Topic: Wohin mit gebrauchten Hardware Wallets? (Read 307 times)
Preis/wallet?
Wenn jemand tatsächlich welche haben möchte
Was haben wir dir getan, dass du unsere Worte anzweifelst?
Du hast geschrieben, dass du sie normalerweise verschenkst.
Gegen Porto und Versand in Höhe von ca. 5 EUR würde ich dir einen KeepKey und einen Ledger abnehmen. Oder eben alle wie geschrieben.
Hallo zusammen,
vielen Dank für die Rückmeldungen und ich sehe es gibt durchaus Interesse von fachkundigen Personen an den HW Wallets
Wenn jemand tatsächlich welche haben möchte, bitte einfach eine PM mit der Information wie viel man von welchem Model man erhalten möchte. Ich werde die Wallets dann deutlich günstiger abgeben, als sie sonst im gebrauchten Zustand an online Marktplätzen angeboten werden. Der Preis wird sich natürlich auch an den Zustand orientieren. Ich muss aber erstmal den ganzen Bestand durchgehen, überprüfen und abfotografieren.
Da ich aber gleich abreise unterwegs bin, kann ich Fotos etc erst ab ca Mitte Januar bereitstellen bzw den Versand in die Wege leiten.
vielen Dank für die Rückmeldungen und ich sehe es gibt durchaus Interesse von fachkundigen Personen an den HW Wallets
Wenn jemand tatsächlich welche haben möchte, bitte einfach eine PM mit der Information wie viel man von welchem Model man erhalten möchte. Ich werde die Wallets dann deutlich günstiger abgeben, als sie sonst im gebrauchten Zustand an online Marktplätzen angeboten werden. Der Preis wird sich natürlich auch an den Zustand orientieren. Ich muss aber erstmal den ganzen Bestand durchgehen, überprüfen und abfotografieren.
Da ich aber gleich abreise unterwegs bin, kann ich Fotos etc erst ab ca Mitte Januar bereitstellen bzw den Versand in die Wege leiten.
Habt ihr beide das Lesen nach dem Begriff "Hacking" sofort eingestellt? 
"Hacking durch Manipulierung der Spannung", so wie ich das verstehe, erfordert, dass ich nach der Lieferung und Verwendung physikalischen Zugriff auf das Gerät erlangen muss. Um dann durch Manipulierung der Spannung die Bits der Seed einzeln rauszuhämmern oder mitzuhören.
Vielleicht kann man ja durch abzwacken von Kondensatoren oder Schutzdioden den Vorgang erleichtern. Deshalb meine Nachfrage.
"Hacking durch Manipulierung der Spannung", so wie ich das verstehe, erfordert, dass ich nach der Lieferung und Verwendung physikalischen Zugriff auf das Gerät erlangen muss. Um dann durch Manipulierung der Spannung die Bits der Seed einzeln rauszuhämmern oder mitzuhören.
Vielleicht kann man ja durch abzwacken von Kondensatoren oder Schutzdioden den Vorgang erleichtern. Deshalb meine Nachfrage.
Dieser Vorgang wird Glitching genannt, ist nicht einfach durchzführen und wird bei den heutigen Prozessoren die Brownout detection besitzen auch nicht ganz so einfach funktionieren.
Üblicherweise schreibt man sich dazu selber die Software (z.B Atiny 2313 in Assembler, oder PIC ebenfalls in Assembler) um einen Reproduzierbaren Angriff zu starten. Das kann über die Vpp bzw. auch über den JTAG bzw. ICP
Port versucht werden. Wer sich damit schon einmal Beschäftigt hat wird es vorziehen lieber gleich einen Bootloader zu schreiben und den Prozessor zu Ersetzen. Da aber Signierte Software zum Einsatz kommt wird es schwierig bis Unmöglich die Originale Firmware ohne Warnanzeige in einen derartig Manipulierten Prozessor zu bekommen.
Da müßte man also auch noch die App dazu Manipulieren usw. das ist nicht Unmöglich, aber es lohnt den Aufwand nicht!
Keine Frage, alles möglich. Aufwand und Nutzen stehen aber in keinem Verhältniss. Du kannst solche Techniken nicht mit einem Conrad Multimeter und einer SmartphoneApp machen.
Habt ihr beide das Lesen nach dem Begriff "Hacking" sofort eingestellt?
"Hacking durch Manipulierung der Spannung", so wie ich das verstehe, erfordert, dass ich nach der Lieferung und Verwendung physikalischen Zugriff auf das Gerät erlangen muss. Um dann durch Manipulierung der Spannung die Bits der Seed einzeln rauszuhämmern oder mitzuhören.
Vielleicht kann man ja durch abzwacken von Kondensatoren oder Schutzdioden den Vorgang erleichtern. Deshalb meine Nachfrage.
"Hacking durch Manipulierung der Spannung", so wie ich das verstehe, erfordert, dass ich nach der Lieferung und Verwendung physikalischen Zugriff auf das Gerät erlangen muss. Um dann durch Manipulierung der Spannung die Bits der Seed einzeln rauszuhämmern oder mitzuhören.
Vielleicht kann man ja durch abzwacken von Kondensatoren oder Schutzdioden den Vorgang erleichtern. Deshalb meine Nachfrage.
Du kannst "Hacking durch Manipulierung der Spannung" ausschliessen, wenn das Teil vom Hersteller kommt?
Magst du das mal näher erläutern?
Magst du das mal näher erläutern?
geschlossen und verschweisst mit entsprechenden Klebern die man nur zerstören aufbekommt.
Der Hersteller selbst muss garnichts hacken, er kann einfach jede x-beliebige Software aufspielen und man muss ihm trauen, das er keinen "Scheiss" baut.
danach wird das versiegelt so das ein Öffnen bemerkt werden kann. Um an Kleber ranzukommen die da verwendet werden, muss man hohen Aufwand treiben...aber ist nicht unmöglich. Hoher Aufwand bedeutet aber auch, das man Profit machen muss. Und im Giesskannenprinzip Profit machen geht wiederum nur, wenn man entsprechend viel Geräte verseucht. Am Ende ist es eher eine Lotterie für die Hacker, dabei Profit zu machen. Und auf Lotterie haben die keinen Bock, wenn du 100 Euro ausgeben müssen 200 Euro reinkommen, sonst könnten sie gleich für 20Euro/h als Programmierer arbeiten und ihr Geld ohne Knastrisiko verdienen.
Du kannst "Hacking durch Manipulierung der Spannung" ausschliessen, wenn das Teil vom Hersteller kommt?
Magst du das mal näher erläutern?
Magst du das mal näher erläutern?
Also wenn einmal der Hersteller direkt "manipulierte" verschweißte Geräte aussendet, so wie mein Nano gekommen ist, kann die Bude gleich zusperren...
Jetzt habt ihr ihn gut beraten und nun landen die Dinger zu Höchstpreisen in der Bucht 
Du kannst "Hacking durch Manipulierung der Spannung" ausschliessen, wenn das Teil vom Hersteller kommt?
Magst du das mal näher erläutern?
Magst du das mal näher erläutern?
Hacking durch Manipulierung der Spannung
Da macht es aber keinen Unterschied, ob das Gerät neu ist oder nicht.
Man sollte die neueste Firmware verwenden. Die wurde vor gefühlt Jahren dahingehend verbessert.
Aber rückst du die Dinger jetzt raus oder nicht?
Ich habe meine Einstellungen gerade geändert. Du kannst mir eine PM senden wegen der Lieferadresse.
Natürlcih kann man das bei Neuen auch, aber wenn die direkt vom Hersteller kommen kann man es zu 99.99999% usschließen.
Mir würde es auch eher darum gehen die Unterschiede zu testen zum Nano
. Hacking durch Manipulierung der Spannung
Da macht es aber keinen Unterschied, ob das Gerät neu ist oder nicht.
Man sollte die neueste Firmware verwenden. Die wurde vor gefühlt Jahren dahingehend verbessert.
Aber rückst du die Dinger jetzt raus oder nicht?
Ich habe meine Einstellungen gerade geändert. Du kannst mir eine PM senden wegen der Lieferadresse.
Ja, es ist mir durchaus bewusst, dass es starke Sicherheitsmaßnahmen gibt. Allerdings besteht immer noch ein Restrisiko, dass ein HW manipuliert wird.
Hier wird zB Hacking durch Manipulierung der Spannung gezeigt: https://steemit.com/technology/@ura-soul/how-to-hack-a-trezor-or-keepkey-hardware-bitcoin-wallet-plus-make-your-own-open-sourced-hardware-wallet
Daher würde ich lieber paar Euro mehr ausgeben und ein neues Gerät kaufen.
Hier wird zB Hacking durch Manipulierung der Spannung gezeigt: https://steemit.com/technology/@ura-soul/how-to-hack-a-trezor-or-keepkey-hardware-bitcoin-wallet-plus-make-your-own-open-sourced-hardware-wallet
Daher würde ich lieber paar Euro mehr ausgeben und ein neues Gerät kaufen.
Sie können weiterhin von anderen Benutzern verwendet werden.
Es besteht keine Gefahr, dass der Wallet kompromittiert wird, da die Nutzer vor der Verwendung einen neuen Seed erzeugen.
Sowohl Trezor als auch Ledger verfügen über Sicherheitsmaßnahmen, um zu verhindern, dass in der Hardware-Wallets Malware installiert wird.
Es besteht keine Gefahr, dass der Wallet kompromittiert wird, da die Nutzer vor der Verwendung einen neuen Seed erzeugen.
Sowohl Trezor als auch Ledger verfügen über Sicherheitsmaßnahmen, um zu verhindern, dass in der Hardware-Wallets Malware installiert wird.
Danke aber meinte auf einmal da kann der Ledger ja auch nur 5 speichern/verwalten... Assets kann er 1136.
Also ich würde auch einen nehmen... zB. Trezor oder KeepKey so könnte ich einfach einmal zu meinem Nano das Handling vergleichen...
Habe mit beiden keinerlei Erfahrung, welcher kann mehr Coins handeln, sorry habe mich noch nicht damit beschäftigt...
Trezor kann 698 coins und tokens aufnehmen. Habe mit beiden keinerlei Erfahrung, welcher kann mehr Coins handeln, sorry habe mich noch nicht damit beschäftigt...
https://trezor.io/coins/
Keepkey hält nur 54 verschiedene coins und tokens
https://www.keepkey.com/cryptocurrencies/
Also ich würde auch einen nehmen... zB. Trezor oder KeepKey so könnte ich einfach einmal zu meinem Nano das Handling vergleichen...
Habe mit beiden keinerlei Erfahrung, welcher kann mehr Coins handeln, sorry habe mich noch nicht damit beschäftigt...
Habe mit beiden keinerlei Erfahrung, welcher kann mehr Coins handeln, sorry habe mich noch nicht damit beschäftigt...
Ich nehme einen keepkey oder den ganzen Bestand, wie es beliebt.
Sie können weiterhin von anderen Benutzern verwendet werden.
Es besteht keine Gefahr, dass der Wallet kompromittiert wird, da die Nutzer vor der Verwendung einen neuen Seed erzeugen.
Sowohl Trezor als auch Ledger verfügen über Sicherheitsmaßnahmen, um zu verhindern, dass in der Hardware-Wallets Malware installiert wird.
Trezor:
Ledger:
Mehr darüber erfahren sie hier:
https://bitcointalksearch.org/topic/m.19769751
https://bitcointalksearch.org/topic/m.19861789
https://doc.satoshilabs.com/trezor-faq/threats.html
http://support.ledgerwallet.com/knowledge_base/topics/how-to-verify-the-security-integrity-of-my-nano-s
Es besteht keine Gefahr, dass der Wallet kompromittiert wird, da die Nutzer vor der Verwendung einen neuen Seed erzeugen.
