Bitcoin Forum
December 05, 2016, 08:26:42 AM *
News: To be able to use the next phase of the beta forum software, please ensure that your email address is correct/functional.
 
   Home   Help Search Donate Login Register  
Pages: « 1 [2] 3 4 »  All
  Print  
Author Topic: 25.000 Bitcoins gestohlen  (Read 5458 times)
rs69
Member
**
Offline Offline

Activity: 95


View Profile
June 15, 2011, 03:57:43 PM
 #21

Das musste ja irgendwann soweit kommen. Ich wundere mich schon seit Jahren, dass nicht viel mehr passiert. Irgendwann wacht vielleicht auch der letzte auf und kapiert dass Onlinebanking (und ähnliches) mit Windows grob fahrlässig ist. Manche surfen sogar mit Adminrechten im Netz. Sorry, aber diesen Leuten geschieht das ganz recht. Mac OS X ist da aber auch nicht wirklich besser. Nicht weil das System schlecht wäre (es ist in vielerlei Hinsicht besser als Windows), sondern weil Apple schlampt.
http://www.macwelt.de/artikel/_News/377261/sicherheitsexperte_haelt_mac_os_x_fuer_gefaehrdeter_als_windows/1
http://heise.de/-957594

Zwar ist jedes System angreifbar und Sicherheitslücken gibts sicher bei jedem Betriebssystem. Deshalb muss man immer seinen Verstand benutzen. Aber wer ein Betriebssystem verwendet, das bekannterweise per default unsicher ist und wo der Hersteller erst mal alles vertuscht und erst nachdem die Medien Sturm gelaufen haben vielleicht mal irgendwas dagegen tut, darf sich nicht wundern. Außerdem ist closed source Software und Sicherheit ein Widerspruch.
1480926402
Hero Member
*
Offline Offline

Posts: 1480926402

View Profile Personal Message (Offline)

Ignore
1480926402
Reply with quote  #2

1480926402
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
Yeti
Member
**
Offline Offline

Activity: 112

Firstbits: 1yetiax


View Profile
June 15, 2011, 04:28:46 PM
 #22

Du scheinst seit Windows XP SP1 auch kein Microsoft-OS mehr von nahem gesehen zu haben, oder?! Windows 7 ist "per default" sicherer und mit ein bisschen gesunder Skepsis ("oooh, Angelina_Jolie_nackt.exe! klar klick ich auf den Anhang!") wird man auch nicht aus heiterem Himmel gehackt.

Mein Wallet liegt übrigens mit SHA1-gesichert bei einem Cloud-Anbieter. Ich ziehe es nur kurzfristig auf meinen Windows-7-Rechner, wenn ich Transaktionen tätige.

1YetiaXeuRzX9QJoQNUW84oX2EiXnHgp3 or http://payb.tc/yeti

Since Bitcoin Randomizer is dead, join the Bitcoin Pyramid (referrer id #203)! Be quick, be on top! Instant payout as soon as one of your referrals deposits!
rs69
Member
**
Offline Offline

Activity: 95


View Profile
June 15, 2011, 05:05:54 PM
 #23

Du scheinst seit Windows XP SP1 auch kein Microsoft-OS mehr von nahem gesehen zu haben, oder?!
Doch leider!
Quote
Windows 7 ist "per default" sicherer
Ja. Sicherer als XP SP1 ist ja auch keine Leistung. Aber auch Win 7 ist noch "Lichtjahre" von einem anständigen System entfernt.

Quote
und mit ein bisschen gesunder Skepsis ("oooh, Angelina_Jolie_nackt.exe! klar klick ich auf den Anhang!") wird man auch nicht aus heiterem Himmel gehackt.
Die Skepsis und der Wille, sich damit zu befassen was man tut und was man lässt, fehlt doch aber bei den meisten. Die schalten ihren Computer ein, ihr Hirn aus und meinen, das hätte dann was mit Sicherheit zu tun.

