0

Wo finde ich das Re: Bitcoin mit ewallet kaufen und verkaufen August 11, 2016, 02:17:17 PM   Quote from: ludwigpolter on August 10, 2016, 02:35:29 PMHallo,mit welchem ewallet kann man Bitcoins kaufen und verkaufen ohne sein eigenes Bankkonto verweden zu müssen?mfgQuote from: Mast0rmind on August 10, 2016, 06:00:02 PMMit dem Scamwallet. Quote from: ludwigpolter on August 11, 2016, 02:01:14 PMWo finde ich das?Sorry für die Quotes aber das muss einfach für die Nachwelt festgehalten werden Re: Bitcoin mit ewallet kaufen und verkaufen January 02, 2019, 07:14:25 PM   Quote from: chick1313 on January 02, 2019, 06:13:53 PMEine gute Frage. Ich kann PTPWallet empfelen für Dienste und Börsen auf die Art und Weise, wie du es tust, ist gegen die Regeln des Forums. Du solltest damit aufhören.Quote22. Advertising (this includes mining pools, gambling services, exchanges, shops, etc.) in others threads is no longer allowed, including, but not limited to, in altcoin announcement threads.https:bitcointalk.orgindex.php?topic=703657.0post_rules 35C3 Wallet Fail Voicemail Hack December 27, 2018, 11:04:25 PMLast edit: December 28, 2018, 11:43:56 AM by o_solo_minerMerited by allyouracid (1), rockethead (1), saugwurm (1), trantute   Hallo alle zusammen,derzeit läuft der CCC Congress und in YT sind die Beiträge online (Live) bzw. als Video.Bisher habe ich zwei wirklich wichtige Beiträge herausgesucht:Hacken der Wallet:https:www.youtube.comwatch?v=Y1OBIGslgGMSmartphones Übernehmen, mit Hilfe der Voicemail! Das ist vieleicht noch weitreichender, da damit sogut wie alle über das Telefon Änderbaren Konten betroffen sind. Beispiel Paypal usw.:https:www.youtube.comwatch?v=E4UPlB2l8t8Ich habe die englishen orginale Verlinkt, es gibt aber auch die Übersetzten Versionen:(deutsche Übersetzung) Hacken der Wallet:https:www.youtube.comwatch?v=ro3p-PiMzdQ(deutsche Übersetzung) Smartphones Übernehmen, mit Hilfe der Voicemail! Das ist vieleicht noch weitreichender:https:www.youtube.comwatch?v=extvOwtzOxk Re: 35C3 wallet Fail December 28, 2018, 09:36:21 AMLast edit: January 02, 2019, 11:18:58 AM by trantute2Merited by allyouracid (2), o_solo_miner (1), Ov3R (1), rockethead (1), Klangburg (1), -Newera   Quote from: o_solo_miner on December 27, 2018, 11:04:25 PMHacken der Wallet:https:www.youtube.comwatch?v=Y1OBIGslgGMHabe mir das Video angeguckt, sehr aufschlussreich! Zu Beginn, es wird von vier Angriffsvektoren gesprochen:Auf dem Weg vom Hersteller zum Kunden;Seitenkanalangriff durch Belauschen u.ä.;Manipulation der Firmware;Manipulation des Chips;Der zweite Redner (der erste Redner hielt die Einführung) behandelt den ersten Punkt, welcher ziemlich simpel ist. Jeder sollte sich im klaren sein (gesunder Menschenverstand), dass die Hardware-Wallet (HW) auf dem Weg der Lieferung manipuliert werden kann, ob nun direkt auf dem Weg vom Hersteller oder, was ziemlich dumm von einem Bitcoinbesitzer wäre, bei einem Kauf aus zweiter Hand. Deshalb belasse ich es hierbei.Desweiteren wird vom zweiten Redner beschrieben wie die HW dann manipuliert werden könnte (Ledger, Trezor u.a.): Sie wird geöffnet und deart manipuliert, dass ein kleiner Chip zwischen Nutzer und HW plaziert wird, sodass, wenn die HW nach einer Bestätigung einer Transaktion fragt, diese Bestätigung von aussen per Funk ausgelöst werden kann. Der eigentliche Besitzer ist nicht mehr notwendig. Kann möglicherweise durch ausreichend Alufolie verhindert werden (Faradayscher Käfig).Der dritte Redner spricht vom Ledger Nano S und wie man die Firmware austauschen kann. Was das Team festgestellt hat, ist, dass die HW zwar prüft, ob die Software, welche z.B. durch ein Update aufgespielt werden soll, vom Hersteller stammt, aber dies wird nur einmal gemacht und das Resultat "F00DBABE" (ein HEX-Wert, also Zahl, siehe auch ) wird an einer bestimmten Stelle im Speicher abgespeichert. Steht der Wert dort, dann ist alles okay. Das Team war nun in der Lage, diesen Wert zu setzen um eine beliebige Software einzuspielen und somit nicht notwendigerweise vom Hersteller stammt (das Spiel Snake). Am Ende bespricht der Redner, so wie ich es verstehe, noch andere Methoden das Gerät zu hacken, meinte aber zu Beginn des Abschlusses, dass sie das nicht im Detail gemacht haben, da nicht notwendig. D.h., da lauern noch weitere Schwächen.Dann spricht der dritte Redner über den Ledger Blue, welcher ein Bluetooth-Interface enthält, wenn auch nicht aktiviert. Der Witz scheint hier zu sein, dass dieses Gerät sehr groß ist! Alle Ledger-Geräte bestehen aus zwei Chips (die Trezors scheinbar nur aus einem), einem Unsicheren und einem Sicheren. Der Unsichere ist für die Steuerung, die Interaktion mit den Nutzer und dem Datentransfer verantwortlich. Der Sichere hält die Privatekeys vor und kümmert sich um die Signierung der Transaktionen. Beim Blue ist es nun so, dass die Verbindung zwischen Sicherem und Unsicherem Chip am Akku herum geht, die zwei Chips liegen an unterschiedlichen Seiten des Geräts und der Akku ist gross, da das Gerät über einen Bildschirm und eben potentiell Bluetooth verfügt. Und solch eine lange Verbindung ist eine Antenne, welche sich belauschen lässt. Beim Nano liegen die Chips hingegen praktisch nebeneinander. Die "Antenne" im Blue scheint trotzdem zu klein für einen erfolgreichen Angriff zu sein. Jedoch, ist das Gerät per USB mit einem Rechner verbunden, dann wird das Signal über das USB-Kabel verstärkt (so mein Verständnis). Daraufhin hat das Team versucht aus den Signalen schlau zu werden, mit Hilfe von AI, um die PIN abzufangen. Das ist nichts Neues siehe z.B. . Am Ende hatte das Team 90% Erkennungrate für eine eingegebene Ziffer durch Abhören der Antenne. Bei einer Länge der PIN von vier Ziffern ist die Erkennungsrate immer noch ca. 66%, d.h. man hat bei einem Angriff in 23 der Fälle Erfolg die gesamte PIN abzugreifen. Der Redner spekuliert, dass die Signale, welche er abgreift, wohl die x-und y-Koordinate auf dem Bildschirm kodieren, wenn diese bei Eingabe gedrückt werden. BTW, der Trezor T shuffelt die Ziffern bei jeder Eingabe, dort sollte dieser Angriff, falls prinzipiell möglich, erschwert sein (mein Kommentar und nicht im Vortrag). Hier hilft möglicherweise auch genug Alufolie. Zum experimentieren für Nichtelektroniker (wozu ich mich zähle) und zum realisieren was möglich ist empfehle ich Ende spricht das Team über den Trezor One und es geht um den Chip, welcher dort verbaut ist (STM32). Dieser Chip kann in drei verschiedenen Zuständen vorliegen: voller Zugriff, begrenzter Zugriff und gar kein Zugriff. Wenn man den Trezor kauft, dann liegt der Chip im dritten Zustand vor. Mit viel Elektronik bekommen sie es hin, dass das Gerät in Zustand zwei kommt um Daten zu schreiben und zu lesen (wenn ich das richtig verstanden und nichts verdreht habe). Desweiteren, so wird gesagt, dass beim Trezor, für ein Upgrade, die PIN nicht benötigt wird. Was sinnvoll ist, da ansonsten, bei einem Bug in der PIN-Eingabe, diese möglicherweise nicht upgegradet werden kann. Die Userdaten, was auch die Seed beinhaltet, werden bei einem Upgrade vom Flash in den RAM geladen (der Chip scheint sowas zu besitzen), und nach dem Update des Flashes wieder auf diesen zurückgeschrieben. Die Idee ist nun, den Upgrade-Prozess an dem Punkt zu unterbrechen, wo die Userdaten noch im RAM sind um diese auszulesen. Beim Upgrade-Prozess gibt es nun eine Interaktion mit dem Nutzer, wo das System stoppt, bis der Nutzer sein Okay gegeben hat. In diesem Moment kann der gesamte RAM mit etwas Elektronik als Datei gedumpt werden. Und gruseligerweise steht dort die Seed im Plaintext sowie die PIN drin!   (ca. bei 49:00)Jedoch, das wird nämlich auch explizit am Ende des Vortrags gesagt (ca. 50:30), und wie schon gestern vermutet wurde (https:bitcointalk.orgindex.php?topic=26136.msg48919477msg48919477): WER SEINEN TREZOR MIT EINER PASSPHRASE SCHÜTZT DER IST VOR DIESEM ANGRIFF GESCHÜTZT!!! D.h., es ist nicht die Schuld des Herstellers, wenn man dieses zusätzliche Sicherheitsfeature ignoriert.Fazit:Es macht wirklich Sinn, sich auch mit der Hardware einer HW auseinanderzusetzen um dessen Sicherheit einschätzen zu können;Man sollte immer ein Auge auf die HW haben, d.h. sobald jemand Zugriff auf das Gerät hat, kann er praktisch alles damit machen;Wenn es die HW erlaubt eine Passphrase zuvergeben, DANN SOLLTE MAN EINE PASSPHRASE VERGEBEN Re: 35C3 wallet Fail December 28, 2018, 09:54:13 AM   Sehr interessante Videos! Und danke für die Aufarbeitung trantute Ich hatte heute bereits folgenden Artikel dazu gelesen beziehungsweise lese ich bei heise die Kommentare fast lieber als die eigentlichen Artikel Das Video werde ich mir allerdings erst am Wochenende in Ruhe ansehen können. Die Laufzeit beziehungsweise das Thema lassen es nicht zu das nur nebenbei laufen zu lassen Re: 35C3 wallet Fail December 28, 2018, 11:05:38 AMLast edit: December 28, 2018, 11:25:51 AM by o_solo_miner   Quote from: trantute2 on December 28, 2018, 09:36:21 AMQuote from: o_solo_miner on December 27, 2018, 11:04:25 PMHacken der Wallet:https:www.youtube.comwatch?v=Y1OBIGslgGMIch gucke gerade dieses Video. Da ich nicht alles im Kopf behalten kann muss ich hier stückchenweise diese Antwort schreiben. Also bitte ich um Geduld. In diesem Moment kann der gesamte RAM mit etwas Elektronik als Datei gedumpt werden. Und gruseligerweise steht dort drin die Seed im Plaintext und sowie die PIN. (ca. bei 49:00)  Fazit:Es macht wirklich Sinn, sich auch mit der Hardware einer HW auseinanderzusetzen um deren Sicherheit einschätzen zu können;Ich habe gewartet und gehofft das du das nun schreibst, sonst hätte ich das konkretisiert  Ja, Fazit: Die Firmware ist so nicht sicher genug, aber es gibt genug Möglichkeiten das Auslesen der Seed sowie des Passwortes zu Erschweren, da wird es wohl bald ein Firmwareupdate geben müßen Interessant ist auch das bereits vorher 3 Prozessoren der STM Serie Anfällig für ein Glich waren und der nun der vierte ebenfalls.