Automatisch die wallet.dat mit Truecrypt und WinRar sichern (Windows)

[hardez]

Hey Leute,
ich wollte euch mal mein Setup präsentieren mit dem ich meine wallet.dat sichere.
Vielleicht ist es ja für den einen oder anderen auch interessant.

Erstmal zum allgemeinen Aufbau.
Ich sichere meine wallet jeden Abend automatisch in einem Verschlüsseltem WinRar Archiv, was in einem Truecrypt Container liegt, welcher in meiner Dropbox (Online Speicher) liegt.
Etwas übertrieben? Find ich nicht! Die wallet liegt auf einem Online Speicher und sollte vernünftig gesichert sein!

Also hier was zu tun ist:

• 1. bei Dropbox anmelden http://db.tt/EbeWukO
• 2. Truecrypt runterladen http://www.truecrypt.org/downloads
• 3. WinRar runterladen http://www.winrar.de/download.php
• 4. alles installieren (die Dropbox müsst ihr in C:\Dropbox installieren oder unten das Script anpassen!!)
• 5. öffnet Truecrypt und erstellt in eurer Dropbox im Unterordner bc einen Fat32 Container mit 500KB Größe. Diesen nennt ihr bcwallet.tc
• 6. erstellt auf C: eine Textdatei mit folgendem Inhalt:
  

Code:

"%programfiles%\Truecrypt\truecrypt.exe" /v C:\Dropbox\bc\bcwallet.tc /l z /p DEINPASSWORT1 /q /s
"%programfiles%\WinRAR\rar.exe" a -hpDEINPASSWORT2 Z:\wallet%computername%.rar C:\users\%username%\AppData\Roaming\Bitcoin\wallet.dat
"%programfiles%\Truecrypt\truecrypt.exe" /f /d z /q /s

und speichert diese unter dem Namen BC.bat (Achtung bei Dateityp müsst ihr ALLE einstellen!)[/li]

• 7. Erstellt einen Task, der zu einer bestimmten Uhrzeit die bc.bat ausführt
  Bei XP Start->Programme->Zubehör->Systemprogramme->Geplante Tasks
  Bei Vista/Win7 gebt im Startmenü "Aufgabenplanung" ein

Das wars auch schon.
Nun öffnet er zu der von dir angegebenen Zeit den Truecrypt Container, erstellt dadrin ein Verschlüsseltes RAR Archiv und schließt den Container wieder.
Ihr könnt Punkt 7 auch weglassen und die bc.bat bei Bedarf von Hand ausführen.
Das ganze dauert in der Regel keine 30 Sekunden!

Hoffe es hilf einigen

P.S: Ihr könnt natürlich die Pfad und Dateinamen euren wünschen anpassen und ändert bitte die Passwörter "DEINPASSWORT1" und "DEINPASSWORT2" 

[Chefnet]

danke für die Infos,

aber der letzte Satz ist auch der Hacken, es stehen in der bat die PW's als Klartext. Und die können abgefangen werden. Also entweder man macht sich aus dem Bat eine exe (vb, ..., auf Anfrage wäre das sicherlich möglich) oder man gibt es immer manuell ein.

[E-VOLUTION]

Danke für den interessanten Beitrag. Ich finde die Art wie du deine Wallet.dat sicherst sehr gut. Würde das gerne auch so in der Art machen, aber für mich stellt sich hier eine Frage.

Wie sicher bzw. unsicher ist es die Passwörter als Klartext in der .bat-Datei zu haben?

Gruß E-VOLUTION

[Chefnet]

wie schon geschrieben, die Sicherheit das PW in der Bat ist gleich zu verstehen wie ungesicherte wallet.

PS: Evo wolltest du nicht irgendwas von mir? SMS?...

[hardez]

Wenn die "Angreifer" erstmal auf meinem PC sind, ist es egal ob die Passwörter in der Batch stehen, da sie sich dann die wallet einfach kopieren können.
Ich sichere mich dadurch auch ehr vor dem Hacken des Dropbox Accounts!

