• IT-Karriere:
  • Services:

Kryptowährungen: Auch auf seinen Bitcoin-Geldbeutel muss man gut aufpassen

Anbieter von Krypto-Wallets versprechen, in diesen seien Bitcoins sicher verstaut. Sind sie nicht, zeigten nun Sicherheitsforscher auf dem Kongress des Chaos Computer Clubs.

Artikel von Kai Biermann/Zeit Online veröffentlicht am
Bitcoin-Miner im italienischen Florenz
Bitcoin-Miner im italienischen Florenz (Bild: Alessandro Bianchi/Reuters)

Der Kurs von Bitcoin hat in letzter Zeit ein wenig gelitten. Das heißt aber nicht, dass Bitcoin und andere auf Blockchains basierende Währungen nicht noch immer viel Geld wert sind. Deshalb ist es nach wie vor eine gute Idee, sie möglichst sicher aufzubewahren. Dafür gibt es speziell verschlüsselte USB-Sticks, sogenannte Krypto-Wallets, elektronische Brieftaschen.

Inhalt:
  1. Kryptowährungen: Auch auf seinen Bitcoin-Geldbeutel muss man gut aufpassen
  2. Wenn die Wallet plötzlich fernsteuerbar ist

Mit denen gibt es nur ein Problem, das hat Thomas Roth zusammen mit zwei weiteren Sicherheitsforschern gerade auf dem 35. Kongress des Chaos Computer Clubs in Leipzig demonstriert: Die drei haben die gängigsten Krypto-Wallets angegriffen - und geknackt. Oder, wie Roth und seine Kollegen Josh Datko und Dmitry Nedospasov es auf einer Website über die Hacks kurz und einprägsam beschreiben: 'Poof goes your crypto ...' ("Puff, und weg ist deine Verschlüsselung/Kryptowährung ...")

Wie genau sie das geschafft haben, ist ein wenig kompliziert, denn es sind schließlich keine normalen USB-Sticks, die da für 70 bis 200 Euro als besonders sicherer Aufbewahrungsort von Bitcoin und anderen Kryptowährungen verkauft werden. Wem das Folgende zu technisch ist, sollte sich wenigstens eines merken: als Besitzer auf den entsprechenden Stick immer sehr gut aufzupassen. "Wenn du ihn aus der Hand gibst, dann ist es vorbei", sagt Nedospasov.

Die kleinen Datenspeicher werden jedoch alle mit dem Versprechen vermarktet, dass niemand Zugriff auf die Bitcoin darauf bekommt, wenn man den Speicher mal verliert. Verschlüsselung, Passwortschutz und PIN-Codes sollen das verhindern. Doch Roth, Datko und Nedospasov haben sich drei Geräte der beiden wichtigsten Hersteller Ledger und Trezor angeschaut und konnten alle drei komplett auseinandernehmen. Mehr noch, sie belegten in ihrem Vortrag auch, dass einige der Sicherheitsversprechen geradezu fahrlässig sind.

Hacker-Werkzeug Fön

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Porsche Deutschland GmbH, Bietigheim-Bissingen

Trezor beispielsweise verschickt seine Wallet namens Trezor One in einem Paket, das mit einem holografischen Aufkleber versiegelt ist. Der unbeschädigte Sticker soll dem Kunden zeigen, dass niemand an dem Gerät herumgespielt hat. Datko hat sich solche holografischen Siegelaufkleber via Internet preiswert bei einer Druckerei bestellt. Die verklebte Schachtel der Verpackung öffnete er mit der heißen Luft aus dem Fön seines Hotelzimmers. "Aufkleber funktionieren nicht als Sicherheitsmerkmal", sagt Datko.

Doch war das nur das Vorspiel. Der Trezor One ist der wohl am weitesten verbreitete Stick für die Speicherung von Kryptowährungen. Der Chip darauf ist aus Sicherheitsgründen so programmiert, dass sein Inhalt nicht einfach ausgelesen werden kann. So lässt er es beispielsweise nicht zu, einen sogenannten Debugger zu nutzen, ein Werkzeug zur Fehlersuche. Doch durch das Erzeugen eines Glitch im Chip, eine Art Schluckauf, konnten Roth und seine beiden Kollegen eben einen solchen Debugger anflanschen.

Für den Angriff mussten die Sicherheitsforscher Zugriff auf dem Trezor haben. Sie schlossen ihn dazu an seine normale Stromversorgung via USB an, doch während des Hochfahrens des Trezor unterbrachen sie die Stromzufuhr zum richtigen Zeitpunkt für einen winzigen Moment. Dadurch konnten sie den internen Prüfprozess des Chips überlisten und ihm eine manipulierte Version der auf dem Chip laufenden Software unterschieben. Es dauerte Wochen, den richtigen Zeitpunkt zu finden, aber dabei entdeckten die drei weitere Probleme. Letztlich gelang ihnen, was nie passieren dürfte: Sie konnten das geheime Passwort, Seed genannt, unverschlüsselt im Klartext auslesen.

Diese Angriffsmethode ist etwas kompliziert, daher bauten sie sich ein Gerät, um jeden beliebigen Trezor zu knacken. Nun müssen sie nur noch die Plastikhülle aufhebeln, den Chip aus dem Trezor herauslöten, in ihr Glitcher genanntes Hackerwerkzeug legen - dann können sie das Passwort auslesen und an die auf dem Trezor gespeicherten Bitcoin kommen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wenn die Wallet plötzlich fernsteuerbar ist 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

matzems 01. Jan 2019

Deshalb lass ich dies auch. Ist mir alles zu suspekt. Ist ja alles nur eine riesen...

My1 01. Jan 2019

ja sicher waren das physische angriffe, aber der sinn dieser angriffe ist zu zeigen dass...

... 29. Dez 2018

Im Artikel steht klar irreführend: "Anbieter von Krypto-Wallets" Ne, es geht hier um...

neokawasaki 29. Dez 2018

https://www.ledger.fr/2018/12/28/chaos-communication-congress-in-response-to-wallet-fails...


Folgen Sie uns
       


Amazons FireTV Cube mit Sprachsteuerung - Test

Der Fire TV Cube ist mehr als ein Fire-TV-Modell. Er kann auf Zuruf gesteuert werden und wir zeigen im Video, wie gut das gelöst ist.

Amazons FireTV Cube mit Sprachsteuerung - Test Video aufrufen
VW-Logistikplattform Rio: Mehr Fracht transportieren mit weniger Lkw
VW-Logistikplattform Rio
Mehr Fracht transportieren mit weniger Lkw

Im Online-Handel ist das Tracking einer Bestellung längst Realität. In der Speditionsbranche sieht es oft anders aus: Silo-Denken, viele Kleinunternehmen und Vorbehalte gegenüber der Digitalisierung bremsen den Fortschritt. Das möchte Rio mit seiner Cloud-Lösung und niedrigen Preisen ändern.
Ein Bericht von Dirk Kunde

  1. Vernetzte Mobilität Verkehrsunternehmen könnten Datenaustauschpflicht bekommen
  2. Studie Uber und Lyft verschlechtern den Stadtverkehr
  3. Diesel-Ersatz Baden-Württemberg beschafft Akku-Elektrotriebzüge Mireo

Apple-Betriebssysteme: Ein Upgrade mit Schmerzen
Apple-Betriebssysteme
Ein Upgrade mit Schmerzen

Es sollte alles super werden, stattdessen kommen seit MacOS Catalina, dem neuen iOS und iPadOS weder Apple noch Entwickler und Nutzer zur Ruhe. Golem.de hat mit vier Entwicklern über ihre Erfahrungen mit der Systemumstellung gesprochen.
Ein Bericht von Jan Rähm

  1. Betriebssystem Apple veröffentlicht MacOS Catalina
  2. Catalina Apple will Skriptsprachen wie Python aus MacOS entfernen
  3. Apple MacOS wechselt von Bash auf ZSH als Standard-Shell

Weltraumsimulation: Die Star-Citizen-Euphorie ist ansteckend
Weltraumsimulation
Die Star-Citizen-Euphorie ist ansteckend

Jubelnde Massen, ehrliche Entwickler und ein 30 Kilogramm schweres Modell des Javelin-Zerstörers: Die Citizencon 2949 hat gezeigt, wie sehr die Community ihr Star Citizen liebt. Auf der anderen Seite reden Entwickler Klartext, statt Marketing-Floskeln zum Besten zu geben. Das steckt an.
Ein IMHO von Oliver Nickel

  1. Theatres of War angespielt Star Citizen wird zu Battlefield mit Raumschiffen
  2. Star Citizen Mit der Carrack ins neue Sonnensystem
  3. Star Citizen Squadron 42 wird noch einmal verschoben

    •  /