Topic: Trojaner stiehlt Bitcoins (Read 2862 times)

a) Ja.
b) Keine Ahnung.

Besser wäre es wenn du ein sauberes System hast extra für Bitcoin (z.B. auf dem usb stick). Die coins die du ausgeben willst kannst du dann an eine Adresse auf deiner Windows wallet schicken.
Wenn die ganze wallet auf deinen Windwos Rechner kopierst kann ein potentieller Trojaner ALLE coins klauen, nicht nur die paar die du zum weitersenden an die Windows wallet gesendet hast.

Ich hätte noch 'ne andere Idee.

Wer ein (Synology) NAS besitzt, kann die wallet.dat gezipt und verschlüsselt auf der NAS in irgendeinem dem Internet unzugänglichen Ordner oder Volume speichern. Bei einem RAID1 ist sie auch noch vor Verlust gut geschützt.

Wer noch ein bisschen besseren Zugriff haben will, der richtet sich ein iSCSI-Volume ein und die Volume connectet dann automatisch bei jedem Neustart des Rechners. Auf der Volume befindet sich dann ein TrueCrypt-Container, der nur bei Bedarf geöffnet wird.

Die Einrichtung einer zweiten öffentlichen Wallet wäre auch noch zu empfehlen, da werden die Eingänge verbucht und einmal am Tag in die gesicherte Wallet verschoben. Kann sogar alles vollautomatisch funktionieren.

cul8er.

Metasploit kommt jetzt auch mit einem Modul für die wallet daher

http://de.wikipedia.org/wiki/Metasploit
https://dev.metasploit.com/redmine/projects/framework/repository/revisions/12993/entry/modules/post/windows/gather/bitcoin_jacker.rb

muss wegen einer transaktion mein wallet nach langer zeit mal wieder vom usb-stick auf meinen windows-rechner überspielen. hab gehört, dass wenn ich mir den trojaner schon eingefangen hab, dieser die wallet datei gleich überspielt.

a) stimmt das?

b) gibts irgendein tool das speziell nach diesem trojaner sucht. will nicht unbedingt spybot jedes mal komplett rüberlaufen lassen. das dauert immer ewig.

danke

Genau das dachte ich mir auch. Als ob das ein Zufall ist. Und im übrigen...

- Autodieb stiehlt Mercedes S-Klasse!
- Bankräuber stiehlt 2,5 Millionen Euro!
- Bankräuber stiehlt 2,5 Millionen Dollar!
- Bankräuber stiehlt 2,5 Millionen Pfund!

...also auf jeden Fall müssen die Mercedes S-Klasse, der Euro, der Dollar und das Pfund abgeschafft werden.
Meist geklautes Automobil 2010 übrigens Porsche Cayenne und das obwohl der Porsche Cayenne eines der
besten Sicherheitssysteme an Board hat.

Meiner Meinung nach...

- Linux installieren
- Daten verschlüsseln
- keine Downloads aus dubiosen Quellen
- mit der eigenen Identität und eigenen Daten etwas vernünftiger umgehen

...dann sollte man eine Sicherheit habe die bei fast 100% liegt.

Liebe Grüße, E-\/OLUTION

Kleiner Einwurf nochmal, sogar die Banken bei uns stellen Ende des Jahres auf so etwas ähnliches um.
Beim Online Banking fallen die TAN Listen weg und werden durch persönliche TAN Generatoren ersetzt, die aussehen wie kleine Taschenrechner. Die TAN wird dann erst bei Bedarf mit Hilfe von der jeweiligen vorgegEbenen Code Eingabe generiert.

Daß diese Trojaner-Warnung ausgerechnet von Symantec - dem Profi aller Systemschrottungs-Utilities - in die Welt gesetzt wurde, irritiert scheinbar nicht.

Sowas wie einen vollständigen Reset gibt es glaub nicht. Man kann eben die einzelnen applets installieren/löschen wobei man aber den Schlüssel braucht.

AVR?

Verdammt, der partitielle Weg zur Weltherrschaft ist unterbunden! Wobei interessanterweise über das Baseband die Möglichkeit besteht, Applikationen auf der Simkarte zu installieren, wobei ich da auf eine Chaosradio-Express Sendung verweisen muss.

60 Simkarten bekommt man, wenn man freundlich fragt, ob man diese Werbekiste von Vodafone mitnehmen darf, da sich eh keiner dafür interessiert. Zuerst war der Plan, die jeweils 3€ auszucashen, aber Vodafone hat da 0900er unterbunden.

Kann man die Karte nicht völlig resetten? Wenn man die Lockbits bei 'nem AVR setzt, kann man das Programm auch nicht mehr auslesen, den AVR aber immernoch löschen und neu beschreiben.



Bisher hab ich nur von SC-Reader + Software gelesen, wobei der Reader wohl generisch sein kann. Wie weit das umsetzbar ist, weiß ich allerdings nocht, dafür ist meine ToDo-Liste zu lang.

--berndl


Edit:
http://www.youtube.com/watch?v=aCM9KN2pzQE&NR=1 ist ein verdammt interessantes Video zu dem Thema…

Gar nicht, man kauft sie fertig aus sicherer Quelle. 

60?
An SIM Karten kann man leider nichts mehr rumcoden. Allgemein kann man auf java cards verschiedene card applets drauf packen, man braucht dafür aber nen key, und den bekommt man leider nicht bei Karten die ne javacards als Unterbau nutzen. Bei basiccard ist es ähnlich, ich weis nicht wie umfangreich die in der Praxis benutzt werden aber man kann die, wenn die fertige Anwendung drauf ist, finalisieren. Dabei werden verschiedene Sicherheitsfunktionen aktiviert und vorallem kann man an der Karte nichts mehr ändern.

Und wie will man die als "normaler User" programmieren bzw. beschreiben?

Ist aber schon mal ein interessanter Ansatz diese Karten Geschichte.

Hm, interessant, die kannte ich bisher nicht. Und laut Wikipedia:
Ich hab hier noch 60 von Vodafone rumliegen, die könnte ich mal ausprobieren…

Brauch noch jemand eine nicht-aktivierte Simkarte von Vodafone mit 3€ Startguthaben gegen Versandkosten? PM! --berndl

Oh ist wohl an mir vorbei gegangen.  
Danke für die Info.

Man braucht keine Sonderanfertigungen, man kann z.B. java cards und basic cards benutzen. Diese muss man dann eben noch entsprechend programmieren.
Jedes mal wenn der bitcoin client einen neuen public key benötigt muss das Schlüsselpaar im der Smartcard generiert werden, wobei der private key die Karte nie verlassen kann.
Das ist imho der einzige Weg bitcoin für den "normalen User" ausreichend abzusichern (praktisch 100% sicher).

Allerdings gibt es zwei Probleme dabei:

1. Man muss irgendwie ein Backup von der Smartcard machen können wobei die privaten Schlüssel die Smartcard verlassen können müssen.
2. Die wallet.dat kann ganz schön groß werden, wahrscheinlich zu groß für aktuelle Standard-Smartcards. Vielleicht könnte man auf die Smartcard nur eine Art Hauptschlüssel drauf machen, mit der die wallet.dat auf dem PC entschlüsselt werden kann. Das darf dann aber NICHT auf dem PC passieren sondern die Smartcard muss sich die wallet.dat vom PC senden lassen, beim empfangen entschlüsseln und nur die benötigten Daten temporär speichern. Dann die entsprechende Transaktion signieren und dem PC geben.

Hast Du die Newsseite gelesen? Das steht, daß der Tronajer "Infostealer.Coinbit" getauft wurde.

http://www.symantec.com/security_response/writeup.jsp?docid=2011-061615-3651-99

Also was ich nur komisch finde, es heisst immer "Trojaner klaut Bitcoins", doch es hat ihn wohl noch keiner gefunden, es gibt keinen Namen, er ist in noch keinem Secure Lab aufgetaucht, nichts. Ich find das echt mal alles sehr, sehr komisch.

Naja aber wenn man sich da mal ein bisschen einliest und mit beschäftigt, ist es schon machbar.

Leicht in der Umsetzung? Ja, wenn man von der Thematik Ahnung hat. Hab ich selber nicht sonderlich viel, vielleicht grade mal mehr als der durchschnittliche GPG-User, aber nicht genügend, um es zu implementieren.



Nö, ich dachte da an Kryptokeys auf einer Smartcard. In der wallet.dat sind ja nur kryptographische Keys für ECC, mit denen die "Überweisungen" signiert werden und die sollen halt auf die Smartcard.

Wenn man die wallet.dat auf einen USB-Stick packt, der über die Smartcard verschlüsselt ist, erzeugt man im Moment des Entschlüsselns eine unverschlüsselte Kopie im Speicher des Computers, das ist genau das, was man auf garkeinen Fall haben will, da sonst wieder ein Trojaner kommt und die unverschlüsselte Kopie aus dem Speicher mitnimmt.

_Alles_ wichtige passiert auf der Smartcard, von Speicherung der Schlüssel bis signieren der Transaktionen, da man sonst _immer_ eine Lücke für einen Angreifer lässt. Die Smartcard nimmt vom Smartcardreader nur eine Pin (optional), die Zieladresse und den Betrag an, der Smartcardreader nimmt vom Computer nur die letzten beiden Sachen an und keine Berechnung verlässt die Smartcard.

Die wird afaik eine Sonderanfertigung sein und das geht ma so richtig ins Geld. Was man kaufen kann, sind Speicherkarten, die so 1kb Speicher haben, den man letztendlich über I2C ansteuert. Was man für mein Gedankenexperiment haben will, ist eine Smartcard, die einen integrierten Mikrocontroller mit Kryptoeinheit hat, der dann exklusiven Zugriff auf den Speicher besitzt, sodass man über die Schnittstelle nciht mehr auf den Speicher zugreifen kann, weil man sonst auch mal eben so die Keys auslesen könnte.


--berndl

Haha, den Reiner SCT hab ich auch ^^ Ein Königreich für den Meister der Programmierkünste, der die API vom Secoder in den BTC-Client implementiert, und noch einen USB-Stick einbindet, welcher das encryptete Wallet enthält,vielleicht noch nen automatisches Backupsystem für ne cloud .

Dann müsste man sich nur noch ne leere Smartcard kaufen und nen USB-Stick für zusammen nen paar Euro fünzig und dann wärs das für die gierigen Trojaner-Script-Kiddies gewesen

Und komfortabel wärs auch, Stick mit der Wallet in den Rechner, und wenn man überweisen möchte, Pin in den Secoder tippen

Und bis es soweit ist, noch einen Tipp: legt euch nen Account bei bitmarket.eu(oder woanders, aber da kann man sicher und komfortabel in Euro umtauschen) zu, und nutzt den St.Eligius-Pool(oder die meisten anderen, Eligius kommt allerdings ohne pw aus, welches man hacken kann :]), dann müssen die BTC nicht einmal auf euren Rechner um sie zu versilbern, und wenn doch weil ihr kurz was per BTC bezahlen wollt, kurz halt den nötigen Betrag ins Wallet überweisen, oder vorrübergegend die Auszahlungsadresse beim Bitmarket abändern... muss ja nicht sein das die Skriptkiddies unnötigerweise Erfolgserlebnisse vorzuweisen haben

jm2p Zeph

Ich mach auch Banking über HBCI mit nem teuren Reiner SCT (für HBCI und digitalem Perso). Von daher hätte ich sogar ein Lesegerät für eine Smartcard. Aber wer würde sich schon für Bitcoins ein teures Gerät kaufen, wenn es fürs Onlinebanking schon kaum einer macht.

Ich denke ein Kompromiss wäre eine 2stufige Verifizierung zur verschlüsselten Wallet.
1. Stufe gutes Passwort (das sollte mindestens integriert sein)
2. Stufe Yubikey oder RSA Key (optional und wenigstens nicht ganz so teuer wie ein Smartkartleser mit Display und eigener Tastatur)

Ich mag halt meinen Yubikey und lass mir den nich madig machen Außerdem braucht der keine Batterie und pass an mein Schlüsselbund, so

Also Berndl deinen Ansatz finde ich super. Wäre auf jeden Fall ne gute Möglichkeit und auch eigentlich ziemlich leicht in der Umsetzung.

Wobei man das hier von der technischen Seite mal angehen könnte.
Eine integrierte Verschlüsselung der wallet.dat wäre recht brauchbar, solange der Trojaner nur die wallet.dat klaut und nicht weiter intelligent ist, um direkt ein Keyloggermodul* mitzubringen. Also garnicht.

Einzig und allein mit nicht-kompromittierbarer, externer Hardware, lässt sich das absichern, indem z.B. die kryptographischen Schlüssel, die in der wallet.dat liegen, auf einer Smardcard o.ä. verarbeitet werden und man ein externes Interface mit Display und Tastatur hat, auf der man Empfänger und Summe bestätigen muss.
Über das Interface zum Computer gehen dann nur Empfänger und Summe und die Smardcard führt die Signatur aus, die sie wieder zum Computer zurückschickt, um die kryptographisch signierte Bestätigung ins Netzwerk einzupflegen.

Da das aber einen imensen Aufwand bedeutet, um das Prinzip sicher und richtig zu implementieren, werden wir uns bei Bitcoin die nächsten paar Jahre wohl mit maximal einem Passwortschutz begnügen müssen, wenn man nicht einfach ein System auf einem USB-Stick nimmt, von dem man zum überweisen startet.

*: Nein, auch ein Konzept, wie beim nPa reicht nicht. Eine wild gemixte Bildschirmtastatur bringt nichts, wenn der Keylogger bei jedem Klick einfach einen Screenshot anfertigt, wodurch zumindest der nPa mit Basislesegerät in der Theorie schon kompromittiert ist, wenn der nPa noch auf dem Lesegerät liegt:
Per Netzwerk kann der USB-Kartenleser zum Angreifer getunnelt werden, der ihn dann wie einen lokalen benutzen kann und die Pin kennt er dank Keylogger oder Screenshots, aber das ist offtopic.

tl;dr: Bitcoin sicher gegen Angreifer (unter Windows): Nur mit externer, kostenaufwändiger, Hardware --berndl

... wie gestern bereits im "Presseberichte-Thread" verlinkt

http://www.heise.de/newsticker/meldung/Trojaner-stiehlt-virtuelle-Waehrung-1262760.html