Pages:
Author

Topic: localbitcoin.com bitcoin geklaut (Read 2534 times)

legendary
Activity: 2702
Merit: 1261
September 25, 2014, 01:30:22 AM
#23
Es gibt ja nicht nur CAs - Stichwort DANE. Na gut, den Kopf auch in den Sand stecken kann man natürlich auch als Lösung ansehen...
legendary
Activity: 1882
Merit: 1108
September 25, 2014, 01:17:46 AM
#22
Doch sie schadet. Weil man nun eine Infrastruktur braucht die mehr neue Löcher auftut. Sicher wäre sie wenn es nur eine Instanz gäbe, aber dann wäre sie monopolistisch und diese Auswirkungen kennen wir zur Genüge.

Und du kannst machen was du willst, ein Schlüsselmanagement das für jede Domain benutzt wird, MUSS unüberschaubar groß sein. Und damit wird es multiple Instanzen geben. Ein geheimniss bleibt ein geheimniss wenn es einer weis. Wissen es zwei, darf man zu 99,9% von Sicher ausgehen. Wissen es 200, kann man sicher sein, das es sich rumspricht. Und so ist das mit Keymanagement. Es sind immer noch Menschen die das machen, keine Maschinen. Die Maschinen würden deiner Idealvorstellung entsprechen. Aber die führen nur das aus was Menschen ihnen vorgeben. Und diese Vorgaben sind das Problem. Deswegen schadet es mehr als es nutzt.

Auch wenn du permanent das Gegenteil behauptest.
legendary
Activity: 2702
Merit: 1261
September 22, 2014, 05:21:41 AM
#21
@Mezzomix
Was du für Überschaubar hälst ist bei einer Updatepolitik alle 4 Wochen ein Tageswerk...

Trotz regelmässiger Updates muss die Konfiguration nur sehr selten angepasst werden, da die Updates sehr sehr selten an dieser Schnittstelle ändern. Von Tageswerk kann da absolut keine Rede sein.

Jep, weil alle nach HTTPS schreien. Als wenn man diese Verschlüsselung 100% flächendeckend braucht.

Zumindest schadet eine durchgehende End-To-End Verschlüsselung nicht. Sicherzustellenb, dass es dort wo es tatsächlich gebraucht wird dann auch tatsächlich funktioniert, ist noch aufwändiger.
legendary
Activity: 1882
Merit: 1108
September 22, 2014, 04:57:13 AM
#20
Jep, weil alle nach HTTPS schreien. Als wenn man diese Verschlüsselung 100% flächendeckend braucht.

Schon hier im Forum finde ich das so megalustig. HTTPS...übertragung also verschlüsselt. Und sobald ich submit klicke ist es öffentlich für alle sichtbar.

Das mag man als Passwortschutz noch akzeptieren, damit keiner mitlesen kann. Aber bereits beim PM wird es doch sinnlos. Der Router entlang des weges kann es nicht lesen. Aber die liegen deswegen nicht verschlüsselt auf dem Server. Der Admin kann die Datenbank jederzeit auslesen und auch duppen und weitergeben mit allen PMs incl den gelöschten. Ausser er macht ab und zu kompression und überschreibt die gelöschten Daten.

So oder so, wenn man fordert das HTTPS extrem stark benutzt werden muss, muss es auch eine Infrastruktur geben für Zertifikate. Und da sowas Geld kostet, muss es auch Konkurrenz geben. Ausserdem will keiner das es nur ein Anbieter in der Hand hat, zu entscheiden wer erreichbar ist und wer nicht. Das hat dazu geführt das heute 200 CA eingetragen sind. Und jeder CA darf für jede Domain ausstellen. Ein schwarzes Schafe darunter und er kann jedes Zertifikat faken. So genau, das der browser ohne meckern akzeptiert.

Würden wir aber auf wirklich kritische Dinge beschränken, wäre es einfach das jeweilige Zertifikat zu akzeptiern. Und das dann als Einzelstück. Wir würden dann schon Meldung bekommen, wenn der Anbieter sein Zertifikatsanbieter wechselt. So könnte man ein Google nur dann faken, wenn man google selbst hackt. Und für die wenigen Dinge würde es reichen das sich 3-4 Anbieter den Markt teilen.

