phantastisch (OP)
Legendary
Offline
Activity: 2271
Merit: 1363
|
|
December 02, 2013, 06:06:12 PM |
|
Wie ein paar vielleicht schon mitbekommen haben, wurde gestern der Registrar von PrivateInternetAccess gehackt und ein fremder Server zwischen geschalten.
Solltet ihr euch zwischen 1.12.2013 06:00 UTC und 2.12.2013 2013 20:00 UTC mit Passwort eingeloggt haben , unbedingt eure Passwörter ändern !
Wenn ihr das Passwort irgendwo anders noch verwendet , auch unbedingt ändern !
Falls ihr euch über das Cookie eingeloggt habt Entwarnung , Theymos hat die Cookies zurückgesetzt und euch sollte nichts passieren.
Bitte stellt sicher dass bitcointalk.org bei euch auf 109.201.133.195 auflöst.
|
|
|
|
3ds
|
|
December 02, 2013, 07:20:03 PM |
|
Sollte https das nicht verhindern???
|
|
|
|
candoo
|
|
December 02, 2013, 07:25:55 PM |
|
Sollte https das nicht verhindern???
Nein https ist eigentlich ziemlich sinnlos. Mit der passenden Mail kannste so ein Zertifikat total schnell & easy beantragen. Hat der Attacker ja auch gemacht damits nicht auffällt.
|
Einer trage des andern Last, so werdet ihr das Gesetz Christi erfüllen.
|
|
|
phantastisch (OP)
Legendary
Offline
Activity: 2271
Merit: 1363
|
|
December 02, 2013, 07:26:48 PM |
|
Sollte https das nicht verhindern???
Die Angreifer hatten Zugriff auf die DNS-Einträge und haben sich sogar erfolgreich ein neues Zertifikat erstellt bei GeoTrust.
|
|
|
|
3ds
|
|
December 02, 2013, 07:38:21 PM |
|
|
|
|
|
3ds
|
|
December 02, 2013, 08:16:26 PM |
|
Warum steht oben eigentlich "Login temporarily discouraged", aber dennoch kann man sich bei LOGIN einloggen???
|
|
|
|
elitenoob
|
|
December 02, 2013, 08:20:27 PM |
|
Warum steht oben eigentlich "Login temporarily discouraged", aber dennoch kann man sich bei LOGIN einloggen???
Das hat theymos gestern Nacht dahin geschrieben und man konnte sich tatsächlich nicht einloggen...später konnte man es dann und hat es wohl vergessen zu entfernen.
|
|
|
|
|
Chefin
Legendary
Offline
Activity: 1882
Merit: 1108
|
|
December 03, 2013, 12:07:41 PM |
|
Wie ich schon in anderen Threads meist zum Thema "NSA und wie schütze ich mich vor Datenspionage" geschrieben habe: Verschlüsselung auf asymetrischer Basis auf Webseiten(HTTPS) ist voll fürn Arsch. http://www.heise.de/security/meldung/Ausgefeilte-Angriffe-auf-Bitcoin-Nutzer-2058883.htmlDamit kann man vieleicht Scriptkiddys abhalten, aber wenn jemand es drauf anlegt und entsprechende Befugnisse hat, nutzt ein zertifikatbasierendes System nichts. Im Zweifel wirft der Anbieter das Handtuch, siehe Emailverschlüsselung. Aber damit ist nur klar, das derjenige verhindert das zukünftige Mails mitgelesen werden. Bereits übermittelte Mails können entschlüsselt werden. Ich denke das NSA genug Power hat das Löschen der Daten zu verhindern. Die rufen beim RZ an und lassen die Server vom Netz nehmen. Und wie man hier und heute sieht, wir würden eine MitM selbst nicht merken. Erst der Admin kommt drauf, wenn er oft genug kontrolliert. Aber auch hier muss man von locker 24std Delay ausgehen, wo fremde alle Logins abgreifen konnten.
|
|
|
|
BeeCoin
|
|
December 04, 2013, 08:05:33 AM |
|
Kann ich eigentlich irgendwo einsehen, ob ich zu der Zeit eingeloggt war? Ich glaube nicht, aber bin mir nicht sicher...
|
|
|
|
Red_Evil
|
|
December 04, 2013, 08:22:41 AM |
|
Kann ich eigentlich irgendwo einsehen, ob ich zu der Zeit eingeloggt war? Ich glaube nicht, aber bin mir nicht sicher...
da du sowieso deine passwörter immer wieder wechseln solltest regelmässig tue dies doch einfach . Falls du zu der generation gehörst die ihr passwort ernsthaft irgendwo anders noch verwendet tausche alle passwörter aus. Am leichtesten geht es in dem du dir einen song , gedicht oder ähnliches merkst . #Bitcoin#Talk#Forum#Kotz#Mich#An# #Bitcoin#De#Mein#Handelsplatz# ect... Auf passwörter wie KatzenNamen Kinder Namen Geburtsdaten ect... solltest du generell verzichten ausser für SPAM seiten die man nicht benötigt ^^
|
|
|
|
BeeCoin
|
|
December 04, 2013, 03:49:25 PM |
|
Danke für die Anregungen zur Passwort-Gestaltung, RedEvil. Ich informiere mich immer wieder bei Bruce Schneier u.ä. nach dem aktuellen Stand und gestalte meine Passwörter entsprechend.
Generell finde ich es für mich persönlich unsicherer, _zu_ oft Kennungen zu ändern, weil ich sie dann vergesse und dann nachschlagen oder neu beantragen muss - was beides potentielle Sicherheitslücken darstellt. - Aber das ist ein anderes Thema (und ja, ich weiss es gibt LastPass, KeePass usw...).
|
|
|
|
LiteCoinGuy
Legendary
Offline
Activity: 1148
Merit: 1014
In Satoshi I Trust
|
|
December 04, 2013, 04:07:21 PM |
|
Kann ich eigentlich irgendwo einsehen, ob ich zu der Zeit eingeloggt war? Ich glaube nicht, aber bin mir nicht sicher...
da du sowieso deine passwörter immer wieder wechseln solltest regelmässig tue dies doch einfach . Falls du zu der generation gehörst die ihr passwort ernsthaft irgendwo anders noch verwendet tausche alle passwörter aus. Am leichtesten geht es in dem du dir einen song , gedicht oder ähnliches merkst . #Bitcoin#Talk#Forum#Kotz#Mich#An# #Bitcoin#De#Mein#Handelsplatz# ect... Auf passwörter wie KatzenNamen Kinder Namen Geburtsdaten ect... solltest du generell verzichten ausser für SPAM seiten die man nicht benötigt ^^ das kennwort - passwort - ist auch schlecht. passwort123 schon besser aber ausbaufähig
|
|
|
|
Chefin
Legendary
Offline
Activity: 1882
Merit: 1108
|
|
December 04, 2013, 05:10:08 PM |
|
Ich benutze Keepass. Die damit generierten Passwörter sind garantiert nicht per Bruteforce oder Wörterbuch zu knacken. Und ich benutze nie ein Passwort doppelt. Keepass selbst habe ich auf 32stellige Passwörter gesetzt, das sieht dann so aus: FmkNpnb5FvT0Nbb9R8Sup5X9wv0UeJzw oder r0QgsKXvfoSYUOAQHr9ASC21IoWT6nM1 Ich habe da schon probleme beim Abschreiben mit der Hand. Natürlich können die genauso mitgelesen werden. Einem Computer ist es egal ob er 4 oder 32 stellen dann speichert. Aber es umgeht das Problem der Mehrfachnutzung des Passwortes und des vergessens. Der einzige Nachteil ist im Speichern der Datei und der Benutzung eines normalen Passworts als Entschlüsselungsphrase. Wer hier mehr Sicherheit möchte kann sich einen USB-Stick als zweiten Faktor generieren. Jetzt muss man den USB-Stick einstecken UND die Passphrase tippen. Natürlich, wer das knacken will, wird auch das schaffen. Aber bis er soweit ist, keepass zu cracken hat er schon lange den Rechner so in der Hand, das jedes eintippen lange vorher mitgelesen wird. Keepass gibts auch für die verschiedensten Plattformen. http://keepass.info/download.htmlUnd vieleicht auch noch interessant: der programmautor ist deutsch, die Software ist primär deutsch. Für mich jedenfalls ein weiteres Zeichen guter Software, wenn jemand seinen Namen und Adresse dafür hergibt. Das macht man nur wenn man weis das man wirklich ordentlich gearbeitet hat.
|
|
|
|
BeeCoin
|
|
December 04, 2013, 07:25:42 PM |
|
Ich hab's schon geahnt und wollte die Box nicht aufmachen... Über vernünftige Passwörter kann man noch ewig diskutieren! Aber, Chefin, aus Interesse: Wie machst Du das z.B. in einem Internet-Cafe im Ausland? Hast Du KeePass auf einem mobilen Gerät laufen, von dem die Nummern abtippst? Das Problem mit Lastpass o.ä. sehe ich nämlich primär darin, dass ich auf unsicheren Rechnern mich nicht nur mit _einem_ sondern gleich mit _allen_ Passwörtern gefährde. Da könnte ich mir wenn dann langfristig eher so etwas in diese Richtung vorstellen: http://myidkey.com/
|
|
|
|
domob
Legendary
Offline
Activity: 1135
Merit: 1170
|
|
December 05, 2013, 11:33:46 AM |
|
Ich hab's schon geahnt und wollte die Box nicht aufmachen... Über vernünftige Passwörter kann man noch ewig diskutieren! Aber, Chefin, aus Interesse: Wie machst Du das z.B. in einem Internet-Cafe im Ausland? Hast Du KeePass auf einem mobilen Gerät laufen, von dem die Nummern abtippst? Das Problem mit Lastpass o.ä. sehe ich nämlich primär darin, dass ich auf unsicheren Rechnern mich nicht nur mit _einem_ sondern gleich mit _allen_ Passwörtern gefährde. Da könnte ich mir wenn dann langfristig eher so etwas in diese Richtung vorstellen: http://myidkey.com/Bin zwar ein anderer und auch kein User von KeePass (sondern einem anderen Passwort-Safe), aber ich denk mal, ich kann da auch antworten. In meinem Fall ist es so, dass ich noch nie ernsthaft ein wichtiges Passwort in einem Internet-Cafe gebraucht hätte. Wenn ich es schon vorher absehen kann, dann würd ich es mir verschlüsselt am Handy speichern (kann ja hinterher geändert werden, um jede Gefahr zu beseitigen). Und ich wüsste nicht, warum ich wirklich so dringend ein Passwort benötigen könnte, von dem ich vorher nichts weiß. (Und falls doch, im ärgsten Notfall halt zurück setzen lassen.)
|
Use your Namecoin identity as OpenID: https://nameid.org/Donations: 1 domobKsPZ5cWk2kXssD8p8ES1qffGUCm | NMC: NC domobcmcmVdxC5yxMitojQ4tvAtv99pY BM-GtQnWM3vcdorfqpKXsmfHQ4rVYPG5pKS | GPG 0xA7330737
|
|
|
Chefin
Legendary
Offline
Activity: 1882
Merit: 1108
|
|
December 05, 2013, 05:18:22 PM |
|
Ich hab's schon geahnt und wollte die Box nicht aufmachen... Über vernünftige Passwörter kann man noch ewig diskutieren! Aber, Chefin, aus Interesse: Wie machst Du das z.B. in einem Internet-Cafe im Ausland? Hast Du KeePass auf einem mobilen Gerät laufen, von dem die Nummern abtippst? Das Problem mit Lastpass o.ä. sehe ich nämlich primär darin, dass ich auf unsicheren Rechnern mich nicht nur mit _einem_ sondern gleich mit _allen_ Passwörtern gefährde. Da könnte ich mir wenn dann langfristig eher so etwas in diese Richtung vorstellen: http://myidkey.com/Wenn du nicht sicher weist, ob dein PC in gefahr ist, hilft es, Keepass ausschliesslich auf Stick zu haben, so das ein Hacker erstmal garnicht bemerkt das keepass existiert. Weitere Sicherheitsfeatures wären zb mehr als eine Datei zu haben. Datei 1 für Larrifarri Passwörter irgendwelcher Foren oder Produktregistrierungen. Eine weitere für die doch deutlich wichtigeren wo es ums Geld geht. Die Grundverschlüsselung der eigentlichen Datei entspricht sicherheitstechnisch der Verschlüsselung der Wallet im Bitcoin-Client. Auch eine Möglichekit für paranoiker: VM-Ware drauf, Linux VM Installieren, aber als Laufwerkspfad nun einen USB-Stick angeben. So kann man eine Linux-VM von einem Stick aus starten innerhalb von Windows. Das passende VM-Ware liegt dann als Datei mit auf dem Stick. Da VM-ware player free ist, kann ich das überall auch mal schnell installieren und starte die VM, das wäre wohl sogar in einem Internetcafe möglich. Schadsoftware selbst ist heute kein monogamer Block, sonderen ein modulares System. Der erste Step ist die Infizierung. Ist das erledigt, lädt die Infektionsroutine die eigentliche Schadsoftware nach. Als erstes kommt dann ein Virenscannerblocker dazu, dann kommen Analysetools. Anhand dieser Analysen weis man dann welche Module man braucht. wird da schon keepass entdeckt, wird natürlich das passende Modul nachgeladen. Ebenso wenn VM entdeckt werden. Allerdings wird dann zu 99% die löschroutine angeworfen und sich selbst terminiert. Jede Schadsoftware fürchtet VMs, weil sie dort der Analyse schutzlos ausgeliefert sind. Deswegen gibt es für Random-hacks praktisch keine Module die eine VM aus dem Host heraus infiizieren. Lediglich wenn man Targetsoftware benutzt, richtet man sich entsprechend drauf ein. Aber dann hat man das Target auch schon länger auspioniert und weis um seine Paranoia und Schwächen. Aus diesem grund sind VM grundsätzlich erstmal sicher. Ausserdem tut sich Windowsschadsoftware schwer wenn sie eine Linux-VM hacken sollen. Diese Kombination hat also ein hohes Sicherheitspotential, da sie nur temporär überhaupt angreifbar ist, dann aber kaum nutzbare Aktivitäten hat. Man kann zudem die virtuelle Netzwerkkarte einfach deaktivieren und hat so einen Rechner der garnicht mit dem Netz verbunden ist. Über die Virtuallisierung in den Gast zu hacken scheint wohl nicht zu gehen. jedenfalls habe ich da noch nie etwas gehört was in diese Richtung ging. Alle Hacks gingen über das virtuelle Netzwerk und das die VM sozusagen Vertrauen geniest. Der Aufwand steigt natürlich an, wenn man die Sicherheit hoch setzen will. Und es wird nie etwas unüberwindliches geben. Es ist immer nur ein Wettrüsten.
|
|
|
|
nonServiam
|
|
December 05, 2013, 08:24:17 PM |
|
Kennt einer eine Möglichkeit sich die Passwörter mittels RFID hinterlegen und auslesen zu lassen? Zumindest auf dem lokalen Rechner. Ich wäre an einer Open Source Lösung interessiert. Der Transponder hat paar kb , da könnte man dutzende Passwörter drauf speichern. Technik hab ich da, weiß nur nix mit anzufangen.
|
|
|
|
mezzomix
Legendary
Offline
Activity: 2730
Merit: 1261
|
|
December 05, 2013, 09:16:02 PM |
|
Was für ein Problem möchtest Du damit lösen? Gegen MITM hilft das erst mal nicht, wenn der Betreiber der Gegenstelle nicht mitspielt. Gegen unbefugten Zugriff auf Passwörter auch nur begrenzt.
|
|
|
|
BeeCoin
|
|
December 05, 2013, 10:00:33 PM |
|
Chefin, ich finde VMs und auch Linux-VMs ingesamt praktisch. Allerdings sind sie glaube ich lange nicht soo sicher. Es scheint zumindest Datenlecks und deren Exploits zu geben, z.B.: http://thoughtsoncloud.com/index.php/2013/07/how-your-data-leaks-from-a-virtual-machine/http://arstechnica.com/security/2012/11/crypto-keys-stolen-from-virtual-machine/Letztendlich weiss ich auch nicht, wie sicher Du bist, wenn sich ein Virus auf BIOS Ebene einnisten sollte oder auf dem Host ein Keylogger läuft. Daher finde ich "Brain 1.0" gar nicht schlecht Habe mir sogar folgendes Passwortkonzept gerade überlegt: 1. Ich packe einen Notizzettel in mein Portemonnaie. Jeder Account bekommt ein willkürliches Passwort. 2. Dann merke ich mir noch ein Master-Passwort von ca. 10 Zeichen (kommt nicht auf Notizzettel!) 3. Passwörter setzen sich immer aus Masterpassword und spezifischem Notizzettelpassword zusammen
Somit sind die Passwörter (ausser jeweils einzeln bei direkter Eingabe mit Keylogger oder MITM) nicht hackbar, da analog auf Papier. Sollte das Portemonnaie mit dem Notizzettel gestohlen werden, kann der Dieb mit den Teilpasswörtern nichts anfangen. Bis zu einer erfolgreichen Bruteforce-Attacke habe ich ausserdem alle Passwörter neu belegt. Was haltet ihr davon? (und nochmal sorry, dass wir so am OP vorbeischreiben..)
|
|
|
|
|