ACHTUNG: Bitcointalk-Account-Hacks per E-Mail-Account, sichert E-Mail-Accounts!

trantute2

hero member

Activity: 784

Merit: 544

Quote from: twbt on March 04, 2018, 10:17:47 AM

Quote from: trantute2 on March 03, 2018, 08:27:19 AM

Du hattest schon das richtige Näschen: Im Prinzip handelt es sich um nichts anderes als eine Hardware-Wallet:

https://github.com/curiosity81/T-1000

Meint ihr es macht Sinn das im Projektentwicklungs-Thread zu promoten oder ist das Quatsch?

Es ist auf jeden Fall eine interessante Spielerei. Allerdings würde ich sagen, dass unterm Strich alles eher für die Anschaffung eines Hardwarewallets spricht. Man muss schon einiges an Verständnis mitbringen, um Dein Setup umzusetzen.

Sicherlich. Z.B. kann ich niemanden Hilfestellung geben, der Windows nutzt. Auch kann ich nicht garantieren, dass das Ding "wasserdicht" ist.

Aber der ein oder andere wird vielleicht etwas Sinnvolles in der Anleitung finden. Auch abseits der Erstellung einer Hardware Wallet.

Ausserdem macht es Spass. Die Pis sind schon ziemlich cool. Wahrscheinlich sowas wie der ZX81 oder C64 von heute. Wobei die Dinger um einiges vielseitiger sind.

Achso, danke für die Zitierung nochmal. Ausserdem sollte wir alles zum Thema T-1000 in den entsprechenden Thread verlagern:

https://bitcointalksearch.org/topic/projekt-t-1000-3062479

Und ja, Du hast natürlich Recht, phantastisch hat sehr schnell reagiert (das habe ich z.B. erst sehr spät realisiert) und wohl getan was möglich ist.

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: trantute2 on March 03, 2018, 08:27:19 AM

Du hattest schon das richtige Näschen: Im Prinzip handelt es sich um nichts anderes als eine Hardware-Wallet:

https://github.com/curiosity81/T-1000

Meint ihr es macht Sinn das im Projektentwicklungs-Thread zu promoten oder ist das Quatsch?

Es ist auf jeden Fall eine interessante Spielerei. Allerdings würde ich sagen, dass unterm Strich alles eher für die Anschaffung eines Hardwarewallets spricht. Man muss schon einiges an Verständnis mitbringen, um Dein Setup umzusetzen.

Quote from: trantute2 on March 03, 2018, 08:27:19 AM

Im folgenden ein Test:

Code:

-----BEGIN BITCOIN SIGNED MESSAGE-----
trantute2 ist auch im Besitzt des Privatekeys, welcher zu Adresse 1FL4TwFWvhQ9kbjXMtcsupupwcRk61Y6YP gehoert. Das aktuelle Datum ist 2018-03-03.
-----------BEGIN SIGNATURE------------
1FL4TwFWvhQ9kbjXMtcsupupwcRk61Y6YP
H+S6Sx2BN7S6039P6Lrtc2KP3LEFWa/8TTaXu67/RE2cJJGUY5PFi0CUcaABhQ64NJCqL7DwpEDZIOV5E3wRc8Y=
------END BITCOIN SIGNED MESSAGE------

Bestanden.

Quote from: trantute2 on March 03, 2018, 08:29:22 AM

Leider habe ich immer noch nichts von den Admins gehört. Entweder ist mein Beweis nicht überzeugend genug, oder man kommt als Newbie schlicht nicht zu den Admins durch.

Vielleicht kann ja einer von euch theymos oder Cyrus auf mich aufmerksam machen? Wobei ich da nochmal Bescheid geben würde, da ich heute schon phantastisch angeschrieben habe.

Ich glaube, das ist eher kontraproduktiv. phantastatisch hatte sich ja wohl schon engagiert. Letztlich bleibt wohl nur abzuwarten.

trantute2

hero member

Activity: 784

Merit: 544

Leider habe ich immer noch nichts von den Admins gehört. Entweder ist mein Beweis nicht überzeugend genug, oder man kommt als Newbie schlicht nicht zu den Admins durch.

Vielleicht kann ja einer von euch theymos oder Cyrus auf mich aufmerksam machen? Wobei ich da nochmal Bescheid geben würde, da ich heute schon phantastisch angeschrieben habe.

trantute2

hero member

Activity: 784

Merit: 544

Quote from: twbt on February 25, 2018, 04:59:17 PM

Klingt erstmal ziemlich cool - allerdings stellt sich natürlich die Frage, ob man neben einem Hardware-Wallet wirklich noch eine weitere Hardware-Komponente speziell für diesen Zweck in einem sicherheitskritischen Bereich braucht. Ich bin aber auf jeden Fall sehr gespannt, was Du da vorhast - und hoffe gleichzeitig, dass sich das bald mit Deinem Account klärt.

Du hattest schon das richtige Näschen: Im Prinzip handelt es sich um nichts anderes als eine Hardware-Wallet:

https://github.com/curiosity81/T-1000

Meint ihr es macht Sinn das im Projektentwicklungs-Thread zu promoten oder ist das Quatsch?

Im folgenden ein Test:

Code:

-----BEGIN BITCOIN SIGNED MESSAGE-----
trantute2 ist auch im Besitzt des Privatekeys, welcher zu Adresse 1FL4TwFWvhQ9kbjXMtcsupupwcRk61Y6YP gehoert. Das aktuelle Datum ist 2018-03-03.
-----------BEGIN SIGNATURE------------
1FL4TwFWvhQ9kbjXMtcsupupwcRk61Y6YP
H+S6Sx2BN7S6039P6Lrtc2KP3LEFWa/8TTaXu67/RE2cJJGUY5PFi0CUcaABhQ64NJCqL7DwpEDZIOV5E3wRc8Y=
------END BITCOIN SIGNED MESSAGE------

trantute2

hero member

Activity: 784

Merit: 544

Hehe, an Candoo musste ich bei carolstreet444 auch denken. Wink

Bist Du es?

carolstreet444

member

Activity: 79

Merit: 10

Mein Account wurde vor einiger Zeit gehackt um ein ICO zu promoten. Scheinbar haben die Hacker aber die Email Adresse vom Account nicht ändern können, deswegen konnte ich ihn mit pw reset zurück setzen

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: trantute2 on February 25, 2018, 03:58:18 PM

Quote from: trantute2 on February 23, 2018, 06:10:33 AM

Ich habe auch schon ein neues Open-Source-Projekt in den Startlöchern, welches die Signierung von Nachrichten vereinfachen soll (bzw. ist es praktisch schon fertig, ich muss nur noch alles zusammenschreiben). Kosten für die Komponenten im allgemeinen ca. 10 €. Und Zeit. Wie sicher das ist könnt ihr dann mitentscheiden bzw. mithelfen das abzurunden und zu erweitern. Ist nur eine Spielerei, aber imho trotzdem ziemlich cool.

Ich nenne es:

Projekt T-1000

Habe mal Bildchen gemacht:

https://github.com/curiosity81/T-1000/blob/master/pic1.png

https://github.com/curiosity81/T-1000/blob/master/pic2.png

Klingt erstmal ziemlich cool - allerdings stellt sich natürlich die Frage, ob man neben einem Hardware-Wallet wirklich noch eine weitere Hardware-Komponente speziell für diesen Zweck in einem sicherheitskritischen Bereich braucht. Ich bin aber auf jeden Fall sehr gespannt, was Du da vorhast - und hoffe gleichzeitig, dass sich das bald mit Deinem Account klärt.

trantute2

hero member

Activity: 784

Merit: 544

Quote from: trantute2 on February 23, 2018, 06:10:33 AM

Ich habe auch schon ein neues Open-Source-Projekt in den Startlöchern, welches die Signierung von Nachrichten vereinfachen soll (bzw. ist es praktisch schon fertig, ich muss nur noch alles zusammenschreiben). Kosten für die Komponenten im allgemeinen ca. 10 €. Und Zeit. Wie sicher das ist könnt ihr dann mitentscheiden bzw. mithelfen das abzurunden und zu erweitern. Ist nur eine Spielerei, aber imho trotzdem ziemlich cool.

Ich nenne es:

Projekt T-1000

Habe mal Bildchen gemacht:

trantute2

hero member

Activity: 784

Merit: 544

Quote from: twbt on February 22, 2018, 07:15:27 PM

Machen wir, wenn Du Deinen Account zurück hast. - Hat sich da weiterhin nix getan?

Leider hat sich bis jetzt nichts getan. Habe nun theymos, entsprechend seiner Anleitung, kontaktiert. Jetzt heisst es wieder warten.

trantute2

hero member

Activity: 784

Merit: 544

Quote from: twbt on February 22, 2018, 07:15:27 PM

Quote from: trantute2 on February 14, 2018, 01:51:41 PM

Quote from: twbt on February 13, 2018, 08:37:54 PM

Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

Das ist ein extrem wichtiges Thema was Du hier ansprichst! Und müsste hier im Forum eigentlich viel genauer beleuchtet werden.

Machen wir, wenn Du Deinen Account zurück hast. - Hat sich da weiterhin nix getan?

Weiss ich noch nicht genau. Werde mich demnächst im Detail drum kümmern, wenn ich mehr Zeit zur Verfügung habe. Die zwei Wochen sind ja nun rum.

Ich habe auch schon ein neues Open-Source-Projekt in den Startlöchern, welches die Signierung von Nachrichten vereinfachen soll (bzw. ist es praktisch schon fertig, ich muss nur noch alles zusammenschreiben). Kosten für die Komponenten im allgemeinen ca. 10 €. Und Zeit. Wie sicher das ist könnt ihr dann mitentscheiden bzw. mithelfen das abzurunden und zu erweitern. Ist nur eine Spielerei, aber imho trotzdem ziemlich cool.

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: trantute2 on February 14, 2018, 01:51:41 PM

Quote from: twbt on February 13, 2018, 08:37:54 PM

Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

Das ist ein extrem wichtiges Thema was Du hier ansprichst! Und müsste hier im Forum eigentlich viel genauer beleuchtet werden.

Machen wir, wenn Du Deinen Account zurück hast. - Hat sich da weiterhin nix getan?

trantute2

hero member

Activity: 784

Merit: 544

Quote from: twbt on February 13, 2018, 08:37:54 PM

Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

Das ist ein extrem wichtiges Thema was Du hier ansprichst! Und müsste hier im Forum eigentlich viel genauer beleuchtet werden.

Quote

Security is both a reality and a feeling. [...] And the two things are different: You can be secure even though you don't feel secure, and you can feel secure even though you're not really secure.

https://www.schneier.com/essays/archives/2007/01/in_praise_of_securit.html

Wobei der Artikel jedoch ein anderes Thema zum Inhalt hat als Computersicherheit, trotzdem passt es.

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: trantute2 on February 12, 2018, 04:33:56 PM

Ich hatte damals den Hack registriert und meine E-Mail-Adresse auf eine Fantasie-Adresse geändert. Eigentlich sinnloser Aktionismus.

Ja, das ist fast ein Klassiker von security through obscurity. Etwas, zu dem man sich definitiv nicht verleiten lassen sollte.

trantute2

hero member

Activity: 784

Merit: 544

Quote from: mole0815 on February 13, 2018, 10:39:16 AM

und danach passiert selten nochmal was... ich nehme mich da nicht aus aber leider muss zuerst immer was passieren damit man schlauer ist Roll Eyes

Nur aus Schaden wird man klug. Da ist schon was Wahres dran.

Quote from: mole0815 on February 13, 2018, 10:39:16 AM

ich hoffe das mit deinem account klappt noch und das thema hat hier einige wachgerüttelt und das adressverzeichnis wächst dadurch fleißig

Wenn sowas wenigstens die Leute dazu bringt über ihr Verhalten nachzudenken und dieses vielleicht sogar zu ändern, dann hat das Ganze ja auch was Gutes gehabt.

Ich werde mich nun in Geduld üben und auf Nachricht der Mods warten ...

mole0815

staff

Activity: 2310

Merit: 2632

Join the world-leading crypto sportsbook NOW!

Quote from: twbt on February 12, 2018, 03:48:32 PM

Quote from: trantute2 on February 12, 2018, 11:29:39 AM

Blöderweise habe ich die Prioritäten bei der Sicherheit falsch gesetzt bzw. in einem Bereich vernachlässigt wo sie mir vermeintlich nicht so wichtig ist.

Ich glaub', das sieht man häufiger erst wirklich, wenn es passiert ist.

das ist eig. der echte klassiker.
alarmanlagen werden auch erst nach dem ersten einbruch verbaut.
backup von pc + notebook gibt es erst nach dem ersten crash inkl. datenverlust.

und danach passiert selten nochmal was... ich nehme mich da nicht aus aber leider muss zuerst immer was passieren damit man schlauer ist Roll Eyes

ich hoffe das mit deinem account klappt noch und das thema hat hier einige wachgerüttelt und das adressverzeichnis wächst dadurch fleißig

trantute2

hero member

Activity: 784

Merit: 544

Quote from: twbt on February 12, 2018, 03:48:32 PM

Ich glaub', das sieht man häufiger erst wirklich, wenn es passiert ist. Mir ist z.B. auch bewusst, dass die Mail-Adressen hier schon lange geleakt sind. Jetzt frage ich mich bereits eine Weile: soll ich die Mail-Adresse in den Orkus werfen, hier dann eine neue eintragen - und dann bin ich den Spam los? Oder behalte ich die lieber, damit sie sich nach Löschung nicht jemand anderes schnappt? Was hat das sonst noch für evtl. Implikationen, an die ich bislang nicht denke? Blockiert mich auch irgendwie.

Ich glaube sogar, dass ich vor dem vorletzten Leak eine echte E-mail-Adresse angegeben hatte. Das war gefühlsmässig vor ca. 2 Jahren. Ich hatte damals den Hack registriert und meine E-Mail-Adresse auf eine Fantasie-Adresse geändert. Eigentlich sinnloser Aktionismus. Entweder dachte ich mir damals, das wäre eine gute Idee (ist es NICHT), oder ich wollte sie irgendwann ändern. Und dann ... vergessen. Jetzt habe ich den Salat.

Wahrscheinlich wäre es besser gewesen nichts zu tun. Spam kann man ja wenigstens wegfiltern.

Quote from: twbt on February 12, 2018, 03:48:32 PM

Halten wir einfach fest: Das Adressverzeichnis ist wirklich ne sinnvolle Sache. Und es ist auch schön Bitcoin. Für manche vlt. sogar der erste Kontakt mit Kryptographie.

Und wäre ich dort eingetragen gewesen, dann wäre mir viel Stress erspart geblieben.

Ich bin also vollkommen einverstanden mit Deiner Zusammenfassung!

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: trantute2 on February 12, 2018, 11:29:39 AM

Falls Du hier auch auf mich anspielst, die Ironie an der Geschichte ist eigentlich, dass ich mich sehr wohl für hackbar halte. Blöderweise habe ich die Prioritäten bei der Sicherheit falsch gesetzt bzw. in einem Bereich vernachlässigt wo sie mir vermeintlich nicht so wichtig ist.

Ich glaub', das sieht man häufiger erst wirklich, wenn es passiert ist. Mir ist z.B. auch bewusst, dass die Mail-Adressen hier schon lange geleakt sind. Jetzt frage ich mich bereits eine Weile: soll ich die Mail-Adresse in den Orkus werfen, hier dann eine neue eintragen - und dann bin ich den Spam los? Oder behalte ich die lieber, damit sie sich nach Löschung nicht jemand anderes schnappt? Was hat das sonst noch für evtl. Implikationen, an die ich bislang nicht denke? Blockiert mich auch irgendwie.

Halten wir einfach fest: Das Adressverzeichnis ist wirklich ne sinnvolle Sache. Und es ist auch schön Bitcoin. Für manche vlt. sogar der erste Kontakt mit Kryptographie.

trantute2

hero member

Activity: 784

Merit: 544

Quote from: twbt on February 12, 2018, 08:59:01 AM

Wie sollen die Mods "vertrauenswürdige Personen" definieren, die im Besitz des "heiligen Scripts" sind? Werden die dann sowas wie Hilfs-Mods zur Ausführung des "heiligen Scripts"? Und werden die Leute, die sich so'n Script gebastelt haben, es einsetzen, aber keine Hilfs-Mods sind, dann gebannt? - Eigentlich ist die Initiative mit der Adress-Liste hinreichend, wenn man seinen Account "schützen" möchte.

Wahrscheinlich hast Du recht.

Quote from: twbt on February 12, 2018, 08:59:01 AM

Wenn man sich da nicht einträgt, ist einem der eigene Account entweder egal oder man hält sich für "nicht hackbar" (und erlebt dann später, dass man sich getäuscht hat) oder man hat nicht verstanden, worum es bei dem Thema eigentlich geht.

Falls Du hier auch auf mich anspielst, die Ironie an der Geschichte ist eigentlich, dass ich mich sehr wohl für hackbar halte. Blöderweise habe ich die Prioritäten bei der Sicherheit falsch gesetzt bzw. in einem Bereich vernachlässigt wo sie mir vermeintlich nicht so wichtig ist.

Quote from: twbt on February 12, 2018, 08:59:01 AM

Wer dann in die Situation gekommen ist, dem wird schon auf die eine oder andere Weise geholfen. Oder er macht sich einen neuen Account. Ich glaub', das kann man nur pragmatisch sehen.

Muss man wohl.

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: trantute2 on February 12, 2018, 06:31:03 AM

Vielleicht macht es Sinn wenn eine vertrauenswürdige Person das Skript vorhält bzw. weiterentwickelt. Ein Hacker schüttelt sowas natürlich aus dem Ärmel, auch ohne google nutzen zu müssen. Bei Scriptkiddies bin ich mir da schon nicht mehr so sicher. Bei Leuten die selbst NICHT programmieren können und die gehackt wurden, und die sich nicht sicher sind, ob sie jemals eine Adresse veröffentlichten, zu der sie möglicherweise noch den Privatekey besitzen, könnten dann bei dieser Person nachfragen und sich die Liste geben lassen.

Solche Personen können natürlich nur von den Mods definiert werden, und fungierten dann als eine Art erster Ansprechpartner (für verschiedenste Fragen). D.h. man ballert nicht gleich einen Mod mit Anfragen zu, sondern kann sich Tipps vom entsprechenden Ansprechpartner geben lassen. Das nimmt Druck vom Mod und der Ansprechpartner hat sicherlich auch mehr Zeit und Muse sich mit dem Problem zu befassen. Und das nimmt wiederum Druck von der anfragenden Person. Ein Liste mit den Personen müsste auch noch gut sichtbar gepinnt sein. Möglicherweise gibt es sowas sogar schon und ich bin nur nie darüber gestolpert.

Wie sollen die Mods "vertrauenswürdige Personen" definieren, die im Besitz des "heiligen Scripts" sind? Werden die dann sowas wie Hilfs-Mods zur Ausführung des "heiligen Scripts"? Und werden die Leute, die sich so'n Script gebastelt haben, es einsetzen, aber keine Hilfs-Mods sind, dann gebannt? - Eigentlich ist die Initiative mit der Adress-Liste hinreichend, wenn man seinen Account "schützen" möchte. Wenn man sich da nicht einträgt, ist einem der eigene Account entweder egal oder man hält sich für "nicht hackbar" (und erlebt dann später, dass man sich getäuscht hat) oder man hat nicht verstanden, worum es bei dem Thema eigentlich geht. Wer dann in die Situation gekommen ist, dem wird schon auf die eine oder andere Weise geholfen. Oder er macht sich einen neuen Account. Ich glaub', das kann man nur pragmatisch sehen.

trantute2

hero member

Activity: 784

Merit: 544

Was mir noch einfiel:

Vielleicht macht es Sinn wenn eine vertrauenswürdige Person das Skript vorhält bzw. weiterentwickelt. Ein Hacker schüttelt sowas natürlich aus dem Ärmel, auch ohne google nutzen zu müssen. Bei Scriptkiddies bin ich mir da schon nicht mehr so sicher. Bei Leuten die selbst NICHT programmieren können und die gehackt wurden, und die sich nicht sicher sind, ob sie jemals eine Adresse veröffentlichten, zu der sie möglicherweise noch den Privatekey besitzen, könnten dann bei dieser Person nachfragen und sich die Liste geben lassen.

Solche Personen können natürlich nur von den Mods definiert werden, und fungierten dann als eine Art erster Ansprechpartner (für verschiedenste Fragen). D.h. man ballert nicht gleich einen Mod mit Anfragen zu, sondern kann sich Tipps vom entsprechenden Ansprechpartner geben lassen. Das nimmt Druck vom Mod und der Ansprechpartner hat sicherlich auch mehr Zeit und Muse sich mit dem Problem zu befassen. Und das nimmt wiederum Druck von der anfragenden Person. Ein Liste mit den Personen müsste auch noch gut sichtbar gepinnt sein. Möglicherweise gibt es sowas sogar schon und ich bin nur nie darüber gestolpert.

Das könnte ja so ablaufen:

Code:

-----BEGIN BITCOIN SIGNED MESSAGE-----
I declare to be a trustful contact person with respect to . The current date is .
-----BEGIN SIGNATURE-----

-----END BITCOIN SIGNED MESSAGE-----

Die muss natürlich auch im sicheren Adressverzeichnis eingetragen sein.

Topic: ACHTUNG: Bitcointalk-Account-Hacks per E-Mail-Account, sichert E-Mail-Accounts! (Read 686 times)