Hardware Wallets gehackt!!! Sind tausende Bitcoin und co verloren?
Hardware Wallet ist derzeit, ohne Frage, das beste Tool zur Verwaltung von Kryptowährungen! Gestern auf der 35C3 Konferenz hat das Team von wallet.fail gezeigt wie angreifbar die kleinen Helferlein sind.
Diese Erkenntnisse haben bei vielen große Bestürzung und Panik ausgelöst. Daher möchte ich hier nun ein paar Sachen klar stellen, die so nicht kommuniziert wurden! Das Team von wallet.fail hat auf jeden Fall geniale Arbeit geleistet und ich möchte ihre Leistung nicht schmälern! Aber einige Dinge wurde auf jeden Fall, vll. aus dramaturgischer Sicht für den Vortrag, falsch dargestellt/ nicht richtig kommuniziert.
Schnell Zusammenfassung des Vortrags
- Der Tresor One kann leider komplett ausgelesen werden. Hacker können, mit einem kleinen DIY Tool, den Seed und das Passwort für das Device im Klartext lesen.
- Der Ledger Blu ist ebenfalls nicht sicher. Das nie freigeschaltete Blutooth-Modul (Namensgeber für den Ledger) sendet die x- und y- Koordinaten der Toucheingabe schwach aber erkennbar. Daraus folgt, dass Hacker das Passwort mit einer sehr hohen Wahrscheinlichkeit auffangen können und im Anschluss den Ledger Blu klauen und entsperren können können.
Daher sollet jeder der einen Tresor One oder Ledger Blu besitzt diesen schleunigst dem Schreier übergeben! Bzw. ein Ledger Blu kann noch in einem faradayischen Käfig verwendet werden. Wer gerade keinen zuhause rumliegen hat, sollte sich von dem Gerät trennen!
Die zwei weiteren Hack die gezeigt wurden:
- Man kann Snake auf dem Ledger Nano S spielen!
- Man kann den Ledger Nano S fernsteuern!
- Aufkleber sind Aufkleber und keine Sicherungen!
Vortrag
Zu allererst einmal hier den Vortrag, wer will kann sich ihn Geren in voller länge anschauen:
Die Hacks in der genauen Betrachtung
Wie bereits am Anfang erwähnt würde ich einen Trezor One und einen Ledger Blu derzeit nicht mehr verwenden, bzw. ich würde den Trezor One vernichten. Über den Trezor T wurde nichts gesagt, da er aber die direkte Nachfolge des One antritt, würde ich diesen nicht verwenden, bis es ein offizielles Statement gibt, dass diese Attacke bei einem Trezor T nicht möglich ist! Mehr möchte ich dazu auch nicht an Worten verlieren.
Auf dem Bild zu sehen ist der Seed im Klartext und darunter direkt der Code zum entsperren des Trezors.
Sticker:
Ja mit den Stickern haben die drei Jungs vollkommen recht. Sticker sind so leicht zu fälschen, jemand der es schafft einen Ledger Nano S oder Trezor One/T zu fälschen, wird mit Leichtigkeit Sticker fälschen können! Daher sollte man auf keinen Fall auf Sticker vertrauen. Ich weiß nicht, warum Trezor einen Sticker benutzt, Ledger hat selber keine Sicherheitssticker, bzw. Originalverpackungs gedöns. Dazu aber später noch mehr.
Antenne im Ledger Nano S:
Die Antenne ist eine nette Spielerei. Jedoch finde ich sie nicht sehr atemberaubend oder auch nur gefährlich. Es müssten sehr viele Faktoren zusammenspielen, dass so eine Antenne eine Gefahr darstellt. Daher möchte ich hier kurz das Szenario nachstellen. Wie wahrscheinlich es ist, dass das dieses Eintritt kann jeder für sich selber entscheiden:
- Du benutzt einen Ledger Nano S.
- Der Hacker hat zugriff auf einen Ledger Nano S und kann ihn umbemerkt Manipulieren. Das Gewicht wird vermutlich deutlich ansteigen! Ich weiß aber nicht, ob das bemerkbar ist.
- Der Hacker manipuliert deinen Computer und installiert Schadsoftware, so dass er Zugriff auf deinen Computer hat und Überweisungen auslösen kann.
- Du hast den Ledger Nano S entsperrt am PC hängen und schaust weg, so dass ein Hacker just in diesen Moment eine Tx auslösen kann und bestätigen kann und der Hacker muss sich in "naher" Distanz zum Gerät befinden.
Das ist für mich eine Attacke die so unrealistisch ist, dass ich sie als ungefährlich einstufen würde. Meine Geräte sind gut verschlüsselt, der Ledger hängt nur für kurze Zeit am PC... und am aller wichtigsten: Der Hack wäre sofort erkennbar. Dazu aber wie schon bei den Stickern, am Ende des Beitrages mehr Informationen.
Bei diesem hack wurde übrigens mehrmal erwähnt, dass Ledger Live diesen Hack nicht erkennt. Wenn an es aber nüchtern betrachtet, dann kann Ledger Live das auch gar nicht erkennen. Den Hack kann man vergleichen mit einem Besenstiel, der als Türöffner für Automatische Türen verwendet wird. Der Tür ist es egal, ob ein Besen oder Mensch den Mechanismus auslöst. Hier kommt ein und das selbe Signal am Chip an, einmal durch das drücken eine Knopfes oder eben durch eine Fernbedienung ausgelöst.
Flashen der Firmware des Ledger Nano S
Es ist den Hackern gelungen die Firmware des Ledger Nano S zu flshen. Da der Display des Ledger Nano S zu klein für DOOM ist wurde kurzerhand Sneak installiert. Natürlich ist es nicht von Vorteil, wenn so ein Device schnell hackbar ist. ABER was hier nicht erwähnt wurde, wurde vermutlich absichtlich nicht erwähnt, denke ich das Ledger Live ausrasten würde, sobald der Nano S angeschlossen wird und Ledger Live die Firmware überprüft, was in regelmäßig passiert.
Ebenfalls hat der Ledger Nano S eine Hardware-Struktur, wie sie z.B. der Trezor One nicht hat. Der Ledger Speichert das Betriebssystem auf einen Microcontroller und den Seed auf einen Extra Sicherheitschip. Dadurch kann auch eine gefalshte Firmware nicht den Seed auslesen.
Daher stellt auch diese Attacke für mich keine Gefahr dar!
Ledger Nano SSicherheit
Für mich stellen die Sicherungen des Ledger Nano S bisher eine unüberwindbare barerem dar. Am Anfang habe ich erwähnt, dass ich einiges für falsch kommuniziert halte. Dies möchte ich jetzt aufklären:
- Ledger schreibt selbst, dass sie auf Aufkleber verzichten, da diese zu leicht zu fälschen sind. Trezor benutzt hingegen Aufkleber als Sicherheitsmerkmal. Nachlesen kann man das hier ganz unten.
- Es wird erwähnt, das der Ledger Nano S leicht zu öffnen ist und somit Manipulation sehr leicht ist. Das ist durchaus richtig, aber das ist nicht broken by design, das ist safty by desig! Wie man hier nachlesen kann ist es gewollt, dass der Endkunde den Ledger einfach Öffnen kann, um zu überprüfen, ob die Hardware intakt und nicht manipuliert wurde.
Ledger Empfiehlt zwar selber, nur von ihnen und verifizierten Resellern zu kaufen, aber mit durch die leicht zu öffnenden Hardware und die Verifizierung der Software durch Ledger Live kann man ohne Probleme gebrauchte Ledger kaufen! Einzig sollte man darauf achten, dass man keinen "voreingestellten" Seed verwendet, wie viele Betrügen einen den Ledger verkaufen. Sollte man einen voreingestellten Seed bekommen, sollte man:
- den Händler wegen Betrugs anzeigen
- Den Pin drei mal falsch eingeben und den Ledger als neues Gerät konfigurieren.
Daher:
DON'T PANIC!, außer du hast einen Trezor.
Der Link zum Ledger Nano S ist ein ref-Link, dadurch entsteht euch kein schaden und ich ich habe einen kleinen Seward, falls ihr den Ledger kaufen solltet.
Vielen Dank für die Zusammenfassung.
Guter Artikel, vielen Dank! Ich selbst nutze einen Ledger Nano S und sehe die Sicherheitrisiken als keine an. Wie realistisch ist das bitte? Die Wahrscheinlichkeit dass ich meinen Geldbeutel verliere oder mein Onlinebanking Bankkonto gehackt werden ist um ein Vielfaches höher!
Von daher, keine Panik 😁
Das ist richtig, leider denken nur viele nicht so weit. die lesen nur: HardwareWallet gehackt und machen sich keine weiteren Gedanken, was das für sie bedeutet.
Interessanter Artikel. Upvote, resteem, follow.
Danke
Hi,
was lässt dich vermuten, dass mein folgender Post, den du soeben gedownvoted hast, Scam ist?
https://steemit.com/airdrop/@rich.art.deluxe/menapay-bounty-ethereum-eth-erc20-earn-free-mpct-crypto-token-for-social-media-tasks-referral-option
Hallo, Entschuldigung, das war keine Absicht ich mach es gleich mal rückgängig.
👍
Kein Ding
Congratulations @thehodl! You have completed the following achievement on the Steem blockchain and have been rewarded with new badge(s) :
Click here to view your Board
If you no longer want to receive notifications, reply to this comment with the word
STOPTo support your work, I also upvoted your post!
Do not miss the last post from @steemitboard:
Thank you so much for sharing this amazing post with us!
Have you heard about Partiko? It’s a really convenient mobile app for Steem! With Partiko, you can easily see what’s going on in the Steem community, make posts and comments (no beneficiary cut forever!), and always stayed connected with your followers via push notification!
Partiko also rewards you with Partiko Points (3000 Partiko Point bonus when you first use it!), and Partiko Points can be converted into Steem tokens. You can earn Partiko Points easily by making posts and comments using Partiko.
We also noticed that your Steem Power is low. We will be very happy to delegate 15 Steem Power to you once you have made a post using Partiko! With more Steem Power, you can make more posts and comments, and earn more rewards!
If that all sounds interesting, you can:
Thank you so much for reading this message!
Congratulations @thehodl! You received a personal award!
You can view your badges on your Steem Board and compare to others on the Steem Ranking
Vote for @Steemitboard as a witness to get one more award and increased upvotes!