Quote
Mein Wallet liegt übrigens mit SHA1-gesichert bei einem Cloud-Anbieter. Ich ziehe es nur kurzfristig auf meinen Windows-7-Rechner, wenn ich Transaktionen tätige.
Das halte ich zwar auch nicht für eine empfehlenswerte Lösung, aber damit stehst du immerhin sicherer da als die meisten anderen Leute. Es wäre nicht das erste mal, dass Daten bei einem "Cloud-Anbieter" verschwinden. Selbstgemachte Backups auf eigenen externen Datenträgern sind immer noch am sinnvollsten - natürlich nur wenn man es mit Verstand macht.
wurstwasser
Newbie
*
Offline Offline

Activity: 6


View Profile
June 15, 2011, 08:06:59 PM
 #24

Ich würd einfach niemals so viel Kohle in der wallet anhäufen. Vielleicht maximal 100€.

Es ist doch einfach so, dass es bei dem System keinerlei Versicherung gibt (ist ja auch nicht möglich von wegen Dezentralität, P2P usw). Deswegen sollte selbst nach Durchbrechen aller Hindernisse (Virenscanner, Firewalls, externe Speicherung) nicht das komplette Geld dem Angreifer offen liegen.

Solang das System nicht hieb und stichfest ist (wie zB das Online Banking) würde ich wie gesagt niemals so viel Geld dort anhäufen. Wenn er das durch early adopting erhalten hat, soll er sich mal nicht so einkacken.
Ist zwar dumm gelaufen, aber er ist halt irgendwie auch ein bischen dumm.

achja und:
Quote
Irgendwann wacht vielleicht auch der letzte auf und kapiert dass Onlinebanking (und ähnliches) mit Windows grob fahrlässig ist.

öh ja... Was soll bitte am Onlinebanking mit Windows grob fahrlässig sein? Meinst du jeder Windowsrechner bekommt bei der Installation des Betriebssystems einen Keylogger mitinstalliert der meine PINs und TANs direkt zu Vladimirs EC-Karten Mafia&Co KG schickt oder was?
So ein Stammtischgebrabbel... Was für ein Geldtransfer soll dann überhaupt sicher sein? Bargeld ganz bestimmt nicht.

Außerdem ganz abgesehn von sicher oder nicht. Soweit ich das den Nachrichten entnehmen konnte, hat bis jetzt jeder Bankkunde den Schaden der durch EC-Karten Betrug oder Phishing entstanden ist von der Bank bezahlt bekommen. Siehe zB hier, gibts sogar ein Urteil vom LG Berlin:
http://computer.t-online.de/banken-haften-grossteilig-fuer-phishing-schaden/id_20886020/index

Sowas wirds aus technischer Sicht (P2P und eben kein bankenähnliches Gebilde) niemals beim BTC System geben. Noch ein Grund dafür, dass sich die Währung niemals in der breiten Masse etablieren wird.
Deswegen zocke ich da ein bischen mit und investier evtl etwas in Mining Hardware. Aber als Zahlungsmittel würde ich das nicht anerkennen.
stevang
Full Member
***
Offline Offline

Activity: 154



View Profile
June 15, 2011, 08:48:58 PM
 #25

Was nicht ganz einleuchtet, dass ein OpenSource Project was auf starke Kryptografie setzt es nicht schafft die eigene Datenbank jedes Clients zu verschlüsseln und mit einem Passwort zu schützen. Eine optionale Unterstützung von RSA Schlüsseln für 2stufige Absicherung wäre doch auch nicht zu viel verlangt. Dann müsste man sich um den Diebstahl der wallet.dat garkeine Sorgen machen.

Also bitte einbauen. Echtzeitverschlüsselung der Daten die der Bitcoin Client verwendet gesichert durch Clientpasswort und Unterstützung von RSA Hardwareschlüsseln. Ich habe z.B. einen Yubikey (http://www.yubico.com). Der wäre dafür perfekt geeignet.
Hundsstern
Full Member
***
Offline Offline

Activity: 126



View Profile
June 15, 2011, 11:34:59 PM
 #26

Wenn er das durch early adopting erhalten hat, soll er sich mal nicht so einkacken.

