adatainment Geschrieben 28. Dezember 2018 Teilen Geschrieben 28. Dezember 2018 (bearbeitet) Guten Morgen, gestern auf dem CCC ein großartiger und unterhaltsamer Beitrag über Hardware Wallets. Das Video dazu kann hier angesehen werden: https://media.ccc.de/v/35c3-9563-wallet_fail (auf Englisch) Nach hinten wird es immer spannender, wer keine Stunde dafür Zeit hat sollte sich die letzten 20 Minuten anschauen. Es werden dabei verschiedene Angriffsmöglichkeiten gezeigt. Sie variieren von Snake spielen auf dem Nano Ledger über Fernbestätigung einer Transaktion des Ledgers bis hin zu einer Extraktion der Pin und den Seedwörter auf dem Trezor. Bearbeitet 28. Dezember 2018 von adatainment 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Axiom0815 Geschrieben 28. Dezember 2018 Teilen Geschrieben 28. Dezember 2018 (bearbeitet) Hier jetzt erste Artikel: 35C3: Attacken auf Crypto Wallets Hardware Wallets sollen Crypto-Währungen schützen. In Leipzig demonstrierten Hacker Lücken in den vermeintlich sicheren Geräten. https://www.heise.de/newsticker/meldung/35C3-Attacken-auf-Crypto-Wallets-4259702.html Axiom PS: Da fällt mir noch ein, dass die Router von Cisco von NSA & Co immer auf dem Postweg abgefangen worden und man sie dann manipulierte. Bearbeitet 28. Dezember 2018 von Axiom0815 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
adatainment Geschrieben 28. Dezember 2018 Autor Teilen Geschrieben 28. Dezember 2018 (bearbeitet) Dafür, dass man aus dem Trezor die Pin und die Seedwörter rausgeholt hat kommt er mir im Heise-Artikel zu gut weg. Beim Nano Ledger S war das schließlich nicht möglich. Offizielle Antwort dazu von Ledger: https://www.ledger.fr/2018/12/28/chaos-communication-congress-in-response-to-wallet-fails-presentation/ Und von Trezor: https://mobile.twitter.com/pavolrusnak/status/1078568510182309889 Bearbeitet 28. Dezember 2018 von adatainment 1 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
koiram Geschrieben 29. Dezember 2018 Teilen Geschrieben 29. Dezember 2018 https://www.btc-echo.de/35c3-wallet-fail-hackt-ledger-und-trezor/ Zitat 35C3: Wallet.fail hackt Ledger und Trezor ... Prinzipiell ist kein System sicher, die Frage ist nur, wie aufwändig ein Angriff ist. ... heißt dies auch nicht, dass der Ledger oder Trezor aus dem Fenster geworfen werden muss. Im Gegenteil sollte man sich lieber über eine sichere Aufbewahrung sorgen. Schließlich muss der Angreifer erst in den Besitz der Hardware Wallet gelangen, um die Angriffsvektoren durchzuführen. ... https://www.golem.de/news/kryptowaehrungen-auch-auf-seinen-bitcoin-geldbeutel-muss-man-gut-aufpassen-1812-138426.html Zitat ... Wem das Folgende zu technisch ist, sollte sich wenigstens eines merken: als Besitzer auf den entsprechenden Stick immer sehr gut aufzupassen. "Wenn du ihn aus der Hand gibst, dann ist es vorbei" ... Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
skunk Geschrieben 30. Dezember 2018 Teilen Geschrieben 30. Dezember 2018 Grundsätzlich finde ich es super, dass solche Tests durchgeführt werden. Nur so können die Systeme sicherer gemacht werden. Die Resultate sollten aber auch nicht überbewertet werden. Auch mit diesen Schwachstellen sind die beiden Hardware Wallets immer noch die sichersten Wallets. Ein Angreifer muss das Hardware Wallet erstmal in seinen Besitz bringen und dann noch das Passwort knacken. Seed und Pin allein reichen nicht aus. Ich habe jetzt nicht das sicherste Passwort gewählt aber selbst mit Brute Force wird es einige Tage dauern. Genug Zeit um mein Ersatzgerät in Betrieb zu nehmen und die Wallets leer zu räumen bevor der Angreifer Zugriff darauf bekommt. Mit dem nächsten Firmware Update wird der Fehler höchst Wahrscheinlich behoben. Alles in allem finde ich das Resultat super. Wenn selbst der CCC keine größeren Schwachstellen gefunden hat, dann können wir die Geräte doch weiterhin relativ bedenkenlos nutzen. Am 28.12.2018 um 16:14 schrieb adatainment: Dafür, dass man aus dem Trezor die Pin und die Seedwörter rausgeholt hat kommt er mir im Heise-Artikel zu gut weg. Beim Nano Ledger S war das schließlich nicht möglich. Ich sehe es genau andersrum. Der Software Fehler im Trezor kann mit einem Firmware Update behoben werden. Was bleibt dann noch an Schwachstellen beim Trezor übrig? Was mich ein wenig stört ist die Art und Weise wie der CCC die Schwachstellen öffentlich gemacht hat. Es gibt eigentlich ein ungeschriebenes Gesetz wie man in so einem Fall zu verfahren hat. Solche Fehler meldet man nur per verschlüsselter E-Mail an den Hersteller / Entwickler und gibt ihm genug Zeit den Fehler zu beheben. Erst wenn er nicht reagiert setzt man ihn unter Zugzwang in dem man den Fehler veröffentlicht. Gebe ich dem Hersteller / Entwickler keine Vorlaufzeit um den Fehler zu heben, helfe ich damit der dunklen Seite der Macht mit Hilfe des Fehlers einigen Schaden anzurichten. Gut das ist hier wohl nicht der Fall aber trotzdem war der CCC für mich bisher immer das große Vorbild mit der blütenreine Weste. Jetzt hat dieses Image einige Flecken bekommen. Ich hoffe das bleibt ein einmaliger Ausrutscher und kommt nicht nochmal vor. 1 Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden