Wette: Bitcoin-Futures. Very hot. Very short. - Hop oder top?

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: OhShei8e on December 14, 2017, 01:27:30 PM

Okay, Du bist dann in Zukunft nie wieder unaufmerksam und nutzt kein menschliches Hirn mehr.

Bzgl. signierter Nachrichten sind wir uns ebenfalls einig, war doch Ausgangspunkt der Diskussion. Bei Multisig hast Du eine andere Ansicht, die sich mir nicht erschließt, weil sie gar nichts mit der "Absicherung der Authentizität" von Forumsnachrichten zu tun hat, sondern mit der Absicherung der Wetteinsätze selbst. Brauchen wir aber mE nicht weiter vertiefen.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: twbt on December 14, 2017, 01:16:11 PM

Nee, wir sind uns einig. Man nennt das Unaufmerksamkeitsblindheit. Wie oben schon beschrieben: Ich war abgelenkt und wollte meine Wettschulden begleichen. Also habe ich mich auf die Adresse fokussiert.

Okay, Du bist dann in Zukunft nie wieder unaufmerksam und nutzt kein menschliches Hirn mehr. Gosh, ich gebe auf.

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: OhShei8e on December 14, 2017, 01:04:07 PM

Nein, da sind wir uns gerade nicht einig. Dir unterläuft hier ein Rückschaufehler. Natürlich siehst Du es jetzt.

In der Situation standen Deine Chancen aber wesentlich schlechter, weil unsere Hirne auf bekannte Muster filtern und Details meist gar nicht auswerten, selbst wenn wir genau hinschauen. Deswegen erfreuen sich z.B. Suchbilder so großer Beliebtheit.

Du gehst ja im Normalfall nicht davon aus, dass Du gerade betrogen wirst. Dazu kommt das viel zu selten vor.

Nee, wir sind uns einig. Man nennt das Unaufmerksamkeitsblindheit. Wie oben schon beschrieben: Ich war abgelenkt und wollte meine Wettschulden begleichen. Also habe ich mich auf die Adresse fokussiert.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: c_lab on December 13, 2017, 07:52:40 PM

@ohschei8e: deine Paranoia in allen Ehren, aber es gibt nunmal keine 100%ige Sicherheit im Neuland. Auch nicht für jemanden, der darauf 24/7 seiner Zeit verwendet.

Die entsprechenden Nachrichten zu signieren und zu prüfen kostet euch eine zusätzliche Minute. Wesentlich weniger Zeit als diese ganze Diskussion. Gleichzeitig erhöht es die Sicherheit drastisch. Multisig ist hingegen wesentlich aufwendiger und bringt ohne signierte Nachrichten kaum zusätzliche Sicherheit.

Das ist ein bisschen so wie mit den Jatravartids aus dem Hitchhiker, die das Deo-Spray vor dem Rad erfunden haben.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: twbt on December 13, 2017, 07:54:36 PM

Wir sind uns doch einig, dass ich einfach auf die linke Seite der
Nachricht hätte schauen müssen, dann hätte ich gesehen, dass das ein
Newbie-Account gepostet hat.

Nein, da sind wir uns gerade nicht einig. Dir unterläuft hier ein Rückschaufehler. Natürlich siehst Du es jetzt.

In der Situation standen Deine Chancen aber wesentlich schlechter, weil unsere Hirne auf bekannte Muster filtern und Details meist gar nicht auswerten, selbst wenn wir genau hinschauen. Deswegen erfreuen sich z.B. Suchbilder so großer Beliebtheit.

Du gehst ja im Normalfall nicht davon aus, dass Du gerade betrogen wirst. Dazu kommt das viel zu selten vor.

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: OhShei8e on December 13, 2017, 07:39:05 PM

Dann habt ihr einfach Probleme bei der praktischen Umsetzung. Es ging hier ja um 600watts Adresse, nicht um Deine. 600watt hätte in diesem Fall seine Nachricht signieren müssen. Und Du hättest die Signatur überprüfen müssen.

Wir sind uns doch einig, dass ich einfach auf die linke Seite der Nachricht hätte schauen müssen, dann hätte ich gesehen, dass das ein Newbie-Account gepostet hat. Dieser kleine Scam hier war also weder ein Hack noch besonders clever, sondern traf auf einen Idioten, der abgelenkt schnell seine Wettschulden begleichen wollte. Mehr nicht.

Quote from: OhShei8e on December 13, 2017, 07:39:05 PM

Ich verstehe auch nicht, warum es für Dich so unvorstellbar ist, dass man bei einer PHP-Forensoftware einfach die Anmeldung umgehen kann, z.B. mit einer SQL-Injektion?

Unvorstellbar? Für mich? lol.

Quote from: OhShei8e on December 13, 2017, 07:39:05 PM

Die Admins waren nur ein Beispiel. Es kann auch schlicht jemand sein, der einen Admin-Account übernommen oder gekauft oder sich sonstwie Zugang dazu verschafft hat. Oder jemand, der über eine Lücke in der Forensoftware sich unter falscher Identität anmelden konnte.

Captain Obvious hat wieder gesprochen, ja.

Quote from: OhShei8e on December 13, 2017, 07:39:05 PM

Aber egal, ihr könnt das machen wie ihr wollt. Auch wider besseres Wissen.

Genau. - Aber, wie gesagt: das passende Instrumentarium ist schon lange ausgebreitet im Forum. Die drei Ehrenmänner haben sich aber auf einen anderen Modus geeinigt, weil wir das schlicht mehr oder weniger nebenbei abgewickelt haben. Sollte ich doch nochmal wetten hier, werde ich das - wie auch schon mehrfach geschrieben - anders machen. Weil ich es a) anders kann und b) es anders besser ist. Wink

c_lab

legendary

Activity: 1202

Merit: 1042

Quote from: OhShei8e on December 12, 2017, 05:14:21 PM

Das Forum basiert auf einer veralteten SMF-Version mit diversen bekannten CVEs, wo ich keine Ahnung habe, ob die alle gepatcht sind.

Auch wenn ich mich damit noch nie beschäftigt habe, kann man wohl davon ausgehen. Sonst wäre kein vv statt w für den Scam nötig gewesen. Auch ein Forenhack sollte für niemanden ein Problem darstellen, wenn man hier keine sensiblen Daten per PM verschickt. Roll Eyes

@ohschei8e: deine Paranoia in allen Ehren, aber es gibt nunmal keine 100%ige Sicherheit im Neuland. Auch nicht für jemanden, der darauf 24/7 seiner Zeit verwendet.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: twbt on December 13, 2017, 07:01:11 PM

Ohne Dir zu nahe treten zu wollen: Du trägst Eulen nach Athen. Und redest dann von Thessaloniki. Mein Haus steht aber auf einer griechischen Insel. Wink

Dann habt ihr einfach Probleme bei der praktischen Umsetzung. Es ging hier ja um 600watts Adresse, nicht um Deine. 600watt hätte in diesem Fall seine Nachricht signieren müssen. Und Du hättest die Signatur überprüfen müssen.

Ich verstehe auch nicht, warum es für Dich so unvorstellbar ist, dass man bei einer PHP-Forensoftware einfach die Anmeldung umgehen kann, z.B. mit einer SQL-Injektion?

Die Admins waren nur ein Beispiel. Es kann auch schlicht jemand sein, der einen Admin-Account übernommen oder gekauft oder sich sonstwie Zugang dazu verschafft hat. Oder jemand, der über eine Lücke in der Forensoftware sich unter falscher Identität anmelden konnte.

Aber egal, ihr könnt das machen wie ihr wollt. Auch wider besseres Wissen.

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: OhShei8e on December 13, 2017, 06:36:32 PM

Typischerweise tauschen die Leute einfach ihre Pubkeys aus und arbeiten dann damit. Über die Zeit entsteht Vertrauen. ...
Und ihr braucht dafür nicht einmal PGP, weil Bitcoin bereits alles notwendige an Bord hat. ... Hier ist eine Anleitung ... Die Adresse, mit der ich signiere, würde ich nicht für Zahlungen verwenden, sondern nur zum Signieren.

Hatte ich doch oben analog vorgeschlagen. Und es gibt hier ja sogar:

Quote from: phantastisch on January 11, 2015, 09:24:34 AM

Code:

Adressverzeichnis
twbt 1twbt175tipnVk8XW2XjASiXWiGVxvE5c

Auf Basis meiner im Forum signierten Adresse, die ich auch idealerweise tatsächlich nur zum Signieren genutzt habe. Dazu gab es auch im Vorfeld verschiedene Diskussionen. Wink

- Aber, bei Deinem "die Foren-Admins-sind-die-Scammer"-Ansatz bringt das natürlich alles nix, da die ja alles manipulieren können.

Ohne Dir zu nahe treten zu wollen: Du trägst Eulen nach Athen. Und redest dann von Thessaloniki. Mein Haus steht aber auf einer griechischen Insel. Wink

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: twbt on December 13, 2017, 06:10:01 PM

Okay. Stelle ich mir vor: Wir sind dann also weg von dem 12-Jährigen und bereits bei "den Admins". Jetzt überweist der also an eine Multisig-Adresse, die er zuvor ausgetauscht hat, 0,1 BTC für die Wette. Und dann? Verhindert er, dass 600watt einschreiten kann, indem er einfach das Passwort ändert. Dann ruft 600watt qwk an, den er persönlich kennt. Und qwk schreibt, dass das ein Fake ist. Dann kommt "der Admin" und macht auch qwk einfach platt. Mist, Du hast recht. "Der Admin" könnte das wirklich so durchziehen, um 0,1 BTC von mir zu scammen. Ich wähle demnächst dafür also lieber die Notar-Variante. Nur, dann ändert ja "der Admin" die PM, die 600watt an mich geschickt hat, um mir seine Telefonnummer mitzuteilen, damit wir uns für den Notartermin verabreden können und schickt seine Mittelsmänner einfach dahin. - Ich gebe mich geschlagen. Ich werde im Forum nie wieder wetten. Wetten? Einsatz: 0,1 BTC.

Typischerweise tauschen die Leute einfach ihre Pubkeys aus und arbeiten dann damit. Über die Zeit entsteht Vertrauen.

Wenn ihr eure Nachrichten regelmäßig signiert, dann wird es immer wahrscheinlicher, dass ihr die richtigen Keys ausgetauscht habt. Spätestens, wenn ihr mal eine Wette so durchgeführt habt. Die Keys verwendet ihr dann einfach weiter. Beim ersten mal passt man auch besser auf. Die Fehler passieren, wenn es irgendwann zur Routine geworden ist. Und dann hilft es ungemein, wenn signierte Nachrichten mit zur Routine gehören.

Und ihr braucht dafür nicht einmal PGP, weil Bitcoin bereits alles notwendige an Bord hat.

Hier ist eine Anleitung:

https://bitcointalksearch.org/topic/how-to-sign-a-message-990345

Die Adresse, mit der ich signiere, würde ich nicht für Zahlungen verwenden, sondern nur zum Signieren. Das ist aber ein weniger wichtiges Detail und vielleicht auch Geschmackssache.

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: OhShei8e on December 13, 2017, 05:53:20 PM

stell Dir einfach vor hier kann sich jemand unter beliebigen Accounts anmelden. Die Admins können das sowieso, aber vielleicht auch noch andere. Man sollte davon ausgehen.

Der Angreifer meldet sich dann einfach als 600watt an und tauscht in 600watts Nachricht die Bitcoin-Adresse aus.

Okay. Stelle ich mir vor: Wir sind dann also weg von dem 12-Jährigen und bereits bei "den Admins". Jetzt überweist der also an eine Multisig-Adresse, die er zuvor ausgetauscht hat, 0,1 BTC für die Wette. Und dann? Verhindert er, dass 600watt einschreiten kann, indem er einfach das Passwort ändert. Dann ruft 600watt qwk an, den er persönlich kennt. Und qwk schreibt, dass das ein Fake ist. Dann kommt "der Admin" und macht auch qwk einfach platt. Mist, Du hast recht. "Der Admin" könnte das wirklich so durchziehen, um 0,1 BTC von mir zu scammen. Ich wähle demnächst dafür also lieber die Notar-Variante. Nur, dann ändert ja "der Admin" die PM, die 600watt an mich geschickt hat, um mir seine Telefonnummer mitzuteilen, damit wir uns für den Notartermin verabreden können und schickt seine Mittelsmänner einfach dahin. - Ich gebe mich geschlagen. Ich werde im Forum nie wieder wetten. Wetten? Einsatz: 0,1 BTC.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: twbt on December 13, 2017, 11:26:57 AM

Quote from: OhShei8e on December 12, 2017, 05:14:21 PM

Quote from: twbt on December 12, 2017, 09:31:52 AM

Jeder Fall wäre leicht zu erkennen gewesen, wenn ich hingeschaut hätte. Einen Legendary-Account kann man nicht so einfach faken.

Einen Legendary-Account kann wahrscheinlich ein 12-Jähriger faken oder er benutzt einfach einen vorhanden. Das Forum basiert auf einer veralteten SMF-Version mit diversen bekannten CVEs, wo ich keine Ahnung habe, ob die alle gepatcht sind.

Ein 12-Jähriger könnte einen zweiten 600watt-Account faken, der dann eine Multisig-TX signiert, die zuvor der echte 600watt-Account durchgeführt hat? Interessant.

Quote from: OhShei8e on December 12, 2017, 05:14:21 PM

Multisig bringt Dir nur dann etwas, wenn Du vorher sichergestellt hast, dass die Pubkeys auch tatsächlich zu den Personen gehören, mit denen Du die Transaktion durchführen möchtest.

Man wettet hier aber nicht mit Personen, sondern mit pseudonymen Accounts. Wenn man mit Personen wetten möchte, kann man gerne zu einem genehmen Notar gehen und sich das entsprechende "Rechtsgeschäft" absichern lassen. Sofern man dabei nicht an einen Schwindler gerät, sollte das in Deinem Sinne dann auch reibungslos funktionieren.

Hallo twbt,

stell Dir einfach vor hier kann sich jemand unter beliebigen Accounts anmelden. Die Admins können das sowieso, aber vielleicht auch noch andere. Man sollte davon ausgehen.

Der Angreifer meldet sich dann einfach als 600watt an und tauscht in 600watts Nachricht die Bitcoin-Adresse aus.

Was hilft euch dann Multisig?

Marc2512

member

Activity: 378

Merit: 41

Quote from: cheech300 on December 12, 2017, 03:52:45 PM

Quote from: Marc2512 on December 11, 2017, 12:45:08 PM

Also für so viel Dreistigkeit muss man ja schon fast Respekt zollen. Clever angestellt. Shocked

Klopft sich da jemand selbst auf die Schulter? Grin

Nein! Auf so ne Masche wär ich nicht gekommen ( fehlende kriminelle Energie + zu Ehrlich ).

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: OhShei8e on December 12, 2017, 05:14:21 PM

Quote from: twbt on December 12, 2017, 09:31:52 AM

Jeder Fall wäre leicht zu erkennen gewesen, wenn ich hingeschaut hätte. Einen Legendary-Account kann man nicht so einfach faken.

Einen Legendary-Account kann wahrscheinlich ein 12-Jähriger faken oder er benutzt einfach einen vorhanden. Das Forum basiert auf einer veralteten SMF-Version mit diversen bekannten CVEs, wo ich keine Ahnung habe, ob die alle gepatcht sind.

Ein 12-Jähriger könnte einen zweiten 600watt-Account faken, der dann eine Multisig-TX signiert, die zuvor der echte 600watt-Account durchgeführt hat? Interessant.

Quote from: OhShei8e on December 12, 2017, 05:14:21 PM

Multisig bringt Dir nur dann etwas, wenn Du vorher sichergestellt hast, dass die Pubkeys auch tatsächlich zu den Personen gehören, mit denen Du die Transaktion durchführen möchtest.

Man wettet hier aber nicht mit Personen, sondern mit pseudonymen Accounts. Wenn man mit Personen wetten möchte, kann man gerne zu einem genehmen Notar gehen und sich das entsprechende "Rechtsgeschäft" absichern lassen. Sofern man dabei nicht an einen Schwindler gerät, sollte das in Deinem Sinne dann auch reibungslos funktionieren.

c_lab

legendary

Activity: 1202

Merit: 1042

Quote from: OhShei8e on December 12, 2017, 01:06:27 AM

Adressen würde ich sowieso nicht öffentlich posten. Die lassen sich euch dann ja zuordnen und mit anderen Daten verknüpfen. Ist doch komplett unnötig.

Die Ziel-Adresse wurde nur für die Abwicklung erstellt. Ich gehe davon aus, daß twbt auch bei seiner Sende-Adresse Vorkehrungen getroffen hat.

Quote from: OhShei8e

Zumindest könnt ihr sie jetzt wieder löschen. Vielleicht haben sie sich noch nicht auf Archive eingebrannt.

Done. Hast ja Recht, nix genaues weiß man nie.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: twbt on December 12, 2017, 09:31:52 AM

Jeder Fall wäre leicht zu erkennen gewesen, wenn ich hingeschaut hätte. Einen Legendary-Account kann man nicht so einfach faken.

Einen Legendary-Account kann wahrscheinlich ein 12-Jähriger faken oder er benutzt einfach einen vorhanden. Das Forum basiert auf einer veralteten SMF-Version mit diversen bekannten CVEs, wo ich keine Ahnung habe, ob die alle gepatcht sind.

Quote from: twbt on December 12, 2017, 09:31:52 AM

ATH™. Die kursieren schon seit Jahren.

Und trotzdem behandelst Du Accounts hier als vertrauenswürdige Quelle.

Quote from: twbt on December 12, 2017, 09:31:52 AM

Echt? - Wie oben schon geschrieben, sind smarte Wetten hier für mich eigentlich ein schöner Anwendungsfall für BTC-Tech: Multisig und mit den verwendeten Schlüsseln signierte Messages. Würde perfekt passen und ist ausgesprochen robust.

Und komplett sinnlos, wenn Du eine Multisig-Transaktion mit einem Betrüger abwickelst, der Dir Wettpartner und Treuhänder vorgaukelt.

Multisig bringt Dir nur dann etwas, wenn Du vorher sichergestellt hast, dass die Pubkeys auch tatsächlich zu den Personen gehören, mit denen Du die Transaktion durchführen möchtest.

cheech300

sr. member

Activity: 330

Merit: 252

NEIN, ICH BIN DER BITCOIN!

Quote from: Marc2512 on December 11, 2017, 12:45:08 PM

Also für so viel Dreistigkeit muss man ja schon fast Respekt zollen. Clever angestellt. Shocked

Klopft sich da jemand selbst auf die Schulter? Grin

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: OhShei8e on December 12, 2017, 01:06:27 AM

Insofern war dieser Fall noch leicht zu erkennen.

Jeder Fall wäre leicht zu erkennen gewesen, wenn ich hingeschaut hätte. Einen Legendary-Account kann man nicht so einfach faken.

Quote from: OhShei8e on December 12, 2017, 01:06:27 AM

Mir wurden erst vor ein paar Tagen Datensätze aus diesem Forum zum Kauf angeboten.

ATH™. Die kursieren schon seit Jahren.

Quote from: OhShei8e on December 12, 2017, 01:06:27 AM

Erzeugt Nachrichten mit kritischen Informationen mittels

Code:

gpg --clearsign

, wenn ihr sie schon öffentlich ins Forum schreiben müsst. Das Forum kennt auch private Nachrichten.

Echt? - Wie oben schon geschrieben, sind smarte Wetten hier für mich eigentlich ein schöner Anwendungsfall für BTC-Tech: Multisig und mit den verwendeten Schlüsseln signierte Messages. Würde perfekt passen und ist ausgesprochen robust.

Quote from: OhShei8e on December 12, 2017, 01:06:27 AM

Adressen würde ich sowieso nicht öffentlich posten.

Manche schätzen die Transparenz der Abwicklung, manche nicht. Aber, ich glaube, die "Wettkultur" des Forums ist ziemlich an Deiner ATH™ vorbeigegangen. Wink

OhShei8e

legendary

Activity: 1792

Merit: 1059

Tja, wer kann 600wa𝗍𝗍 von 600watt unterscheiden?
Im ersten Fall verwende ich dieses Zeichen: http://graphemica.com/%F0%9D%97%8D
Im zweiten Fall ist es das normale kleine "t".

Sieht zum Verwechseln ähnlich aus, sind aber zwei vollkommen unterschiedliche Zeichen im Unicode. Insofern war dieser Fall noch leicht zu erkennen. Davon abgesehen: Mir wurden erst vor ein paar Tagen Datensätze aus diesem Forum zum Kauf angeboten. Das mag ein Fake gewesen ein. Es würde mich aber nicht wundern, wenn solche Informationen kursieren, so oft wie das Forum schon gehackt wurde. Ihr könnt nicht einfach blind kritischen Informationen in unsignierten Nachrichten vertrauen.

Macht euch bekannt. Erzeugt Nachrichten mit kritischen Informationen mittels

Code:

gpg --clearsign

, wenn ihr sie schon öffentlich ins Forum schreiben müsst. Das Forum kennt auch private Nachrichten.

Adressen würde ich sowieso nicht öffentlich posten. Die lassen sich euch dann ja zuordnen und mit anderen Daten verknüpfen. Ist doch komplett unnötig. Zumindest könnt ihr sie jetzt wieder löschen. Vielleicht haben sie sich noch nicht auf Archive eingebrannt.

Dies ist nur meine Meinung/Empfehlung dazu.

twbt

legendary

Activity: 994

Merit: 1098

An AA rated Bandoneonista

Quote from: c_lab on December 11, 2017, 09:24:19 PM

bzgl. MLM-Scam: Danke für die Info. Sowas wird von mir komplett ignoriert, aber es gibt anscheinend immernoch Leute die auf sowas reinfallen. Angry

Ich verschwende da - warum auch immer - noch einen Teil meiner Zeit drauf, weil offensichtlich Leute immer noch drauf reinfallen und mich interessiert, warum. - Spieltheorie.

Quote from: c_lab on December 11, 2017, 09:24:19 PM

Ja, weil Bitpay der größte Abwickler von BTC-Zahlungen ist, kann man doch halbwegs darauf vertrauen, daß die Zahlung ankommt. Tongue

Mir geht es ja nur um die Nachvollziehbarkeit (und ferner natürlich auch um die Auslotung der illusorischen Privatsphäre von Zahlungen mit BTC).

Ja, darum geht's mir auch. Ich hab' nix gegen Bitpay. BTCs müssen mit dem Fiatmarkt interagieren können. Aber, bei Wetten, bin ich nun mal eigen. Ich mag' hier keine Screenshots posten, um das Begleichen meiner Wettschulden zu dokumentieren. Wink

Ansonsten, muss ich noch kurz dazu schreiben:

Quote from: 600watt on December 11, 2017, 04:35:04 PM

karma is a bitch

Yep, don't mess with it.

Topic: Wette: Bitcoin-Futures. Very hot. Very short. - Hop oder top? (Read 2356 times)