Topic: Trezor one gehacked - page 2. (Read 944 times)

Der beste Virenscanner ist immer noch brain.exe brain.sh.
Virenscanner unter Windows sind größtenteils sowieso sinnfrei (heißt nicht, dass darauf verzichtet werden soll), da diese nur auf bereits bekannte oder sehr auffällige Malware anspringt.

Aktuelle Gefahren sowie leicht veränderte Malware (sodass eine andere Signatur entsteht, beispielsweise durch das Nutzen anderer Code-Bausteine) wird nicht erkannt.

Was brain.sh im Gegensatz zu allen Virenscannern kann, ist zu erkennen, dass eine neue gecrackte Version von Photoshop auf xxxhax0rforum.xyz höchstwahrscheinlich infiziert ist.
Kein Virenscanner der Welt hätte OP vor dem Diebstahl bewahrt. Es war ein einfacher Phishing Versuch der (leider) geklappt hat.


Daher würde ich zu Workshops raten, die den verantwortungsvollen Umgang mit Medien lehren.
Bis dahin: Für kritische und wichtige Sachen (z.B. Krypto-Angelegenheiten oder Daten welche nicht in die falschen Hände gelangen dürfen): Ein Windows-ähnliches (von der Nutzerfreundlichkeit) Linux (z.B. Linux Mint).
Und für alles andere: Windows.

Für einen Basis Antivirenschutz unter Windows (um nicht anderes ging es an dieser Stelle) - Es spielt keine Rolle ob ich als Privatanwender auf die Mircrosoft eigene Lösung Defender vertraue oder mir noch eine Aviara, Kaspersky, Norton, Avast oder was auch immer AntiViren Software auf einen Windows Rechner installiere. Die Home AV Lösungen sind inzwischen alle ziemlich gleich auf.


Quelle: https://www.pcwelt.de/news/Antivirus-Software-fuer-Windows-10-im-Test-10745746.html


Ich schätze dein Wissen, welches du in vielen Bereichen hier im Forum einbringst und das es unter Windows fast unmöglich ist eine gute Datensicherheit zu erreichen hast du auch völlig recht, aber diese Antwort hier war nicht Zielführend sondern eher verunsichernd auf die FrageEs bring doch nichts zu schreiben "Bingt allex nix!", wenn man keine besseren Optionen nennt.
Kannst du einen wirklich guten Virenscanner empfehlen, der sinnvoll wäre? Gern auch in Bezug auf zusätzlich in der AV-Lösung integrierte Schutzmechanismen zur Privatsphäre und Datenschutz was der Defender nicht bietet. Oder was sollte nixwisser denn deiner Meinung nach tun? Ein Umstieg auf Linux? Zeige doch einen für Ihn praktikabelen Weg auf, um seine Sicherheit in seiner gewohnten Umgebung (ich gehe nicht davon aus das er umgehend eine Windows Umgebung verlassen wird) deutlich zu verbessern.

Völlig ausreichend.. für was?
Für einen 0815 Nutzer dem der Schutz der eigenen Daten egal ist? Ja.
Für einen Nutzer, der (wenn auch nur ein wenig) auf Sicherheit achtet? Nein. Da wird es mit Windows aber sowieso schon schwierig.

Analoges Brain.exe != digitales Brain.exe.
Außerdem ist das analoge Verschleiß unterworfen.
 
But nobody is perfect. Me too 

Ich denke mal diese Public Keys sind mit der Frage gemeint


Nene darüber mache ich mir eigentlich keine Sorgen, obwohl man hat schon Pferde kotzen sehen
Meistens weiß ich was ich tue und Brain.exe wird ebenfalls benutzt.

Welche Keys? Die Privatekeys?

---

Oha, hoffentlich nicht der nächste Thread. 

Du hast es aber wenigstens gleich richtig verstanden
Ja Du legst ein neues Nutzer Konto an und verwendest für Crypto, oder auch sonst nur noch dieses. Wie schon oben beschrieben, kann sich dann nichts mehr unbemerkt auf deinem Notebook installieren ->muß immer bestätigt werden.

Ich muss zugeben, das ich auf meinen Windows 10 PCs auch immer als Admin unterwegs bin, aber meine Coins befinden sich auch alle auf meinem Ledger Hardware Wallet.

"nicht mit dem Administratorkennwort arbeiten" - das muss ich auch erstmal verstehen. D.h. ein weiteres Konto anlegen?

Konnte übrigens jemand was mit den keys vom Dieb was anfangen?

Würde ich genauso sehen, Windows Defender hatte in der Anfangszeit einen etwas schlechten Ruf, aber inzwischen benötigt man das "Schlangenöl" externe Antivirensoftware auf einem Home Rechner nicht mehr. Die Windows Boardmittel sind völlig ausreichend. Wichtig ist das Windows immer aktuell gehalten wird, damit Patches für Sicherheitslücken installiert werden und auch Defender immer aktuelle Definitionsdaten hat. Zusätzlich sich nicht auf dubiosen Webseiten rumtreiben und nicht jeden Mailanhang öffnen wenn man sich nicht sicher ist was sich dahinter verbirgt und den Absender kennt. Halt den gesunden Menschenverstand - brain.exe - walten lassen.
Weiterhin ist es ratsam nicht mit dem Administratorkonto am Rechner zu arbeiten. Dies hat den Vorteil das wenn eine (Schad-)Software etwas installieren will, dein Windows System dich nach dem Administrator Kennwort fragen muss, so das nichts unbemerkt ohne dein aktives zutun installiert wird.
Zusätzlich sollte man Installationsdatein unklarer Herkunft oder von sensiblen Anwendungen (zb. Wallet) lieber immer vor der Installation bei dem Onlinedienst https://www.virustotal.com überprüfen lassen wenn man sich nicht 100% sicher ist.

Genauso ist es und praktisch um Dateien vom heimischen Rechner, oder direkt die Downloadlinks von mehreren Virenscannern quasi gleichzeitig checken zu lassen.


Avira ist wohl von der Virenerkennung auch nicht der Schlechteste, aber unter Windows 10 würde ich mich mit dem bereits eingebauten Boardmittel "Defender" zufrieden geben. Seit Windows 10 gehört dieser von der Virenerkennung in Tests auch schon zu den besseren und der vergräbt sich nicht so im System wie Drittanbieter Lösungen.
Das alles zusammen und die schon besagte "Brain.exe" sollten in der Zukunft helfen, dass sowas hoffentlich nicht wieder passiert.

Virustotal ist kein Anti-Viren Programm im eigentlichen Sinn. Du kannst damit Dateien testen aber es ist kein Echtzeitschutz.

Ja sorry, hat mich auch einige Zeit gekostet, alles "aufzuarbeiten"...

Dann werde ich mir nun neben einem neuen Laptop noch den Trezor T besorgen und dieses NICHT aus ebay.

Auch das mit der google-Suche habe ich verstanden und kommt so nicht mehr vor!

Wenn ich es richtig verstanden habe, kann ich die http-Adresse kopieren und durch den Virustotal schicken, um sicher zu sein.

Reicht denn dieses Virusprogramm ( gefällt mir gut, wenn man nicht wieder kaufen und installieren muss ) oder soll ich mir Avira wieder aufspielen (die Lizenz dazu ist noch vorhanden)?

Da mole0815 vorhin etwas kurz angebunden war, versuche ich ich dir dies noch etwas zu verdeutlichen, warum eine Google-Suche nicht immer die beste Idee ist.

Ein Scammer könnte zum Beispiel die Domain https://trez0r.io/ oder https://trezor.securitywallet.io/ registrieren und mit einer Quasi 1:1 Kopie der Originalseite bestücken.
Dann fleißig SEO betreiben oder Google Adwords Anzeigen zu dieser Seite schalten. Damit taucht diese Fakeseite bei einer Suche nach dem Original immer sehr präsent zusätzlich auf der ersten Ergebnisseite mit auf und eine kleine Unachtsamkeit (z.B. durch eine Ablenkung) führt zu einem Klick auf die falsche Seite weil man nicht mitbekommt das TREZOR nur eine Subdomain oder falsch geschrieben ist. Da die Seite wie das Original aufgebaut ist, achtet man meist auch nicht mehr so genau auf die URL und schon kann eine infizierte Software untergeschoben werden.

Wenn du den Installer des Updates noch hast, kannst du diesen auf Schadsoftware prüfen, in dem du diesen bei dem Onlinedienst https://www.virustotal.com hoch lädst und von verschiedenen Virusscan Engines prüfen lässt ohne selbst jeden Virenscanner selbst installieren zu müssen.

Moin,
ich will nur kurz zu meiner Antwort bzw. deiner Reaktion antworten. Du hast natürlich recht, dass man da nichts eintragen kann, mein Fehler.
Ich nutze den Trezor T (also das TouchScreen-Modell) da geht das. Würde ich (auch wenn etwas) teurer auch bisher weiterempfehlen. Ich finde es übersichtlich und gut verständlich, unterstützt aber auch alles was man so brauchen kann.

Zu Trezor vs. ledger und was besser ist in welcher Hinsicht kann ich nichts sagen.

Mein Tipp wäre: Kauf dir einen Trezor T und keinen One.

Zur Passphrase: Es ist eine zusätzliche Sicherheit, die die Sicherheitslücke der Tresors schließt. Der Seed (also die Wörter die du leider eingegeben hast) sind ja auf dem Gerät gespeichert und werden mit der Geräte-PIN verschlüsselt. Leider ist es bei Trezor möglich den Seed auszulesen (kann laaange nicht jeder und du brauchst physischen zugriff sowie Equipment aber es geht) auch wenn der mit der PIN verschlüsselt ist. Eine längere PIN ist aber dennoch besser als eine kurze soweit ich informiert bin.

Was tut jetzt die Passphrase? Es ist nachdem du den Trezor angeschlossen hast und die PIN eingegeben hast noch eine Art zweites Passwort. Das kann auch allen Zeichen bestehen die du willst und wird eben NIE auf dem Gerät gespeichert. Dadurch kann es auch NIE ausgelesen werden. Sprich wenn jemand der Trezor klaut und den Seed ausliegt kommt er zwar auf das "Standart"-Wallet aber eben nicht auf das der Passphrase. Die Passphrase ist somit quasi ein 25. Wort des Seeds, wodurch sich ein ganz neues Wallet ergibt.

Ich hoffe das macht alles Sinn...sonst fragt gerne. ABER wenn du eine Passphrase nutzt musst du sie dir gut merken! Ohne die kommst du an nichts mehr dran da hilft auch der seed nicht mehr!

Das ist leider zu viel um es auf einmal zu beantworten... aber Stück für Stück bekommen wir das schon hin.

1) Eine versiegelte Verpackung reicht leider nicht aus. Offizielle Händler verwenden und zusätzlich die Webseite der Anbieter haben besuchen: https://trezor.io/support/logistics/authenticity/

2) Eine Webseite googlen und dann das Ergebnis davon verwenden ist leider auch (grob) fahrlässig.

3) brain.exe war ein Scherz. Damit ist "Hirn einschalten/verwenden" gemeint. Und nein die Sicherheit von Windows reicht leider nicht aus... vor allem nicht wenn man seine eigene Bank ist.

Da haben wir noch ein paar Baustellen um das Thema hier fertig aufzuarbeiten. Muss jetzt los aber stehe nachher gerne mit Rat und Tat zur Seite.

Liebe Mitglieder – hier hat sich einiges getan und ich melde mich erst jetzt zu Wort, da ich im Urlaub war und keinen Laptop hatte.
Hier einige Antworten / Anmerkungen:
@bct_ail:
Beide Trezor wurden im Internet bestellt, der erste über die Trezor-Seite selbst, den zweiten dann über einen freien Händler ( Verpackung versiegelt, hoffe das reichte! )
An unserem Zweitwohnsitz haben wir eine verschlüsselte WLAN-Verbindung über eben unseren  Freund, der sein update auf die gleiche Weise bei sich zu Hause durchgeführt hat.

@mole0815:
Das update wurde gegen 13 Uhr versucht durchzuführen, als es bei 40% stehenblieb (hier wurde nach den Wiederherstellungswörtern gefragt). Die Transaktionen durch das Subjekt wurden zwischen 16:40 h und 18:00 Uhr durchgeführt.
 
@Lafu:
Wie soll man erkennen, ob es sich um die „echte“ Seite handelt? Die Internetadresse lautet: https://trezor.io/   ( über google trezor.io gesucht ), dort dann die Hardware verbunden und der Anmeldung folgen…
Ist Virustotal ein Programm?

@Acura3600:
Was ist TX ID´s? Meinst Du die lange Ziffer-und Zahlenfolge der wallet, wo es hinging? Das wird keinen Zweck haben, denn diese sollen ja nicht nachzuverfolgen sein und man sieht sie erst, wenn der Diebstahl geschehen ist.
1b4qp7ys6fsCePHirDgUae4vPBYh7yaR4        2 Transaktionen
32ya4sD63aAJPKycD32r1awqcb6AmzMLoE     2 Transaktionen
3ASA3RxSogLJED1Ppr65hfGXw88K8V99jo      1 Transaktion

Wir haben uns nun einen neuen Laptop bestellt. Was ist brain.exe? Ein Virenprogramm? Ich dachte, die Sicherheit von Windows reicht aus?
Dann nochmal zur Eingabe  – sobald man den Trezor one anschliesst, erscheint auf dem Bildschirm ein Fenster mit neun Feldern, alle nur mit einem Punkt versehen. Auf dem Trezor ist das gleiche Fenster, jedoch mit Zahlen und diese immer wieder neu angeordnet. Auf dem Bildschirm klickt man dann die Felder seines Anmelde-Codes. Dieses kann doch nicht gehackt werden!?  Auch die Reihenfolge der 24 Wörter wird durch den Trezor vorgegeben – wie ist das alles möglich herauszufinden?
Übrigens: trezor hat sich bis heute noch nicht gemeldet, egal wo nun die Ursache lag…

@MM_Group_ :
Am Trezor one kann man nichts eingeben, dafür ist die Tastatur doch zu winzig. Und was ist eine Passphrase?  Wie gesagt, würde ich meinen neueren Trezor gern nutzen mit neuen Zugangsdaten.

@bob123:
Kann ich mit diesem recovery mein Trezor neu starten?
Welche Aufbewahrungsart gibt es noch ausser Ledger?

Deshalb sagte ich ja auch, dass es derzeit keine bekannte Schwachstelle diesbezüglich gibt.

Die von dir genannten Schwachstellen sind bereits gefixt und stellen kein Sicherheitsrisiko mehr dar.
Das macht den Ledger was Szenarien wie z.B. Evil Maid angeht, besser als einen Trezor welcher aufgrund von falschen Designentscheidungen anfällig ist und bleibt.

Wie oben bereits erwähnt, hängt alles vom eigenen Threat Model ab.
Das es keine 100%ige Sicherheit gibt ist ja klar. Hardware Wallets sind auch nicht die sicherste Methode der Aufbewahrung, stellen aber einen sehr guten Trade-off zwischen Nutzerfreundlichkeit und Sicherheit dar.

https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/
https://media.ccc.de/v/35c3-9563-wallet_fail#t=1242

Mit physischem Zugriff und etwas Geschick wird man früher oder später alles aufkriegen...

Thx! Good to know.

Aktuell ist keine Schwachstelle bekannt die dies ermöglicht.
Das heißt natürlich nicht, dass es nicht möglich ist. Insbesondere da wichtige Teile des Secure Elements closed source sind (wegen NDA).

Aber definitiv gibt es zurzeit keinen öffentlich bekannten Angriff um den Seed von einem Ledger zu extrahieren.
Was also den physischen Zugriff angeht, ist Ledger aktuell besser aufgestellt als Trezor.