[E-VOLUTION]

Wenn die "Angreifer" erstmal auf meinem PC sind, ist es egal ob die Passwörter in der Batch stehen, da sie sich dann die wallet einfach kopieren können.
Ich sichere mich dadurch auch ehr vor dem Hacken des Dropbox Accounts!

@hardez:

Ist es nicht möglich sich sowohl gegen Angriff auf dem eigenen PC als auch gegen die Angriffe auf den Dropbox Account zu sichern? Ich hätte da gerne einen Komplettlösung!

@Chefnet:

Ja wollte ich. Aber wie das aktuell mit den Grafikkarten so ist, hat sich das Problem schon wieder erübrigt. Ich melde mich aber auf jeden Fall noch wegen ein paar Sachen bei dir. Aktuell bin ich aber sehr mit dem Bau von Rigs beschäftigt und nebenbei sind wir ja auch noch die Werbespot Aktion und eine Spendenaktion am aufbauen und viel Zeit bleibt da nicht. Habe ja auch noch einen Job und ein kleines Nebengewerbe. Mir fehlt die Zeit. Aber ich melde mich.

Gruß E-VOLUTION

[hardez]

Da man die lokale wallet nicht verschlüsseln darf, gibts es nur eine etwas komplizierte Lösung und die is auch nur dann sicher, wenn der BTC Client nicht läuft.
Wenn das was für dich wäre, würd ich mal versuchen dazu nen HowTo zu schreiben.

P.S: Das hab ich so dann aber selbst noch nicht probiert, das is momentan nur in meinem Kopf. Sollte aber funktionieren!

[yigga]

Da man die lokale wallet nicht verschlüsseln darf, gibts es nur eine etwas komplizierte Lösung und die is auch nur dann sicher, wenn der BTC Client nicht läuft.
Wenn das was für dich wäre, würd ich mal versuchen dazu nen HowTo zu schreiben.

P.S: Das hab ich so dann aber selbst noch nicht probiert, das is momentan nur in meinem Kopf. Sollte aber funktionieren!

habs mit truecrypt einen usb stick gemountet...und ne .bat zum starten !ohneklarsichtbarespasswort!

tut hier: https://en.bitcoin.it/wiki/Securing_your_wallet

hoffe und denke mal, dass das nächste bitcoin update aber einen erheblichen beitrag zur wallet sicherung leistet!

[hardez]

Ok das geht auch, meine Lösung wäre ähnlich, aber da habt ihr dann was für alle Betriebssysteme...

[E-VOLUTION]

Ich persönlich frage mich die ganze Zeit wie gefährlich ist der Wallet.dat-Trojaner? Wenn ich mein System scanne, also einen kompletten Scan per Sicherheitssoftware (z.B. Microsoft Security Essentials) mache und nichts gefunden wird, dann müsste mein System doch clean sein oder?

Gruß E-VOLUTION

[Chefnet]

theoretisch, wenn der Trojaner gut genug ist, oder ms zu langsam dann kann es auch sein, dass er nicht gefunden wird. Am besten nimmst du eine LiveCD von Kaspersky und scannst damit deinen Rechner, Problem die Zeit ist kein MIning möglich.

[hardez]

Kommt drauf an, ob MS einen BTC Trojaner als gefählich einstuft und ihn in den Virenscanner integriert.
Ebenso bei allen anderen Antiviren herstellen.

Wenn die, die Trojaner Signatur nicht in ihre Engine einbauen, bist du potentiel gefährdet.
Aber mit dem BTC Trojaner ist es wie mit allen Trojanern.
Gib angreifern einfach keine Chance und du bist schonmal etwas geschützter.

