Hallo Leute,
im Allgemeinen kenne ich mich mit Kryptos gut aus.
Eine Frage: Roman hat vor einigen Monaten viele Videos gemacht, in denen er u.a. die BitBox im Vergleich zu Ledger empfohlen hat. Aber ich hatte in Erinnerung, dass er immer gesagt hat, dass auf der BitBox nur BTCs gelagert werden können.
Nun war ich auf der BitBox Seite und es gibt ja auch eine BitBox mit allen Coins, also zumindest die großen wie Ethereum, etc.
Ist die BitBox mit den Altcoins also neu? Und wieso sollte man sich dann überhaupt eine BitBox nur mit BTC kaufen? Verstehe ich nicht ganz.
Hallo Kazumi, wir hatten in den letzten Tagen und Wochen zahlreiche Threads zu diesem Thema. Bitte einfach mal in der Forumsuche nach Bitbox suchen (Lupe rechts oben).
Nein, die ist nicht neu. Roman empfiehlt jedoch die BTC-only version, weil diese aufgrund ihrer schmaleren Codebasis noch einen ticken sicherer ist, als die Multi-Version.
Wenn du natürlich auch viel mit Altcoins handelst, macht die Multiversion mehr Sinn.
Je schmaler die Codebasis desto schwieriger ist es einen Bug in die Codebasis zu integrieren wenn der Platz begrenzt ist. Deswegen könnte die Bitbox02 BTC only die sicherste HardwareWallet sind gefolgt von der Bitbox02 mit Altcoins und gefolgt von Ledger. Der Vergleich hinkt ein wenig, da auch die Zeit maßgeblich ist für ein Projekt auf dem Markt, siehe z.B. Bitcoin. Bitcoin hat eine schmale Codebasis ohne SmartContracts und ähnliches und wurde die 10 Jahre nie wirklich erfolgreich angegriffen. Ledger hat halt einige Jahre Vorsprung und hat in dieser Zeit bewiesen das das HardwareWallet sicher ist und dies darf noch Bitbox beweisen. Für die Bitbox spricht halt das ein Bitcoin Core Entwickler noch mitgeholfen hat bei der Entwicklung. Bleibt der überlassen, aber glaube mit allen dreien machst Du keinen Fehlkauf. Persönlich würde ich meinen Ledger aber über Amazon bestellen und anschließend schauen ob der Ledger in der Software als orginal gekennzeichnet ist. Dies wurde auch noch nicht geknackt und darauf ist kein Angriff bekannt. Wenn aber die 24 Wörter schon ausgefüllt dabei liegen oder die Software dabei sein sollte, dann ist etwas faul. Würde halt nicht ausschließen das Ledger nicht alle Sicherheitslücken geschlossen hat bei dem Angriff und da ist mir mehr Offenheit von anderen Firmen lieber die genauer sagen, wann der Angriff war und welche Daten verloren gegangen sind.
Obwohl ich bisher leider rein gar nichts gelesen habe, was Ledger in Zukunft beim Schutz der personenbezogenen Daten verbessern wird, wäre es mir bei Amazon trotzdem zu riskant.
Nur weil hier noch kein Angriff bekannt ist; alleine die Vorstellung, dass jemand das Gerät vielleicht schon in den Fingern hatte, ist für mich ein NoGo. Wenn jemand es schafft das Gerät zu manipulieren, wird er es vielleicht auch nicht gleich morgen ausnutzen, sondern erst in ein paar Monaten oder Jahren. Ob der Angriff schon bekannt ist oder nicht, hat in meinen Augen nichts zu bedeuten.
Also ich würde HW Wallets immer beim Hersteller kaufen.
Ich glaube der ChaosComputerClub und andere haben sich da schon die Zähne ausgebrochen und sind nicht weitergekommen. Trezor war innerhalb kurzer Zeit angreifbar. Zudem gibt es ein Bounty Programm.
Hätte da keine Bedenken, aber einem Virus aus einer Computer Infrastruktur rauszukriegen ist sehr sehr schwierig. Heise hatte damals sämtliche Rechner erneuert.
Also es ist vielleicht sehr unwahrscheinlich, aber nach meinem Verständnis konnten sie das Gerät so manipulieren, dass sie das hätten ausnutzen können.
Antwort von Ledger:
What has been presented on Ledger Nano S
In short, they demonstrated that physically modifying the Ledger Nano S and installing a malware on the victim’s PC could allow a nearby attacker to sign a transaction after the PIN is entered and the Bitcoin app is launched.
Die haben den Ledger um einen Chip aktualisiert der auf Funk reagiert und die zwei Tasten zum bestätigen der Transaktion selber drückt. Dafür brauchte es den Ledger für die Modifikation, den Rechner um Malware zu installieren und jemand der eine Sendeantenne aufbaut für den Triggerimpuls der die beiden Tasten gleichzeitig drückt. Deswegen würde ich mich trotzdem bei Amazon sicherer fühlten, da es wesentlich einfachere Methoden gibt um an Bitcoin zu kommen als bei mir zuhause die Antenne zu positionieren um den Triggerimpuls für die Druckknöpfe senden zu können. Soweit ich den Artikel richtig überflogen habe.
Stimmt, das ist die erste Angriffsmöglichkeit, die vorgestellt wurde. Zusätzlich müssen sie noch Malware auf deinen PC bekommen und mit der Antenne im Garten stehen .
Was ich interessanter finde ist die zweite Manipulation, die vorgestellt wurde. Kommt im 35C3 Video ca. ab Minute 16:40.
Dort haben sie es geschafft eine eigene Firmware auf den Microcontroller zu laden und die Prüfung des Bootloaders zu umgehen. Allerdings erklären sie dann noch, dass auch das Secure Element beim Booten die Firmware des Microcontrollers prüft. Aufgrund der zeitlichen Begrenzung der Präsentation erklären sie dann nicht mehr ihre Idee, wie man das umgehen kann. Kommentar Ledger:
Ledger:
They mentioned they found a way to bypass the MCU check, but were unable to demonstrate the exploit.
Mich würde sehr interessieren was daraus geworden ist. Einen Teil der präsentierten Schwachstellen hat Ledger auch gefixed.
.