Bitcoin Forum
March 19, 2024, 05:01:54 AM *
News: Latest Bitcoin Core release: 26.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1] 2 »  All
  Print  
Author Topic: Trojaner stiehlt Bitcoins  (Read 2801 times)
J0k3r (OP)
Newbie
*
Offline Offline

Activity: 42
Merit: 0



View Profile
June 18, 2011, 12:51:32 PM
 #1

http://www.heise.de/newsticker/meldung/Trojaner-stiehlt-virtuelle-Waehrung-1262760.html
1710824514
Hero Member
*
Offline Offline

Posts: 1710824514

View Profile Personal Message (Offline)

Ignore
1710824514
Reply with quote  #2

1710824514
Report to moderator
1710824514
Hero Member
*
Offline Offline

Posts: 1710824514

View Profile Personal Message (Offline)

Ignore
1710824514
Reply with quote  #2

1710824514
Report to moderator
The grue lurks in the darkest places of the earth. Its favorite diet is adventurers, but its insatiable appetite is tempered by its fear of light. No grue has ever been seen by the light of day, and few have survived its fearsome jaws to tell the tale.
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
crashdown
Member
**
Offline Offline

Activity: 112
Merit: 10


View Profile
June 18, 2011, 01:02:28 PM
 #2


... wie gestern bereits im "Presseberichte-Thread" verlinkt Wink
berndl
Member
**
Offline Offline

Activity: 62
Merit: 10


View Profile
June 18, 2011, 01:45:40 PM
 #3

Wobei man das hier von der technischen Seite mal angehen könnte.
Eine integrierte Verschlüsselung der wallet.dat wäre recht brauchbar, solange der Trojaner nur die wallet.dat klaut und nicht weiter intelligent ist, um direkt ein Keyloggermodul* mitzubringen. Also garnicht.

Einzig und allein mit nicht-kompromittierbarer, externer Hardware, lässt sich das absichern, indem z.B. die kryptographischen Schlüssel, die in der wallet.dat liegen, auf einer Smardcard o.ä. verarbeitet werden und man ein externes Interface mit Display und Tastatur hat, auf der man Empfänger und Summe bestätigen muss.
Über das Interface zum Computer gehen dann nur Empfänger und Summe und die Smardcard führt die Signatur aus, die sie wieder zum Computer zurückschickt, um die kryptographisch signierte Bestätigung ins Netzwerk einzupflegen.

Da das aber einen imensen Aufwand bedeutet, um das Prinzip sicher und richtig zu implementieren, werden wir uns bei Bitcoin die nächsten paar Jahre wohl mit maximal einem Passwortschutz begnügen müssen, wenn man nicht einfach ein System auf einem USB-Stick nimmt, von dem man zum überweisen startet.

*: Nein, auch ein Konzept, wie beim nPa reicht nicht. Eine wild gemixte Bildschirmtastatur bringt nichts, wenn der Keylogger bei jedem Klick einfach einen Screenshot anfertigt, wodurch zumindest der nPa mit Basislesegerät in der Theorie schon kompromittiert ist, wenn der nPa noch auf dem Lesegerät liegt:
Per Netzwerk kann der USB-Kartenleser zum Angreifer getunnelt werden, der ihn dann wie einen lokalen benutzen kann und die Pin kennt er dank Keylogger oder Screenshots, aber das ist offtopic.

tl;dr: Bitcoin sicher gegen Angreifer (unter Windows): Nur mit externer, kostenaufwändiger, Hardware --berndl

Da kann man "Danke" sagen: 1Me3icRWdw6znvJ6TeUjwp6SXuqq7UnpoT

Get a 10% lifetime discount on the MtGox competitor "TradeHill" (now with EUR market!) via: http://www.tradehill.com/?r=TH-R11309

-- berndl dankt
J0k3r (OP)
Newbie
*
Offline Offline

Activity: 42
Merit: 0



View Profile
June 18, 2011, 03:08:25 PM
 #4

Also Berndl deinen Ansatz finde ich super. Wäre auf jeden Fall ne gute Möglichkeit und auch eigentlich ziemlich leicht in der Umsetzung.
stevang
Full Member
***
Offline Offline

Activity: 154
Merit: 100



View Profile
June 18, 2011, 03:26:38 PM
 #5

Ich mach auch Banking über HBCI mit nem teuren Reiner SCT (für HBCI und digitalem Perso). Von daher hätte ich sogar ein Lesegerät für eine Smartcard. Aber wer würde sich schon für Bitcoins ein teures Gerät kaufen, wenn es fürs Onlinebanking schon kaum einer macht.