Öffne also nich einfach irgendwelche exe Dateien, surf nich wild auf unbekannten Seiten (vor allem nich mit dem Internet Explorer)
Klick nicht auf links von leuten die du nich kennst ... etc blabla

[E-VOLUTION]

Kommt drauf an, ob MS einen BTC Trojaner als gefählich einstuft und ihn in den Virenscanner integriert.
Ebenso bei allen anderen Antiviren herstellen.

Wenn die, die Trojaner Signatur nicht in ihre Engine einbauen, bist du potentiel gefährdet.
Aber mit dem BTC Trojaner ist es wie mit allen Trojanern.
Gib angreifern einfach keine Chance und du bist schonmal etwas geschützter.

Öffne also nich einfach irgendwelche exe Dateien, surf nich wild auf unbekannten Seiten (vor allem nich mit dem Internet Explorer)
Klick nicht auf links von leuten die du nich kennst ... etc blabla

Das ist mir persönlich alles ganz klar. Ich frage auch nicht für mich persönlich (...zumindest nicht direkt), da ich selber auf meinen Mining-Rigs und auf dem PC meiner Wallet.dat immer ein Linux Derivat am laufen habe. Zur Zeit arbeite ich mit Ubuntu 11.04, Linux Mint und Fedora 15.

Aber ich möchte die Kunden-Rigs so sicher wie möglich gestallten und da manche Kunden immer noch Windows 7 als Betriebssystem wünschen würde ich ihnen das System gerne so gut wie nur möglich vor Angriffen absichern.

Vielen Dank,

Liebe Grüße, E-\/OLUTION

[Sukrim]

• Wallets können beliebig groß werden, 500 kB dürften irgendwann zu wenig sein.
• Klartextpasswort in der Batchdatei...
• Dropbox Reflink - noch dazu, wo Dropbox ohnehin (aus gutem Grund!) schlechte Presse hat! Kluge Leute verwenden Wuala.
• Kannst du garantieren, dass Winrar seine Tempdateien sicher löscht?

[hardez]

@Chefnet
Die Batch zu einer exe machen bringt leider garnichts, denn wenn man sich die exe dann in einem Hexeditor anschaut, ist das Kennwort auch wieder im Klartext!

@E-Volution
Du könntest die Lösung von yigga nachbauen (für deine Kunden) oder wenns lokal auf dem Rechner bleiben soll, schreib ich dir noch ne andere Möglichkeit!
Allerdings is dann nix mehr mit DAU-Sicher.
Je sicherer das ganze werden soll, desto komplizierter wird das ganze.

[hardez]

• Wallets können beliebig groß werden, 500 kB dürften irgendwann zu wenig sein.
• Klartextpasswort in der Batchdatei...
• Dropbox Reflink - noch dazu, wo Dropbox ohnehin (aus gutem Grund!) schlechte Presse hat! Kluge Leute verwenden Wuala.
• Kannst du garantieren, dass Winrar seine Tempdateien sicher löscht?

zu 1, dann halt 1MB, dürfte für die meisten ne lange Zeit reichen!
zu 2, na dass nen ich mal ne Qualifizierte Aussage!
zu 3, schlechte Presse ist relativ. Dagegen das sie ihre Daten an Geheimdienste weitergeben is der TC Container und das mit den 4STD WildCard Passwort hätte jedem passieren können.
Und "Kluge Leute verwenden Wuala" wieder sehr Qualifiziert  ! Wuala hat aber nunmal nen Client den man zum Syncen benutzt!
zu 4, naja wenigstens ein Punkt für dich...

[E-VOLUTION]

@Chefnet
Die Batch zu einer exe machen bringt leider garnichts, denn wenn man sich die exe dann in einem Hexeditor anschaut, ist das Kennwort auch wieder im Klartext!

@E-Volution
Du könntest die Lösung von yigga nachbauen (für deine Kunden) oder wenns lokal auf dem Rechner bleiben soll, schreib ich dir noch ne andere Möglichkeit!
Allerdings is dann nix mehr mit DAU-Sicher.
Je sicherer das ganze werden soll, desto komplizierter wird das ganze.

Ja ich würde mich freuen wenn du mir da eine Möglichkeit aufzeigen könntest wie ich den Kunden eine relativ sichere Möglichkeit mitgeben könnte um ihre Wallet.dat ordentlich zu sichern. Ich weiß das es eine 100% Sicherheit nicht geben wird und geben kann, aber es geht hier auch nicht um Wallets in denen 1.000 Bitcoins liegen. Mit einem Angriff ist ja nicht täglich zu rechnen, ich möchte nur das die Wallet.dat der Kunden ein wenig sicherer auf ihrem lokalen Systemen liegt.

Vielen Dank,

Gruß, E-\/OLUT1ON

[Chefnet]

@hardez auch in der exe kann das ganze verschlüsselt abgelegt werden.  da muss kein klartext rein...

[redd]

Hey Leute,
ich will euch echt nicht zu nahe treten. Aber eine wallet.dat hat meiner Meinung nach nichts mehr auf einem Windows-System zu suchen.

Dieses "Sicherheitskonzept" hat meiner Meinung nach zwei Schwachstellen:

1. keine gesetzten Dateirechte: Jedes Programm, ob Dropbox, ein manipulierter Miner oder eine Firefox-Toolbar kann auf die wallet.dat zugreifen.

2. proprietäre Programme: Dropbox und WinRAR. Und WinRAR greift in diesem Fall sogar direkt auf die unverschlüsselte wallet.dat zu.


Mein Tipp: Ein Netbook mit Linux ( ~200-300€ ) kaufen und dort einen User anlegen, in dessem Home-Verzeichnis sich der Bitcoin-Client und die wallet.dat befindet. Mit dem User wird dann die wallet.dat verschlüsselt und beispielsweise in /tmp/ abgelegt. Von dort kann ein anderer User mit Dropbox-Dienst die Wallet dann online sichern.


redd

[E-VOLUTION]

Hey Leute,
ich will euch echt nicht zu nahe treten. Aber eine wallet.dat hat meiner Meinung nach nichts mehr auf einem Windows-System zu suchen.

Dieses "Sicherheitskonzept" hat meiner Meinung nach zwei Schwachstellen:

1. keine gesetzten Dateirechte: Jedes Programm, ob Dropbox, ein manipulierter Miner oder eine Firefox-Toolbar kann auf die wallet.dat zugreifen.

2. proprietäre Programme: Dropbox und WinRAR. Und WinRAR greift in diesem Fall sogar direkt auf die unverschlüsselte wallet.dat zu.


Mein Tipp: Ein Netbook mit Linux ( ~200-300€ ) kaufen und dort einen User anlegen, in dessem Home-Verzeichnis sich der Bitcoin-Client und die wallet.dat befindet. Mit dem User wird dann die wallet.dat verschlüsselt und beispielsweise in /tmp/ abgelegt. Von dort kann ein anderer User mit Dropbox-Dienst die Wallet dann online sichern.


redd

Ich habe mir für meinen Bitcoin Clienten und die wallet.dat auch extra ein Linux-Netbook konfiguriert. Ich habe mir einfach das zu diesem Zeitpunkt günstigste Netbook am Markt gekauft und dann selber Fedora 15 installiert. Ich habe auch einen extra Benutzer nur für den Empfang vom Bitcoins per BTC Client angelegt und fühle mich seitdem sicherer.

Nachdem ich mich entschlossen habe eine getrennte Buchführung meiner privaten und geschäftlichen BTCs zu machen, habe ich ein weiteres Linux-Netbook mit einem anderen Linux-Derivat (Ubuntu 11.04) aufgesetzt und hoffe das diese Sicherheitsmaßnahme für den Otto-Normal-User ausreichend ist. Zudem sichere ich meine beiden wallet.dat Dateien per USB-Stick.

Gruß E-VOLUTION