Abo
  • Services:

Kryptowährungen: Auch auf seinen Bitcoin-Geldbeutel muss man gut aufpassen

Anbieter von Krypto-Wallets versprechen, in diesen seien Bitcoins sicher verstaut. Sind sie nicht, zeigten nun Sicherheitsforscher auf dem Kongress des Chaos Computer Clubs.

Artikel von Kai Biermann/Zeit Online veröffentlicht am
Bitcoin-Miner im italienischen Florenz
Bitcoin-Miner im italienischen Florenz (Bild: Alessandro Bianchi/Reuters)

Der Kurs von Bitcoin hat in letzter Zeit ein wenig gelitten. Das heißt aber nicht, dass Bitcoin und andere auf Blockchains basierende Währungen nicht noch immer viel Geld wert sind. Deshalb ist es nach wie vor eine gute Idee, sie möglichst sicher aufzubewahren. Dafür gibt es speziell verschlüsselte USB-Sticks, sogenannte Krypto-Wallets, elektronische Brieftaschen.

Inhalt:
  1. Kryptowährungen: Auch auf seinen Bitcoin-Geldbeutel muss man gut aufpassen
  2. Wenn die Wallet plötzlich fernsteuerbar ist

Mit denen gibt es nur ein Problem, das hat Thomas Roth zusammen mit zwei weiteren Sicherheitsforschern gerade auf dem 35. Kongress des Chaos Computer Clubs in Leipzig demonstriert: Die drei haben die gängigsten Krypto-Wallets angegriffen - und geknackt. Oder, wie Roth und seine Kollegen Josh Datko und Dmitry Nedospasov es auf einer Website über die Hacks kurz und einprägsam beschreiben: 'Poof goes your crypto ...' ("Puff, und weg ist deine Verschlüsselung/Kryptowährung ...")

Wie genau sie das geschafft haben, ist ein wenig kompliziert, denn es sind schließlich keine normalen USB-Sticks, die da für 70 bis 200 Euro als besonders sicherer Aufbewahrungsort von Bitcoin und anderen Kryptowährungen verkauft werden. Wem das Folgende zu technisch ist, sollte sich wenigstens eines merken: als Besitzer auf den entsprechenden Stick immer sehr gut aufzupassen. "Wenn du ihn aus der Hand gibst, dann ist es vorbei", sagt Nedospasov.

Die kleinen Datenspeicher werden jedoch alle mit dem Versprechen vermarktet, dass niemand Zugriff auf die Bitcoin darauf bekommt, wenn man den Speicher mal verliert. Verschlüsselung, Passwortschutz und PIN-Codes sollen das verhindern. Doch Roth, Datko und Nedospasov haben sich drei Geräte der beiden wichtigsten Hersteller Ledger und Trezor angeschaut und konnten alle drei komplett auseinandernehmen. Mehr noch, sie belegten in ihrem Vortrag auch, dass einige der Sicherheitsversprechen geradezu fahrlässig sind.

Hacker-Werkzeug Fön

Stellenmarkt
  1. Marienhaus Dienstleistungen GmbH, Saarlouis, Losheim am See
  2. Technische Universität Berlin, Berlin

Trezor beispielsweise verschickt seine Wallet namens Trezor One in einem Paket, das mit einem holografischen Aufkleber versiegelt ist. Der unbeschädigte Sticker soll dem Kunden zeigen, dass niemand an dem Gerät herumgespielt hat. Datko hat sich solche holografischen Siegelaufkleber via Internet preiswert bei einer Druckerei bestellt. Die verklebte Schachtel der Verpackung öffnete er mit der heißen Luft aus dem Fön seines Hotelzimmers. "Aufkleber funktionieren nicht als Sicherheitsmerkmal", sagt Datko.

Doch war das nur das Vorspiel. Der Trezor One ist der wohl am weitesten verbreitete Stick für die Speicherung von Kryptowährungen. Der Chip darauf ist aus Sicherheitsgründen so programmiert, dass sein Inhalt nicht einfach ausgelesen werden kann. So lässt er es beispielsweise nicht zu, einen sogenannten Debugger zu nutzen, ein Werkzeug zur Fehlersuche. Doch durch das Erzeugen eines Glitch im Chip, eine Art Schluckauf, konnten Roth und seine beiden Kollegen eben einen solchen Debugger anflanschen.

Für den Angriff mussten die Sicherheitsforscher Zugriff auf dem Trezor haben. Sie schlossen ihn dazu an seine normale Stromversorgung via USB an, doch während des Hochfahrens des Trezor unterbrachen sie die Stromzufuhr zum richtigen Zeitpunkt für einen winzigen Moment. Dadurch konnten sie den internen Prüfprozess des Chips überlisten und ihm eine manipulierte Version der auf dem Chip laufenden Software unterschieben. Es dauerte Wochen, den richtigen Zeitpunkt zu finden, aber dabei entdeckten die drei weitere Probleme. Letztlich gelang ihnen, was nie passieren dürfte: Sie konnten das geheime Passwort, Seed genannt, unverschlüsselt im Klartext auslesen.

Diese Angriffsmethode ist etwas kompliziert, daher bauten sie sich ein Gerät, um jeden beliebigen Trezor zu knacken. Nun müssen sie nur noch die Plastikhülle aufhebeln, den Chip aus dem Trezor herauslöten, in ihr Glitcher genanntes Hackerwerkzeug legen - dann können sie das Passwort auslesen und an die auf dem Trezor gespeicherten Bitcoin kommen.

Wenn die Wallet plötzlich fernsteuerbar ist 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Samsung Galaxy Note 8 für 379€ statt 403,95€ im Vergleich)
  2. 549,99€ (Bestpreis!)
  3. 54€

matzems 01. Jan 2019

Deshalb lass ich dies auch. Ist mir alles zu suspekt. Ist ja alles nur eine riesen...

My1 01. Jan 2019

ja sicher waren das physische angriffe, aber der sinn dieser angriffe ist zu zeigen dass...

... 29. Dez 2018

Im Artikel steht klar irreführend: "Anbieter von Krypto-Wallets" Ne, es geht hier um...

neokawasaki 29. Dez 2018

https://www.ledger.fr/2018/12/28/chaos-communication-congress-in-response-to-wallet-fails...


Folgen Sie uns
       


Huawei Matebook 14 - Hands on (MWC 2019)

Das Matebook 14 ist eines von zwei neuen Notebooks, das Huawei auf dem MWC 2019 vorgestellt hat. Golem.de hat sich das Gerät genauer angeschaut.

Huawei Matebook 14 - Hands on (MWC 2019) Video aufrufen
Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank

Google: Stadia tritt gegen Gaming-PCs, Playstation und Xbox an
Google
Stadia tritt gegen Gaming-PCs, Playstation und Xbox an

GDC 2019 Google streamt nicht nur so ein bisschen - stattdessen tritt der Konzern mit Stadia in direkte Konkurrenz zur etablierten Spielebranche. Entwickler können für ihre Games mehr Teraflops verwenden als auf der PS4 Pro und der Xbox One X zusammen.
Von Peter Steinlechner


      •  /