Wette: Bitcoin-Futures. Very hot. Very short. - Hop oder top?

[twbt]

Insofern war dieser Fall noch leicht zu erkennen.

Jeder Fall wäre leicht zu erkennen gewesen, wenn ich hingeschaut hätte. Einen Legendary-Account kann man nicht so einfach faken.

Mir wurden erst vor ein paar Tagen Datensätze aus diesem Forum zum Kauf angeboten.

ATH™. Die kursieren schon seit Jahren.

Erzeugt Nachrichten mit kritischen Informationen mittels

Code:

gpg --clearsign

, wenn ihr sie schon öffentlich ins Forum schreiben müsst. Das Forum kennt auch private Nachrichten.

Echt? - Wie oben schon geschrieben, sind smarte Wetten hier für mich eigentlich ein schöner Anwendungsfall für BTC-Tech: Multisig und mit den verwendeten Schlüsseln signierte Messages. Würde perfekt passen und ist ausgesprochen robust.

Adressen würde ich sowieso nicht öffentlich posten.

Manche schätzen die Transparenz der Abwicklung, manche nicht. Aber, ich glaube, die "Wettkultur" des Forums ist ziemlich an Deiner ATH™ vorbeigegangen.

[1713575610]

1713575610

[1713575610]

1713575610

[1713575610]

1713575610

[1713575610]

1713575610

[cheech300]

Also für so viel Dreistigkeit muss man ja schon fast Respekt zollen. Clever angestellt. 

Klopft sich da jemand selbst auf die Schulter?

[OhShei8e]

Jeder Fall wäre leicht zu erkennen gewesen, wenn ich hingeschaut hätte. Einen Legendary-Account kann man nicht so einfach faken.

Einen Legendary-Account kann wahrscheinlich ein 12-Jähriger faken oder er benutzt einfach einen vorhanden. Das Forum basiert auf einer veralteten SMF-Version mit diversen bekannten CVEs, wo ich keine Ahnung habe, ob die alle gepatcht sind.

ATH™. Die kursieren schon seit Jahren.

Und trotzdem behandelst Du Accounts hier als vertrauenswürdige Quelle.  

Echt? - Wie oben schon geschrieben, sind smarte Wetten hier für mich eigentlich ein schöner Anwendungsfall für BTC-Tech: Multisig und mit den verwendeten Schlüsseln signierte Messages. Würde perfekt passen und ist ausgesprochen robust.

Und komplett sinnlos, wenn Du eine Multisig-Transaktion mit einem Betrüger abwickelst, der Dir Wettpartner und Treuhänder vorgaukelt.

Multisig bringt Dir nur dann etwas, wenn Du vorher sichergestellt hast, dass die Pubkeys auch tatsächlich zu den Personen gehören, mit denen Du die Transaktion durchführen möchtest.

[c_lab]

Adressen würde ich sowieso nicht öffentlich posten. Die lassen sich euch dann ja zuordnen und mit anderen Daten verknüpfen. Ist doch komplett unnötig.

Die Ziel-Adresse wurde nur für die Abwicklung erstellt. Ich gehe davon aus, daß twbt auch bei seiner Sende-Adresse Vorkehrungen getroffen hat.

Zumindest könnt ihr sie jetzt wieder löschen. Vielleicht haben sie sich noch nicht auf Archive eingebrannt.

Done. Hast ja Recht, nix genaues weiß man nie.

[twbt]

Jeder Fall wäre leicht zu erkennen gewesen, wenn ich hingeschaut hätte. Einen Legendary-Account kann man nicht so einfach faken.

Einen Legendary-Account kann wahrscheinlich ein 12-Jähriger faken oder er benutzt einfach einen vorhanden. Das Forum basiert auf einer veralteten SMF-Version mit diversen bekannten CVEs, wo ich keine Ahnung habe, ob die alle gepatcht sind.

Ein 12-Jähriger könnte einen zweiten 600watt-Account faken, der dann eine Multisig-TX signiert, die zuvor der echte 600watt-Account durchgeführt hat? Interessant.

Multisig bringt Dir nur dann etwas, wenn Du vorher sichergestellt hast, dass die Pubkeys auch tatsächlich zu den Personen gehören, mit denen Du die Transaktion durchführen möchtest.

Man wettet hier aber nicht mit Personen, sondern mit pseudonymen Accounts. Wenn man mit Personen wetten möchte, kann man gerne zu einem genehmen Notar gehen und sich das entsprechende "Rechtsgeschäft" absichern lassen. Sofern man dabei nicht an einen Schwindler gerät, sollte das in Deinem Sinne dann auch reibungslos funktionieren.

[Marc2512]

Also für so viel Dreistigkeit muss man ja schon fast Respekt zollen. Clever angestellt.  

Klopft sich da jemand selbst auf die Schulter?

Nein! Auf so ne Masche wär ich nicht gekommen ( fehlende kriminelle Energie + zu Ehrlich ).

[OhShei8e]

Jeder Fall wäre leicht zu erkennen gewesen, wenn ich hingeschaut hätte. Einen Legendary-Account kann man nicht so einfach faken.

Einen Legendary-Account kann wahrscheinlich ein 12-Jähriger faken oder er benutzt einfach einen vorhanden. Das Forum basiert auf einer veralteten SMF-Version mit diversen bekannten CVEs, wo ich keine Ahnung habe, ob die alle gepatcht sind.

Ein 12-Jähriger könnte einen zweiten 600watt-Account faken, der dann eine Multisig-TX signiert, die zuvor der echte 600watt-Account durchgeführt hat? Interessant.

Multisig bringt Dir nur dann etwas, wenn Du vorher sichergestellt hast, dass die Pubkeys auch tatsächlich zu den Personen gehören, mit denen Du die Transaktion durchführen möchtest.

Man wettet hier aber nicht mit Personen, sondern mit pseudonymen Accounts. Wenn man mit Personen wetten möchte, kann man gerne zu einem genehmen Notar gehen und sich das entsprechende "Rechtsgeschäft" absichern lassen. Sofern man dabei nicht an einen Schwindler gerät, sollte das in Deinem Sinne dann auch reibungslos funktionieren.

Hallo twbt,

stell Dir einfach vor hier kann sich jemand unter beliebigen Accounts anmelden. Die Admins können das sowieso, aber vielleicht auch noch andere. Man sollte davon ausgehen.

Der Angreifer meldet sich dann einfach als 600watt an und tauscht in 600watts Nachricht die Bitcoin-Adresse aus.

Was hilft euch dann Multisig?

[twbt]

stell Dir einfach vor hier kann sich jemand unter beliebigen Accounts anmelden. Die Admins können das sowieso, aber vielleicht auch noch andere. Man sollte davon ausgehen.

Der Angreifer meldet sich dann einfach als 600watt an und tauscht in 600watts Nachricht die Bitcoin-Adresse aus.

Okay. Stelle ich mir vor: Wir sind dann also weg von dem 12-Jährigen und bereits bei "den Admins". Jetzt überweist der also an eine Multisig-Adresse, die er zuvor ausgetauscht hat, 0,1 BTC für die Wette. Und dann? Verhindert er, dass 600watt einschreiten kann, indem er einfach das Passwort ändert. Dann ruft 600watt qwk an, den er persönlich kennt. Und qwk schreibt, dass das ein Fake ist. Dann kommt "der Admin" und macht auch qwk einfach platt. Mist, Du hast recht. "Der Admin" könnte das wirklich so durchziehen, um 0,1 BTC von mir zu scammen. Ich wähle demnächst dafür also lieber die Notar-Variante. Nur, dann ändert ja "der Admin" die PM, die 600watt an mich geschickt hat, um mir seine Telefonnummer mitzuteilen, damit wir uns für den Notartermin verabreden können und schickt seine Mittelsmänner einfach dahin. - Ich gebe mich geschlagen. Ich werde im Forum nie wieder wetten. Wetten? Einsatz: 0,1 BTC.

[OhShei8e]

Okay. Stelle ich mir vor: Wir sind dann also weg von dem 12-Jährigen und bereits bei "den Admins". Jetzt überweist der also an eine Multisig-Adresse, die er zuvor ausgetauscht hat, 0,1 BTC für die Wette. Und dann? Verhindert er, dass 600watt einschreiten kann, indem er einfach das Passwort ändert. Dann ruft 600watt qwk an, den er persönlich kennt. Und qwk schreibt, dass das ein Fake ist. Dann kommt "der Admin" und macht auch qwk einfach platt. Mist, Du hast recht. "Der Admin" könnte das wirklich so durchziehen, um 0,1 BTC von mir zu scammen. Ich wähle demnächst dafür also lieber die Notar-Variante. Nur, dann ändert ja "der Admin" die PM, die 600watt an mich geschickt hat, um mir seine Telefonnummer mitzuteilen, damit wir uns für den Notartermin verabreden können und schickt seine Mittelsmänner einfach dahin. - Ich gebe mich geschlagen. Ich werde im Forum nie wieder wetten. Wetten? Einsatz: 0,1 BTC.

Typischerweise tauschen die Leute einfach ihre Pubkeys aus und arbeiten dann damit. Über die Zeit entsteht Vertrauen.

Wenn ihr eure Nachrichten regelmäßig signiert, dann wird es immer wahrscheinlicher, dass ihr die richtigen Keys ausgetauscht habt. Spätestens, wenn ihr mal eine Wette so durchgeführt habt. Die Keys verwendet ihr dann einfach weiter. Beim ersten mal passt man auch besser auf. Die Fehler passieren, wenn es irgendwann zur Routine geworden ist. Und dann hilft es ungemein, wenn signierte Nachrichten mit zur Routine gehören.  

Und ihr braucht dafür nicht einmal PGP, weil Bitcoin bereits alles notwendige an Bord hat.

Hier ist eine Anleitung:

https://bitcointalk.org/index.php?topic=990345.0

Die Adresse, mit der ich signiere, würde ich nicht für Zahlungen verwenden, sondern nur zum Signieren. Das ist aber ein weniger wichtiges Detail und vielleicht auch Geschmackssache.

[twbt]

Typischerweise tauschen die Leute einfach ihre Pubkeys aus und arbeiten dann damit. Über die Zeit entsteht Vertrauen. ...
Und ihr braucht dafür nicht einmal PGP, weil Bitcoin bereits alles notwendige an Bord hat. ... Hier ist eine Anleitung ... Die Adresse, mit der ich signiere, würde ich nicht für Zahlungen verwenden, sondern nur zum Signieren.

Hatte ich doch oben analog vorgeschlagen. Und es gibt hier ja sogar:

Code:

Adressverzeichnis
twbt 1twbt175tipnVk8XW2XjASiXWiGVxvE5c

Auf Basis meiner im Forum signierten Adresse, die ich auch idealerweise tatsächlich nur zum Signieren genutzt habe. Dazu gab es auch im Vorfeld verschiedene Diskussionen. - Aber, bei Deinem "die Foren-Admins-sind-die-Scammer"-Ansatz bringt das natürlich alles nix, da die ja alles manipulieren können.

Ohne Dir zu nahe treten zu wollen: Du trägst Eulen nach Athen. Und redest dann von Thessaloniki. Mein Haus steht aber auf einer griechischen Insel.

[OhShei8e]

Ohne Dir zu nahe treten zu wollen: Du trägst Eulen nach Athen. Und redest dann von Thessaloniki. Mein Haus steht aber auf einer griechischen Insel.

Dann habt ihr einfach Probleme bei der praktischen Umsetzung. Es ging hier ja um 600watts Adresse, nicht um Deine. 600watt hätte in diesem Fall seine Nachricht signieren müssen. Und Du hättest die Signatur überprüfen müssen.

Ich verstehe auch nicht, warum es für Dich so unvorstellbar ist, dass man bei einer PHP-Forensoftware einfach die Anmeldung umgehen kann, z.B. mit einer SQL-Injektion?

Die Admins waren nur ein Beispiel. Es kann auch schlicht jemand sein, der einen Admin-Account übernommen oder gekauft oder sich sonstwie Zugang dazu verschafft hat. Oder jemand, der über eine Lücke in der Forensoftware sich unter falscher Identität anmelden konnte.

Aber egal, ihr könnt das machen wie ihr wollt. Auch wider besseres Wissen.

 



 

[c_lab]

Das Forum basiert auf einer veralteten SMF-Version mit diversen bekannten CVEs, wo ich keine Ahnung habe, ob die alle gepatcht sind.

Auch wenn ich mich damit noch nie beschäftigt habe, kann man wohl davon ausgehen. Sonst wäre kein vv statt w für den Scam nötig gewesen. Auch ein Forenhack sollte für niemanden ein Problem darstellen, wenn man hier keine sensiblen Daten per PM verschickt.  

@ohschei8e: deine Paranoia in allen Ehren, aber es gibt nunmal keine 100%ige Sicherheit im Neuland. Auch nicht für jemanden, der darauf 24/7 seiner Zeit verwendet.

[twbt]

Dann habt ihr einfach Probleme bei der praktischen Umsetzung. Es ging hier ja um 600watts Adresse, nicht um Deine. 600watt hätte in diesem Fall seine Nachricht signieren müssen. Und Du hättest die Signatur überprüfen müssen.

Wir sind uns doch einig, dass ich einfach auf die linke Seite der Nachricht hätte schauen müssen, dann hätte ich gesehen, dass das ein Newbie-Account gepostet hat. Dieser kleine Scam hier war also weder ein Hack noch besonders clever, sondern traf auf einen Idioten, der abgelenkt schnell seine Wettschulden begleichen wollte. Mehr nicht.

Ich verstehe auch nicht, warum es für Dich so unvorstellbar ist, dass man bei einer PHP-Forensoftware einfach die Anmeldung umgehen kann, z.B. mit einer SQL-Injektion?

Unvorstellbar? Für mich? lol.

Die Admins waren nur ein Beispiel. Es kann auch schlicht jemand sein, der einen Admin-Account übernommen oder gekauft oder sich sonstwie Zugang dazu verschafft hat. Oder jemand, der über eine Lücke in der Forensoftware sich unter falscher Identität anmelden konnte.

Captain Obvious hat wieder gesprochen, ja.

Aber egal, ihr könnt das machen wie ihr wollt. Auch wider besseres Wissen.

Genau. - Aber, wie gesagt: das passende Instrumentarium ist schon lange ausgebreitet im Forum. Die drei Ehrenmänner haben sich aber auf einen anderen Modus geeinigt, weil wir das schlicht mehr oder weniger nebenbei abgewickelt haben. Sollte ich doch nochmal wetten hier, werde ich das - wie auch schon mehrfach geschrieben - anders machen. Weil ich es a) anders kann und b) es anders besser ist.

[OhShei8e]

Wir sind uns doch einig, dass ich einfach auf die linke Seite der
Nachricht hätte schauen müssen, dann hätte ich gesehen, dass das ein
Newbie-Account gepostet hat.

Nein, da sind wir uns gerade nicht einig. Dir unterläuft hier ein Rückschaufehler. Natürlich siehst Du es jetzt.

In der Situation standen Deine Chancen aber wesentlich schlechter, weil unsere Hirne auf bekannte Muster filtern und Details meist gar nicht auswerten, selbst wenn wir genau hinschauen. Deswegen erfreuen sich z.B. Suchbilder so großer Beliebtheit.

Du gehst ja im Normalfall nicht davon aus, dass Du gerade betrogen wirst. Dazu kommt das viel zu selten vor.

[OhShei8e]

@ohschei8e: deine Paranoia in allen Ehren, aber es gibt nunmal keine 100%ige Sicherheit im Neuland. Auch nicht für jemanden, der darauf 24/7 seiner Zeit verwendet.

Die entsprechenden Nachrichten zu signieren und zu prüfen kostet euch eine zusätzliche Minute. Wesentlich weniger Zeit als diese ganze Diskussion. Gleichzeitig erhöht es die Sicherheit drastisch. Multisig ist hingegen wesentlich aufwendiger und bringt ohne signierte Nachrichten kaum zusätzliche Sicherheit.

Das ist ein bisschen so wie mit den Jatravartids aus dem Hitchhiker, die das Deo-Spray vor dem Rad erfunden haben.

[twbt]

Nein, da sind wir uns gerade nicht einig. Dir unterläuft hier ein Rückschaufehler. Natürlich siehst Du es jetzt.

In der Situation standen Deine Chancen aber wesentlich schlechter, weil unsere Hirne auf bekannte Muster filtern und Details meist gar nicht auswerten, selbst wenn wir genau hinschauen. Deswegen erfreuen sich z.B. Suchbilder so großer Beliebtheit.

Du gehst ja im Normalfall nicht davon aus, dass Du gerade betrogen wirst. Dazu kommt das viel zu selten vor.

Nee, wir sind uns einig. Man nennt das Unaufmerksamkeitsblindheit. Wie oben schon beschrieben: Ich war abgelenkt und wollte meine Wettschulden begleichen. Also habe ich mich auf die Adresse fokussiert.

[OhShei8e]

Nee, wir sind uns einig. Man nennt das Unaufmerksamkeitsblindheit. Wie oben schon beschrieben: Ich war abgelenkt und wollte meine Wettschulden begleichen. Also habe ich mich auf die Adresse fokussiert.

Okay, Du bist dann in Zukunft nie wieder unaufmerksam und nutzt kein menschliches Hirn mehr. Gosh, ich gebe auf.

[twbt]

Okay, Du bist dann in Zukunft nie wieder unaufmerksam und nutzt kein menschliches Hirn mehr.

Bzgl. signierter Nachrichten sind wir uns ebenfalls einig, war doch Ausgangspunkt der Diskussion. Bei Multisig hast Du eine andere Ansicht, die sich mir nicht erschließt, weil sie gar nichts mit der "Absicherung der Authentizität" von Forumsnachrichten zu tun hat, sondern mit der Absicherung der Wetteinsätze selbst. Brauchen wir aber mE nicht weiter vertiefen.