Abo
  • IT-Karriere:

Kryptowährungen: Auch auf seinen Bitcoin-Geldbeutel muss man gut aufpassen

Anbieter von Krypto-Wallets versprechen, in diesen seien Bitcoins sicher verstaut. Sind sie nicht, zeigten nun Sicherheitsforscher auf dem Kongress des Chaos Computer Clubs.

Artikel von Kai Biermann/Zeit Online veröffentlicht am
Bitcoin-Miner im italienischen Florenz
Bitcoin-Miner im italienischen Florenz (Bild: Alessandro Bianchi/Reuters)

Der Kurs von Bitcoin hat in letzter Zeit ein wenig gelitten. Das heißt aber nicht, dass Bitcoin und andere auf Blockchains basierende Währungen nicht noch immer viel Geld wert sind. Deshalb ist es nach wie vor eine gute Idee, sie möglichst sicher aufzubewahren. Dafür gibt es speziell verschlüsselte USB-Sticks, sogenannte Krypto-Wallets, elektronische Brieftaschen.

Inhalt:
  1. Kryptowährungen: Auch auf seinen Bitcoin-Geldbeutel muss man gut aufpassen
  2. Wenn die Wallet plötzlich fernsteuerbar ist

Mit denen gibt es nur ein Problem, das hat Thomas Roth zusammen mit zwei weiteren Sicherheitsforschern gerade auf dem 35. Kongress des Chaos Computer Clubs in Leipzig demonstriert: Die drei haben die gängigsten Krypto-Wallets angegriffen - und geknackt. Oder, wie Roth und seine Kollegen Josh Datko und Dmitry Nedospasov es auf einer Website über die Hacks kurz und einprägsam beschreiben: 'Poof goes your crypto ...' ("Puff, und weg ist deine Verschlüsselung/Kryptowährung ...")

Wie genau sie das geschafft haben, ist ein wenig kompliziert, denn es sind schließlich keine normalen USB-Sticks, die da für 70 bis 200 Euro als besonders sicherer Aufbewahrungsort von Bitcoin und anderen Kryptowährungen verkauft werden. Wem das Folgende zu technisch ist, sollte sich wenigstens eines merken: als Besitzer auf den entsprechenden Stick immer sehr gut aufzupassen. "Wenn du ihn aus der Hand gibst, dann ist es vorbei", sagt Nedospasov.

Die kleinen Datenspeicher werden jedoch alle mit dem Versprechen vermarktet, dass niemand Zugriff auf die Bitcoin darauf bekommt, wenn man den Speicher mal verliert. Verschlüsselung, Passwortschutz und PIN-Codes sollen das verhindern. Doch Roth, Datko und Nedospasov haben sich drei Geräte der beiden wichtigsten Hersteller Ledger und Trezor angeschaut und konnten alle drei komplett auseinandernehmen. Mehr noch, sie belegten in ihrem Vortrag auch, dass einige der Sicherheitsversprechen geradezu fahrlässig sind.

Hacker-Werkzeug Fön

Stellenmarkt
  1. intersoft AG, Hamburg
  2. Bechtle Onsite Services GmbH, Hechingen

Trezor beispielsweise verschickt seine Wallet namens Trezor One in einem Paket, das mit einem holografischen Aufkleber versiegelt ist. Der unbeschädigte Sticker soll dem Kunden zeigen, dass niemand an dem Gerät herumgespielt hat. Datko hat sich solche holografischen Siegelaufkleber via Internet preiswert bei einer Druckerei bestellt. Die verklebte Schachtel der Verpackung öffnete er mit der heißen Luft aus dem Fön seines Hotelzimmers. "Aufkleber funktionieren nicht als Sicherheitsmerkmal", sagt Datko.

Doch war das nur das Vorspiel. Der Trezor One ist der wohl am weitesten verbreitete Stick für die Speicherung von Kryptowährungen. Der Chip darauf ist aus Sicherheitsgründen so programmiert, dass sein Inhalt nicht einfach ausgelesen werden kann. So lässt er es beispielsweise nicht zu, einen sogenannten Debugger zu nutzen, ein Werkzeug zur Fehlersuche. Doch durch das Erzeugen eines Glitch im Chip, eine Art Schluckauf, konnten Roth und seine beiden Kollegen eben einen solchen Debugger anflanschen.

Für den Angriff mussten die Sicherheitsforscher Zugriff auf dem Trezor haben. Sie schlossen ihn dazu an seine normale Stromversorgung via USB an, doch während des Hochfahrens des Trezor unterbrachen sie die Stromzufuhr zum richtigen Zeitpunkt für einen winzigen Moment. Dadurch konnten sie den internen Prüfprozess des Chips überlisten und ihm eine manipulierte Version der auf dem Chip laufenden Software unterschieben. Es dauerte Wochen, den richtigen Zeitpunkt zu finden, aber dabei entdeckten die drei weitere Probleme. Letztlich gelang ihnen, was nie passieren dürfte: Sie konnten das geheime Passwort, Seed genannt, unverschlüsselt im Klartext auslesen.

Diese Angriffsmethode ist etwas kompliziert, daher bauten sie sich ein Gerät, um jeden beliebigen Trezor zu knacken. Nun müssen sie nur noch die Plastikhülle aufhebeln, den Chip aus dem Trezor herauslöten, in ihr Glitcher genanntes Hackerwerkzeug legen - dann können sie das Passwort auslesen und an die auf dem Trezor gespeicherten Bitcoin kommen.

Wenn die Wallet plötzlich fernsteuerbar ist 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 98,99€ (Bestpreis!)
  2. 259€ + Versand oder kostenlose Marktabholung (aktuell günstigste GTX 1070 Mini)
  3. täglich neue Deals bei Alternate.de
  4. (u. a. Grafikkarten, Monitore, Mainboards)

matzems 01. Jan 2019

Deshalb lass ich dies auch. Ist mir alles zu suspekt. Ist ja alles nur eine riesen...

My1 01. Jan 2019

ja sicher waren das physische angriffe, aber der sinn dieser angriffe ist zu zeigen dass...

... 29. Dez 2018

Im Artikel steht klar irreführend: "Anbieter von Krypto-Wallets" Ne, es geht hier um...

neokawasaki 29. Dez 2018

https://www.ledger.fr/2018/12/28/chaos-communication-congress-in-response-to-wallet-fails...


Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

    •  /