Pages:
Author

Topic: ACHTUNG: Bitcointalk-Account-Hacks per E-Mail-Account, sichert E-Mail-Accounts! (Read 741 times)

hero member
Activity: 784
Merit: 544
Du hattest schon das richtige Näschen: Im Prinzip handelt es sich um nichts anderes als eine Hardware-Wallet:

https://github.com/curiosity81/T-1000

Meint ihr es macht Sinn das im Projektentwicklungs-Thread zu promoten oder ist das Quatsch?

Es ist auf jeden Fall eine interessante Spielerei. Allerdings würde ich sagen, dass unterm Strich alles eher für die Anschaffung eines Hardwarewallets spricht. Man muss schon einiges an Verständnis mitbringen, um Dein Setup umzusetzen.

Sicherlich. Z.B. kann ich niemanden Hilfestellung geben, der Windows nutzt. Auch kann ich nicht garantieren, dass das Ding "wasserdicht" ist.

Aber der ein oder andere wird vielleicht etwas Sinnvolles in der Anleitung finden. Auch abseits der Erstellung einer Hardware Wallet.  Smiley

Ausserdem macht es Spass. Die Pis sind schon ziemlich cool. Wahrscheinlich sowas wie der ZX81 oder C64 von heute. Wobei die Dinger um einiges vielseitiger sind.



Achso, danke für die Zitierung nochmal. Ausserdem sollte wir alles zum Thema T-1000 in den entsprechenden Thread verlagern:

https://bitcointalksearch.org/topic/projekt-t-1000-3062479

Und ja, Du hast natürlich Recht, phantastisch hat sehr schnell reagiert (das habe ich z.B. erst sehr spät realisiert) und wohl getan was möglich ist.
legendary
Activity: 994
Merit: 1098
An AA rated Bandoneonista
Du hattest schon das richtige Näschen: Im Prinzip handelt es sich um nichts anderes als eine Hardware-Wallet:

https://github.com/curiosity81/T-1000

Meint ihr es macht Sinn das im Projektentwicklungs-Thread zu promoten oder ist das Quatsch?

Es ist auf jeden Fall eine interessante Spielerei. Allerdings würde ich sagen, dass unterm Strich alles eher für die Anschaffung eines Hardwarewallets spricht. Man muss schon einiges an Verständnis mitbringen, um Dein Setup umzusetzen.

Im folgenden ein Test:

Code:
-----BEGIN BITCOIN SIGNED MESSAGE-----
trantute2 ist auch im Besitzt des Privatekeys, welcher zu Adresse 1FL4TwFWvhQ9kbjXMtcsupupwcRk61Y6YP gehoert. Das aktuelle Datum ist 2018-03-03.
-----------BEGIN SIGNATURE------------
1FL4TwFWvhQ9kbjXMtcsupupwcRk61Y6YP
H+S6Sx2BN7S6039P6Lrtc2KP3LEFWa/8TTaXu67/RE2cJJGUY5PFi0CUcaABhQ64NJCqL7DwpEDZIOV5E3wRc8Y=
------END BITCOIN SIGNED MESSAGE------

Bestanden. Smiley

Leider habe ich immer noch nichts von den Admins gehört. Entweder ist mein Beweis nicht überzeugend genug, oder man kommt als Newbie schlicht nicht zu den Admins durch.

Vielleicht kann ja einer von euch theymos oder Cyrus auf mich aufmerksam machen? Wobei ich da nochmal Bescheid geben würde, da ich heute schon phantastisch angeschrieben habe.

Ich glaube, das ist eher kontraproduktiv. phantastatisch hatte sich ja wohl schon engagiert. Letztlich bleibt wohl nur abzuwarten.
hero member
Activity: 784
Merit: 544
Leider habe ich immer noch nichts von den Admins gehört. Entweder ist mein Beweis nicht überzeugend genug, oder man kommt als Newbie schlicht nicht zu den Admins durch.

Vielleicht kann ja einer von euch theymos oder Cyrus auf mich aufmerksam machen? Wobei ich da nochmal Bescheid geben würde, da ich heute schon phantastisch angeschrieben habe.
hero member
Activity: 784
Merit: 544
Klingt erstmal ziemlich cool - allerdings stellt sich natürlich die Frage, ob man neben einem Hardware-Wallet wirklich noch eine weitere Hardware-Komponente speziell für diesen Zweck in einem sicherheitskritischen Bereich braucht. Ich bin aber auf jeden Fall sehr gespannt, was Du da vorhast - und hoffe gleichzeitig, dass sich das bald mit Deinem Account klärt.

Du hattest schon das richtige Näschen: Im Prinzip handelt es sich um nichts anderes als eine Hardware-Wallet:

https://github.com/curiosity81/T-1000

Meint ihr es macht Sinn das im Projektentwicklungs-Thread zu promoten oder ist das Quatsch?

Im folgenden ein Test:

Code:
-----BEGIN BITCOIN SIGNED MESSAGE-----
trantute2 ist auch im Besitzt des Privatekeys, welcher zu Adresse 1FL4TwFWvhQ9kbjXMtcsupupwcRk61Y6YP gehoert. Das aktuelle Datum ist 2018-03-03.
-----------BEGIN SIGNATURE------------
1FL4TwFWvhQ9kbjXMtcsupupwcRk61Y6YP
H+S6Sx2BN7S6039P6Lrtc2KP3LEFWa/8TTaXu67/RE2cJJGUY5PFi0CUcaABhQ64NJCqL7DwpEDZIOV5E3wRc8Y=
------END BITCOIN SIGNED MESSAGE------
hero member
Activity: 784
Merit: 544
Hehe, an Candoo musste ich bei carolstreet444 auch denken.  Wink

Bist Du es?

member
Activity: 79
Merit: 10
Mein Account wurde vor einiger Zeit gehackt um ein ICO zu promoten. Scheinbar haben die Hacker aber die Email Adresse vom Account nicht ändern können, deswegen konnte ich ihn mit pw reset zurück setzen
legendary
Activity: 994
Merit: 1098
An AA rated Bandoneonista
Ich habe auch schon ein neues Open-Source-Projekt in den Startlöchern, welches die Signierung von Nachrichten vereinfachen soll (bzw. ist es praktisch schon fertig, ich muss nur noch alles zusammenschreiben). Kosten für die Komponenten im allgemeinen ca. 10 €. Und Zeit. Wie sicher das ist könnt ihr dann mitentscheiden bzw. mithelfen das abzurunden und zu erweitern. Ist nur eine Spielerei, aber imho trotzdem ziemlich cool.

Ich nenne es:

Projekt T-1000

Habe mal Bildchen gemacht:

https://github.com/curiosity81/T-1000/blob/master/pic1.png

https://github.com/curiosity81/T-1000/blob/master/pic2.png

Klingt erstmal ziemlich cool - allerdings stellt sich natürlich die Frage, ob man neben einem Hardware-Wallet wirklich noch eine weitere Hardware-Komponente speziell für diesen Zweck in einem sicherheitskritischen Bereich braucht. Ich bin aber auf jeden Fall sehr gespannt, was Du da vorhast - und hoffe gleichzeitig, dass sich das bald mit Deinem Account klärt.
hero member
Activity: 784
Merit: 544
Ich habe auch schon ein neues Open-Source-Projekt in den Startlöchern, welches die Signierung von Nachrichten vereinfachen soll (bzw. ist es praktisch schon fertig, ich muss nur noch alles zusammenschreiben). Kosten für die Komponenten im allgemeinen ca. 10 €. Und Zeit. Wie sicher das ist könnt ihr dann mitentscheiden bzw. mithelfen das abzurunden und zu erweitern. Ist nur eine Spielerei, aber imho trotzdem ziemlich cool.

Ich nenne es:

Projekt T-1000

Habe mal Bildchen gemacht:



hero member
Activity: 784
Merit: 544
Machen wir, wenn Du Deinen Account zurück hast. - Hat sich da weiterhin nix getan?

Leider hat sich bis jetzt nichts getan. Habe nun theymos, entsprechend seiner Anleitung, kontaktiert. Jetzt heisst es wieder warten.
hero member
Activity: 784
Merit: 544
Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

Das ist ein extrem wichtiges Thema was Du hier ansprichst! Und müsste hier im Forum eigentlich viel genauer beleuchtet werden.

Machen wir, wenn Du Deinen Account zurück hast. - Hat sich da weiterhin nix getan?

Weiss ich noch nicht genau. Werde mich demnächst im Detail drum kümmern, wenn ich mehr Zeit zur Verfügung habe. Die zwei Wochen sind ja nun rum.

Ich habe auch schon ein neues Open-Source-Projekt in den Startlöchern, welches die Signierung von Nachrichten vereinfachen soll (bzw. ist es praktisch schon fertig, ich muss nur noch alles zusammenschreiben). Kosten für die Komponenten im allgemeinen ca. 10 €. Und Zeit. Wie sicher das ist könnt ihr dann mitentscheiden bzw. mithelfen das abzurunden und zu erweitern. Ist nur eine Spielerei, aber imho trotzdem ziemlich cool.
legendary
Activity: 994
Merit: 1098
An AA rated Bandoneonista
Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

Das ist ein extrem wichtiges Thema was Du hier ansprichst! Und müsste hier im Forum eigentlich viel genauer beleuchtet werden.

Machen wir, wenn Du Deinen Account zurück hast. - Hat sich da weiterhin nix getan?
hero member
Activity: 784
Merit: 544
Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

Das ist ein extrem wichtiges Thema was Du hier ansprichst! Und müsste hier im Forum eigentlich viel genauer beleuchtet werden.

Quote
Security is both a reality and a feeling. [...] And the two things are different: You can be secure even though you don't feel secure, and you can feel secure even though you're not really secure.

https://www.schneier.com/essays/archives/2007/01/in_praise_of_securit.html

Wobei der Artikel jedoch ein anderes Thema zum Inhalt hat als Computersicherheit, trotzdem passt es.
legendary
Activity: 994
Merit: 1098
An AA rated Bandoneonista
Ich hatte damals den Hack registriert und meine E-Mail-Adresse auf eine Fantasie-Adresse geändert. Eigentlich sinnloser Aktionismus.
Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.
hero member
Activity: 784
Merit: 544
und danach passiert selten nochmal was... ich nehme mich da nicht aus aber leider muss zuerst immer was passieren damit man schlauer ist  Roll Eyes Grin

Nur aus Schaden wird man klug. Da ist schon was Wahres dran.
 
ich hoffe das mit deinem account klappt noch und das thema hat hier einige wachgerüttelt und das adressverzeichnis wächst dadurch fleißig Smiley

Wenn sowas wenigstens die Leute dazu bringt über ihr Verhalten nachzudenken und dieses vielleicht sogar zu ändern, dann hat das Ganze ja auch was Gutes gehabt.

Ich werde mich nun in Geduld üben und auf Nachricht der Mods warten ...
staff
Activity: 2548
Merit: 2709
Join the world-leading crypto sportsbook NOW!
Blöderweise habe ich die Prioritäten bei der Sicherheit falsch gesetzt bzw. in einem Bereich vernachlässigt wo sie mir vermeintlich nicht so wichtig ist.

Ich glaub', das sieht man häufiger erst wirklich, wenn es passiert ist.

das ist eig. der echte klassiker.
alarmanlagen werden auch erst nach dem ersten einbruch verbaut.
backup von pc + notebook gibt es erst nach dem ersten crash inkl. datenverlust.

und danach passiert selten nochmal was... ich nehme mich da nicht aus aber leider muss zuerst immer was passieren damit man schlauer ist  Roll Eyes Grin
ich hoffe das mit deinem account klappt noch und das thema hat hier einige wachgerüttelt und das adressverzeichnis wächst dadurch fleißig Smiley
hero member
Activity: 784
Merit: 544
Ich glaub', das sieht man häufiger erst wirklich, wenn es passiert ist. Mir ist z.B. auch bewusst, dass die Mail-Adressen hier schon lange geleakt sind. Jetzt frage ich mich bereits eine Weile: soll ich die Mail-Adresse in den Orkus werfen, hier dann eine neue eintragen - und dann bin ich den Spam los? Oder behalte ich die lieber, damit sie sich nach Löschung nicht jemand anderes schnappt? Was hat das sonst noch für evtl. Implikationen, an die ich bislang nicht denke? Blockiert mich auch irgendwie.

Ich glaube sogar, dass ich vor dem vorletzten Leak eine echte E-mail-Adresse angegeben hatte. Das war gefühlsmässig vor ca. 2 Jahren. Ich hatte damals den Hack registriert und meine E-Mail-Adresse auf eine Fantasie-Adresse geändert. Eigentlich sinnloser Aktionismus. Entweder dachte ich mir damals, das wäre eine gute Idee (ist es NICHT), oder ich wollte sie irgendwann ändern. Und dann ... vergessen. Jetzt habe ich den Salat.

Wahrscheinlich wäre es besser gewesen nichts zu tun. Spam kann man ja wenigstens wegfiltern.

Halten wir einfach fest: Das Adressverzeichnis ist wirklich ne sinnvolle Sache. Und es ist auch schön Bitcoin. Für manche vlt. sogar der erste Kontakt mit Kryptographie.

Und wäre ich dort eingetragen gewesen, dann wäre mir viel Stress erspart geblieben.

Ich bin also vollkommen einverstanden mit Deiner Zusammenfassung!  Smiley
legendary
Activity: 994
Merit: 1098
An AA rated Bandoneonista
Falls Du hier auch auf mich anspielst, die Ironie an der Geschichte ist eigentlich, dass ich mich sehr wohl für hackbar halte. Blöderweise habe ich die Prioritäten bei der Sicherheit falsch gesetzt bzw. in einem Bereich vernachlässigt wo sie mir vermeintlich nicht so wichtig ist.

Ich glaub', das sieht man häufiger erst wirklich, wenn es passiert ist. Mir ist z.B. auch bewusst, dass die Mail-Adressen hier schon lange geleakt sind. Jetzt frage ich mich bereits eine Weile: soll ich die Mail-Adresse in den Orkus werfen, hier dann eine neue eintragen - und dann bin ich den Spam los? Oder behalte ich die lieber, damit sie sich nach Löschung nicht jemand anderes schnappt? Was hat das sonst noch für evtl. Implikationen, an die ich bislang nicht denke? Blockiert mich auch irgendwie.

Halten wir einfach fest: Das Adressverzeichnis ist wirklich ne sinnvolle Sache. Und es ist auch schön Bitcoin. Für manche vlt. sogar der erste Kontakt mit Kryptographie.
hero member
Activity: 784
Merit: 544
Wie sollen die Mods "vertrauenswürdige Personen" definieren, die im Besitz des "heiligen Scripts" sind? Werden die dann sowas wie Hilfs-Mods zur Ausführung des "heiligen Scripts"? Und werden die Leute, die sich so'n Script gebastelt haben, es einsetzen, aber keine Hilfs-Mods sind, dann gebannt? - Eigentlich ist die Initiative mit der Adress-Liste hinreichend, wenn man seinen Account "schützen" möchte.

Wahrscheinlich hast Du recht.

Wenn man sich da nicht einträgt, ist einem der eigene Account entweder egal oder man hält sich für "nicht hackbar" (und erlebt dann später, dass man sich getäuscht hat) oder man hat nicht verstanden, worum es bei dem Thema eigentlich geht.

Falls Du hier auch auf mich anspielst, die Ironie an der Geschichte ist eigentlich, dass ich mich sehr wohl für hackbar halte. Blöderweise habe ich die Prioritäten bei der Sicherheit falsch gesetzt bzw. in einem Bereich vernachlässigt wo sie mir vermeintlich nicht so wichtig ist.

Wer dann in die Situation gekommen ist, dem wird schon auf die eine oder andere Weise geholfen. Oder er macht sich einen neuen Account. Ich glaub', das kann man nur pragmatisch sehen.

Muss man wohl.
legendary
Activity: 994
Merit: 1098
An AA rated Bandoneonista
Vielleicht macht es Sinn wenn eine vertrauenswürdige Person das Skript vorhält bzw. weiterentwickelt. Ein Hacker schüttelt sowas natürlich aus dem Ärmel, auch ohne google nutzen zu müssen. Bei Scriptkiddies bin ich mir da schon nicht mehr so sicher. Bei Leuten die selbst NICHT programmieren können und die gehackt wurden, und die sich nicht sicher sind, ob sie jemals eine Adresse veröffentlichten, zu der sie möglicherweise noch den Privatekey besitzen, könnten dann bei dieser Person nachfragen und sich die Liste geben lassen.

Solche Personen können natürlich nur von den Mods definiert werden, und fungierten dann als eine Art erster Ansprechpartner (für verschiedenste Fragen). D.h. man ballert nicht gleich einen Mod mit Anfragen zu, sondern kann sich Tipps vom entsprechenden Ansprechpartner geben lassen. Das nimmt Druck vom Mod und der Ansprechpartner hat sicherlich auch mehr Zeit und Muse sich mit dem Problem zu befassen. Und das nimmt wiederum Druck von der anfragenden Person. Ein Liste mit den Personen müsste auch noch gut sichtbar gepinnt sein. Möglicherweise gibt es sowas sogar schon und ich bin nur nie darüber gestolpert.

Wie sollen die Mods "vertrauenswürdige Personen" definieren, die im Besitz des "heiligen Scripts" sind? Werden die dann sowas wie Hilfs-Mods zur Ausführung des "heiligen Scripts"? Und werden die Leute, die sich so'n Script gebastelt haben, es einsetzen, aber keine Hilfs-Mods sind, dann gebannt? - Eigentlich ist die Initiative mit der Adress-Liste hinreichend, wenn man seinen Account "schützen" möchte. Wenn man sich da nicht einträgt, ist einem der eigene Account entweder egal oder man hält sich für "nicht hackbar" (und erlebt dann später, dass man sich getäuscht hat) oder man hat nicht verstanden, worum es bei dem Thema eigentlich geht. Wer dann in die Situation gekommen ist, dem wird schon auf die eine oder andere Weise geholfen. Oder er macht sich einen neuen Account. Ich glaub', das kann man nur pragmatisch sehen.
hero member
Activity: 784
Merit: 544
Was mir noch einfiel:

Vielleicht macht es Sinn wenn eine vertrauenswürdige Person das Skript vorhält bzw. weiterentwickelt. Ein Hacker schüttelt sowas natürlich aus dem Ärmel, auch ohne google nutzen zu müssen. Bei Scriptkiddies bin ich mir da schon nicht mehr so sicher. Bei Leuten die selbst NICHT programmieren können und die gehackt wurden, und die sich nicht sicher sind, ob sie jemals eine Adresse veröffentlichten, zu der sie möglicherweise noch den Privatekey besitzen, könnten dann bei dieser Person nachfragen und sich die Liste geben lassen.

Solche Personen können natürlich nur von den Mods definiert werden, und fungierten dann als eine Art erster Ansprechpartner (für verschiedenste Fragen). D.h. man ballert nicht gleich einen Mod mit Anfragen zu, sondern kann sich Tipps vom entsprechenden Ansprechpartner geben lassen. Das nimmt Druck vom Mod und der Ansprechpartner hat sicherlich auch mehr Zeit und Muse sich mit dem Problem zu befassen. Und das nimmt wiederum Druck von der anfragenden Person. Ein Liste mit den Personen müsste auch noch gut sichtbar gepinnt sein. Möglicherweise gibt es sowas sogar schon und ich bin nur nie darüber gestolpert.

Das könnte ja so ablaufen:

Code:
-----BEGIN BITCOIN SIGNED MESSAGE-----
I declare to be a trustful contact person with respect to . The current date is .
-----BEGIN SIGNATURE-----


-----END BITCOIN SIGNED MESSAGE-----

Die muss natürlich auch im sicheren Adressverzeichnis eingetragen sein.
Pages:
Jump to: