Zugriff auf Wallet über privates Wlan gefährlich?

[qwk]

Mit geeignetem Equipment lässt sich von einem Lieferwagen vor deiner Wohnung jede einzelne Tastatureingabe von dir abgreifen, ja.

Hast Du einen Link dazu? Würde gerne nachlesen wie das funktioniert bzw. welche Mittel man dazu braucht. Wenn Du schon von Organisationen schreibst scheint das ja ziemlich schwierig zu sein.

Ganz konkret ist es nicht so, dass es marktreife Produkte gibt, insofern kann ich da nicht mit einem direkten Link dienen.
Als erster Einstieg mal der allgemeine Hinweis auf:
https://de.wikipedia.org/wiki/Van-Eck-Phreaking

Und klar kann man auch bei mir einbrechen oder mich überfallen, aber da brauchts dann eben wieder andere Sicherheitsvorkehrungen.

Ganz genau.
Und anhand deiner bisherigen Fragen denke ich, dass du im Moment die realen Gefahren falsch einschätzt, und daher deine Sicherheitsmaßnahmen an der falschen Stelle planst

Und vielleicht kann mir noch jemand meine Frage zu dem VPN beantworten.

Das ist einfach der falsche Ansatz.
Wenn du ein VPN brauchst, um Sicherheit herzustellen, hast du an einer grundlegenderen, wichtigeren Stelle ein Sicherheitsproblem.


IT-Sicherheit für Anfänger:
Überlege der Reihe nach, welche potentiellen "Angriffe" in deiner konkreten Situation am wahrscheinlichsten sind.
Stelle diese in eben dieser Reihenfolge ab.

Für praktisch alle gängigen Szenarien ist die größte Schwachstelle eine Fehlbedienung.
Wenn du Bitcoins hast, ist es am wahrscheinlichsten, dass du diese verlierst, weil du
a) ein Passwort vergisst/verlierst
b) sie an die falsche Person sendest

An zweiter Stelle kommt Täuschung.
Wenn du Bitcoins hast, ist es am zweitwahrscheinlichsten, dass du diese verlierst, weil du
a) auf Phishing hereinfällst
b) auf einen Scammer hereinfällst

An dritter Stelle kommen technische Probleme.
Wenn du Bitcoins hast, ist es am drittwahrscheinlichsten, dass du diese verlierst, weil du
a) du einen Datenverlust erleidest, ohne ein Backup zu haben
b) Software- oder Hardware-Fehler zu dem Verlust führen (Erzeugung einer neuen Change-Adresse, ohne den entsprechenden Key zu speichern o.ä.)

IMHO erst an vierter Stelle kommt "echtes", aber nicht zielgerichtetes Hacking.
Wenn du Bitcoins hast, ist es am viertwahrscheinlichsten, dass du diese verlierst, weil du
a) eine username/passwort-Kombination auf mehreren Seiten einsetzt
b) ein schwaches Passwort einsetzt

Frühestens an fünfter Stelle kommen dann direkte Attacken zielgerichtet gegen dich.
Allerdings zunächst die zielgerichteten Angriffe über Einbruch, Diebstahl, Kameras, etc.

Erst danach, also an mindestens sechster Stelle kommen dann zielgerichtete Angriffe gegen deine Soft- und Hardware.

Und schließlich zuletzt kommen oben beschriebene Ideen wie das Ausspionieren der elektromagnetischen Abstrahlung.


Für mich jedenfalls sieht es so aus, als würdest du dich im Moment unnötig gegen Risiken 4-10 absichern wollen, ohne aber zunächst einmal Risiken 1-3 ordentlich aufzuarbeiten.


P.S.: ausdrücklich nicht erwähnt habe ich übrigens das eigentlich größte Risiko: Gier.
Wer Coins verzockt, verliert sie eben auch

[1715101265]

1715101265

[coinfiziert]

Kannst Du mir ein gutes Software-Wallet empfehlen? Sollte ich Bitcoin Core nehmen? Selber kompilieren kann ich nämlich nicht.

Nein, ich gebe keine Empfehlungen zu Wallets.

Das Bitcoin-Core kann man auch nur eingeschränkt empfehlen, wenn man zu viel Speicherplatz hat und zu viel Zeit. Dieses Wallet lädt nämlich die komplette Blockchain herunter, was sehr zeit- und speicherintensiv ist (ca. 250 GB oder so).

Es gibt viele gute Wallets und du findest in diesem Forum auch sicher viele Threads dazu. Da sich das aber ständig ändert und weiterentwickelt, mag ich keine allgemeine Empfehlung abgeben. Ist hier auch nicht das Thema.

[uuam]

Danke für den Link und die Auflistung.

Aber auch wenn es sich vielleicht nicht so anhört sind die Punkte 1 bis 4 bei mir ausgeschlossen bzw. bearbeitet.

Ich hätte aber doch noch eine Frage...

Selbst wenn jemand mein Passwort per elektromagnetischer Strahlung bekommen würde, könnte er damit nichts anfangen, solange er die wallet.dat nicht hat, oder? Oder kann man auch so eine Datei abfangen? Ja ich weiß, ist sehr theoretisch und wird mir wohl nicht passieren, aber ich würds trotzdem gerne wissen...

[uuam]

Kannst Du mir ein gutes Software-Wallet empfehlen? Sollte ich Bitcoin Core nehmen? Selber kompilieren kann ich nämlich nicht.

Nein, ich gebe keine Empfehlungen zu Wallets.

Das Bitcoin-Core kann man auch nur eingeschränkt empfehlen, wenn man zu viel Speicherplatz hat und zu viel Zeit. Dieses Wallet lädt nämlich die komplette Blockchain herunter, was sehr zeit- und speicherintensiv ist (ca. 250 GB oder so).

Es gibt viele gute Wallets und du findest in diesem Forum auch sicher viele Threads dazu. Da sich das aber ständig ändert und weiterentwickelt, mag ich keine allgemeine Empfehlung abgeben. Ist hier auch nicht das Thema.

Ja das mit Bitcoin Core war mir bekannt. Der Speicherplatz wäre kein Problem, ich nutze ja einen Computer nur als Wallet, da ist genug Platz.

Z.B. Bitcoin Core überträgt nur die Blockchain Daten bzw. Transaktionen, der Privatekey wird lokal abgespeichert und niemals übertragen.

Weißt Du ob das bei Electrum auch so ist?

[coinfiziert]

Weißt Du ob das bei Electrum auch so ist?

Ja ist da auch so!


Bin grad verunsichert, nachdem ich das nochmal nachlesen wollte. Nutze selbst kein Electrum, weiß aber, dass es sehr beliebt ist.

Selbst schreiben sie ja:

Diese Wallet kann in unsicheren Umgebungen verwendet werden. Allerdings wird eine Zwei-Faktor-Authentifizierung vorausgesetzt. Das bedeutet, dass Zugang zu mehreren Geräten oder Accounts nötig ist, um Bitcoins zu stehlen.

https://bitcoin.org/de/wallets/desktop/linux/electrum/?step=5&platform=linux&user=beginner&important=control


Also doch nicht so sicher ohne 2FA? Weiß jemand, wo Electrum die Keys ablegt?

Bin mir nicht sicher, ob sich "unsichere Umgebung" auf das Netzwerk oder auf den Rechner bezieht.

[coinfiziert]

Ok, vergiss bitte den Quatsch, was ich im letzten Beitrag geschrieben habe.

Auch beim Electrum wird der private Key natürlich auf dem Rechner selbst gespeichert und dort verschlüsselt. Muss ja auch so sein, sonst wäre es ja kaum so beliebt.

Die privaten Schlüssel sind verschlüsselt und bleiben auf dem Computer gespeichert. Mit einem 12-Wörter langen Seed lässt sich die Electrum Wallet bei Verlust des Wallet Passwortes wiederherstellen. Großes Plus: Electrum bietet 2-Faktor-Authentifizierung an.

https://kryptokenner.de/electrum-wallet-erfahrungsbericht-bitcoin-altcoin-wallet/


Also die zusätzliche 2FA als Sicherheit bezieht sich nur darauf, wenn der Rechner selbst verseucht ist. Mit dem Netzwerk hat das nix zu tun.

Also Electrum käme für mich durchaus in die engere Wahl, wenn ich ein schlankes Desktop-Wallet benötigen würde.

Man muss halt sichergehen, dass man nur von der Original-Source runterlädt, denn es sind sicher auch Fakes unterwegs.

[qwk]

Selbst wenn jemand mein Passwort per elektromagnetischer Strahlung bekommen würde, könnte er damit nichts anfangen, solange er die wallet.dat nicht hat, oder? Oder kann man auch so eine Datei abfangen?

Wenn wir uns da im Bereich des rein prinzipiell technisch unter Laborbedingungen möglichen bewegen, würde ich sagen, ja.
Man kann auch den Inhalt einer Datei "abfangen", unter der Voraussetzung, dass der Computer diese in seinen Speicher liest.
Solange eine Datei ausschließlich ungenutzt auf der Festplatte liegt, ist das physikalisch ausgeschlossen.

[coinfiziert]

Wenn wir uns da im Bereich des rein prinzipiell technisch unter Laborbedingungen möglichen bewegen, würde ich sagen, ja.
Man kann auch den Inhalt einer Datei "abfangen", unter der Voraussetzung, dass der Computer diese in seinen Speicher liest.

Das ist aber very sophisticated. 

Klar, 100% Sicherheit gibt es nicht, aber den meisten reichen 99,999%.

[fronti]

Solange eine Datei ausschließlich ungenutzt auf der Festplatte liegt, ist das physikalisch ausgeschlossen.

hmm, wenn man jetzt per elektromagnetischer Strahlung den Festplattencontroller dazu bringt loszulaufen...
aber hey, hier sind wir wirklich in den Bereichen in denen es selbst für geheimdienste sicherlich interessant ist sich da gedanken zu machen.



wie qwk weiter oben ja schon schrieb. ich denke wenn du dir so gedanken um deine BTC machst, was spricht dann bei dir gegen eine Hardware wallet?
(da dann kann man auch fehler machen und btc verlieren aber das hast du halt noc hnie erwähnt

[qwk]

Solange eine Datei ausschließlich ungenutzt auf der Festplatte liegt, ist das physikalisch ausgeschlossen.

hmm, wenn man jetzt per elektromagnetischer Strahlung den Festplattencontroller dazu bringt loszulaufen...

Wenn man Zugriff auf die Stromleitung des Hauses hat, kann man ggf. gezielt einen Brownout herbeiführen, der den Rechner startet, und dann mittels starker elektromagnetischer Felder zielgerichtet auf das Tastaturkabel  Eingaben simulieren.

Und zur Not kann man auch einfach Uri Geller anrufen, der verbiegt einfach telekinetisch die Tastaturkontakte

In diesem Sinne: "Es gibt nur ein Uri Geller, es gibt nur ein Uri Geller, ein Uri Geeeeeller!" Ach nee, wieder falsch.

[uuam]

Auch beim Electrum wird der private Key natürlich auf dem Rechner selbst gespeichert und dort verschlüsselt. Muss ja auch so sein, sonst wäre es ja kaum so beliebt.

Danke für die Info!

ich denke wenn du dir so gedanken um deine BTC machst, was spricht dann bei dir gegen eine Hardware wallet?

Weil ich den Dingern nicht wirklich traue. Da muss ich ja schon darauf vertrauen dass nicht irgendein Mitarbeiter des Herstellers im Vorfeld daran rummanipuliert hat oder dass auf dem Postweg nichts abgefangen und manipuliert wurde. Außerdem kann ich beim extra Wallet-Computer zumindest das Betriebssystem und Electrum selbst verifizieren und frisch installieren. Klar könnte auch die Hardware meines Computers vom Hersteller manipuliert sein aber dass da speziell was hinsichtlich Crypto-Wallets manipuliert ist halte ich für unwahrscheinlicher als bei Hardware-Wallets weil bei denen der Einsatzzweck ja klar ist. Und auch Hardware-Wallets wurden ja schon gehackt soviel ich weiß. Zwar nur wenn Leute physischen Zugriff darauf haben aber vielleicht kommen in Zukunft auch noch weitere Hacks raus. Also ob die Dinger wirklich sicherer sind als ein speziell als Wallet genutzter Computer bezweifle ich.

Und zur Not kann man auch einfach Uri Geller anrufen, der verbiegt einfach telekinetisch die Tastaturkontakte Grin

In diesem Sinne: "Es gibt nur ein Uri Geller, es gibt nur ein Uri Geller, ein Uri Geeeeeller!" Ach nee, wieder falsch.

 

Eine Alternative mit Electrum wäre noch 2fa mit Trustedcoin habe ich gerade gelesen.

[coinfiziert]

Weil ich den Dingern nicht wirklich traue. Da muss ich ja schon darauf vertrauen dass nicht irgendein Mitarbeiter des Herstellers im Vorfeld daran rummanipuliert hat oder dass auf dem Postweg nichts abgefangen und manipuliert wurde. Außerdem kann ich beim extra Wallet-Computer zumindest das Betriebssystem und Electrum selbst verifizieren und frisch installieren. Klar könnte auch die Hardware meines Computers vom Hersteller manipuliert sein aber dass da speziell was hinsichtlich Crypto-Wallets manipuliert ist halte ich für unwahrscheinlicher als bei Hardware-Wallets weil bei denen der Einsatzzweck ja klar ist. Und auch Hardware-Wallets wurden ja schon gehackt soviel ich weiß. Zwar nur wenn Leute physischen Zugriff darauf haben aber vielleicht kommen in Zukunft auch noch weitere Hacks raus. Also ob die Dinger wirklich sicherer sind als ein speziell als Wallet genutzter Computer bezweifle ich.

Richtig, sehe ich auch so!

Ein isolierter Computer bietet schon eine relativ gute Sicherheit im Vergleich zum Durchschnitt. Man kann auch noch bestimmte Ports dichtmachen, die das Wallet nicht benötigt, etc.

Wichtig wäre, die Festplatte zu verschlüsseln. Geht bei Ubuntu direkt bei der Installation. Und an das Sicherheits-Backup zu denken. Auf verschlüsseltem Stick.


Bei aller Paranoia muss man aber immer dran denken, dass die meisten Coins bisher nicht geklaut wurden, sondern verloren, vergessen oder gelöscht wurden. Es ist wahrscheinlicher, dass du dein Passwort vergisst oder die Coins verlierst oder dir die Festplatte ohne Backup abraucht, als dass die Coins geklaut werden.

Kenne selbst einen Fall, dass ein Bitcoin-Besitzer verstorben ist ohne Testament oder Hinweis. Ärgerlich für die Erben. Zu hohe Sicherheit kann dazu führen, dass alles weg ist, wenn dich z.B. ein Schlaganfall trifft und du Erinnerungen verlierst oder wenn der Alzheimer kommt. Hier muss man auch einen Weg schaffen, dass eine Vertrauensperson im Notfall rankommt. Über das Vererben und andere Notfälle gibt es sogar ein Buch: Das Bitcoin-Testament (Hab es nicht gelesen, kann also nix dazu sagen).

[trantute2]

[...] von exotischen Angriffen wie der Abtastung der elektromagnetischen Abstrahlung deiner Tastatur einmal abgesehen [...]

Anbei noch die entsprechende Veröffentlichung:
https://www.usenix.org/legacy/event/sec09/tech/full_papers/vuagnoux.pdf

Ergebnis: Jede Tastatur kann prinzipiell aus ca. 20m Entfernung abgehört werden. Mit oder ohne Mauern dazwischen. Laptop-Tastaturen scheinen etwas schwerer abzuhören zu sein, da die Verkabelung (= potentielle Antenne) der Tastatur kürzer ist. Man benötigt sowas

https://de.wikipedia.org/wiki/Schmetterlingsantenne

für optimale Ergebnisse (20m Abstand), oder alternativ ein 1m langes (Kupfer)kabel, welches man unter der Kleidung trägt bei geringerem Abstand zur Tastatur. Da ist aber bestimmt noch Raum für Verbesserungen. Die Frequenz der Tastaturen scheint 30-300 MHz zu sein.

Gegenmaßnahmen für die ganz Paranoiden: Ein laufender, zweiter, baugleicher Rechner mit Tastendrückroboter, welcher zufällige Eingaben macht. Dieser steht dann gleich neben dem gerade genutzten Rechner und maskiert die eigentlichen Eingaben. Dafür gibt es aber soweit ich weiss noch keine Anleitung. Lego Technik ist da vielleicht ein guter Startpunkt ...

Einen echten Störsender aufzusetzen ist höchstwahrscheinlich illegal.

[coinfiziert]

[...] von exotischen Angriffen wie der Abtastung der elektromagnetischen Abstrahlung deiner Tastatur einmal abgesehen [...]

Anbei noch die entsprechende Veröffentlichung:
https://www.usenix.org/legacy/event/sec09/tech/full_papers/vuagnoux.pdf

Ergebnis: Jede Tastatur kann prinzipiell aus ca. 20m Entfernung abgehört werden. Mit oder ohne Mauern dazwischen. Laptop-Tastaturen scheinen etwas schwerer abzuhören zu sein, da die Verkabelung (= potentielle Antenne) der Tastatur kürzer ist. Man benötigt sowas

Ist das dann der weiße Lieferwagen, der stundenlang vor dem Haus steht?

Und was lesen die dann mit? Wenn sie Pech haben vielleicht ... Strg-C Strg-V Strg-C Strg-V ... denn die Passwörter sollen ja sehr lang sein, mehr als 20 Stellen  

Im Ernst: Gibt es dann nicht sowas wie eine Tastaturabschirmung zu kaufen, damit es die im weißen Lieferwagen nicht so einfach haben?

[uuam]

Und was lesen die dann mit? Wenn sie Pech haben vielleicht ... Strg-C Strg-V Strg-C Strg-V ... denn die Passwörter sollen ja sehr lang sein, mehr als 20 Stellen  Grin Grin

Den Masterkey um auf einen Passwortmanager zuzugreifen könnten sie so mitlesen. Weil das geben die meisten denke ich per Tastatur ein, wobei ich das ab jetzt dann wohl nur noch per Bildschirmtastatur eingeben werde. Sobald sie den Masterkey haben können sie wenn man z.B. im Urlaub oder auch nur Arbeiten ist in die Wohnung einbrechen und das Speichermedium mit der Datei des Passwortmanagers mitnehmen (bzw. einfach alle Speichermedien und Computer und dann durchprobieren). Dann haben sie irgendwann den Seed zur Wallet.

Ich halte das nicht für komplett abwegig sobald jemand weiß dass es um größere Beträge geht und die Hemmschwelle ist bestimmt viel geringer als jemanden zu entführen und ihn physisch zu bedrohen die Coins rauszugeben.

[bct_ail]

Gegenmaßnahmen für die ganz Paranoiden: Ein laufender, zweiter, baugleicher Rechner mit Tastendrückroboter, welcher zufällige Eingaben macht. Dieser steht dann gleich neben dem gerade genutzten Rechner und maskiert die eigentlichen Eingaben. Dafür gibt es aber soweit ich weiss noch keine Anleitung. Lego Technik ist da vielleicht ein guter Startpunkt ...

Da brauchst du keinen Robotor. Da hilft dir die Natur   -> https://www.youtube.com/watch?v=hZeuRGCb-Rw

Den Masterkey um auf einen Passwortmanager zuzugreifen könnten sie so mitlesen. Weil das geben die meisten denke ich per Tastatur ein, wobei ich das ab jetzt dann wohl nur noch per Bildschirmtastatur eingeben werde.

Dann nimm einen Barcode und/oder 2D-Scanner

Sobald sie den Masterkey haben können sie wenn man z.B. im Urlaub oder auch nur Arbeiten ist in die Wohnung einbrechen und das Speichermedium mit der Datei des Passwortmanagers mitnehmen (bzw. einfach alle Speichermedien und Computer und dann durchprobieren). Dann haben sie irgendwann den Seed zur Wallet.

Gegen Einbrüche gibt es diverse Sicherungsmöglichkeiten.

Masterkey kannst du in x Abschnitte aufteilen und an diversen Orten lagern.

Speichermedien können ebenfalls in x-facher Anzahl an diversen Orten gelagert werden.
 

Ich halte das nicht für komplett abwegig sobald jemand weiß dass es um größere Beträge geht und die Hemmschwelle ist bestimmt viel geringer als jemanden zu entführen und ihn physisch zu bedrohen die Coins rauszugeben.

Entführungen gab es laut diversen  Medien ja immer wieder. Ab da ging es auch um wirklich große Beträge. Abei keine Ahnung, wieviel du so hast. Ansonsten Schnauze halten oder nur einen kleinen Satoshibetrag angeben.

Wenn du jetzt erst mit Krypto anfängst, wirst du deine Sicherungsstrategien sowieso ständig anpassen. Da lernt man täglich dazu und es ist nie vollkommen 100% sicher. Die nächste Frage wird wahrscheinlich bei dir sein, was mache ich, wenn mir was passiert? Informiere dich (was du ja schon machst) und lerne ständig dazu, aber mache nicht zu viel auf einmal.

Generell: Wenn jemand Angst bei BYOB hat, dann kann er die BTC bei ner Bank verwahren. Die Erlaubnis haben sie ja seit dem 10.01.2020.  

[qwk]

Im Ernst: Gibt es dann nicht sowas wie eine Tastaturabschirmung zu kaufen, damit es die im weißen Lieferwagen nicht so einfach haben?

Ja, habe ich doch erwähnt, es gibt sowas wie eine Tapete für die Wände (Decke und Boden nicht vergessen!):

https://hollandshielding.de/Mu-Kupfer-Faraday-Käfige
 

edit: ich sehe gerade, die haben sogar ein Krypto-Zelt im Angebot:

[fronti]

Ja, habe ich doch erwähnt, es gibt sowas wie eine Tapete für die Wände (Decke und Boden nicht vergessen!):
https://hollandshielding.de/Mu-Kupfer-Faraday-Käfige
 

edit: ich sehe gerade, die haben sogar ein Krypto-Zelt im Angebot:
(Images Removed)

Wenn man das einsetzt muss man sich auch keine Gedanken mehr über WLAN machen..

[qwk]

Wenn man das einsetzt muss man sich auch keine Gedanken mehr über WLAN machen..

Und man hat endlich Ruhe vor dem Handy!

[bct_ail]

Im Ernst: Gibt es dann nicht sowas wie eine Tastaturabschirmung zu kaufen, damit es die im weißen Lieferwagen nicht so einfach haben?

Ja, habe ich doch erwähnt, es gibt sowas wie eine Tapete für die Wände (Decke und Boden nicht vergessen!):

https://hollandshielding.de/Mu-Kupfer-Faraday-Käfige
 

edit: ich sehe gerade, die haben sogar ein Krypto-Zelt im Angebot:

Hat Affee auch