Topic: Zensur in Forum ist das alle letzte, deswegen kann das auch weg… (Read 4075 times)

Du brandmarkst dich hier nur selber, ich werde nicht mehr weiter darauf eingehen...

Einfach aufhören den Troll zu füttern. Dann hört der von ganz alleine wieder auf ;-)

Korrekt. Die echten Probleme liegen nämlich an anderer Stelle, wie z.B. hier.

Ein Assembler Befehl ist kurz und knackig, da geb ich dir recht. Eine E-Mail mit Assembler rauszuschicken und dabei zu hoffen das es unerkannt bleibt, ist völlig utopisch. Du musst schon alleine diverse Betriebssystem APIs verwenden um überhaupt eine TCP/IP Verbindung aufbauen zu können und das obwohl das Gerät selbst Offline ist bzw. wenn überhaupt als USB Device am System sein wird. Oder den ganzen TCP/IP Stack selbst darauf entwickeln. Wie meine Vorgänger schon geschrieben haben, brauchst du einen ganzen haufen Code um überhaupt eine Verbindung nach aussen aufzubauen. Wie willst du soviel Code verstecken frage ich dich? Und dann muss der ganze Kram auch noch lauffähig sein und an die Performance des Gerätes angepasst sein.

Du hast so dermaßen keine Vorstellung was in der Software Entwicklung abgeht.

Statt eines Gedankenexperimentes wie wäre mal es mit einem Beweis? Zeig uns doch die Stelle im Code die uns sorgen machen soll.

Selbst schuld wenn du über sign-over-telnet machst. /s


Wir sind echt weit vom Thema entfernt, aber kurzer Einwurf hier: Ich konnte die Lücke auf nem angeblich befallenen System nicht bestätigen. Im Gegenteil, nach 4 Minuten ENTER drücken blieb mir nichts als die Kiste neu zu starten. Ein Vorteil von Linux (um mal den Bogen halbwegs zu spannen) gegenüber z.B. Windows ist doch gerade die Diversität. Linux ist eben nicht gleich Linux, es gibt diverse Distros und Kernel Varianten und eine Lücke greift eher selten alle Varianten an.

Lass mich raten? Du bist Journalist!

Hier eine vergleichbare Schlagzeile: Vulkaneruption mitten in Deutschland! Dutzend Menschen entsetzt!

Und enthalte einfach vor, dass es ein Pappmaschevulkan ist und Menschen wurden von Ketschupspritzern auf der weißen Gardine entsetzt.
DAS Linux was DU meinst, befindet sich in der GRUB Shell eines VLM verschlüsselten Systemes... Und mit DEINEM Login ist die gesamte Festplatte auch weiterhin verschlüsselt.
Also nichts mit Fernzugriff und mit Rotrechten irgendwas installieren oder sonstwas, da du physisch anwesend sein musst, ich physisch abwesend sein muss, ich so dumm sein muss kein BIOS Passwort zu setzen und du
brauchst viel Zeit zum entschlüsseln.

DEIN Linuxhack entspricht in etwa dem Ausbau einer Festplatte und Anschluss an anderem Rechner.


Heise Link

Wozu? Heißt nicht umsonst PO-litiker.
Aber ich bin Fan davon, erst mal vor der eigenen BND Haustür zu kehren.
Geheimdienste sind mittlerweile zu entarteten Abspaltungen mutiert, die man weder kontrollieren noch raus schneiden kann.

Lustig wirds, wenn jene den Priv-Key sniffen mit der offiziellen Begründung "Steuerprüfung" [damit ich noch die Ontopickurve kriege ]

Auf die Gefahr hin zu sehr vom Thema abzutriften.
Kann man wirklich? Dann belang mal bitte die NSA für all die Spionagen.
Musst dafür aber glaub erst die deutschen Politiker aus den Hintern der amerikanischen Politiker ziehen.

Sollte mein Post den Anschein erweckt haben, das ich etwas gegen Russen habe, so bitte ich um Verzeihung! Damit wollte ich nur anmerken, dass der Entwickler in einem Land sitzt, dass von unserer westlichen Strafverfolgung nicht abgedeckt wird. Das gleiche gilt für viele andere Länder auch. Das heißt nicht, dass man nicht auch von einem Europäer oder Amerikaner gehackt werden kann, aber den kann man wenigstens strafrechtlich belangen.

Du redest aber nicht vom selben Linux wie ich. Ich meine damit DAS Linux, wo man einfach nur 1 Minute die returntaste festhalten muss um Root zu bekommen. Und das ist nichtmal ein Bug, sondern eine gewollte Funktion. Nach 97 Fehleingaben bekommt man eine Shell um den Fehler zu beheben. Aber der Vollpfosten der das programmiert hat, hat irgendwie vergessen nun nach dem rootpasswort zu fragen. Logo auch, wen 97x das Passwort nicht weis weis es ja beim 98. mal auch nicht.

Aber du meinst sicher ein ganz anderes Linux.

Soll heisen: Linux ist so scheisse wie Windows. Weil quasi die selben Menschen es programmieren (selbe Menschen in form dessen, das sie von diesem Planeten kommen und zur selben Gattung gehören). Und Apple hilft auch nicht weiter. Die filtern nur vorneweg Dinge raus von denen sie meinen sie sind gefährlich. Vor Ort ist die Kiste aber genauso löchrig.

Linux hat nur einen Sicherheitsvorteil: seine extrem geringe Verbreitung. Spearangriffe gegen Personen wo viel zu holen ist sind sehr schwer. Giesskannenangriffe treffen aber extrem selten auf Linux. Das ist aber auch schon die einzige Sicherheit.

Ich verstehe diesen Blödsinn mit Russen auch nicht.
Telegram ist auch so ein typisches Beispiel. Angeblich unsicher da russisch.
Was für ein Bockmist! Die Russen haben ein weitaus höheres Vertrauenspensum bei mir als die Amerikaner.


Btw.: Der Trezor kommt aus Tschechien. Aber kann man ja mal mit Russland verwechseln... Ist ja normal...
...Kann Spuren von Sarkasmus enthalten...

So leid es mir tut aber die meisten hier haben einfach keine Ahnung und werfen mit Halbwissen um sich, immer wieder schön den Schwachsinn zu lesen. Ihr glaubt garnicht was ihr meinen Kollegen und mir schon für lustige Momemte beschert habt.

Das hier geht aber eindeutig zu weit.
Jungs besinnt euch mal und erkundigt euch bevor ihr solch einen Müll raushaut.

@dsattler
Du bist echt der Held vom Erdbeerfeld.
1.) Die Entwickler vom Trezor sind keine Russen.
2.) bitcointalk verwendet aktuell als Webserver nginx (kannst du an den Headern gerne selbst prüfen). Das hat ein böser Russe entwickelt. Lösche deshalb bitte deinen Account und melde dich hier nie wieder an.

Da hat die GEZ + Privatsender ganze Arbeit geleistet. Hut ab, einer ganzen Bevölkerung Gehirnwäsche zu verpassen.
Selbst die gute v.d.Leyen hat Trump schon ermahnt, er möge sich "dem Putin/Russen entsprechend Obamalike verhalten", nachdem er ein
freundliches Treffen angekündigt hat.

Aber klar, alle Deutschen sind brave Bürger, alle Polen klauen, alle Rumänen sind Vampirjäger, alle Russen sind saufende Betrüger! Und Amerikaner sind Friedens- und Demokratie Exporteure.
...


Leute, wer schon Linux statt Windows nutzt, hat viel gewonnen. Und wer seine Wallet auf einem Windows Rechner hat, braucht nicht in die Ferne auf die Hardware Wallets zu schielen... Die einem den Privkey abzocken würden, wollen auch nicht sich das Leben unnötig schwer machen, da ists einfacher mit einer schönen Seite die Cookies zu lesen, ob einer auf Exchange Plattformen war und Bitcoin.org besucht hat und kriegt bekommt ein Script ausgeführt. Das wird viel einfacher und schneller funktionieren und auch wahrscheinlicher.
Hardware Wallets schön und gut, trotzdem sollte man nicht sein ganzes Vermögen an einer Stelle lagern.

eine backdoor/trojaner/keylogger irgendwo in die CPU / mainboard miteinbauen ist ja auch nicht so schwer.
also müsste man auch diese Hardware selbst herstellen.
Und ..

ja ab einem punkt muss man vertrauen bzw sich dinge überlgen wie man nicht nur von einer zwar hohen aber eben nicht 100% Vertrauensstellung abhängt.
Beim Bitcoin kann das eben sein, dass man sich mehrere Hardware holt.
Hier eine Hardware rvtl von einem Bekannten Hersteller der eine Backdoor ungern einbauen würde (versaut das geschäft)
Eine CPU von (s.o)
eine Tastatur von (s.o)
ein Betriebsystem welches man auf backdoors überprüfen kann oder (s.o.)
eine Wohnung bei der man sicher ist keine Verstekcne kameras zu haben

ein Hardware Bitcoin Wallet, das Open source ist, das man zur not selbst zusammenlöten kann und das mit einer Open source software rennt..


ach ja, die Aluhüte.

Ich finde dieses "Gedankenexperiment" gar nicht schlecht, aber es greift zu kurz!

Lasst uns mal ganz vorne anfangen, nämlich bei der PC-Sicherheit. Wer hat sich nicht schon mal so ein freies Programm wie z.B. ein Packprogramm herunter geladen? Man macht sich nicht viele Gedanken über sowas. Nehmen wir mal 7zip, das ist ja ziemlich beliebt und - wie ich finde - auch sehr praktisch. Der Entwickler ist Russe, die Download-Seite hat kein SSL. Da müssten einem doch schon die Ohren klingeln!

Und übrigens ist das genau der Punkt, wo einem eine Hardware-Wallet den Arsch retten kann, nämlich wenn man damit trotz verseuchtem Rechner seine Bitcoin-Transaktion sicher abschicken kann! 

So, muss jetzt wieder in mein mit Alufolie abgedichtetes Iglu, hab da keinen Empfang. 

Chefin,
deinen Aufwand in allen Ehren aber du fütterst einen Troll :-)
Dennoch Back to Topic: Kann dir in so ziemlich allen Punkten zustimmen.

Punkt1: Hardwareentwickler können nicht programmieren.

Software zu basteln mag alleine noch hinhauen. Leider wird jedes Testgerät sich verdächtig verhalten. Bereits hier wird der Hardwareentwickler der seinerseits einige Testexemplare bekommt um sie zu zertifizieren, das entdecken.

Bis so ein Fehler also am Markt landet sind viele involviert die mitspielen müssen. Grundsätzlich machbar ist es, keine Frage.

Aber sobald sowas in nennenswerter Stückzahl vertrieben wird, haben auch einige Menschen es getestet die Ahnung haben. Es reicht wenn man das Gateway auf eine ungültige IP setzt um Traffic zu erkennen. Wehe dem bösen Buben, wenn er nun keine Fehlerbehandlung drin hat in den paar Bytes Assembler. Ausserdem wird ein Hardwarewallet keinen Code auf dem Gastsystem ausführen. Es hat also nur seine definierte Schnittstelle nach aussen am USB. Welche Geräteklasse simuliert es den, wenn man darüber Daten ins Internet senden kann? Da muss die Wallet also einiges verbiegen um das hinzubekommen. Alles in ein paar Bytes Assemblercode.

Ne geht net. Ist ein ausgereiftes Tool das man da reinpacken muss. Und es spielt absolut keine Rolle ob man in Delphi, C oder Assembler programmiert, am Ende kommt eh Assembler raus...also nativer CPU-Code.

Wie oben gesagt, es ist machbar, es ist vieleicht kurz geheim zu halten, aber keiner mit nennenswerten Beträgen wird es nutzen ohne das es vorher ausgiebig getestet wurde und dein C&C Server verrät dich. Per Email dürfte es jedenfalls schwer gehen. Allenfalls kann man sie Kurz aktiv halten, über Jahre fällt das schwer und das ohne drauf zuzugreifen.

Und nehmen wir mal an, es klappt alles. Keiner merkt etwas, die Leute nutzen es, dein Stick hat eine eingebaute Zeitfunktion, die erst nach x Monaten aktiv wird und dann alles verrät. Und bei nun zehntausenden von Nutzern ist keiner dabei der seine Firewall restriktiv genug eingestellt hat, um es zu bemerken? Und was wird der den nun machen? Laut heulen und schreien? Oder eher Spezialisten informieren die erstmal verdeckt den Kontaktpunkt überwachen um den MAnn dahinter zu erwischen. Du musst einen großen Aufwand treiben, dich zu anonymisieren. Du musst viele Mitwisser beruhigen, die ebenfalls wissen wollen ob es funktioniert. Menschen die genau wissen, das sie es mit einem skrupellosen Dieb zu tun haben. Und meinst du wirklich die Vertrauen DIR? Da wollen dann viele drauf zugreifen und abgreifen. Die wollen zumindest wissen, welche Summen eingegangen sind um zu sehen ob du sie nicht bescheisst.

Über all dem muss aber weiterhin strickt auf Anonymität geachtet werden. Und am Punkt X muss das Geld transferiert werden, weil dann wird alles public und dein Stick ist verbrannt. Nun wird die Adresse getrackt. Viele Menschen die du betrogen hast beobachten nun diese Adresse. Jede transaktion. Wehe dem, da taucht ein Name irgendwo auf. Du erinnerst dich an den Shitstorm in Facebook, als so ein Junges Mädchen vergewaltigt und getötet wurde in einem Parkhaus und es dann aufgrund eines Überwachungsvideos dazu kam, das der falsche in Verdacht gekommen ist. Wie die Menschen DA losgegangen sind. Was meinst du wie sauer die seinw erden wenn deren Geld weg ist.

Ich habe früher als Monteur im Weltweiten Einsatz Vorschuss bekommen. Den wer kann über Wochen schon tausende von DM vorstrecken für Flug, Hotel, Mietwagen. Da hat man dann mal 3000, mal 5000 DM Vorschuss bekommen und am Ende abgerechnet. In der Kasse lagen für 50 oder mehr Monteure Geld. Und wer hat das geholt? Ein Monteur. Einige male auch ich. Mein höchster Betrag war 150.000 DM. Anfang der 90er ganz schön viel Geld.

Hatte dann mal Diskussion mit der Dame der Kassenverwaltung. Wieso sie mir so vertraut und auch einigen anderen Monteuren? Sie sagte mir: Die Firma macht 100 Millionen Umsatz, wegen 150.000 geht sie nicht Pleite. Du bist jung, wie weit kommst du mit 150.000? Wir wissen deinen Namen, Adresse, alle Daten um dich zu identifizieren. Du musst also auswandern in ein Land, wo keine Auslieferung möglich ist. Europa fällt da schonmal flach. Und du hast einen gut bezahlten Job hier, den du schmeissen musst. Also nimm doch das Geld und geh. Deine Eltern siehst du erst wieder, wenn sie DICH besuchen. Schaffen musst du trotzdem weiterhin. Also geh, wenn du meinst.

Es ist nie einer gegangen. Weil es nicht lohnt, Nutzen <-> Aufwand. So gehts einem der so einen Trick abzieht auch. Sein Aufwand ist hoch, weil man ja auch den Anonymisierungsaufwand rechnen muss. Man weis nie, ob beim nächsten Klingeln an der Türe nicht ein Polizist da steht. Aber man hofft, das die Polizei schneller ist als die Betrogenen. Und das bei jemanden, der so clevere Dinge programmiert, so gut sich anonymisieren kann, also echt ein Profi ist und viel Geld mit ehrlicher Arbeit verdienen könnte.

So in der Theorie abends beim Bierchen hört sich vieles leicht an. Aber wenn man sich mal die Arbeit macht und versucht alles Wasserdicht hinzubekommen, erkennt man, wieviele Löcher man offen lässt, weil man unter Zeitdruck ist oder unter Erfolgsdruck. Weil es schon lange nicht mehr möglich ist alleine größere Summen abzuzocken. Und weil die Mitwisser eine eigene Meinung dazu haben. Ist man echt so ein begabter Coder und Bastler und gleichzeitig so eine skrupellose Sau um es mit Kriminellen aufnzunehmen? Und verdient damit kein Geld, um überhaupt auf solche Gedanken zu kommen? Also da passen einfach sehr viel Dinge nicht zusammen.

Also, wenn ich das richtig verstanden habe, dann schläg OP hier vor, dass eine Hardware Wallet unter bestimmten Bedingungen nach Hause telefonieren kann. Kann sie, keine Frage. Die zu signierenden Daten müssen irgendwie auf das Gerät und USB vom online Rechner[1] aus ist so schön praktisch. Da hilft auch keine FOSS, denn überprüfen was tatsächlich auf dem Gerät ist können die wenigsten. Woran das ganze aber scheitern würde, meiner Meinung nach, ist das die Daten über ein Gerät gehen müssen das man nicht unter Kontrolle hat. Es reicht also wenn einer(!) mal den Traffic snifft und das der Hardware Wallet zuordnen kann. Das kann sicherlich 2-3 Jahre[2] dauern, aber der Angriff kann auch nur einmal stattfinden, danach ist klar das was faul ist. Kurzum, unglaublich hohes Risiko bei geriger Aussicht auf Erfolg.

So als Hardware-Wallet-Steuerungs-Software-in-Auftrag-gebender-Mensch würd ich auch mal lustig zwei Teams beschäftigen die sich gegenseitig in den Code gucken und andere Maßnahmen treffen die so etwas weiter erschweren. Ist ja nicht so als würde nicht öfter mal Software geschrieben die sehr hohen Anforderungen gerecht werden muss[3].

---

Klingt nach R-value reuse. Genau da hilft quelloffene Software, weil sich dann mal jemand angucken kann wie genau da eigentlich signiert wird.

[1] Lutpin hat ja schon vorgeschlagen das vom Offline Rechner zu machen, wird aber wohl nicht üblich sein. Die Hardware-Wallet ist ja schon "offline", zumindest ohne Backdoor.
[2] Wenn man sich die paranoia in der Bitcoin Welt mal ansieht, scheint mir das lange.
[3] Raketensteuerung?

Und dafür aus Bequemlichkeit den Private Key in einem System mit Internetverbindung nutze.

Unter anderem für so einen Fall habe ich Armory auf einem Offlinerechner.

Ich habe da noch einen weiteren Aspekt zum Thema Hardwarewallet. Es gab ein Modell, bei dem ein Bug dafür sorgte, dass der Private Key aus den Scripts der öffentlich ersichtlichen Transaktionsdaten errechnet werden konnte. Gegen so einen Fall hilft auch Opensource nicht viel, denn Fehler passieren und ist die fehlerhafte Transaktion einmal in der Blockchain, ist der Private Key (zumindest in diesem Fall) für Angreifer ersichtlich. Selbst wenn schnell ein Update mit Bugfix ausgeliefert wird.

Ich kenne das Modell und weitere Details nicht. Ist schon eine Weile her. Aber ich denke ob Hard- oder Softwarewallet, die totale Sicherheit gibt es sowieso nicht. Selbst eine Paperwallet ist nur so lange sicher, bis ich wieder etwas ausgeben will und dafür den Private Key in einem System mit Internetverbindung nutzen muss.