Aber stattdessen muss ein Forumposting verschlüsselt übertragen werden damit NSA nicht mitliest bevor es öffentlich für alle wird.

@Mezzomix
Was du für Überschaubar hälst ist bei einer Updatepolitik alle 4 Wochen ein Tageswerk...zumindest den Freizeitanteil wenn man arbeitet...nach jedem Update. Das mag für Nerds peanuts sein, aber für 99% der Bevölkerung zuviel Arbeit. Die wollen das Internet nutzen, nicht ihre Zeit damit verbingen sich ihre Software zurecht zu biegen. Aber ja...es funktioniert dann natürlich mehr oder weniger Wunschgemäss.

PS: Hacker können Passwörter auch dann nicht mitlesen, wenn sie unverschlüsselt übertragen werden. Und NSA logt sich mit dem Passwort nicht einfach mal so bei dem Dienst ein, die brauchen das nicht auf dem Weg machen.
legendary
Activity: 2702
Merit: 1261
September 22, 2014, 04:51:30 AM
#19
Richtig. Da die Browser keine vernünftige Schnittstelle bezüglich der Sicherheitsfunktionen bieten, nutze ich einfach mehrere Browserinstanzen. Für Logins, Bestellungen, etc. nutze ich eine Instanz ohne CAs und vor allem ohne Plugins. Für "unwichtiges" Browsen kommt eine Instanz zum Einsatz, die alles aktzeptiert und beim nächsten Start wieder im Grundzustand anfängt. Bei speziellen Anwendungen habe ich dann jeweils nochmal eigene Instanzen.

Der Aufwand dafür ist überschaubar.
copper member
Activity: 1498
Merit: 1528
No I dont escrow anymore.
September 22, 2014, 04:37:54 AM
#18
Aktuelle Versionen von Chrome, FF und alte IE Versionen (aktuelle sicher auch micht) warnen nicht.

Mein aktueller FF warnt definitiv bei Self Signed, die nicht in der Zertifikat-Liste sind, und bei abgelaufenen Zertifikaten.


Also generell machen die das, so war das nicht gemeint. Nur auf der Arbeit ist es so das die nicht meckern obwohl als Aussteller des Certs immer ein Firmenserver angegeben ist. Einzige Ausnahme die mir bis jetzt aufgefallen ist: Google via Chrome.

-snip-
Normalerweise sollte man erst mal alle CAs aus der Liste werfen. Bei kritische Services müsste jedes Zertifikat überprüft werden. Nur Verbindungen, die mit so einem (manuell) aktzeptierten Zertifikat abgesichert wurden, sollten als abgesichert angezeigt werden. Für unwichtige Verbindungen, bei denen keine Daten an den Server übertragen werden und auch keine wichtigen Informationen abgerufen werden, sollte man einfach jedes Zertifikat (auch Self-Signed) ohne (grossen) Aufwand aktzeptieren können. In diesem Fall sollte die Verbindung aber nicht als Abgesichert angezeigt werden.

Vollautomatische Sicherheit, um die sich "die Anderen" kümmern, ist eine Illusion!


/signed
Realistisch ist das im täglichen Gebrauch allerdings nicht.
legendary
Activity: 2702
Merit: 1261
September 22, 2014, 01:32:39 AM
#17
Aktuelle Versionen von Chrome, FF und alte IE Versionen (aktuelle sicher auch micht) warnen nicht.

Mein aktueller FF warnt definitiv bei Self Signed, die nicht in der Zertifikat-Liste sind, und bei abgelaufenen Zertifikaten.

Allerdings ist die CA Infrastruktur Broken-By-Design. Eine CA kommt durch eine Art Schutzgeldzahlung und nicht durch einen tatsächlichen Review ihrer Prozesse in die Browser. Die CAs stellen wiederum oft jedem dahergelaufenen Interessenten jedes beliebige Zertifikat aus. CRLs werden vom Anwender nicht genutzt und von den CAs auch nicht gepflegt. Die Anwender wurde so erzogen, dass sie Zertifikate nicht hinterfragen und auch nicht bei jedem neuen Zertifikat eine Überprüfung vornehmen, sondern sich vollständig auf die vorinstallierten CAs verlassen.

Normalerweise sollte man erst mal alle CAs aus der Liste werfen. Bei kritische Services müsste jedes Zertifikat überprüft werden. Nur Verbindungen, die mit so einem (manuell) aktzeptierten Zertifikat abgesichert wurden, sollten als abgesichert angezeigt werden. Für unwichtige Verbindungen, bei denen keine Daten an den Server übertragen werden und auch keine wichtigen Informationen abgerufen werden, sollte man einfach jedes Zertifikat (auch Self-Signed) ohne (grossen) Aufwand aktzeptieren können. In diesem Fall sollte die Verbindung aber nicht als Abgesichert angezeigt werden.

Vollautomatische Sicherheit, um die sich "die Anderen" kümmern, ist eine Illusion!
copper member
Activity: 1498
Merit: 1528
No I dont escrow anymore.
September 22, 2014, 12:57:50 AM
#16
Dir und mir fallen die gefälschten Zertifikate evtl. auf. Aktuelle Versionen von Chrome, FF und alte IE Versionen (aktuelle sicher auch micht) warnen nicht. Alle Certs sind vom Arbeitgeber ausgestellt, kann man sich auch im Detail ansehen, aber solange das Symbol schick grün ist hinterfragt das keiner. Und Nein die CA Liste im Browser ist nicht manipuliert, also zumindest bei FF (nicht 100% sicher aber ein kurzer Blick hat nichts merkwürdiges erkennen lassen) und Chrome (standalone Version) nicht.
Das Ding ist, wenn ich Deinen Router unter Kontrolle habe, dann kann ich Dir in der Regel alles unterjubeln. Das Prinzip mit den CAs und root certs ist einfach grundlegend kaputt. Die sind gerne mal so vertrauenswürdig wie der Drogendealer an der Ecke, aber da Dein Browser das anders sieht ist alles schick. DANE wird das hoffentlich ändern.
newbie
Activity: 7
Merit: 0
September 21, 2014, 05:04:51 PM
#15
Ja sicher, mit den richtigem Programm kann man alle unverschlüsselten Daten mitlesen.

SSL o.ä. geht auch mit dem richtigen Router/Tool (Stichwort: MITM). Private Schlüssel von einer Bitcoin app allerdings nicht, da diese nicht übertragen werden.

SSL oder viel mehr TLS selbst ist noch sicher, gefälschte Zertifikate fallen also auf. Alle aktuellen Browser warnen wenn das Zertifikat nicht von einer bekannten CA ist.
Mit anderen Worten: SSL ist nicht unbemerkt knackbar, es sei denn jemand hatte Zugriff zum entsprechenden Gerät um die Fake-CA zu trusten.
hero member
Activity: 964
Merit: 509
September 13, 2014, 05:58:22 PM
#14
Damit es in Zukunft nicht mehr vorkommt:

https://www.buytrezor.com/

Hardware Wallet, kostet ca 0,25 BTC also weniger als 1/10 deines Verlustes.
copper member
Activity: 1498
Merit: 1528
No I dont escrow anymore.
September 12, 2014, 07:14:18 AM
#13
Ja sicher, mit den richtigem Programm kann man alle unverschlüsselten Daten mitlesen.

SSL o.ä. geht auch mit dem richtigen Router/Tool (Stichwort: MITM). Private Schlüssel von einer Bitcoin app allerdings nicht, da diese nicht übertragen werden.
hero member
Activity: 770
Merit: 500
September 12, 2014, 01:23:10 AM
#12
Ja sicher, mit den richtigem Programm kann man alle unverschlüsselten Daten mitlesen.
full member
Activity: 365
Merit: 101
September 11, 2014, 09:32:07 PM
#11
ich frag mich ob es möglich ist meine daten zu klauen wenn ich mich bei jemanden über wlan einloge?
full member
Activity: 365
Merit: 101
September 11, 2014, 07:20:19 AM
#10
danke paul für deine tips
legendary
Activity: 1039
Merit: 1005
September 11, 2014, 04:49:37 AM
#9
ok onkel paul komm mir aber bitte nicht mit rechtschreib fehler
Ich hab's mir verkniffen, war aber echt schwer. Zumindest die Sache mit der Shift-Taste wollte ich eigentlich anbringen  Grin

mein wallet war immer um die ein bitcoin  habe gestern 2 bitcoins local gekauft und 2 stunden später waren 3.28 überwiesen (weg)
hatte kein 2 facktor sicherheit  gesendet wurde an diese adresse Gesendet an 1B3F5ujAzxTyNPJvwsJwVxx8hAmuXYugZq
txid 69039421ff8dba44d1f706e9cf82ea04cb84d9b271bdeb0cb2f387cd932b809b

Ok also irgend jemand ist an deine Wallet gekommen und hat sich da bedient. Ob das mit dem localbitcoins.com-Kauf zusammenhängt, ist nicht klar, aber wenn das zeitlich so zusammenfällt, ist der Verdacht plausibel. Hast du dem Verkäufer denn irgendeine Gelegenheit gegeben, an deine Wallet dranzukommen? Z.B. könnte kritisch sein, wenn es eine Online-Wallet war und er die Zugangsdaten sehen konnte.
Das sicherste ist immer eine Offline-Wallet (bitcoin core braucht die komplette Blockchain, das ist für viele etwas zu fett, aber Armory oder Electrum haben meines Wissens die Wallet nur lokal) mit Passwort-Schutz. Zum Kaufen von Bitcoins braucht man das Passwort nicht einzugeben, weil man den Eingang von Bitcoins auch ohne das kontrollieren kann. Damit wäre es schon relativ schwer, an die Wallet dranzukommen.
Wenn die Bitcoins schon weg sind, nützen Sicherheits-Ratschläge natürlich nicht mehr viel.

Bei der Suche nach dem Dieb kann ich wohl nicht viel helfen. Adressen sind doch ziemlich anonym, wenn der Dieb es geschickt gemacht hat, wird man kaum eine Verbindung zwischen ihm und der Adresse herstellen können. Und selbst wenn du den localbitcoin Verkäufer noch mal zu fassen bekommst, wird er wahrscheinlich alles abstreiten.

Onkel Paul
legendary
Activity: 2912
Merit: 1309
September 11, 2014, 04:08:30 AM
#8
Dann sieht es so aus als ob du kein Einzellfall bist.
Damit hast du dir deine Frage beantwortet


Sofern ich deine Fragmente richtig zusammgeparsed habe
full member
Activity: 365
Merit: 101
September 11, 2014, 03:58:35 AM
#7
ich habe diese adresse gegoogelt 1B3F5ujAzxTyNPJvwsJwVxx8hAmuXYugZq
txid da war ein betrugsfall auf englisch
full member
Activity: 365
Merit: 101
September 11, 2014, 03:55:08 AM
#6
ok onkel paul komm mir aber bitte nicht mit rechtschreib fehler

mein wallet war immer um die ein bitcoin  habe gestern 2 bitcoins local gekauft und 2 stunden später waren 3.28 überwiesen (weg)
hatte kein 2 facktor sicherheit  gesendet wurde an diese adresse Gesendet an 1B3F5ujAzxTyNPJvwsJwVxx8hAmuXYugZq
txid 69039421ff8dba44d1f706e9cf82ea04cb84d9b271bdeb0cb2f387cd932b809b

legendary
Activity: 1039
Merit: 1005
September 11, 2014, 03:27:01 AM
#5
Du musst echt an deinen Kommunikations-Skills arbeiten.

Wie soll dir irgend jemand sagen, ob dein Fall ein Einzelfall ist, wenn du nicht die geringsten Zusammenhänge außer "auf localbitcoins.com Geld geklaut" erzählst?
Natürlich gibt es haufenweise Fälle, wo Leuten Geld geklaut wurde (mit oder ohne Zusammenhang mit Bitcoin). Manche sind einander ähnlich, andere sind total anders. Ohne zu wissen, wie deiner ist, kann dir keiner sagen, ob er ähnlich zu anderen bekannten Fällen ist.

Onkel Paul
full member
Activity: 365
Merit: 101
September 11, 2014, 03:22:42 AM
#4
ich wollte auch wissen ob ich ein einzelfall
Pages:
Jump to: