SCAM aufgrund von korrupter Hardware?

[enigma_nrw]

Guten Tag,

es geht um folgendes: Meine Razer Mamba hat nach einigen Jahren den Geist aufgegeben, also habe ich mir eine neue bestellt.

Was mich etwas paranoid macht, ist, dass dieses Modell für 43 € verfügbar ist, also relativ günstig eigentlich. Dann erinnerte ich mich jedoch an einen Artikel, in dem es um Sicherheit ging. Jemand wurde um seine Wallet gescammt, aufgrund eines korrupten Ladekabels.

Jetzt werde ich dieses dumpfe Gefühl nicht los, dass etwas faul im Staate Dänemark ist.

Kann man so etwas irgendwie überprüfen, oder bin ich komplett paranoid?

 

[skunk]

vor 52 Minuten schrieb enigma_nrw:

Guten Tag,

es geht um folgendes: Meine Razer Mamba hat nach einigen Jahren den Geist aufgegeben, also habe ich mir eine neue bestellt.

Was mich etwas paranoid macht, ist, dass dieses Modell für 43 € verfügbar ist, also relativ günstig eigentlich. Dann erinnerte ich mich jedoch an einen Artikel, in dem es um Sicherheit ging. Jemand wurde um seine Wallet gescammt, aufgrund eines korrupten Ladekabels.

Jetzt werde ich dieses dumpfe Gefühl nicht los, dass etwas faul im Staate Dänemark ist.

Kann man so etwas irgendwie überprüfen, oder bin ich komplett paranoid?

 

Da hilft nur eins. Leg dir ein Hardware Wallet zu. Bestes Modell aktuell wäre eine BitBox.

[Peer_Gynt]

Bei deiner Frage muss ich ja gewaltig schmunzeln.

Du meinst doch die (Gamer-)Computermaus? Eine HW-Wallet mit diesem Namen kenne ich nicht.

 

[McWinston]

Also ich verstehe schon, welche Bedenken @enigma_nrw hat.

vor einer Stunde schrieb enigma_nrw:

Jemand wurde um seine Wallet gescammt, aufgrund eines korrupten Ladekabels.

Kannst du das belegen? Bzw. hast du einen Link zu einem Artikel? Ich kann das nicht ganz glauben...

Aus rein technischer Sicht, kannst du recht einfach verifizieren, ob die Maus "ok" ist. Die Maus dürfte sich nur als HID-konforme Maus anmelden und eigentlich auch nur diesen einen USB-Endpoint in deinem Gerätemanager generieren. (mit geeigneter Freeware kann man sich auch übersichtlicher anzeigen lassen, welche USB-Endpoints zusammen gehören)

Die Maus sollte auf keinen Fall andere Endpoints wie, Serielle-Ports, CDC oder sonstige "custom HID"-Endpoints generieren! Erst recht, sollte die Maus treiberlos funktionieren! Mit einem zusätzlichen Treiber, kann alles mögliche an Schabernak getrieben werden.
Ich sehe hier aber die maximale Gefahr beim Copy-Paste von Seeds. Ob es softwaretechnisch möglich ist, etwas aus der Windwos-Zwischenablage via Mausklick an den Treiber und dann an eine Webseite oder so zu schicken, bin ich mir gerade nicht ganz im Klaren...

EDIT:
das heißt übrigens "korrumpiert" und nicht korrupt

Bearbeitet 16. Oktober 2023 von McWinston

[Peer_Gynt]

vor 19 Minuten schrieb McWinston:

Also ich verstehe schon, welche Bedenken @enigma_nrw hat.

Ja, ich ja auch. Habe trotzdem schmunzeln müssen.

Aber ok.
 

vor 30 Minuten schrieb skunk:

Razer Mamba ... für 43 €

Das liegt an dem Modell, welches du dir ausgesucht hast. Es gibt andere Razer Mamba Gamermäuse von € 35,00  bis weit über € 100,00.
Die Unterschiede liegen in der Anzahl der (programmierbaren) Tasten, Abtastung/Sensor, dpi u.a.. Deine Version

Dass Daten aus dem Ladekabel ausgelesen werden, habe ich noch nicht gehört, aber ausschließen kann ich es auch nicht.
Dennoch fehlt mir der sachliche Zusammenhang zwischen Kauf einer Gamermaus und dem Vorhandensein einer Onlinewallet. Damit will ich sagen, dass ich, wenn ich in dieser Weise korrupt wäre, viel eher HW-Wallets kompromittieren und als neu verkaufen würde als Computermäuse.

 

vor einer Stunde schrieb enigma_nrw:

Kann man so etwas irgendwie überprüfen

Nicht so ernstgemeint: Hat dein Ladekabel einen Dongle? Weil, der könnte dir eine EMV-Abschirmung bieten, so dass du gegen feindliches Mitschreiben besser geschützt wärest. Oder: Der Dongle enthält einen Chip und soll gerade ein feindliches Auslesen ermöglichen. 🥸

 

 

[skunk]

vor 34 Minuten schrieb McWinston:

Kannst du das belegen? Bzw. hast du einen Link zu einem Artikel? Ich kann das nicht ganz glauben...

https://www.heise.de/news/USBHarpoon-Gefaehrliche-USB-Ladekabel-vorgestellt-4142285.html

Soll jetzt nur als Beispiel dienen. Hier geht es nicht konkret um das auslesen eine Bitcoin Wallets sondern grundsätzlich darum einen PC auf diesem Wege zu infizieren. Mit welchem Ziel auch immer.

vor 35 Minuten schrieb McWinston:

Die Maus dürfte sich nur als HID-konforme Maus anmelden

Das macht das USB Ladekabel auch (obwohl es das ja eigentlich nicht dürfte). HID reicht aus um in schneller Folge Befehle in die Kommandozeile zu hämmern. Also Win+R und los gehts. Das passiert alles in sehr kurzer Zeit sodass es für den Menschen kaum sichtbar ist. Mit etwas Pech bist du noch mit dem anderen Ende des Ladekabels beschäftigt (oder mit dem Einstecken der USB Maus) und zu dem Zeitpunkt wo du wieder auf den Bildschirm schaust ist bereits alles normal. Du musst schon beim Einstecken direkt auf den Bildschirm schauen um überhaupt eine Chance zu haben das zu sehen.

[McWinston]

vor 2 Stunden schrieb skunk:

HID reicht aus um in schneller Folge Befehle in die Kommandozeile zu hämmern

Du hast im Grunde Recht, aber als HID-konforme Maus, ist der Befehlssatz doch deutlich begrenzter:

Mausklick (links, rechts, Mitte, Seitentasten), Mausrad und Zeigerbewegung (rel. oder absolute Bewegung)

ein WIN+R ist in dieser USB-class nicht möglich.

wenn die Maus natürlich weitere HID-Klassen darstellt oder gar nur eine Custom-HID ist, sind die Möglichkeiten deutlich größer 

[Sophopt]

Die Maus könnte alle Mausbewegungen und Klicks weiterleiten, wodurch Passwörter, die über eine Bildschirmtastatur eingegeben werden, ausspioniert werden könnten.

[Peer_Gynt]

Danm Kommando zurück zu DIN- und PS/2-Anschlüssen für externe Tastatur und Maus. Dann sind wir wieder sicher, oder? 

[blaualge]

vor 16 Minuten schrieb Peer_Gynt:

Danm Kommando zurück zu DIN- und PS/2-Anschlüssen für externe Tastatur und Maus. Dann sind wir wieder sicher, oder? 

dann kommen wir zur ganz alten Version, Abhören der Töne der Tastenanschläge und Abhören und -lesen der Bildschirmfrequenzen, wenn sicherheitshalber auf einen Röhrenbildschirm zurück gehst🤣

[skunk]

vor 20 Stunden schrieb Peer_Gynt:

Danm Kommando zurück zu DIN- und PS/2-Anschlüssen für externe Tastatur und Maus. Dann sind wir wieder sicher, oder? 

Ist das Problem nicht eher die Miniaturisierung? Früher war ein USB Stick auch wirklich ein Stick und hatte doch nur ein paar MB an Speicher. Heutzutage bekommt man USB Sticks in winzig kleiner Bauweise. Wenn wir davon jetzt noch den USB Anschluss entfernen dann haben wir einen Speicherchip den wir praktisch überall verstecken können. Den Chip bekommt man bestimmt auch in altmodische Anschlüsse gebastelt und dann sendet er die gleichen Tastaturbefehle in sehr kurzer Zeit wie die moderne Variante.

[Fritz Lang]

Am 16.10.2023 um 14:41 schrieb enigma_nrw:

Kann man so etwas irgendwie überprüfen, oder bin ich komplett paranoid?

Du bist nicht paranoid. Solche Angriffe sind nahe liegend. Denn es geht um viel Geld.

Am 16.10.2023 um 15:34 schrieb skunk:

Da hilft nur eins. Leg dir ein Hardware Wallet zu. Bestes Modell aktuell wäre eine BitBox.

Auch die wird irgendwann versuchen, dein Geld zu stehlen. Warum? Weil sie es kann.

[Fritz Lang]

Am 16.10.2023 um 14:41 schrieb enigma_nrw:

Kann man so etwas irgendwie überprüfen, oder bin ich komplett paranoid?

Jedes installierte Programm auf deinem Rechner kann den Seed stehlen. Die einzige Lösung besteht darin, Programme nicht mehr zu installieren. Alle Programme müssen Open Source sein. es darf keine Auto-Updates geben, denn damit könnte der Seed gestohlen werden.

Ein Programm mit Auto Updates kann nicht Open Source sein.

Eine Hardware Wallet kann nicht Open Source sein.

[skunk]

vor 23 Minuten schrieb Fritz Lang:

Ein Programm mit Auto Updates kann nicht Open Source sein.

Ich habe bei mir diverse Docker Container am Laufen. Die haben alle Auto Updates weil ich das so will. Natürlich nur von vertrauenswürdigen Quellen versteht sich. Open Source ist es dennoch. Es wird ja nicht Closed Source nur weil ich Auto Updates einrichte.

vor 26 Minuten schrieb Fritz Lang:

Eine Hardware Wallet kann nicht Open Source sein.

Mindestens Trezor und BitBox sind Open Source. Problem beim Trezor ist das fehlen eines Secure Chips. Daher die BitBox Empfehlung. Das ist Open Source und hat ein Secure Chip.

[Maaz]

vor einer Stunde schrieb Fritz Lang:

Jedes installierte Programm auf deinem Rechner kann den Seed stehlen. Die einzige Lösung besteht darin, Programme nicht mehr zu installieren. Alle Programme müssen Open Source sein. es darf keine Auto-Updates geben, denn damit könnte der Seed gestohlen werden.

Ein Programm mit Auto Updates kann nicht Open Source sein.

Eine Hardware Wallet kann nicht Open Source sein.

Bitte was? Das ist ja ein völliges Durcheinander 🤣

 

[Fritz Lang]

Sie beleidigen, liefern aber keine Argumente.

[Fritz Lang]

vor 58 Minuten schrieb skunk:

Mindestens Trezor und BitBox sind Open Source.

Woher wissen Sie das?

[skunk]

vor 11 Minuten schrieb Fritz Lang:

Woher wissen Sie das?

https://github.com/trezor

https://github.com/digitalbitbox

[Maaz]

vor 6 Minuten schrieb Fritz Lang:

Sie beleidigen, liefern aber keine Argumente.

Weil das so krude ist, da fällt mir nichts zu ein.
 

Wie bitte kann denn jedes Programm den Seed stehlen? Versuch doch mal ein Progrämmchen  zu schreiben, das auf den Speicherinhalt eines anderen Programms zugreift. Das ist nicht ohne weiteres möglich. Dafür werden mindestens Admin, bzw. Root-Rechte benötigt. Und Software wie KeePass oder Electrum hat weitere Techniken implementiert, die den Zugriff auf den Key, bzw. Seed erschweren.

Gibt es überhaupt ein Beispiel wo es per Software gelungen ist, den Seed aus einer vertrauenswürdigen Wallet wie Electrum zu stehlen? Die üblichen Schwachstellen sind doch eher gefälschte Software, manipulierte Seedgeneratoren oder Man in the Middle beim Übermitteln der Transaktion.

Und wieso kann ein Programm mit Auto Update nicht Open Source sein? Debian-Linux z.B. ist komplett Open Source und alle Programme werden automatisch über den Paketmanager aktualisiert, solange sie mittels dessen installiert wurden.

Und wieso kann eine Hardare Wallet nicht Open Source sein? Siehe BitBox.

 

[Fritz Lang]

vor 37 Minuten schrieb Maaz:

Dafür werden mindestens Admin, bzw. Root-Rechte benötigt.

Wenn ein Programm installiert wird, bekommt es das Passwort des Admin-Kontos. Deshalb sollte man POrogramme nie installieren.

[skunk]

Gerade eben schrieb Fritz Lang:

Wenn ein Programm installiert wird, bekommt es das Passwort des Admin-Kontos. Deshalb sollte man POrogramme nie installieren.

Wieso? Wie kommst du darauf? Hast du irgendwelche Quellen?

Was läuft eigentlich auf deinem Rechner so? Du bist doch nicht etwa mit Microsoft Edge unterwegs? Und falls du einen anderen Browser verwendest dann hat der laut deiner Aussage dein Admin Passwort...

[Fritz Lang]

Ich bin hier mit einem Firefox Portable. Der läuft ohne Admin-Passwort. Es gibt aber auch einen Firefox zum Installieren, der bekommt das Admin-Passwort.

[Sophopt]

Was kann man denn mit dem Admin Passwort stehlen? Meine Passwortdatenbank jedenfalls nicht. Bei Android ist ab neueren Versionen ab v. 10 glaube ich ein Zugriff auf Daten anderer Programme total unmöglich. Jede App kann nur ihre eigenen Daten einsehen.

[Fritz Lang]

vor 10 Minuten schrieb skunk:

Wieso? Wie kommst du darauf? Hast du irgendwelche Quellen?

Haben Sie jemals ein Programm installiert? Dann müssen Sie jedes Mal das Passwort des Admin Kontos eingeben.

[Fritz Lang]

vor 1 Minute schrieb Sophopt:

Bei Android ist ab neueren Versionen ab v. 10 glaube ich ein Zugriff auf Daten anderer Programme total unmöglich. Jede App kann nur ihre eigenen Daten einsehen.

Das glaube ich nicht. Das ist Produktwerbung, funktioniert aber nicht in echt. Smartphones sind unsicher. Bei Smartphones gibt es nur ein Konto, nämlich das Admin-Konto. Damit wird es unmöglich, ein Smartphone sicher zu machen.