Eh klar...wenn du 500.000$ geschenkt bekommst und sie werden dir gestohlen dann kackst du dich auch nicht an.


Aber als Zahlungsmittel würde ich das nicht anerkennen.

Machst du das nicht schon bereits? Oder was ist Bitcoin für dich im Moment? Eine Aktie?

Hundsstern
Full Member
***
Offline Offline

Activity: 126



View Profile
June 16, 2011, 02:34:56 AM
 #27

Ich find die Entwicklung interessant.

Zuerst postet ein Newbie dass er die Adresse des Diebes (Lulzsec) im Netz gefunden hat.

http://forum.bitcoin.org/index.php?topic=17386.msg223015

Kurze Zeit später stellt sich heraus dass das der Fund ein Fake ist.

Doch man findet heraus dass der Dieb scheinbar mit Lulzsec in Verbindung steht, denn von der Diebesadresse wurden BCs an die Lulzsec-Adresse gesendet.

http://blockexplorer.com/address/1KPTdMb6p7H3YCwsyFqrEmKGmsHqe1Q3jg

Gleichzeitig prahlt auf Twitter jemand, der von sich behauptet der Dieb zu sein. So wie ich das mitbekommen hab (bin aber nicht ganz sicher) hat er, unter anderem, an Lulzsec, an Wikileaks und AnonOPS Bitcoins verschenkt.

http://twitter.com/#!/Anonakomis

Auf mich wirkt das ziemlich real. Ganz egal ob oder nicht. Ich kann mich nur dem folgendem Post aus dem "I just got hacked"- Thread anschließen.

Some moron just admitted to stealing half a million bucks on Twitter?! Time to call your local FBI office.
germanMNY
Jr. Member
*
Offline Offline

Activity: 56


View Profile
June 16, 2011, 05:55:09 AM
 #28

Aber wie der hack nun durchgeführt wurde steht wohl noch nicht fest, oder?
Hundsstern
Full Member
***
Offline Offline

Activity: 126



View Profile
June 16, 2011, 06:15:08 AM
 #29

Aber wie der hack nun durchgeführt wurde steht wohl noch nicht fest, oder?

Ich hab dazu nix gefunden. Es gibt nur sein Posting in dem er den Ablauf schildert. Aber das wird dir wahrscheinlich eh bekannt sein.



First thing that I noticed is that my slush's pool account got hacked into and someone changed the payout address to this:

15iUDqk6nLmav3B1xUHPQivDpfMruVsu9f

I then changed the password and proceeded to run some antivirus and anti malware scans. Some stuff was found, but they were all cleaned up and they were all in my windows user profile temp dir which I deleted all the temp files. God I can't even type properly. Sorry folks I'm a bit emotional now.

I then left another virus scanner running and went to sleep. When I woke up I check my bitcoin wallet. I leave the client running to help the network, and I notice -25,000 (and a transaction fee) gone.

J0k3r
Jr. Member
*
Offline Offline

Activity: 42



View Profile
June 16, 2011, 07:51:01 AM
 #30

http://www.heise.de/newsticker/meldung/Bitcoin-Diebstahl-Eine-halbe-Million-US-Dollar-weg-1261046.html
Yeti
Member
**
Offline Offline

Activity: 112

Firstbits: 1yetiax


View Profile
June 16, 2011, 07:56:44 AM
 #31

Das halte ich zwar auch nicht für eine empfehlenswerte Lösung, aber damit stehst du immerhin sicherer da als die meisten anderen Leute. Es wäre nicht das erste mal, dass Daten bei einem "Cloud-Anbieter" verschwinden. Selbstgemachte Backups auf eigenen externen Datenträgern sind immer noch am sinnvollsten - natürlich nur wenn man es mit Verstand macht.
Ich vergas. Dasselbe Archiv liegt natürlich nochmal auf meinem persönlichen USB-Stick, dem ich allerdings weniger traue was die Haltbarkeit angeht.

1YetiaXeuRzX9QJoQNUW84oX2EiXnHgp3 or http://payb.tc/yeti

Since Bitcoin Randomizer is dead, join the Bitcoin Pyramid (referrer id #203)! Be quick, be on top! Instant payout as soon as one of your referrals deposits!
fornit
Hero Member
*****
Offline Offline

Activity: 989


View Profile
June 16, 2011, 10:23:42 AM
 #32

auch wenn das jetzt wirklich mal richtig viel geklaute coins sind, muss man auch wirklich mal betonen, wie unendlich blöde der typ gewesen ist.

1. unverschlüsseltes wallet
2. alles in einem wallet
3. irgendwann mal unverschlüsselte backups online gemacht. die dann zwar gelöscht aber  das kompromittierte wallet weiter benutzt
4. viren auf dem eigenen rechner gefunden, aber den rechner nicht sofort neu aufgesetzt
5. verseuchten rechner auch noch unbeaufsichtigt über nacht am netz gelassen, damit ein potentieller remote desktop user auch noch alle zeit der welt hat, dass wallet zu kopieren
6. mining-account gehackt + viren auf dem eigenen rechner und trotzdem nicht alle bitcoins schnell auf ein anderes wallet verschickt

wenn man sagt, der typ hat quasi einladungen zum hacken verschickt, dann ist das arg untertrieben. der hat dem dieb noch eine limousine mt chauffeur geschickt.

leckse
Newbie
*
Offline Offline

Activity: 3


View Profile
June 16, 2011, 12:35:40 PM
 #33

Sicher ist das blöd.

Blöd ist allerdings auch die Implementierung, bei der das einfache Kopieren einer Datei, die von allen Programmen auslesbar ist, reicht, um den maximal möglichen Schaden anzurichten.

Sowas gehört allermindestens mit einer Passphrase abgesichert, damit die Wallet wenigstens nicht unverschlüsselt auf der Platte liegt. Und wohl noch besser wäre die Möglichkeit, das zB gesichert auf einer Smartcard o.ä. unterzubringen.
stevang
Full Member
***
Offline Offline

Activity: 154



View Profile
June 16, 2011, 12:54:47 PM
 #34

Sicher ist das blöd.

Blöd ist allerdings auch die Implementierung, bei der das einfache Kopieren einer Datei, die von allen Programmen auslesbar ist, reicht, um den maximal möglichen Schaden anzurichten.

Sowas gehört allermindestens mit einer Passphrase abgesichert, damit die Wallet wenigstens nicht unverschlüsselt auf der Platte liegt. Und wohl noch besser wäre die Möglichkeit, das zB gesichert auf einer Smartcard o.ä. unterzubringen.

Das sehe ich ganz genau so. Es geht hier um eine Kryptowährung und die Programmierer schaffen es nicht die Wallet zu verschlüsseln und mit passwort bzw mit passwort und rsa key zu sichern.
germanMNY
Jr. Member
*
Offline Offline

Activity: 56


View Profile
June 16, 2011, 01:10:58 PM
 #35

Sicher ist das blöd.

Blöd ist allerdings auch die Implementierung, bei der das einfache Kopieren einer Datei, die von allen Programmen auslesbar ist, reicht, um den maximal möglichen Schaden anzurichten.

Sowas gehört allermindestens mit einer Passphrase abgesichert, damit die Wallet wenigstens nicht unverschlüsselt auf der Platte liegt. Und wohl noch besser wäre die Möglichkeit, das zB gesichert auf einer Smartcard o.ä. unterzubringen.

Das sehe ich ganz genau so. Es geht hier um eine Kryptowährung und die Programmierer schaffen es nicht die Wallet zu verschlüsseln und mit passwort bzw mit passwort und rsa key zu sichern.

