Zensur in Forum ist das alle letzte, deswegen kann das auch weg…

[berlin82]

...

[1715240439]

1715240439

[1715240439]

1715240439

[1715240439]

1715240439

[1715240439]

1715240439

[klaus]

Was Du da beschreibst ist von mehreren in der Community als erstes bei Trezor und Co. überprüft worden da es so nahe liegend ist.

Dein 'Experiment' ist in diesem Kontext weltfremd.

Es ist viel einfacher eine Exchange, ein Ponzi oder sonst einen 'Bitcoinservice' aufzusetzen mit fester Exitscam-Strategie. Denn diese Nutzer Opfer sind extrem .... na sagen wir mal sehr freundlich 'gutgläubig' und 'bequem'.

Bei der Zielgruppe der Hardware Wallets sieht das ganz anders aus. Da fehlt die Gier obiger Nutzer Opfer.

Und eine Hardware Wallet die nicht Opensource basiert ist würde keine Käufer finden.

[Armin van Bruggen]

@berlin82

selbst sicher noch keine einzige Zeile ASM geschrieben, aber groß tönen...

Dein ganzer Post zeigt nur, das du keinerlei Ahnung von der Materie hast. Der Code ist nicht obfuscated, totaler Bullshit.
"Eine E-Mail senden" -> Trezor könntest du sogar komplett offline verwenden und die von Trezor mit deinem Private Key signierte Transaktion dann selbst ins Netzwerk jagen. Somit würde es wenig Sinn machen, aber Punkt 1 sollte schon ausreichen um diesen Murks zu widerlegen.

All the best;

[Wed]

Nur dumm dass deine Theorie daran scheitert dass Hardware Wallets offline arbeiten und open source sind.
Dem gibt's nichts hinzuzufügen.
Wie ich bereits in dem anderen Thread schrieb schauen da sehr kluge Köpfe danach. Du solltest dich erst belesen bevor du sowas erzählst.
Damit kannste anfangen: http://www.hackinsight.org/news,303.html

[klaus]

Damit kannste anfangen: http://www.hackinsight.org/news,303.html

Richtig.
Haben wir an anderer Stelle schon mal drüber gesprochen.
Krasse Aktion!

Man beachte die Timeline.
Er hat zu Beginn bereits Stick und Slush (Trezorentwickler) informiert, die haben ihn gebeten die Ergebnisse nach einer neuen Firmware welche das Problem behebt zu veröffentlichen und so hat er es dann auch gemacht.

[Lutpin]

daran scheitert dass Hardware Wallets offline arbeiten und open source sind.

OpenSource bedeutet: dass ich mir den Source beliebig nach meinen Bedürfnissen anpassen und danach auf meinen eigenen Controller, sogar auf mein eigenen ARDUINO für 10 Euro aufspielen kann, und so wie ich weiß das ist hier nicht der Fall – wenn JA – dann sind die „Dinger“ sauber.
ABER nur dann, wenn Du den Code selber neu Compilierst und danach auf deinen Controller transferierst.

https://github.com/trezor
Tob' dich gerne aus

- außerdem ich kann Dir versichern Du gehst 100% mal Online um zu schauen bzw. einem bekannten zu zeigen wie viele BTC Du drauf hast

Wieso muss ich dazu mit irgendwas "online" gehen? Wenn ich die btc addresse habe, dann kann ich das mit jedem x-belibigen blockexplorer an jedem x-belibigen Gerät tun,
ganz ohne den Trezor und die private keys.

Trezor könntest du sogar komplett offline verwenden

und wozu sollte ich eine Hardware benutzen, wenn ich keine Online Transaktionen nutzen will?
- Kapiere nicht ganz – kannst mir bitte erklären; vielleicht lerne ich auch etwas neues

Verwende deinen Trezor an einem offline PC. Transaktion erstellen, signieren, die signierte Transaktion (via USB-Stick oder wenn du zeit hast mit stift und papier) auf einen anderen PC übertragen, broadcasten, fertig.
Dein Trezor mit private keys ist niemals mit dem Internet, oder einem PC mit Zugriff zum Internet verbunden.

Summa summarum, jedem das seine… wie ich sehe Naivität kennt keine Grenzen

Ok, Du kennst dich mit Programmieren aus, das mit den BTC wird auch noch, immer schön weiterbilden

[mezzomix]

Bei uns im Haus (ca. 15 Entwickler) würde keiner auf die Idee kommen sein ganzes Vermögen jemanden Fremden  anzuvertrauen,

Autsch! Ich wette, jeder einzelne dieser 15 Entwickler hat mindestens ein Bankkonto und vertraut der Bank damit fast das gesammte Fiat Vermögen an.

Fragt sich was jemand aus einem solchen ehrwürdigen Haus, wo noch der wahre Glaube an die göttliche Stellung der Banken gepflegt wird, in unserem unwürdigen dreckigen Bitcoin-Schweinestall will.

[klaus]

Mezzo, Du kommst ihm damit nicht 'bei - berlin82 ist sicher der Meinung das das Geld auf seinem Bankkonto seins wär.


@berlin82 die Realität sieht so aus.
So erging es einem selbstständigen Anfang 2013 in Zypern.




https://bitcointalk.org/index.php?topic=160292.0



... aber klar.



'Das Geld der Sparer ist sicher'.

[mezzomix]

Richtig. Und wieviel bekommen die Griechen von "ihrem" Geld bei der Bank nochmal täglich "zugewiesen"?!

[mezzomix]

...
Und was Bankkonto angeht: da sind wir alle mehr oder weniger gezwungen es zu benutzen.
...

Gefahr erkannt, Gefahr gebannt? Oder aber Gefahr erkannt und mit Volldampf weiter so?! 

Alternativspruch aus der Politik: "Ich bin unzufrieden, aber ich kann ja sowieso nichts ändern" (und wähle deshalb die gleichen Idioten immer wieder und wieder und wieder und...). 

[mikecgn]

Ich habe da noch einen weiteren Aspekt zum Thema Hardwarewallet. Es gab ein Modell, bei dem ein Bug dafür sorgte, dass der Private Key aus den Scripts der öffentlich ersichtlichen Transaktionsdaten errechnet werden konnte. Gegen so einen Fall hilft auch Opensource nicht viel, denn Fehler passieren und ist die fehlerhafte Transaktion einmal in der Blockchain, ist der Private Key (zumindest in diesem Fall) für Angreifer ersichtlich. Selbst wenn schnell ein Update mit Bugfix ausgeliefert wird.

Ich kenne das Modell und weitere Details nicht. Ist schon eine Weile her. Aber ich denke ob Hard- oder Softwarewallet, die totale Sicherheit gibt es sowieso nicht. Selbst eine Paperwallet ist nur so lange sicher, bis ich wieder etwas ausgeben will und dafür den Private Key in einem System mit Internetverbindung nutzen muss.

[Coiner.de]

Und dafür aus Bequemlichkeit den Private Key in einem System mit Internetverbindung nutze.

Unter anderem für so einen Fall habe ich Armory auf einem Offlinerechner.

[shorena]

Also, wenn ich das richtig verstanden habe, dann schläg OP hier vor, dass eine Hardware Wallet unter bestimmten Bedingungen nach Hause telefonieren kann. Kann sie, keine Frage. Die zu signierenden Daten müssen irgendwie auf das Gerät und USB vom online Rechner[1] aus ist so schön praktisch. Da hilft auch keine FOSS, denn überprüfen was tatsächlich auf dem Gerät ist können die wenigsten. Woran das ganze aber scheitern würde, meiner Meinung nach, ist das die Daten über ein Gerät gehen müssen das man nicht unter Kontrolle hat. Es reicht also wenn einer(!) mal den Traffic snifft und das der Hardware Wallet zuordnen kann. Das kann sicherlich 2-3 Jahre[2] dauern, aber der Angriff kann auch nur einmal stattfinden, danach ist klar das was faul ist. Kurzum, unglaublich hohes Risiko bei geriger Aussicht auf Erfolg.

So als Hardware-Wallet-Steuerungs-Software-in-Auftrag-gebender-Mensch würd ich auch mal lustig zwei Teams beschäftigen die sich gegenseitig in den Code gucken und andere Maßnahmen treffen die so etwas weiter erschweren. Ist ja nicht so als würde nicht öfter mal Software geschrieben die sehr hohen Anforderungen gerecht werden muss[3].

Ich habe da noch einen weiteren Aspekt zum Thema Hardwarewallet. Es gab ein Modell, bei dem ein Bug dafür sorgte, dass der Private Key aus den Scripts der öffentlich ersichtlichen Transaktionsdaten errechnet werden konnte. Gegen so einen Fall hilft auch Opensource nicht viel, denn Fehler passieren und ist die fehlerhafte Transaktion einmal in der Blockchain, ist der Private Key (zumindest in diesem Fall) für Angreifer ersichtlich. Selbst wenn schnell ein Update mit Bugfix ausgeliefert wird.

Ich kenne das Modell und weitere Details nicht. Ist schon eine Weile her. Aber ich denke ob Hard- oder Softwarewallet, die totale Sicherheit gibt es sowieso nicht. Selbst eine Paperwallet ist nur so lange sicher, bis ich wieder etwas ausgeben will und dafür den Private Key in einem System mit Internetverbindung nutzen muss.

Klingt nach R-value reuse. Genau da hilft quelloffene Software, weil sich dann mal jemand angucken kann wie genau da eigentlich signiert wird.

[1] Lutpin hat ja schon vorgeschlagen das vom Offline Rechner zu machen, wird aber wohl nicht üblich sein. Die Hardware-Wallet ist ja schon "offline", zumindest ohne Backdoor.
[2] Wenn man sich die paranoia in der Bitcoin Welt mal ansieht, scheint mir das lange.
[3] Raketensteuerung?

[Chefin]

Punkt1: Hardwareentwickler können nicht programmieren.

Software zu basteln mag alleine noch hinhauen. Leider wird jedes Testgerät sich verdächtig verhalten. Bereits hier wird der Hardwareentwickler der seinerseits einige Testexemplare bekommt um sie zu zertifizieren, das entdecken.

Bis so ein Fehler also am Markt landet sind viele involviert die mitspielen müssen. Grundsätzlich machbar ist es, keine Frage.

Aber sobald sowas in nennenswerter Stückzahl vertrieben wird, haben auch einige Menschen es getestet die Ahnung haben. Es reicht wenn man das Gateway auf eine ungültige IP setzt um Traffic zu erkennen. Wehe dem bösen Buben, wenn er nun keine Fehlerbehandlung drin hat in den paar Bytes Assembler. Ausserdem wird ein Hardwarewallet keinen Code auf dem Gastsystem ausführen. Es hat also nur seine definierte Schnittstelle nach aussen am USB. Welche Geräteklasse simuliert es den, wenn man darüber Daten ins Internet senden kann? Da muss die Wallet also einiges verbiegen um das hinzubekommen. Alles in ein paar Bytes Assemblercode.

Ne geht net. Ist ein ausgereiftes Tool das man da reinpacken muss. Und es spielt absolut keine Rolle ob man in Delphi, C oder Assembler programmiert, am Ende kommt eh Assembler raus...also nativer CPU-Code.

Wie oben gesagt, es ist machbar, es ist vieleicht kurz geheim zu halten, aber keiner mit nennenswerten Beträgen wird es nutzen ohne das es vorher ausgiebig getestet wurde und dein C&C Server verrät dich. Per Email dürfte es jedenfalls schwer gehen. Allenfalls kann man sie Kurz aktiv halten, über Jahre fällt das schwer und das ohne drauf zuzugreifen.

Und nehmen wir mal an, es klappt alles. Keiner merkt etwas, die Leute nutzen es, dein Stick hat eine eingebaute Zeitfunktion, die erst nach x Monaten aktiv wird und dann alles verrät. Und bei nun zehntausenden von Nutzern ist keiner dabei der seine Firewall restriktiv genug eingestellt hat, um es zu bemerken? Und was wird der den nun machen? Laut heulen und schreien? Oder eher Spezialisten informieren die erstmal verdeckt den Kontaktpunkt überwachen um den MAnn dahinter zu erwischen. Du musst einen großen Aufwand treiben, dich zu anonymisieren. Du musst viele Mitwisser beruhigen, die ebenfalls wissen wollen ob es funktioniert. Menschen die genau wissen, das sie es mit einem skrupellosen Dieb zu tun haben. Und meinst du wirklich die Vertrauen DIR? Da wollen dann viele drauf zugreifen und abgreifen. Die wollen zumindest wissen, welche Summen eingegangen sind um zu sehen ob du sie nicht bescheisst.

Über all dem muss aber weiterhin strickt auf Anonymität geachtet werden. Und am Punkt X muss das Geld transferiert werden, weil dann wird alles public und dein Stick ist verbrannt. Nun wird die Adresse getrackt. Viele Menschen die du betrogen hast beobachten nun diese Adresse. Jede transaktion. Wehe dem, da taucht ein Name irgendwo auf. Du erinnerst dich an den Shitstorm in Facebook, als so ein Junges Mädchen vergewaltigt und getötet wurde in einem Parkhaus und es dann aufgrund eines Überwachungsvideos dazu kam, das der falsche in Verdacht gekommen ist. Wie die Menschen DA losgegangen sind. Was meinst du wie sauer die seinw erden wenn deren Geld weg ist.

Ich habe früher als Monteur im Weltweiten Einsatz Vorschuss bekommen. Den wer kann über Wochen schon tausende von DM vorstrecken für Flug, Hotel, Mietwagen. Da hat man dann mal 3000, mal 5000 DM Vorschuss bekommen und am Ende abgerechnet. In der Kasse lagen für 50 oder mehr Monteure Geld. Und wer hat das geholt? Ein Monteur. Einige male auch ich. Mein höchster Betrag war 150.000 DM. Anfang der 90er ganz schön viel Geld.

Hatte dann mal Diskussion mit der Dame der Kassenverwaltung. Wieso sie mir so vertraut und auch einigen anderen Monteuren? Sie sagte mir: Die Firma macht 100 Millionen Umsatz, wegen 150.000 geht sie nicht Pleite. Du bist jung, wie weit kommst du mit 150.000? Wir wissen deinen Namen, Adresse, alle Daten um dich zu identifizieren. Du musst also auswandern in ein Land, wo keine Auslieferung möglich ist. Europa fällt da schonmal flach. Und du hast einen gut bezahlten Job hier, den du schmeissen musst. Also nimm doch das Geld und geh. Deine Eltern siehst du erst wieder, wenn sie DICH besuchen. Schaffen musst du trotzdem weiterhin. Also geh, wenn du meinst.

Es ist nie einer gegangen. Weil es nicht lohnt, Nutzen <-> Aufwand. So gehts einem der so einen Trick abzieht auch. Sein Aufwand ist hoch, weil man ja auch den Anonymisierungsaufwand rechnen muss. Man weis nie, ob beim nächsten Klingeln an der Türe nicht ein Polizist da steht. Aber man hofft, das die Polizei schneller ist als die Betrogenen. Und das bei jemanden, der so clevere Dinge programmiert, so gut sich anonymisieren kann, also echt ein Profi ist und viel Geld mit ehrlicher Arbeit verdienen könnte.

So in der Theorie abends beim Bierchen hört sich vieles leicht an. Aber wenn man sich mal die Arbeit macht und versucht alles Wasserdicht hinzubekommen, erkennt man, wieviele Löcher man offen lässt, weil man unter Zeitdruck ist oder unter Erfolgsdruck. Weil es schon lange nicht mehr möglich ist alleine größere Summen abzuzocken. Und weil die Mitwisser eine eigene Meinung dazu haben. Ist man echt so ein begabter Coder und Bastler und gleichzeitig so eine skrupellose Sau um es mit Kriminellen aufnzunehmen? Und verdient damit kein Geld, um überhaupt auf solche Gedanken zu kommen? Also da passen einfach sehr viel Dinge nicht zusammen.

[Wed]

Chefin,
deinen Aufwand in allen Ehren aber du fütterst einen Troll :-)
Dennoch Back to Topic: Kann dir in so ziemlich allen Punkten zustimmen.

[dsattler]

Ich finde dieses "Gedankenexperiment" gar nicht schlecht, aber es greift zu kurz!

Lasst uns mal ganz vorne anfangen, nämlich bei der PC-Sicherheit. Wer hat sich nicht schon mal so ein freies Programm wie z.B. ein Packprogramm herunter geladen? Man macht sich nicht viele Gedanken über sowas. Nehmen wir mal 7zip, das ist ja ziemlich beliebt und - wie ich finde - auch sehr praktisch. Der Entwickler ist Russe, die Download-Seite hat kein SSL. Da müssten einem doch schon die Ohren klingeln!

Und übrigens ist das genau der Punkt, wo einem eine Hardware-Wallet den Arsch retten kann, nämlich wenn man damit trotz verseuchtem Rechner seine Bitcoin-Transaktion sicher abschicken kann! 

So, muss jetzt wieder in mein mit Alufolie abgedichtetes Iglu, hab da keinen Empfang. 

[fronti]

Ich finde dieses "Gedankenexperiment" gar nicht schlecht, aber es greift zu kurz!

Lasst uns mal ganz vorne anfangen, nämlich bei der PC-Sicherheit.

eine backdoor/trojaner/keylogger irgendwo in die CPU / mainboard miteinbauen ist ja auch nicht so schwer.
also müsste man auch diese Hardware selbst herstellen.
Und ..

ja ab einem punkt muss man vertrauen bzw sich dinge überlgen wie man nicht nur von einer zwar hohen aber eben nicht 100% Vertrauensstellung abhängt.
Beim Bitcoin kann das eben sein, dass man sich mehrere Hardware holt.
Hier eine Hardware rvtl von einem Bekannten Hersteller der eine Backdoor ungern einbauen würde (versaut das geschäft)
Eine CPU von (s.o)
eine Tastatur von (s.o)
ein Betriebsystem welches man auf backdoors überprüfen kann oder (s.o.)
eine Wohnung bei der man sicher ist keine Verstekcne kameras zu haben

ein Hardware Bitcoin Wallet, das Open source ist, das man zur not selbst zusammenlöten kann und das mit einer Open source software rennt..


ach ja, die Aluhüte.

[cisA]

Der Entwickler ist Russe, [...]Da müssten einem doch schon die Ohren klingeln!

Da hat die GEZ + Privatsender ganze Arbeit geleistet. Hut ab, einer ganzen Bevölkerung Gehirnwäsche zu verpassen.
Selbst die gute v.d.Leyen hat Trump schon ermahnt, er möge sich "dem Putin/Russen entsprechend Obamalike verhalten", nachdem er ein
freundliches Treffen angekündigt hat.

Aber klar, alle Deutschen sind brave Bürger, alle Polen klauen, alle Rumänen sind Vampirjäger, alle Russen sind saufende Betrüger! Und Amerikaner sind Friedens- und Demokratie Exporteure.
...


Leute, wer schon Linux statt Windows nutzt, hat viel gewonnen. Und wer seine Wallet auf einem Windows Rechner hat, braucht nicht in die Ferne auf die Hardware Wallets zu schielen... Die einem den Privkey abzocken würden, wollen auch nicht sich das Leben unnötig schwer machen, da ists einfacher mit einer schönen Seite die Cookies zu lesen, ob einer auf Exchange Plattformen war und Bitcoin.org besucht hat und kriegt bekommt ein Script ausgeführt. Das wird viel einfacher und schneller funktionieren und auch wahrscheinlicher.
Hardware Wallets schön und gut, trotzdem sollte man nicht sein ganzes Vermögen an einer Stelle lagern.

[Armin van Bruggen]

So leid es mir tut aber die meisten hier haben einfach keine Ahnung und werfen mit Halbwissen um sich, immer wieder schön den Schwachsinn zu lesen. Ihr glaubt garnicht was ihr meinen Kollegen und mir schon für lustige Momemte beschert habt.

Das hier geht aber eindeutig zu weit.
Jungs besinnt euch mal und erkundigt euch bevor ihr solch einen Müll raushaut.

@dsattler
Du bist echt der Held vom Erdbeerfeld.
1.) Die Entwickler vom Trezor sind keine Russen.
2.) bitcointalk verwendet aktuell als Webserver nginx (kannst du an den Headern gerne selbst prüfen). Das hat ein böser Russe entwickelt. Lösche deshalb bitte deinen Account und melde dich hier nie wieder an.

[Wed]

Ich verstehe diesen Blödsinn mit Russen auch nicht.
Telegram ist auch so ein typisches Beispiel. Angeblich unsicher da russisch.
Was für ein Bockmist! Die Russen haben ein weitaus höheres Vertrauenspensum bei mir als die Amerikaner.


Btw.: Der Trezor kommt aus Tschechien. Aber kann man ja mal mit Russland verwechseln... Ist ja normal...
...Kann Spuren von Sarkasmus enthalten...