Ich denke ein Kompromiss wäre eine 2stufige Verifizierung zur verschlüsselten Wallet.
1. Stufe gutes Passwort (das sollte mindestens integriert sein)
2. Stufe Yubikey oder RSA Key (optional und wenigstens nicht ganz so teuer wie ein Smartkartleser mit Display und eigener Tastatur)

Ich mag halt meinen Yubikey und lass mir den nich madig machen Smiley Außerdem braucht der keine Batterie und pass an mein Schlüsselbund, so Tongue
zephram
Newbie
*
Offline Offline

Activity: 44
Merit: 0



View Profile
June 18, 2011, 03:52:35 PM
 #6

Haha, den Reiner SCT hab ich auch ^^ Ein Königreich für den Meister der Programmierkünste, der die API vom Secoder in den BTC-Client implementiert, und noch einen USB-Stick einbindet, welcher das encryptete Wallet enthält,vielleicht noch nen automatisches Backupsystem für ne cloud Wink.

Dann müsste man sich nur noch ne leere Smartcard kaufen und nen USB-Stick für zusammen nen paar Euro fünzig und dann wärs das für die gierigen Trojaner-Script-Kiddies gewesen Wink

Und komfortabel wärs auch, Stick mit der Wallet in den Rechner, und wenn man überweisen möchte, Pin in den Secoder tippen Wink

Und bis es soweit ist, noch einen Tipp: legt euch nen Account bei bitmarket.eu(oder woanders, aber da kann man sicher und komfortabel in Euro umtauschen) zu, und nutzt den St.Eligius-Pool(oder die meisten anderen, Eligius kommt allerdings ohne pw aus, welches man hacken kann :]), dann müssen die BTC nicht einmal auf euren Rechner um sie zu versilbern, und wenn doch weil ihr kurz was per BTC bezahlen wollt, kurz halt den nötigen Betrag ins Wallet überweisen, oder vorrübergegend die Auszahlungsadresse beim Bitmarket abändern... muss ja nicht sein das die Skriptkiddies unnötigerweise Erfolgserlebnisse vorzuweisen haben Wink

jm2p Zeph
berndl
Member
**
Offline Offline

Activity: 62
Merit: 10


View Profile
June 18, 2011, 05:24:20 PM
 #7

Also Berndl deinen Ansatz finde ich super. Wäre auf jeden Fall ne gute Möglichkeit und auch eigentlich ziemlich leicht in der Umsetzung.

Leicht in der Umsetzung? Ja, wenn man von der Thematik Ahnung hat. Hab ich selber nicht sonderlich viel, vielleicht grade mal mehr als der durchschnittliche GPG-User, aber nicht genügend, um es zu implementieren.


Haha, den Reiner SCT hab ich auch ^^ Ein Königreich für den Meister der Programmierkünste, der die API vom Secoder in den BTC-Client implementiert, und noch einen USB-Stick einbindet, welcher das encryptete Wallet enthält,vielleicht noch nen automatisches Backupsystem für ne cloud Wink.

Nö, ich dachte da an Kryptokeys auf einer Smartcard. In der wallet.dat sind ja nur kryptographische Keys für ECC, mit denen die "Überweisungen" signiert werden und die sollen halt auf die Smartcard.

Wenn man die wallet.dat auf einen USB-Stick packt, der über die Smartcard verschlüsselt ist, erzeugt man im Moment des Entschlüsselns eine unverschlüsselte Kopie im Speicher des Computers, das ist genau das, was man auf garkeinen Fall haben will, da sonst wieder ein Trojaner kommt und die unverschlüsselte Kopie aus dem Speicher mitnimmt.

_Alles_ wichtige passiert auf der Smartcard, von Speicherung der Schlüssel bis signieren der Transaktionen, da man sonst _immer_ eine Lücke für einen Angreifer lässt. Die Smartcard nimmt vom Smartcardreader nur eine Pin (optional), die Zieladresse und den Betrag an, der Smartcardreader nimmt vom Computer nur die letzten beiden Sachen an und keine Berechnung verlässt die Smartcard.

nur noch ne leere Smartcard kaufen
Die wird afaik eine Sonderanfertigung sein und das geht ma so richtig ins Geld. Was man kaufen kann, sind Speicherkarten, die so 1kb Speicher haben, den man letztendlich über I2C ansteuert. Was man für mein Gedankenexperiment haben will, ist eine Smartcard, die einen integrierten Mikrocontroller mit Kryptoeinheit hat, der dann exklusiven Zugriff auf den Speicher besitzt, sodass man über die Schnittstelle nciht mehr auf den Speicher zugreifen kann, weil man sonst auch mal eben so die Keys auslesen könnte.


--berndl

Da kann man "Danke" sagen: 1Me3icRWdw6znvJ6TeUjwp6SXuqq7UnpoT

Get a 10% lifetime discount on the MtGox competitor "TradeHill" (now with EUR market!) via: http://www.tradehill.com/?r=TH-R11309

-- berndl dankt
J0k3r (OP)
Newbie
*
Offline Offline

Activity: 42
Merit: 0



View Profile
June 18, 2011, 08:33:57 PM
 #8

Naja aber wenn man sich da mal ein bisschen einliest und mit beschäftigt, ist es schon machbar.
BitCoinBaron
Member
**
Offline Offline

Activity: 98
Merit: 10



View Profile
June 18, 2011, 09:27:58 PM
 #9

Also was ich nur komisch finde, es heisst immer "Trojaner klaut Bitcoins", doch es hat ihn wohl noch keiner gefunden, es gibt keinen Namen, er ist in noch keinem Secure Lab aufgetaucht, nichts. Ich find das echt mal alles sehr, sehr komisch.

Sollte mein Beitrag hilfreich gewesen sein, dann kannst du dich hier bedanken.
--->>>1JVUfbsHoFbjLpoYqQhx8ZL91RdtjvoKH7<<<---
Dennis1234
Newbie
*
Offline Offline

Activity: 14
Merit: 0


View Profile
June 18, 2011, 09:32:44 PM
 #10

Also was ich nur komisch finde, es heisst immer "Trojaner klaut Bitcoins", doch es hat ihn wohl noch keiner gefunden, es gibt keinen Namen, er ist in noch keinem Secure Lab aufgetaucht, nichts. Ich find das echt mal alles sehr, sehr komisch.

Hast Du die Newsseite gelesen? Das steht, daß der Tronajer "Infostealer.Coinbit" getauft wurde.

http://www.symantec.com/security_response/writeup.jsp?docid=2011-061615-3651-99
randomguy7
Hero Member
*****
Offline Offline

Activity: 527
Merit: 500


View Profile
June 18, 2011, 09:58:22 PM
 #11


nur noch ne leere Smartcard kaufen
Die wird afaik eine Sonderanfertigung sein und das geht ma so richtig ins Geld. Was man kaufen kann, sind Speicherkarten, die so 1kb Speicher haben, den man letztendlich über I2C ansteuert. Was man für mein Gedankenexperiment haben will, ist eine Smartcard, die einen integrierten Mikrocontroller mit Kryptoeinheit hat, der dann exklusiven Zugriff auf den Speicher besitzt, sodass man über die Schnittstelle nciht mehr auf den Speicher zugreifen kann, weil man sonst auch mal eben so die Keys auslesen könnte.


--berndl

Man braucht keine Sonderanfertigungen, man kann z.B. java cards und basic cards benutzen. Diese muss man dann eben noch entsprechend programmieren.
Jedes mal wenn der bitcoin client einen neuen public key benötigt muss das Schlüsselpaar im der Smartcard generiert werden, wobei der private key die Karte nie verlassen kann.
Das ist imho der einzige Weg bitcoin für den "normalen User" ausreichend abzusichern (praktisch 100% sicher).

Allerdings gibt es zwei Probleme dabei:

1. Man muss irgendwie ein Backup von der Smartcard machen können wobei die privaten Schlüssel die Smartcard verlassen können müssen.
2. Die wallet.dat kann ganz schön groß werden, wahrscheinlich zu groß für aktuelle Standard-Smartcards. Vielleicht könnte man auf die Smartcard nur eine Art Hauptschlüssel drauf machen, mit der die wallet.dat auf dem PC entschlüsselt werden kann. Das darf dann aber NICHT auf dem PC passieren sondern die Smartcard muss sich die wallet.dat vom PC senden lassen, beim empfangen entschlüsseln und nur die benötigten Daten temporär speichern. Dann die entsprechende Transaktion signieren und dem PC geben.
BitCoinBaron
Member
**
Offline Offline

Activity: 98
Merit: 10



View Profile
June 18, 2011, 10:00:53 PM
 #12

Also was ich nur komisch finde, es heisst immer "Trojaner klaut Bitcoins", doch es hat ihn wohl noch keiner gefunden, es gibt keinen Namen, er ist in noch keinem Secure Lab aufgetaucht, nichts. Ich find das echt mal alles sehr, sehr komisch.

Hast Du die Newsseite gelesen? Das steht, daß der Tronajer "Infostealer.Coinbit" getauft wurde.

http://www.symantec.com/security_response/writeup.jsp?docid=2011-061615-3651-99
Oh ist wohl an mir vorbei gegangen.  Cool
Danke für die Info.

Sollte mein Beitrag hilfreich gewesen sein, dann kannst du dich hier bedanken.
--->>>1JVUfbsHoFbjLpoYqQhx8ZL91RdtjvoKH7<<<---
berndl
Member
**
Offline Offline

Activity: 62
Merit: 10


View Profile
June 18, 2011, 10:07:05 PM
 #13

Man braucht keine Sonderanfertigungen, man kann z.B. java cards und basic cards benutzen. Diese muss man dann eben noch entsprechend programmieren.

Hm, interessant, die kannte ich bisher nicht. Und laut Wikipedia:
Quote
It is widely used in SIM cards (used in GSM mobile phones) and ATM cards.
Ich hab hier noch 60 von Vodafone rumliegen, die könnte ich mal ausprobieren…

Brauch noch jemand eine nicht-aktivierte Simkarte von Vodafone mit 3€ Startguthaben gegen Versandkosten? PM! --berndl

Da kann man "Danke" sagen: 1Me3icRWdw6znvJ6TeUjwp6SXuqq7UnpoT

Get a 10% lifetime discount on the MtGox competitor "TradeHill" (now with EUR market!) via: http://www.tradehill.com/?r=TH-R11309

-- berndl dankt
BitCoinBaron
Member
**
Offline Offline

Activity: 98
Merit: 10



View Profile
June 18, 2011, 10:12:56 PM
 #14

Und wie will man die als "normaler User" programmieren bzw. beschreiben?

Ist aber schon mal ein interessanter Ansatz diese Karten Geschichte.

Sollte mein Beitrag hilfreich gewesen sein, dann kannst du dich hier bedanken.
--->>>1JVUfbsHoFbjLpoYqQhx8ZL91RdtjvoKH7<<<---
randomguy7
Hero Member
*****
Offline Offline

Activity: 527
Merit: 500


View Profile
June 18, 2011, 10:15:14 PM
 #15

60? Grin
An SIM Karten kann man leider nichts mehr rumcoden. Allgemein kann man auf java cards verschiedene card applets drauf packen, man braucht dafür aber nen key, und den bekommt man leider nicht bei Karten die ne javacards als Unterbau nutzen. Bei basiccard ist es ähnlich, ich weis nicht wie umfangreich die in der Praxis benutzt werden aber man kann die, wenn die fertige Anwendung drauf ist, finalisieren. Dabei werden verschiedene Sicherheitsfunktionen aktiviert und vorallem kann man an der Karte nichts mehr ändern.
randomguy7
Hero Member
*****
Offline Offline

Activity: 527
Merit: 500


View Profile
June 18, 2011, 10:19:04 PM
 #16

Und wie will man die als "normaler User" programmieren bzw. beschreiben?

Ist aber schon mal ein interessanter Ansatz diese Karten Geschichte.

Gar nicht, man kauft sie fertig aus sicherer Quelle.  Smiley
berndl
Member
**
Offline Offline

Activity: 62
Merit: 10


View Profile
June 18, 2011, 10:32:04 PM
 #17

60? Grin
An SIM Karten kann man leider nichts mehr rumcoden. Allgemein kann man auf java cards verschiedene card applets drauf packen, man braucht dafür aber nen key, und den bekommt man leider nicht bei Karten die ne javacards als Unterbau nutzen. Bei basiccard ist es ähnlich, ich weis nicht wie umfangreich die in der Praxis benutzt werden aber man kann die, wenn die fertige Anwendung drauf ist, finalisieren. Dabei werden verschiedene Sicherheitsfunktionen aktiviert und vorallem kann man an der Karte nichts mehr ändern.

Verdammt, der partitielle Weg zur Weltherrschaft ist unterbunden! Wobei interessanterweise über das Baseband die Möglichkeit besteht, Applikationen auf der Simkarte zu installieren, wobei ich da auf eine Chaosradio-Express Sendung verweisen muss.

60 Simkarten bekommt man, wenn man freundlich fragt, ob man diese Werbekiste von Vodafone mitnehmen darf, da sich eh keiner dafür interessiert. Zuerst war der Plan, die jeweils 3€ auszucashen, aber Vodafone hat da 0900er unterbunden.

Kann man die Karte nicht völlig resetten? Wenn man die Lockbits bei 'nem AVR setzt, kann man das Programm auch nicht mehr auslesen, den AVR aber immernoch löschen und neu beschreiben.


Und wie will man die als "normaler User" programmieren bzw. beschreiben?

Ist aber schon mal ein interessanter Ansatz diese Karten Geschichte.

Bisher hab ich nur von SC-Reader + Software gelesen, wobei der Reader wohl generisch sein kann. Wie weit das umsetzbar ist, weiß ich allerdings nocht, dafür ist meine ToDo-Liste zu lang.

--berndl


Edit:
http://www.youtube.com/watch?v=aCM9KN2pzQE&NR=1 ist ein verdammt interessantes Video zu dem Thema…

Da kann man "Danke" sagen: 1Me3icRWdw6znvJ6TeUjwp6SXuqq7UnpoT

Get a 10% lifetime discount on the MtGox competitor "TradeHill" (now with EUR market!) via: http://www.tradehill.com/?r=TH-R11309

-- berndl dankt
randomguy7
Hero Member
*****
Offline Offline

Activity: 527
Merit: 500


View Profile
June 18, 2011, 11:13:50 PM
 #18

Kann man die Karte nicht völlig resetten? Wenn man die Lockbits bei 'nem AVR setzt, kann man das Programm auch nicht mehr auslesen, den AVR aber immernoch löschen und neu beschreiben.
Sowas wie einen vollständigen Reset gibt es glaub nicht. Man kann eben die einzelnen applets installieren/löschen wobei man aber den Schlüssel braucht.

AVR?
Mineriner
Full Member
***
Offline Offline

Activity: 224
Merit: 100



View Profile
June 19, 2011, 12:35:08 AM
 #19

Daß diese Trojaner-Warnung ausgerechnet von Symantec - dem Profi aller Systemschrottungs-Utilities - in die Welt gesetzt wurde, irritiert scheinbar nicht.

Ich glaube nicht an Gott - an die globale Zukunft des BitCoin hingegen schon.
J0k3r (OP)
Newbie
*
Offline Offline

Activity: 42
Merit: 0



View Profile
June 19, 2011, 06:01:15 AM
 #20

Kleiner Einwurf nochmal, sogar die Banken bei uns stellen Ende des Jahres auf so etwas ähnliches um.
Beim Online Banking fallen die TAN Listen weg und werden durch persönliche TAN Generatoren ersetzt, die aussehen wie kleine Taschenrechner. Die TAN wird dann erst bei Bedarf mit Hilfe von der jeweiligen vorgegEbenen Code Eingabe generiert.
Pages: [1] 2 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!