt-ledger-und-trezor/

Zitat

35C3: Wallet.fail hackt Ledger und Trezor

... Prinzipiell ist kein System sicher, die Frage ist nur, wie aufwändig ein Angriff ist. ...

heißt dies auch nicht, dass der Ledger oder Trezor aus dem Fenster geworfen werden muss. Im Gegenteil sollte man sich lieber über eine sichere Aufbewahrung sorgen. Schließlich muss der Angreifer erst in den Besitz der Hardware Wallet gelangen, um die Angriffsvektoren durchzuführen. ...

https://www.golem.de/news/kryptowaehrungen-auch-auf-seinen-bitcoin-geldbeutel-muss-man-gut-aufpassen-1812-138426.html

Zitat

... Wem das Folgende zu technisch ist, sollte sich wenigstens eines merken: als Besitzer auf den entsprechenden Stick immer sehr gut aufzupassen. "Wenn du ihn aus der Hand gibst, dann ist es vorbei" ...

 

Link zu diesem Kommentar
Auf anderen Seiten teilen
skunk

skunk

Geschrieben
Geschrieben

Grundsätzlich finde ich es super, dass solche Tests durchgeführt werden. Nur so können die Systeme sicherer gemacht werden.

Die Resultate sollten aber auch nicht überbewertet werden. Auch mit diesen Schwachstellen sind die beiden Hardware Wallets immer noch die sichersten Wallets. Ein Angreifer muss das Hardware Wallet erstmal in seinen Besitz bringen und dann noch das Passwort knacken. Seed und Pin allein reichen nicht aus. Ich habe jetzt nicht das sicherste Passwort gewählt aber selbst mit Brute Force wird es einige Tage dauern. Genug Zeit um mein Ersatzgerät in Betrieb zu nehmen und die Wallets leer zu räumen bevor der Angreifer Zugriff darauf bekommt. Mit dem nächsten Firmware Update wird der Fehler höchst Wahrscheinlich behoben. Alles in allem finde ich das Resultat super. Wenn selbst der CCC keine größeren Schwachstellen gefunden hat, dann können wir die Geräte doch weiterhin relativ bedenkenlos nutzen.

Am 28.12.2018 um 16:14 schrieb adatainment:

Dafür, dass man aus dem Trezor die Pin und die Seedwörter rausgeholt hat kommt er mir im Heise-Artikel zu gut weg. Beim Nano Ledger S war das schließlich nicht möglich. 

Ich sehe es genau andersrum. Der Software Fehler im Trezor kann mit einem Firmware Update behoben werden. Was bleibt dann noch an Schwachstellen beim Trezor übrig?

Was mich ein wenig stört ist die Art und Weise wie der CCC die Schwachstellen öffentlich gemacht hat. Es gibt eigentlich ein ungeschriebenes Gesetz wie man in so einem Fall zu verfahren hat. Solche Fehler meldet man nur per verschlüsselter E-Mail an den Hersteller / Entwickler und gibt ihm genug Zeit den Fehler zu beheben. Erst wenn er nicht reagiert setzt man ihn unter Zugzwang in dem man den Fehler veröffentlicht. Gebe ich dem Hersteller / Entwickler keine Vorlaufzeit um den Fehler zu heben, helfe ich damit der dunklen Seite der Macht mit Hilfe des Fehlers einigen Schaden anzurichten. Gut das ist hier wohl nicht der Fall aber trotzdem war der CCC für mich bisher immer das große Vorbild mit der blütenreine Weste. Jetzt hat dieses Image einige Flecken bekommen. Ich hoffe das bleibt ein einmaliger Ausrutscher und kommt nicht nochmal vor.

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.