Sowohl Trezor als auch Ledger verfügen über Sicherheitsmaßnahmen, um zu verhindern, dass in der Hardware-Wallets Malware installiert wird.
Trezor:
Quote
Reflashing the TREZOR with evil firmware
Official TREZOR firmware is signed by the SatoshiLabs master key. Installing unofficial firmware on the TREZOR is possible, but doing so will wipe the device storage and TREZOR will show a warning every time it starts. Reprogramming the bootloader is impossible because all TREZORs ship with their secure programming fuse blown.
Inspect the TREZORs memory with an electron microscope
You might imagine yourself dissolving the TREZOR CPU in acid, finding the reprogramming fuse, repairing it, and then loading evil firmware on the TREZOR. I’m no science fiction author, but my guess is – this might be possible. However, the Cortex M3 is a sensitive multilayer chip. The components inside are much smaller than those fake eBay amps. Chances are, all you’d end up doing is destroying the chip. Even if you succeeded in doing so, this will be a costly and time-consuming task. In the end, the bitcoins will be gone already because the original owner will have changed their recovery seed upon discovering that their TREZOR was stolen.
Evil maid attack - replace the TREZOR with a fake
It might be possible for an evil ninja, or your little brother, to steal your TREZOR and replace it with a fake TREZOR. If the fake TREZOR was embedded with a wireless transmitter, then the fake TREZOR could wirelessly transmit any PIN it received. The attacker would then have full access to your funds.
If you are concerned about such an attack, it is a good idea to sign the back of your TREZOR with a permanent pen. Don’t forget to check the signature before each use.
The TREZOR’s chassis is sealed using ultrasound. Opening the TREZOR without destroying the case is nearly impossible.
Official TREZOR firmware is signed by the SatoshiLabs master key. Installing unofficial firmware on the TREZOR is possible, but doing so will wipe the device storage and TREZOR will show a warning every time it starts. Reprogramming the bootloader is impossible because all TREZORs ship with their secure programming fuse blown.
Inspect the TREZORs memory with an electron microscope
You might imagine yourself dissolving the TREZOR CPU in acid, finding the reprogramming fuse, repairing it, and then loading evil firmware on the TREZOR. I’m no science fiction author, but my guess is – this might be possible. However, the Cortex M3 is a sensitive multilayer chip. The components inside are much smaller than those fake eBay amps. Chances are, all you’d end up doing is destroying the chip. Even if you succeeded in doing so, this will be a costly and time-consuming task. In the end, the bitcoins will be gone already because the original owner will have changed their recovery seed upon discovering that their TREZOR was stolen.
Evil maid attack - replace the TREZOR with a fake
It might be possible for an evil ninja, or your little brother, to steal your TREZOR and replace it with a fake TREZOR. If the fake TREZOR was embedded with a wireless transmitter, then the fake TREZOR could wirelessly transmit any PIN it received. The attacker would then have full access to your funds.
If you are concerned about such an attack, it is a good idea to sign the back of your TREZOR with a permanent pen. Don’t forget to check the signature before each use.
The TREZOR’s chassis is sealed using ultrasound. Opening the TREZOR without destroying the case is nearly impossible.
Ledger:
Quote
How to verify the security integrity of my Nano S?
On the hardware side, if you want to check that the Nano S has not been tampered with, or the applications running are the official apps, here are a few things that you might need to know:
1) The Secure Element checks the full microcontroller flash at boot (this is described in our blog post). If it has been modified, you'll get a warning at boot. As an additional check, you can open the device to verify that no additional chip has been added (referring to the attached picture) and that the MCU is an stm2f042k6 (with 32 Kb flash, as a bigger flash could contain code fooling the Secure Element validation). Markings on the chip can vary but you should see the string "042K6".
2) The Secure Element itself is personalized at factory with an attestation proving that it has been created by us. You can verify it by running
pip install --no-cache-dir ledgerblue
python -m ledgerblue.checkGenuine --targetId 0x31100002
The source code is available here: https://github.com/LedgerHQ/blue-loader-python/blob/master/ledgerblue/checkGenuine.py
3) Each individual application will display a "Non Genuine" warning if not signed when opened. A modified User Interface (as found in https://github.com/LedgerHQ/nanos-ui) will also display a warning message on boot.
4) The root of trust for the current batch is the following secp256k1 public key : 0490f5c9d15a0134bb019d2afd0bf297149738459706e7ac5be4abc350a1f818057224fce12ec9a 65de18ec34d6e8c24db927835ea1692b14c32e9836a75dad609 - as checked in checkGenuine.py https://github.com/LedgerHQ/blue-loader-python/blob/master/ledgerblue/checkGenuine.py#L72
On the hardware side, if you want to check that the Nano S has not been tampered with, or the applications running are the official apps, here are a few things that you might need to know:
1) The Secure Element checks the full microcontroller flash at boot (this is described in our blog post). If it has been modified, you'll get a warning at boot. As an additional check, you can open the device to verify that no additional chip has been added (referring to the attached picture) and that the MCU is an stm2f042k6 (with 32 Kb flash, as a bigger flash could contain code fooling the Secure Element validation). Markings on the chip can vary but you should see the string "042K6".
2) The Secure Element itself is personalized at factory with an attestation proving that it has been created by us. You can verify it by running
pip install --no-cache-dir ledgerblue
python -m ledgerblue.checkGenuine --targetId 0x31100002
The source code is available here: https://github.com/LedgerHQ/blue-loader-python/blob/master/ledgerblue/checkGenuine.py
3) Each individual application will display a "Non Genuine" warning if not signed when opened. A modified User Interface (as found in https://github.com/LedgerHQ/nanos-ui) will also display a warning message on boot.
4) The root of trust for the current batch is the following secp256k1 public key : 0490f5c9d15a0134bb019d2afd0bf297149738459706e7ac5be4abc350a1f818057224fce12ec9a 65de18ec34d6e8c24db927835ea1692b14c32e9836a75dad609 - as checked in checkGenuine.py https://github.com/LedgerHQ/blue-loader-python/blob/master/ledgerblue/checkGenuine.py#L72
Mehr darüber erfahren sie hier:
https://bitcointalksearch.org/topic/m.19769751
https://bitcointalksearch.org/topic/m.19861789
https://doc.satoshilabs.com/trezor-faq/threats.html
http://support.ledgerwallet.com/knowledge_base/topics/how-to-verify-the-security-integrity-of-my-nano-s
Hallo zusammen,
ich war als Reseller für Ledger, Trezor, KeepKey und weitere aktiv und habe inzwischen einige Kundenrücksendungen auf Lager. Ich möchte diese nicht über die üblichen online Kanäle an die Endnutzer verkaufen, da ich dem "normalen" Nutzer nicht empfehlen würde unverpackte / gebrauchte Hardware Wallets zu kaufen.
Eventuell gibt es aber Entwickler / Tüftler o.ä., die Interesse an diesen Wallets hätten?
Oder hat jemand sonst eine Idee, was ich mit den Wallets machen kann?
Viele habe ich schon mit dem Risikohinweis and Freunde und bekannt verschenkt, es sind aber noch ca 10 -15 Wallets von Ledger, Trezor und KeepKey.
ich war als Reseller für Ledger, Trezor, KeepKey und weitere aktiv und habe inzwischen einige Kundenrücksendungen auf Lager. Ich möchte diese nicht über die üblichen online Kanäle an die Endnutzer verkaufen, da ich dem "normalen" Nutzer nicht empfehlen würde unverpackte / gebrauchte Hardware Wallets zu kaufen.
Eventuell gibt es aber Entwickler / Tüftler o.ä., die Interesse an diesen Wallets hätten?
Oder hat jemand sonst eine Idee, was ich mit den Wallets machen kann?
Viele habe ich schon mit dem Risikohinweis and Freunde und bekannt verschenkt, es sind aber noch ca 10 -15 Wallets von Ledger, Trezor und KeepKey.
Jump to: