ACHTUNG: Bitcointalk-Account-Hacks per E-Mail-Account, sichert E-Mail-Accounts!

[twbt]

Du musst aktivieren, dass Du auch PMs von Newbies akzeptierst!

Done!

[1715624982]

1715624982

[1715624982]

1715624982

[twbt]

Ich schicke das sofort. Bitte keinen Unfug damit treiben. Und natürlich muss der Link ausgetauscht werden. Desweiteren lässt bitcointalk.org nicht beliebig schnelle Anfragen zu. Also etwas Geduld. Sollte trotzdem nicht sehr viel länger als 2 Minuten bei 140 Seiten dauern. Da ich den error-ouput umgeleitet habe so bin ich mir nicht 100%ig sicher, dass alle Seiten korrekt gezogen wurden.

Lüppt prima. Vielen Dank.

[trantute2]

Was mir noch einfiel:

Vielleicht macht es Sinn wenn eine vertrauenswürdige Person das Skript vorhält bzw. weiterentwickelt. Ein Hacker schüttelt sowas natürlich aus dem Ärmel, auch ohne google nutzen zu müssen. Bei Scriptkiddies bin ich mir da schon nicht mehr so sicher. Bei Leuten die selbst NICHT programmieren können und die gehackt wurden, und die sich nicht sicher sind, ob sie jemals eine Adresse veröffentlichten, zu der sie möglicherweise noch den Privatekey besitzen, könnten dann bei dieser Person nachfragen und sich die Liste geben lassen.

Solche Personen können natürlich nur von den Mods definiert werden, und fungierten dann als eine Art erster Ansprechpartner (für verschiedenste Fragen). D.h. man ballert nicht gleich einen Mod mit Anfragen zu, sondern kann sich Tipps vom entsprechenden Ansprechpartner geben lassen. Das nimmt Druck vom Mod und der Ansprechpartner hat sicherlich auch mehr Zeit und Muse sich mit dem Problem zu befassen. Und das nimmt wiederum Druck von der anfragenden Person. Ein Liste mit den Personen müsste auch noch gut sichtbar gepinnt sein. Möglicherweise gibt es sowas sogar schon und ich bin nur nie darüber gestolpert.

Das könnte ja so ablaufen:

Code:

-----BEGIN BITCOIN SIGNED MESSAGE-----
I <mod> declare <trustful person> to be a trustful contact person with respect to <topic>. The current date is <current date>.
-----BEGIN SIGNATURE-----
<mod's address>
<corresponding signature>
-----END BITCOIN SIGNED MESSAGE-----

Die <trustful person> muss natürlich auch im sicheren Adressverzeichnis eingetragen sein.

[twbt]

Vielleicht macht es Sinn wenn eine vertrauenswürdige Person das Skript vorhält bzw. weiterentwickelt. Ein Hacker schüttelt sowas natürlich aus dem Ärmel, auch ohne google nutzen zu müssen. Bei Scriptkiddies bin ich mir da schon nicht mehr so sicher. Bei Leuten die selbst NICHT programmieren können und die gehackt wurden, und die sich nicht sicher sind, ob sie jemals eine Adresse veröffentlichten, zu der sie möglicherweise noch den Privatekey besitzen, könnten dann bei dieser Person nachfragen und sich die Liste geben lassen.

Solche Personen können natürlich nur von den Mods definiert werden, und fungierten dann als eine Art erster Ansprechpartner (für verschiedenste Fragen). D.h. man ballert nicht gleich einen Mod mit Anfragen zu, sondern kann sich Tipps vom entsprechenden Ansprechpartner geben lassen. Das nimmt Druck vom Mod und der Ansprechpartner hat sicherlich auch mehr Zeit und Muse sich mit dem Problem zu befassen. Und das nimmt wiederum Druck von der anfragenden Person. Ein Liste mit den Personen müsste auch noch gut sichtbar gepinnt sein. Möglicherweise gibt es sowas sogar schon und ich bin nur nie darüber gestolpert.

Wie sollen die Mods "vertrauenswürdige Personen" definieren, die im Besitz des "heiligen Scripts" sind? Werden die dann sowas wie Hilfs-Mods zur Ausführung des "heiligen Scripts"? Und werden die Leute, die sich so'n Script gebastelt haben, es einsetzen, aber keine Hilfs-Mods sind, dann gebannt? - Eigentlich ist die Initiative mit der Adress-Liste hinreichend, wenn man seinen Account "schützen" möchte. Wenn man sich da nicht einträgt, ist einem der eigene Account entweder egal oder man hält sich für "nicht hackbar" (und erlebt dann später, dass man sich getäuscht hat) oder man hat nicht verstanden, worum es bei dem Thema eigentlich geht. Wer dann in die Situation gekommen ist, dem wird schon auf die eine oder andere Weise geholfen. Oder er macht sich einen neuen Account. Ich glaub', das kann man nur pragmatisch sehen.

[trantute2]

Wie sollen die Mods "vertrauenswürdige Personen" definieren, die im Besitz des "heiligen Scripts" sind? Werden die dann sowas wie Hilfs-Mods zur Ausführung des "heiligen Scripts"? Und werden die Leute, die sich so'n Script gebastelt haben, es einsetzen, aber keine Hilfs-Mods sind, dann gebannt? - Eigentlich ist die Initiative mit der Adress-Liste hinreichend, wenn man seinen Account "schützen" möchte.

Wahrscheinlich hast Du recht.

Wenn man sich da nicht einträgt, ist einem der eigene Account entweder egal oder man hält sich für "nicht hackbar" (und erlebt dann später, dass man sich getäuscht hat) oder man hat nicht verstanden, worum es bei dem Thema eigentlich geht.

Falls Du hier auch auf mich anspielst, die Ironie an der Geschichte ist eigentlich, dass ich mich sehr wohl für hackbar halte. Blöderweise habe ich die Prioritäten bei der Sicherheit falsch gesetzt bzw. in einem Bereich vernachlässigt wo sie mir vermeintlich nicht so wichtig ist.

Wer dann in die Situation gekommen ist, dem wird schon auf die eine oder andere Weise geholfen. Oder er macht sich einen neuen Account. Ich glaub', das kann man nur pragmatisch sehen.

Muss man wohl.

[twbt]

Falls Du hier auch auf mich anspielst, die Ironie an der Geschichte ist eigentlich, dass ich mich sehr wohl für hackbar halte. Blöderweise habe ich die Prioritäten bei der Sicherheit falsch gesetzt bzw. in einem Bereich vernachlässigt wo sie mir vermeintlich nicht so wichtig ist.

Ich glaub', das sieht man häufiger erst wirklich, wenn es passiert ist. Mir ist z.B. auch bewusst, dass die Mail-Adressen hier schon lange geleakt sind. Jetzt frage ich mich bereits eine Weile: soll ich die Mail-Adresse in den Orkus werfen, hier dann eine neue eintragen - und dann bin ich den Spam los? Oder behalte ich die lieber, damit sie sich nach Löschung nicht jemand anderes schnappt? Was hat das sonst noch für evtl. Implikationen, an die ich bislang nicht denke? Blockiert mich auch irgendwie.

Halten wir einfach fest: Das Adressverzeichnis ist wirklich ne sinnvolle Sache. Und es ist auch schön Bitcoin. Für manche vlt. sogar der erste Kontakt mit Kryptographie.

[trantute2]

Ich glaub', das sieht man häufiger erst wirklich, wenn es passiert ist. Mir ist z.B. auch bewusst, dass die Mail-Adressen hier schon lange geleakt sind. Jetzt frage ich mich bereits eine Weile: soll ich die Mail-Adresse in den Orkus werfen, hier dann eine neue eintragen - und dann bin ich den Spam los? Oder behalte ich die lieber, damit sie sich nach Löschung nicht jemand anderes schnappt? Was hat das sonst noch für evtl. Implikationen, an die ich bislang nicht denke? Blockiert mich auch irgendwie.

Ich glaube sogar, dass ich vor dem vorletzten Leak eine echte E-mail-Adresse angegeben hatte. Das war gefühlsmässig vor ca. 2 Jahren. Ich hatte damals den Hack registriert und meine E-Mail-Adresse auf eine Fantasie-Adresse geändert. Eigentlich sinnloser Aktionismus. Entweder dachte ich mir damals, das wäre eine gute Idee (ist es NICHT), oder ich wollte sie irgendwann ändern. Und dann ... vergessen. Jetzt habe ich den Salat.

Wahrscheinlich wäre es besser gewesen nichts zu tun. Spam kann man ja wenigstens wegfiltern.

Halten wir einfach fest: Das Adressverzeichnis ist wirklich ne sinnvolle Sache. Und es ist auch schön Bitcoin. Für manche vlt. sogar der erste Kontakt mit Kryptographie.

Und wäre ich dort eingetragen gewesen, dann wäre mir viel Stress erspart geblieben.

Ich bin also vollkommen einverstanden mit Deiner Zusammenfassung!  

[mole0815]

Blöderweise habe ich die Prioritäten bei der Sicherheit falsch gesetzt bzw. in einem Bereich vernachlässigt wo sie mir vermeintlich nicht so wichtig ist.

Ich glaub', das sieht man häufiger erst wirklich, wenn es passiert ist.

das ist eig. der echte klassiker.
alarmanlagen werden auch erst nach dem ersten einbruch verbaut.
backup von pc + notebook gibt es erst nach dem ersten crash inkl. datenverlust.

und danach passiert selten nochmal was... ich nehme mich da nicht aus aber leider muss zuerst immer was passieren damit man schlauer ist 
ich hoffe das mit deinem account klappt noch und das thema hat hier einige wachgerüttelt und das adressverzeichnis wächst dadurch fleißig

[trantute2]

und danach passiert selten nochmal was... ich nehme mich da nicht aus aber leider muss zuerst immer was passieren damit man schlauer ist 

Nur aus Schaden wird man klug. Da ist schon was Wahres dran.
 

ich hoffe das mit deinem account klappt noch und das thema hat hier einige wachgerüttelt und das adressverzeichnis wächst dadurch fleißig

Wenn sowas wenigstens die Leute dazu bringt über ihr Verhalten nachzudenken und dieses vielleicht sogar zu ändern, dann hat das Ganze ja auch was Gutes gehabt.

Ich werde mich nun in Geduld üben und auf Nachricht der Mods warten ...

[twbt]

Ich hatte damals den Hack registriert und meine E-Mail-Adresse auf eine Fantasie-Adresse geändert. Eigentlich sinnloser Aktionismus.

Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

[trantute2]

Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

Das ist ein extrem wichtiges Thema was Du hier ansprichst! Und müsste hier im Forum eigentlich viel genauer beleuchtet werden.

Security is both a reality and a feeling. [...] And the two things are different: You can be secure even though you don't feel secure, and you can feel secure even though you're not really secure.

https://www.schneier.com/essays/archives/2007/01/in_praise_of_securit.html

Wobei der Artikel jedoch ein anderes Thema zum Inhalt hat als Computersicherheit, trotzdem passt es.

[twbt]

Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

Das ist ein extrem wichtiges Thema was Du hier ansprichst! Und müsste hier im Forum eigentlich viel genauer beleuchtet werden.

Machen wir, wenn Du Deinen Account zurück hast. - Hat sich da weiterhin nix getan?

[trantute2]

Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

Das ist ein extrem wichtiges Thema was Du hier ansprichst! Und müsste hier im Forum eigentlich viel genauer beleuchtet werden.

Machen wir, wenn Du Deinen Account zurück hast. - Hat sich da weiterhin nix getan?

Weiss ich noch nicht genau. Werde mich demnächst im Detail drum kümmern, wenn ich mehr Zeit zur Verfügung habe. Die zwei Wochen sind ja nun rum.

Ich habe auch schon ein neues Open-Source-Projekt in den Startlöchern, welches die Signierung von Nachrichten vereinfachen soll (bzw. ist es praktisch schon fertig, ich muss nur noch alles zusammenschreiben). Kosten für die Komponenten im allgemeinen ca. 10 €. Und Zeit. Wie sicher das ist könnt ihr dann mitentscheiden bzw. mithelfen das abzurunden und zu erweitern. Ist nur eine Spielerei, aber imho trotzdem ziemlich cool.

[trantute2]

Machen wir, wenn Du Deinen Account zurück hast. - Hat sich da weiterhin nix getan?

Leider hat sich bis jetzt nichts getan. Habe nun theymos, entsprechend seiner Anleitung, kontaktiert. Jetzt heisst es wieder warten.

[trantute2]

Ich habe auch schon ein neues Open-Source-Projekt in den Startlöchern, welches die Signierung von Nachrichten vereinfachen soll (bzw. ist es praktisch schon fertig, ich muss nur noch alles zusammenschreiben). Kosten für die Komponenten im allgemeinen ca. 10 €. Und Zeit. Wie sicher das ist könnt ihr dann mitentscheiden bzw. mithelfen das abzurunden und zu erweitern. Ist nur eine Spielerei, aber imho trotzdem ziemlich cool.

Ich nenne es:

Projekt T-1000

Habe mal Bildchen gemacht:

[twbt]

Ich habe auch schon ein neues Open-Source-Projekt in den Startlöchern, welches die Signierung von Nachrichten vereinfachen soll (bzw. ist es praktisch schon fertig, ich muss nur noch alles zusammenschreiben). Kosten für die Komponenten im allgemeinen ca. 10 €. Und Zeit. Wie sicher das ist könnt ihr dann mitentscheiden bzw. mithelfen das abzurunden und zu erweitern. Ist nur eine Spielerei, aber imho trotzdem ziemlich cool.

Ich nenne es:

Projekt T-1000

Habe mal Bildchen gemacht:

https://github.com/curiosity81/T-1000/blob/master/pic1.png

https://github.com/curiosity81/T-1000/blob/master/pic2.png

Klingt erstmal ziemlich cool - allerdings stellt sich natürlich die Frage, ob man neben einem Hardware-Wallet wirklich noch eine weitere Hardware-Komponente speziell für diesen Zweck in einem sicherheitskritischen Bereich braucht. Ich bin aber auf jeden Fall sehr gespannt, was Du da vorhast - und hoffe gleichzeitig, dass sich das bald mit Deinem Account klärt.

[carolstreet444]

Mein Account wurde vor einiger Zeit gehackt um ein ICO zu promoten. Scheinbar haben die Hacker aber die Email Adresse vom Account nicht ändern können, deswegen konnte ich ihn mit pw reset zurück setzen

[trantute2]

Hehe, an Candoo musste ich bei carolstreet444 auch denken.  

Bist Du es?

[trantute2]

Klingt erstmal ziemlich cool - allerdings stellt sich natürlich die Frage, ob man neben einem Hardware-Wallet wirklich noch eine weitere Hardware-Komponente speziell für diesen Zweck in einem sicherheitskritischen Bereich braucht. Ich bin aber auf jeden Fall sehr gespannt, was Du da vorhast - und hoffe gleichzeitig, dass sich das bald mit Deinem Account klärt.

Du hattest schon das richtige Näschen: Im Prinzip handelt es sich um nichts anderes als eine Hardware-Wallet:

https://github.com/curiosity81/T-1000

Meint ihr es macht Sinn das im Projektentwicklungs-Thread zu promoten oder ist das Quatsch?

Im folgenden ein Test:

Code:

-----BEGIN BITCOIN SIGNED MESSAGE-----
trantute2 ist auch im Besitzt des Privatekeys, welcher zu Adresse 1FL4TwFWvhQ9kbjXMtcsupupwcRk61Y6YP gehoert. Das aktuelle Datum ist 2018-03-03.
-----------BEGIN SIGNATURE------------
1FL4TwFWvhQ9kbjXMtcsupupwcRk61Y6YP
H+S6Sx2BN7S6039P6Lrtc2KP3LEFWa/8TTaXu67/RE2cJJGUY5PFi0CUcaABhQ64NJCqL7DwpEDZIOV5E3wRc8Y=
------END BITCOIN SIGNED MESSAGE------

[trantute2]

Leider habe ich immer noch nichts von den Admins gehört. Entweder ist mein Beweis nicht überzeugend genug, oder man kommt als Newbie schlicht nicht zu den Admins durch.

Vielleicht kann ja einer von euch theymos oder Cyrus auf mich aufmerksam machen? Wobei ich da nochmal Bescheid geben würde, da ich heute schon phantastisch angeschrieben habe.