Die Wahrscheinlichkeit, dass der Durchschnittsbenutzer seine Passphrase vergisst dürfte aber höher sein als dass er bestohlen wird. Verschlüsselung wäre aber natürlich trotzdem eine schöne Sache.
winnetou
Sr. Member
****
Offline Offline

Activity: 361


View Profile
June 16, 2011, 01:25:41 PM
 #36

Jeder 10. PC ist Teil eines Botnetzes. Wenn ich mir die mit Malware-Toolbars vollgestopften Browser von ein paar Bekannten anschaue, wundert mich das nicht. Ich möchte gar nicht wissen, wieviel Wallets noch gestohlen werden....

germanMNY
Jr. Member
*
Offline Offline

Activity: 56


View Profile
June 16, 2011, 02:21:02 PM
 #37

Jeder 10. PC ist Teil eines Botnetzes. Wenn ich mir die mit Malware-Toolbars vollgestopften Browser von ein paar Bekannten anschaue, wundert mich das nicht. Ich möchte gar nicht wissen, wieviel Wallets noch gestohlen werden....



Genaus so  ist es. Und gegen botnetze wird auch eine Verschlüsselung nur wenig nützen. Die Lösung kann nur eine Auslagerung der privat-keys auf eine smartcard sein. Jede Transaktion müsste dann direkt an der smartkarte bestätigt werden. Smartcards kosten ja auch nicht mehr die Welt.
stevang
Full Member
***
Offline Offline

Activity: 154



View Profile
June 16, 2011, 02:36:34 PM
 #38

Ich bin nach wie vor für Verschlüsselung am besten mit zweistufiger Verifizierung. Also Passwort und Yubikey oder sowas. Da ich den Yubikey immer am Schlüsselbund habe, kann selbst wenn einer die Wallet und das Passwort hat er damit nichts anfangen. Smartcard erfordert ja das alle ein Lesegerät haben oder? Damit ist es schonmal eine Hemmschwelle zusätzlich zur Smartcard noch das Lesegerät anzuschaffen.

Jeder Schutz der Wallet wäre derzeit willkommen.
fornit
Hero Member
*****
Offline Offline

Activity: 989


View Profile
June 16, 2011, 07:49:14 PM
 #39

in der nächsten version wirds ja laut gavin eine walletverschlüsselung geben. wie die dann genau aussieht wird man sehen.
ich habe mir die beschreibung im git durchgelesen. da steht, das wallet sei auch im speicher noch verschlüsselt und jedesmal, wenn man etwas macht, was zugriff braucht, muss man das pw eingeben. ich hoffe, die machen da keinen overkill. wenn das wallet nur auf der festplatte verschlüsselt ist, wäre das schon ein quantensprung für den otto-normal-user (kein trivialer diebstahl mehr, viel einfachere backups), und dann müßte man immer nur einmal das pw eingeben. ständig eingeben-müssen fördert imho zu sehr schwache passwörter und negiert damit den zusätzlichen schutz vor malware größtenteils wieder.

yubikey, lesegeräte usw. ist imho absoluter overkill. das wäre ein sehr effizienter weg, die verbreitung von bitcoin komplett auszubremsen.

Hundsstern
Full Member
***
Offline Offline

Activity: 126



View Profile
June 16, 2011, 08:06:41 PM
 #40

in der nächsten version wirds ja laut gavin eine walletverschlüsselung geben. wie die dann genau aussieht wird man sehen.
ich habe mir die beschreibung im git durchgelesen. da steht, das wallet sei auch im speicher noch verschlüsselt und jedesmal, wenn man etwas macht, was zugriff braucht, muss man das pw eingeben. ich hoffe, die machen da keinen overkill. wenn das wallet nur auf der festplatte verschlüsselt ist, wäre das schon ein quantensprung für den otto-normal-user (kein trivialer diebstahl mehr, viel einfachere backups), und dann müßte man immer nur einmal das pw eingeben. ständig eingeben-müssen fördert imho zu sehr schwache passwörter und negiert damit den zusätzlichen schutz vor malware größtenteils wieder.

Erfreuliche Nachricht.

Dann sollten generell keine Passwörter erlaubt sein, die nicht sicher sind.
Also bei Passworterstellung muss man Zahlen, Klein und Großbuchstaben, Sonderzeichen usw. verwenden.
Dann gibts auch keine schwachen Passwörter.
Pages: « 1 [2] 3 4 »  All
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!