==============Vom Voicemailhack hast du noch nichts geschrieben, also bringe ich das nun auf den Punkt:JEDER der ein Handy hat, hat auch meist eine Voicemailbox (ja, die ist uninteressant und wird vermutlich nicht genutzt).Der Angreifer nutzt die direkte Erreichbarkeit der Voicemailabfrage durch Eingabe der Handynummer unter Verwendung des Voicemailabfrage Services (Beispiel Vodaphone: Provider 55 Handynummer) aus um die Voicemailpin zu setzen bzw. zu Verändern, so das sie ihm bekannt ist.Bei O2 ist eine feste PIN vergeben, sollte man also ÄNDERN, sonst ist man ohne Bruteforce sofort ein Opfer!Wenn er die Pin geändert hat (du bist nun selber nicht mehr in der Lage das per Menü zu Ändern) leitet er alle Anrufe auf die Voicemail.Du bekommst davon nichts mit.Nun Initiert er eine Passwortänderung z.B. auf Paypal mit der option der Benachrichtigung auf dem Handy.Sollte eine Pineingabe Erforderlich sein um den Passwortänderungsprozess Abschließen zu können, nutzt er die Begrüssungsansage Funktion der Voicemail indem er dort die entsprechenden DTMF Töne equivalänt des Sicherheitscodes speichert.Dieser Angriff wurde bei Whatsup sowie Paypal demonstriert!Sehr clever und super einfach Re: 35C3 Wallet Fail Voicemail Hack December 28, 2018, 12:11:04 PM   summa sumarum= wer seinen HW behält hat nichts zu befüchrten?!Oder sehe ich das falsch` Re: 35C3 Wallet Fail Voicemail Hack December 28, 2018, 12:26:03 PM   Du musst eben drauf aufpassen und vor allem muss man sich im Klaren sein, dass die Dinger trotz allem guten Willen der Hersteller prinzipiell angreifbar sind. Wer weiß schon, was als Nächstes kommt Re: 35C3 Wallet Fail Voicemail Hack December 28, 2018, 12:48:55 PM   Quote from: cypher21 on December 28, 2018, 12:11:04 PMsumma sumarum= wer seinen HW behält hat nichts zu befüchrten?!Oder sehe ich das falsch`?Im Prinzip ja, jedoch wenn er Gestohlen werden sollte oder du verlierst ihn, dann ist dein Guthaben nur so sicher wie du es geschützt hast (Passphrase JaNein und wenn Ja, wie lang ist diese Re: 35C3 Wallet Fail Voicemail Hack December 28, 2018, 12:56:32 PM   Quote from: o_solo_miner on December 28, 2018, 12:48:55 PMQuote from: cypher21 on December 28, 2018, 12:11:04 PMsumma sumarum= wer seinen HW behält hat nichts zu befüchrten?!Oder sehe ich das falsch`?Im Prinzip ja, jedoch wenn er Gestohlen werden sollte oder du verlierst ihn, dann ist dein Guthaben nur so sicher wie du es geschützt hast (Passphrase JaNein und wenn Ja, wie lang ist diese).Wenn man zwei HWs vom gleichen Hersteller besitzt, wobei eine die Notfall-HW darstellt, dann kann man, insofern man den Diebstahl rechtzeitig bemerkt und die Seed zur Hand hat, natürlich noch die Coins abziehen. Man müsste aber wohl schon sehr schnell sein, da die Diebe den Hackingprozess mit Sicherheit optimieren werden Re: 35C3 Wallet Fail Voicemail Hack December 28, 2018, 05:10:38 PM   Antwort von Ledger Re: 35C3 Wallet Fail Voicemail Hack December 29, 2018, 11:12:14 AMLast edit: December 29, 2018, 11:30:10 AM by o_solo_miner   Quote from: weaknesswaran on December 28, 2018, 05:10:38 PMAntwort von Ledger: Ihrer Kritik mögen sie ja recht haben, das macht aber keinen Unterschied zur Angreifbarkeit.Es war ein Proof of Concept, weiter hat man nicht gemacht.Auch ein Glitchversuch wurde nicht Unternommen, da ist also noch genug Potential für einen Angriff.Aber: Man muß Physikalischen Zugriff auf das Gerät haben, also wer den nicht Verliert oder geklaut bekommtist somit sicher.Hier mal eine Zusammenfassung der Reaktionen: was hat man Erwartet was die alle sagen würden, außer: ne, wir sind sicher.... Aber alle haben auf ihr "BUGBOUNTY Programm" Verwiesen! (wo sie solche Sachen dann ohne Aufmerksamkeit der Öffentlichkeit Regeln können, was ja auch seinen Grund hat Re: 35C3 Wallet Fail Voicemail Hack December 29, 2018, 06:38:10 PM   wie komme ich zu viel geld

Comments

Post a Comment

Popular posts from this blog

elaborazione

Image
October 29, 2014, 05:07:16 PM  #17 Quote from: Impros88 on October 24, 2014, 08:26:58 PMnon sono questo che dite. SONO UN ALTRO UTENTE. Non lo stesso troller ma un altro? non fa tutta questa differenza. Preparali meglio. Pochi non sanno che non é probabile digitare un indirizzo sbagliato.La prossima volta scrivi:"invece di copiare lindirizzo del mio portafoglio ho copiato per sbaglio lindirizzo di un portafoglio vecchio di cui avevo perso le chiavi". Fa schifo lo stesso in termini di credibilità ma almeno é tecnicamente plausibile (a me é capitato di tutto e potrebbe capitarmi anche questo).BTW non potresti fare qualcosa di meglio anziché sparare FUD sui pochi perplessi?Alcuni suggerimenti:Donazione a Sean OutpostStudiare un pò i bitcoin (). Specie mandare a memoria:"Several of the characters inside a Bitcoin address are used as a checksum so that typographical errors can be automatically found and rejected. The checksum also allows Bitcoin software to confirm that a 3
Read more

como

Image
Internet por frecuencia de radio, estos individuos merecen un Nobel por este desarrollo. Es un gran paso para la humanidad y es bastante interesante que surge de la necesidad de mover criptomonedas. Creo que es el inicio de proyecto grandes, sería interesante que un futuro la cadena de bloques esté conectada por radio frecuencias y no por Internet Re: Crean Dispositivos para Pagos con BTC sin conexión October 28, 2019, 01:20:28 AM   Quote from: seoincorporation on October 27, 2019, 10:28:58 PMInternet por frecuencia de radio, estos individuos merecen un Nobel por este desarrollo. Es un gran paso para la humanidad y es bastante interesante que surge de la necesidad de mover criptomonedas. Creo que es el inicio de proyecto grandes, sería interesante que un futuro la cadena de bloques esté conectada por radio frecuencias y no por Internet.Es así colega, tal vez con este desarrollo se den las bases para tener la alternativa de que ocurran desastres naturales, fallas eléctricas y de Int
Read more

bitcoins

Image
May 22, 2011, 12:48:30 PM   Was hast du denn für Vorteile, wenn du das so machst? Ich habe das Konzept nicht ganz durchgeschaut Re: Bitcoins hier anonym kaufen May 22, 2011, 01:36:06 PM   Quote from: einetablette on May 22, 2011, 12:48:30 PMWas hast du denn für Vorteile, wenn du das so machst? Ich habe das Konzept nicht ganz durchgeschaut Ich kann mit meinen Bitcoins shoppen gehen, das ist doch was  Außerdem gibt es sonst ja kaum Möglichkeiten Bargeld in Bitcoins zu tauschen (außer übers Bankkonto Software rund um Bitcoin May 17, 2011, 10:05:09 AM   Hallo, ich bin Entwickler und suche bereits existierende Software rund um Bitcoin. Dabei meine ich aber NICHT Software zum Schürfen von Bitcoins, sondern eher allgemeiner Natur, insbesondere "Finanzsoftware" zur Beobachtung des Marktes usw.Gibt es da schon etwas ausser den üblichen Websites wie etwa bitcoincharts?Danke und freundliche Grüsse, F Re: Software rund um Bitcoin May 17, 2011, 01:36:51 PM   einfach aber nutzlich - gelb
Read more